Bundesamt für Sicherheit in der Informationstechnik

M 4.417 Patch-Management mit WSUS ab Windows Server 2008

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Windows Server Update Services (WSUS) sind ein Dienst, der von Microsoft bereitgestellte Patches, Updates und Service-Packs über das Internet bezieht und weiteren Systemen in der Domäne zur Verfügung stellt. Durch den gebündelten Download wird einerseits die Netzanbindung der Institution entlastet, andererseits lässt sich das Patch-Management für Microsoft-Betriebssysteme bedarfsgerecht automatisieren. Die zeitnahe Verteilung wichtiger Sicherheitspatches wird dadurch deutlich erleichtert. Angesichts laufend neuer bekannt gewordener Software-Schwachstellen stellt das Patch-Management eine der wichtigsten technischen Sicherheitsmaßnahmen dar (siehe auch M 2.273 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates ). Alle Windows-Systeme im Informationsverbund sollten daher an einen entsprechenden Update-Service angeschlossen sein.

Während WSUS bei Windows Server 2003 und 2008 nur als Zusatzmodul verfügbar waren, sind sie ab Windows Server 2008 R2 als Server-Rolle enthalten. WSUS setzt dabei das Vorhandensein eines Internet Information Servers (Server-Rolle Web-Server) auf dem Server voraus. Zusätzlich müssen ausreichend Festplattenplatz für das Zwischenspeichern der Updates sowie eine Datenbank für die Verwaltungsinformationen vorhanden sein. Falls kein geeigneter MS-SQL-Server zur Verfügung steht, kann als Datenbank auch eine Instanz der Windows Internal Database auf dem Serversystem gewählt werden. Für die Auswertung und Überwachung der WSUS-Aktivitäten muss zusätzlich das Paket Report Viewer Redistributable installiert werden.

In komplexeren Informationsverbünden ist es möglich, mehrere WSUS-Server parallel oder "in Reihe" zu betreiben, um beispielsweise verschiedene Standorte zu versorgen. Jeder WSUS-Server lädt dabei in definierbaren Abständen relevante Updates von seiner Quelle (entweder von Microsoft oder einem anderen vorgeschalteten WSUS-Server) herunter. Der in der Hierarchie ganz oben stehende WSUS-Server benötigt dazu eine Verbindung mit dem Internet, die jedoch auch über einen WWW -Proxy mit oder ohne Authentisierung realisiert werden kann.

Jedes Update muss nach dem Herunterladen für die Installation freigegeben werden. Das kann entweder manuell durch einen Administrator erfolgen, oder durch eine Regel definiert sein. Regeln sollten für sogenannte WSUS-Computergruppen unterschiedlich definiert sein, so dass beispielsweise kritische Sicherheits-Updates auf Clients automatisch installiert werden, Server-Systeme mit kritischen Anwendungen hingegen eine manuelle Administrator-Freigabe benötigen. Für jede definierte Gruppe ist eine Abwägung zwischen der schnellen Wirksamkeit von automatisch eingespielten Sicherheits-Patches und der Gefährdung der Systemstabilität durch fehlende Tests zu treffen.

Die übrigen Systeme in der Domäne werden über Gruppenrichtlinien für den Zugriff auf den WSUS-Server konfiguriert. Dabei können den Systemen nicht nur der "zuständige" WSUS-Server bekannt gemacht, sondern auch weitere Konfigurationseinstellungen wie die Intervalle zur Prüfung auf vorliegende Updates vorgenommen werden. Die so konfigurierten Systeme fragen dann bei ihrem WSUS-Server regelmäßig an, ob relevante Updates zur Installation vorliegen (Pull-Mechanismus). Der WSUS-Server ermittelt aus der Anfrage das auf dem jeweiligen System vorhandene Windows-Betriebssystem und identifiziert die dazu vorliegenden Aktualisierungen und ihren jeweiligen Genehmigungsstatus.

WSUS wird über eine Verwaltungskonsole konfiguriert, die nicht auf dem WSUS-Server selbst laufen muss, sie kann auch von einem Administrations-PC aus aufgerufen werden. In jedem Fall sollte der Zugriff auf die Verwaltungskonsole des WSUS-Servers auf einen kleinen Kreis berechtigter Administratoren beschränkt werden.

Mit dem Paket Report Viewer Redistributable stehen in der Verwaltungskonsole unter Berichte verschiedene Auswertungen zum Patch-Status der angeschlossenen Systeme zur Verfügung. Hier kann unter anderem ermittelt werden, wann sich die einzelnen Systeme das letzte mal über den WSUS-Server aktualisiert haben und welche Updates und Patches jeweils schon eingespielt sind. Gerade bei besonders kritischen Schwachstellen lässt sich so das Ausrollen der entsprechenden Patches nachhalten und verfolgen.

Prüffragen:

  • Ist für alle Windows-Systeme im Informationsverbund ein WSUS-Server konfiguriert?

  • Hat der WSUS-Server Zugriff auf das Internet oder einen anderen WSUS-Server als Quelle für Updates?

  • Ist der Zugriff auf die Verwaltungskonsole des WSUS-Servers auf einen kleinen Kreis berechtigter Administratoren beschränkt?

  • Verfügt der WSUS-Server über genügend Speicherplatz zum Zwischenspeichern der anstehenden Updates?

  • Sind geeignete WSUS-Computergruppen und Richtlinien für die Freigabe von Patches, Updates und Service Packs definiert?

  • Wird eine Abwägung zwischen der schnellen Wirksamkeit von automatisch eingespielten Sicherheits-Patches und der Gefährdung der Systemstabilität durch fehlende Tests getroffen?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK