Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.249 Windows XP Systeme aktuell halten - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.249 Windows XP Systeme aktuell halten

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator

Verantwortlich für Umsetzung: Administrator

Die Vergangenheit hat gezeigt, dass sicherheitsrelevante Updates bzw. Patches, die Microsoft regelmäßig veröffentlicht, zeitnah installiert werden sollten. In der Praxis führt dies jedoch öfter zu Problemen, da einerseits die Updates so schnell wie möglich eingespielt werden müssen, sie andererseits vor der Installation ausgiebig getestet werden sollen. Für dieses Problem existiert keine allgemeingültige Lösung, hier ist ein geeigneter Kompromiss einzugehen, der den Anforderungen an Sicherheit und Praktikabilität gerecht wird.

Die Maßnahme M 2.273 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates muss bei der Planung berücksichtigt sein.

Überprüfung des Patch-Standes

Um existierende Windows XP Systeme aktuell zu halten, muss der aktuelle Patch-Stand der Systeme mit den von Microsoft verfügbaren Updates verglichen werden. Microsoft stellt mit dem Baseline Security Analyzer (MBSA) ein Tool zur Verfügung, das für die automatische Auswertung der Systemstände eingesetzt werden kann. Der Einsatz dieses oder eines vergleichbaren Tools verschafft den Administratoren einen aktuellen Überblick über den Patch-Stand der Systeme und trägt somit wesentlich zur Gesamtsicherheit bei. Das MBSA Tool kann so konfiguriert werden, dass die Überprüfung nicht gegen einen Microsoft-Server im Internet, sondern gegen einen intern aufgesetzten Microsoft SUS (Software Update Server) erfolgt. Auf diese Weise wird der Ist-Zustand der Systeme mit dem unternehmensspezifischen Soll-Zustand verglichen. Diese Vorgehensweise wird vor allem für Tests verwendet, ob die im Unternehmen freigegebenen Patches und Updates auf allen Systemen installiert sind. Durch die Integration von MBSA in Microsoft SMS können die Testergebnisse auch direkt in der SMS Datenbank gespeichert werden.

Das MBSA Tool besitzt eine graphische Bedienungsoberfläche (mbsa.exe), kann aber auch über die Kommandozeile gesteuert werden (mbsacli.exe). Mit Letzterem lässt sich das Tool in einen automatisierten Prozess integrieren, so dass die Ergebnisse ebenfalls automatisch (z. B. mit Skripten) weiterverarbeitet werden können.

Die MBSA Utility ist im Stande, den Patch-Stand des Betriebssystems und weitere Microsoft Anwendungen wie z. B. Microsoft Office, Exchange Server 2003, Microsoft Internet Explorer (hier speziell auch die Zonen-Konfiguration) zu überprüfen. Es sollte jedoch berücksichtigt werden, dass die Version 1.2.1 nur lokale Überprüfungen von Windows-Firewall und Microsoft Office durchführen kann. Die restlichen Überprüfungen können sowohl lokal als auch entfernt durchgeführt werden.

Aktualisierungsmethoden

Zum Aktualisieren eines Windows XP Systems kann die integrierte Automatische Updates Funktionalität von Windows XP verwendet werden oder die Updates und Patches werden mittels eines anderen (externen) Software-Verteilungsmechanismen installiert. Nach welcher Strategie verfahren werden soll, ist anhand der konkreten Umstände und im Einzelfall festzulegen. Wird ein externer Software-Verteilungsmechanismus verwendet, so ist die Automatische Updates Funktionalität zu deaktivieren, so dass durch ihren parallelen Einsatz keine negativen Wechselwirkungen entstehen können.

Wird die automatische Aktualisierung von Windows XP verwendet, so stehen folgende Konfigurationsmöglichkeiten zur Verfügung:

Von der manuellen Installation eines Updates sollte abgesehen werden. Um die Zeitspanne zwischen dem Bekanntwerden und dem Schließen einer Sicherheitsschwäche möglichst kurz zu halten, wird die automatische Installation von freigegebenen Updates mit dem Automatische Updates Mechanismus oder einem externen Software-Verteilungsmechanismus empfohlen.

Da aus Sicherheitssicht direkte Verbindungen ins Internet zu vermeiden sind und die zu installierenden Updates zuerst in Testsystemen getestet werden sollten, wird eine direkte Aktualisierung von Windows XP Systemen von externen Quellen (z. B. Microsoft) beim Einsatz des Automatische Updates Mechanismus nicht empfohlen. Stattdessen sollten die Windows XP Systeme durch die entsprechende Konfiguration angewiesen werden, einen unternehmensinternen Update Server zu benutzen. Auf diese Weise lässt der folgende sinnvolle Ablauf einer Aktualisierung realisieren:

Ergänzende Kontrollfragen: