Bundesamt für Sicherheit in der Informationstechnik

M 4.249 Windows Client-Systeme aktuell halten

Verantwortlich für Initiierung: Administrator, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Die Vergangenheit hat gezeigt, dass sicherheitsrelevante Updates oder Patches, die Microsoft regelmäßig veröffentlicht, zeitnah installiert werden müssen. In der Praxis führt dies jedoch öfter zu Problemen, da die Updates einerseits so schnell wie möglich eingespielt werden müssen, sie andererseits vor der Installation ausgiebig getestet werden sollen. Für dieses Problem existiert keine allgemeingültige Lösung. Hier ist ein geeigneter Kompromiss einzugehen, der den Anforderungen an Sicherheit und Praktikabilität gerecht wird.

M 2.273 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates muss bei der Planung berücksichtigt sein.

  • Es muss ein Prozess für den Umgang mit Patches und Updates auf organisatorischer Ebene etabliert sein ( z. B. im Rahmen des Änderungsmanagements).
  • Der Prozess muss nicht nur Updates und Patches für Windows-Systeme, sondern auch für eingesetzte Anwendungen ( z. B. Microsoft Internet Explorer, Microsoft Office und insbesondere Software von Drittherstellern) berücksichtigen.
  • Administratoren müssen sich regelmäßig über Schwachstellen und verfügbare Sicherheits-Updates informieren.
  • Das Einspielen und Prüfen der Updates auf einem Test-System muss sichergestellt werden.
  • Es muss eine Strategie zum Wiederherstellen der Funktionsfähigkeit der Systeme im Problemfall vorhanden sein.

Überprüfung des Patch-Standes

Um existierende Windows-Systeme aktuell zu halten, muss der aktuelle Patch-Stand der Systeme mit den von Microsoft verfügbaren Updates verglichen werden. Microsoft stellt mit dem Baseline Security Analyzer (MBSA) ein Tool zur Verfügung, das für die automatische Auswertung der Systemstände eingesetzt werden kann. Der Einsatz dieses oder eines vergleichbaren Tools verschafft den Administratoren einen aktuellen Überblick über den Patch-Stand der Systeme und trägt somit wesentlich zur Gesamtsicherheit bei. Das MBSA-Tool kann so konfiguriert werden, dass die Überprüfung nicht gegen einen Microsoft-Server im Internet, sondern gegen intern aufgesetzte Microsoft Windows Server Update Services (WSUS) erfolgt. Auf diese Weise wird der Ist-Zustand der Systeme mit dem unternehmensspezifischen Soll-Zustand verglichen. Diese Vorgehensweise wird vor allem für Tests verwendet, ob die im Unternehmen freigegebenen Patches und Updates auf allen Systemen installiert sind. Durch die Integration von MBSA in Microsoft Systems Management Server (SMS) können die Testergebnisse auch direkt in der SMS-Datenbank gespeichert werden.

Das MBSA-Tool besitzt eine graphische Bedienungsoberfläche (mbsa.exe), kann aber auch über die Kommandozeile gesteuert werden (mbsacli.exe). Mit Letzterem lässt sich das Tool in einen automatisierten Prozess integrieren, so dass die Ergebnisse ebenfalls automatisch ( z. B. mit Skripten) weiterverarbeitet werden können.

Mit dem MBSA-Tool kann der Patch-Stand des Betriebssystems und weiterer Anwendungen von Microsoft wie Microsoft Office, Exchange Server, Microsoft Internet Explorer (hier speziell auch die Zonen-Konfiguration) überprüft werden. Die Überprüfungen können lokal und weitgehend auch entfernt durchgeführt werden.

Aktualisierungsmethoden

Zum Aktualisieren eines Windows Systems kann die integrierte Automatische Updates Funktionalität von Windows verwendet werden oder die Updates und Patches werden mittels anderer (externer) Software-Verteilungsmechanismen installiert. Nach welcher Strategie verfahren werden soll, ist anhand der konkreten Umstände und im Einzelfall festzulegen. Wird ein externer Software-Verteilungsmechanismus verwendet, so ist die Automatische Updates Funktionalität zu deaktivieren, damit durch ihren parallelen Einsatz keine negativen Wechselwirkungen entstehen können.

Wird die automatische Aktualisierung von Windows verwendet, so stehen folgende Konfigurationsmöglichkeiten zur Verfügung:

  • Updates werden automatisch heruntergeladen und entsprechend dem definierten Zeitplan installiert (in Windows XP ohne Service Pack 1 steht diese Funktionalität erst in der aktualisierten Version von Automatische Updates Software zur Verfügung).
  • Updates werden automatisch heruntergeladen, es findet jedoch keine automatische Installation statt. Der Benutzer wird über zur Verfügung stehende Updates informiert.
  • Beim Vorhandensein neuer Updates erfolgt lediglich eine Benachrichtigung des Administrators, die Updates werden nicht heruntergeladen.
  • ab Windows Vista können Updates, die empfohlen, aber nicht kritisch sind, kurzfristig direkt an einzelnen Clients von der automatischen Installation ausgenommen werden (Windows Update | Einstellungen ändern | Empfohlene Updates). Im Normalfall sollte die Auswahl der Updates jedoch zentral mittels Softwareverteilung gesetzt werden.

