M 4.249 Windows Client-Systeme aktuell halten
Verantwortlich für Initiierung: Administrator, IT-Sicherheitsbeauftragter
Verantwortlich für Umsetzung: Administrator
Die Vergangenheit hat gezeigt, dass sicherheitsrelevante Updates bzw. Patches, die Microsoft regelmäßig veröffentlicht, zeitnah installiert werden sollten. In der Praxis führt dies jedoch öfter zu Problemen, da die Updates einerseits so schnell wie möglich eingespielt werden müssen, sie andererseits vor der Installation ausgiebig getestet werden sollen. Für dieses Problem existiert keine allgemeingültige Lösung, hier ist ein geeigneter Kompromiss einzugehen, der den Anforderungen an Sicherheit und Praktikabilität gerecht wird.
Die Maßnahme M 2.273 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates muss bei der Planung berücksichtigt sein.
- Es muss ein Prozess für den Umgang mit Patches und Updates auf organisatorischer Ebene etabliert sein (z. B. im Rahmen des Änderungsmanagements).
- Der Prozess muss nicht nur Updates und Patches für Windows-Systeme, sondern auch für eingesetzte Anwendungen (z. B. Microsoft Internet Explorer, Microsoft Office und Dritt-Software) berücksichtigen.
- Administratoren müssen sich regelmäßig über Schwachstellen und verfügbare Sicherheits-Updates informieren.
- Das Einspielen und Prüfen der Updates im Test-System muss sichergestellt werden.
- Eine Strategie zum Wiederherstellen der Funktionsfähigkeit der Systeme im Problemfall muss vorhanden sein.
Überprüfung des Patch-Standes
Um existierende Windows-Systeme aktuell zu halten, muss der aktuelle Patch-Stand der Systeme mit den von Microsoft verfügbaren Updates verglichen werden. Microsoft stellt mit dem Baseline Security Analyzer (MBSA) ein Tool zur Verfügung, das für die automatische Auswertung der Systemstände eingesetzt werden kann. Der Einsatz dieses oder eines vergleichbaren Tools verschafft den Administratoren einen aktuellen Überblick über den Patch-Stand der Systeme und trägt somit wesentlich zur Gesamtsicherheit bei. Das MBSA Tool kann so konfiguriert werden, dass die Überprüfung nicht gegen einen Microsoft-Server im Internet, sondern gegen intern aufgesetzte Microsoft Windows Server Update Services (WSUS) erfolgt. Auf diese Weise wird der Ist-Zustand der Systeme mit dem unternehmensspezifischen Soll-Zustand verglichen. Diese Vorgehensweise wird vor allem für Tests verwendet, ob die im Unternehmen freigegebenen Patches und Updates auf allen Systemen installiert sind. Durch die Integration von MBSA in Microsoft Systems Management Server (SMS) können die Testergebnisse auch direkt in der SMS Datenbank gespeichert werden.
Das MBSA Tool besitzt eine graphische Bedienungsoberfläche (mbsa.exe), kann aber auch über die Kommandozeile gesteuert werden (mbsacli.exe). Mit Letzterem lässt sich das Tool in einen automatisierten Prozess integrieren, so dass die Ergebnisse ebenfalls automatisch (z. B. mit Skripten) weiterverarbeitet werden können.
Das MBSA Tool ist im Stande, den Patch-Stand des Betriebssystems und weiterer Microsoft Anwendungen wie z. B. Microsoft Office, Exchange Server, Microsoft Internet Explorer (hier speziell auch die Zonen-Konfiguration) zu überprüfen. Die Überprüfungen können lokal und weitgehend auch entfernt durchgeführt werden.
Aktualisierungsmethoden
Zum Aktualisieren eines Windows Systems kann die integrierte Automatische Updates Funktionalität von Windows verwendet werden oder die Updates und Patches werden mittels eines anderen (externen) Software-Verteilungsmechanismen installiert. Nach welcher Strategie verfahren werden soll, ist anhand der konkreten Umstände und im Einzelfall festzulegen. Wird ein externer Software-Verteilungsmechanismus verwendet, so ist die Automatische Updates Funktionalität zu deaktivieren, damit durch ihren parallelen Einsatz keine negativen Wechselwirkungen entstehen können.
Wird die automatische Aktualisierung von Windows verwendet, so stehen folgende Konfigurationsmöglichkeiten zur Verfügung:
- Updates werden automatisch heruntergeladen und entsprechend dem definierten Zeitplan installiert (diese Funktionalität steht erst in der aktualisierten Version von Automatische Updates Software zur Verfügung).
- Updates werden automatisch heruntergeladen, es findet jedoch keine automatische Installation statt.
- Beim Vorhandensein neuer Updates erfolgt lediglich eine Benachrichtigung des Administrators, die Updates werden nicht heruntergeladen.
Von der manuellen Installation der Updates sollte abgesehen werden. Um die Zeitspanne zwischen dem Bekanntwerden und dem Schließen einer Sicherheitsschwäche möglichst kurz zu halten, wird die automatische Installation von freigegebenen Updates mit dem Automatische Updates Mechanismus oder einem externen Software-Verteilungsmechanismus empfohlen.
Da aus Sicherheitssicht direkte Verbindungen ins Internet zu vermeiden sind und die zu installierenden Updates zuerst in Testsystemen getestet werden sollten, wird eine direkte Aktualisierung von Windows-Systemen von externen Quellen (z. B. Microsoft) beim Einsatz des Automatische Updates Mechanismus nicht empfohlen. Stattdessen sollten die Windows-Systeme durch die entsprechende Konfiguration angewiesen werden, einen institutionsinternen Update-Server zu benutzen. Auf diese Weise lässt sich der folgende sinnvolle Ablauf einer Aktualisierung realisieren:
- Administratoren werden über die Bereitstellung eines Updates benachrichtigt.
- Das Update wird heruntergeladen und auf Testsystemen installiert.
- Nach erfolgreich abgeschlossenen Tests wird das Update für interne Update-Server freigegeben.
- Windows-Rechner laden das freigegebene Update von einem internen Update-Server herunter und installieren es.
Prüffragen:
- Gibt es einen regelmäßigen Abgleich mit dem aktuellen Patch-Stand der Systeme und den von Microsoft verfügbaren Updates?
- Informieren sich die Administratoren regelmäßig über Schwachstellen und verfügbare Sicherheits-Updates?
- Ist die Strategie für die Aktualisierung festgelegt?
- Berücksichtigt die definierte Update-Strategie auch anwendungsspezifische Updates?
- Ist die Vertrauenswürdigkeit der Update-Quellen gewährleistet?
- Ist gewährleistet, dass nur getestete und freigegebene Updates installiert werden?
- Gibt es eine Strategie zur Wiederherstellung der Funktionsfähigkeit der Systeme bei Problemen oder Fehlern?