Von der manuellen Installation der Updates sollte abgesehen werden. Um die Zeitspanne zwischen dem Bekanntwerden und dem Schließen einer Sicherheitslücke möglichst kurz zu halten, wird die automatische Installation von freigegebenen Updates mit dem Automatische Updates Mechanismus oder einem externen Software-Verteilungsmechanismus empfohlen.

Da aus Sicherheitssicht direkte Verbindungen ins Internet zu vermeiden sind und die zu installierenden Updates zuerst in Testsystemen getestet werden sollten, wird eine direkte Aktualisierung von Windows-Systemen von externen Quellen (z. B. Microsoft) beim Einsatz des Automatische Updates Mechanismus nicht empfohlen. Stattdessen sollten die Windows-Systeme durch die entsprechende Konfiguration angewiesen werden, einen institutionsinternen Update-Server zu benutzen. Auf diese Weise lässt sich der folgende sinnvolle Ablauf einer Aktualisierung realisieren:

  • Administratoren werden über die Bereitstellung eines Updates benachrichtigt.
  • Das Update wird heruntergeladen und auf Testsystemen installiert.
  • Nach erfolgreich abgeschlossenen Tests wird das Update für interne Update-Server freigegeben.
  • Windows-Rechner laden das freigegebene Update von einem internen Update-Server herunter und installieren es.

Anwendungssoftware und Tools

Die Update-Funktionen von Anwendungssoftware und Tools funktionieren häufig nicht mit normalen Benutzerberechtigungen und zeigen dem Benutzer störende oder verwirrende Meldungen an. Solche Meldungen sollten vom Administrator vermieden werden, zum Beispiel, indem die Update-Pakete in Softwareverteilungssysteme eingebunden werden oder Geplante Tasks (Windows XP) beziehungsweise Aufgabenplanung (ab Vista) genutzt wird.

Benutzer informieren

Auf viele Updates folgen ein Neustart und einige automatische Systemaktivitäten, die die Arbeitsgeschwindigkeit für einige Zeit beeinträchtigen. Nach Neustarts können Meldungen oder Fortschrittsanzeigen, erscheinen, die für manche Benutzer verwirrend sind. Der erfolgreiche Abschluss der Prozesse darf jedoch nicht gefährdet werden, etwa durch manuell ausgelöste Neustarts. Daher sollten Benutzer vor größeren Updates über mögliche Beeinträchtigungen informiert werden. Weiterhin sollten stichprobenartig Rückmeldungen von den Benutzern eingeholt werden und in die Verbesserung des Update-Zyklus einfließen.

Verifikation der Systeme

Nach einem Upgrade oder einer größeren Systemänderung ( z. B. dem Einspielen eines neuen Service Packs) sollten für einige Tage die Windows-Protokolle und Software-Protokolle auf bisher unbekannte Fehler beobachtet werden. Stichprobenartig sollten auch einige Clients daraufhin überprüft werden, ob

  • alle Updates erfolgreich installiert wurden (Windows Systemprotokoll),
  • anwendungsspezifische Berechtigungen und Sicherheitseinstellungen noch korrekt sind (manuell oder mit Hilfe von Sicherheitsvorlagen), besonders in den Windows-Ordnern, bei Netzwerk und Firewall und
  • ob Anwendungen, Schutzsoftware und -hardware korrekt funktionieren.

Prüffragen:

  • Gibt es einen regelmäßigen Abgleich mit dem aktuellen Patch-Stand der Systeme und den von Microsoft verfügbaren Updates?

  • Informieren sich die Administratoren regelmäßig über Schwachstellen und verfügbare Sicherheits-Updates?

  • Ist die Strategie für die Aktualisierung von Windows Client-Systemen festgelegt?

  • Berücksichtigt die definierte Update-Strategie für Windows Client-Systeme auch anwendungsspezifische Updates, zum Beispiel von Drittherstellern?

  • Ist die Vertrauenswürdigkeit der Update-Quellen für Windows Client-Systeme gewährleistet?

  • Ist gewährleistet, dass nur getestete und freigegebene Updates auf Windows Client-Systemen installiert werden?

  • Gibt es eine Strategie zur Wiederherstellung der Funktionsfähigkeit der Systeme bei Problemen oder Fehlern?

Stand: 13. EL Stand 2013