Microsoft verbessert Veröffentlichungsverfahren für Security Bulletins
Auf dieser Seite
Exposé
Dieses Whitepaper beschreibt die Schritte, die Microsoft unternommen hat, um das Verfahren für die Veröffentlichung von Security Bulletins zu verbessern. Grundlage der Veränderungen ist nicht zuletzt das umfassende Feedback, das Microsoft von seinen Kunden zu diesem Thema erhalten hat.
Im Rahmen seiner Initiative Trustworthy Computing (TwC) hat Microsoft substanzielle Fortschritte im Bereich der IT-Sicherheit erzielt. Richtlinie war dabei das Sicherheits-Framework SD3C (Secure by Design, Secure by Default, Secure in Deployment and Communications), das als Bestandteil von TwC definiert wurde. Die Hauptstrategie von Microsoft besteht darin, Schwachstellen im Code seiner Software zu reduzieren und Produkte mit einem absoluten Minimum an ausnutzbaren Sicherheitsanfälligkeiten herzustellen. Dies ist mit den beiden Begriffen Secure by Design und Secure by Default gemeint. Die Änderungen, die Microsoft am Veröffentlchungsverfahren für Security Bulletins vorgenommen hat, fallen hingegen in den Bereich Secure in Deployment and Communications. Ziel dieser Änderungen ist es, den gesamten Prozess rund um die Veröffentlichung und Installation von Microsoft-Sicherheitsupdates für Kunden einfacher und besser planbar zu machen.
Kurzfassung
Als Reaktion auf das umfassende Kunden-Feedback nimmt Microsoft an dem Verfahren für die Veröffentlichung von Security Bulletins eine Reihe von Veränderungen vor. Ziel dieser Änderungen ist es, den gesamten Prozess rund um die Veröffentlichung und Installation von Microsoft-Sicherheitsupdates für Kunden einfacher und besser planbar zu machen.
Neue Security Bulletins werden nun im Normalfall nur noch einmal monatlich veröffentlicht, und zwar am zweiten Dienstag jedes Kalendermonats. Für die ersten Bulletins, die nach dem neuen Verfahren veröffentlicht wurden, galt allerdings eine Ausnahme. Sie wurden am 15. Oktober 2003, einem Mittwoch, publiziert.
Wie bisher veröffentlicht Microsoft ein Sicherheitsupdate pro Security Bulletin. Neu ist jedoch, dass für jede betroffene Produktfamilie eine Übersichtsseite (Security Bulletin Summary) im Internet publiziert wird. Sie bietet eine Zusammenfassung mit Informationen zu allen Updates, die in diesem Monat für die jeweilige Produktfamilie erschienenen sind. Zudem fügt Microsoft in die Security Bulletins ausführlichere praktische Anleitungen als bisher ein. Hierzu zählen Problemumgehungen für alle Sicherheitsanfälligkeiten, bei denen diese möglich sind, Risikoeinschätzungen für spezifische Bedrohungen sowie weitere Informationen, die es Kunden leichter machen, die Updates zu bewerten und anzuwenden. Für jedes Update wird ein Knowledge Base-Artikel erstellt, der einen Link zum entsprechenden Bulletin enthält, allerdings kein möglicherweise verwirrendes Duplikat des Security Bulletins darstellt.
Neue inhaltliche Gestaltung und neues Veröffentlichungsverfahren gelten sowohl für die technische (Zielgruppe: IT-Profis und andere technische Benutzer) als auch für die Endkunden-Version (Zielgruppe: nicht technische Benutzer) der Bulletins. Die Hauptunterschiede zwischen den beiden Bulletin-Fassungen bestehen im Grad technischer Details sowie darin, dass Endkundenversionen lediglich für Windows- und Office-Sicherheitsupdates herausgegeben werden.
Das neue Veröffentlichungsverfahren für Security Bulletins bietet den Kunden von Microsoft mehrere Vorteile:
| • | Bessere Übersicht: Auf der Übersichtsseite, der Security Bulletin Summary, erhalten Kunden auf den ersten Blick alle wichtigen Informationen für die jeweilige Produktfamilie. Detaillierte Erläuterungen finden sie dann, übersichtlich aufbereitet, in den einzelnen Bulletins. |
| • | Größere zeitliche Abstände zwischen neuen Updates: Durch den monatlichen Veröffentlichungsrhythmus haben Kunden mehr Zeit, Updates zu evaluieren, zu testen und zu installieren. |
| • | Bessere Planbarkeit: Der neue Rhythmus mit dem festen Veröffentlichungstermin sorgt auch dafür, dass Test und Installation der Updates besser geplant und nötige Vorbereitungen rechtzeitig getroffen werden können. |
| • | Zusätzliche praktische Anleitungen: Kunden, die kurzfristig andere Maßnahmen ergreifen wollen, als den Updates zu installieren, erhalten detaillierte Schritt-für-Schritt-Erläuterungen. |
Microsoft stellt seinen Kunden derzeit eine Reihe von Tools und Ressourcen zur Verfügung, die sie bei der Verwaltung und Installation von Sicherheitsupdates unterstützen. Weitere Informationen zu diesen Tools und Ressourcen finden Sie unter http://www.microsoft.com/germany/sicherheit/default.mspx. Microsoft hat auch leicht verständliche Regelungen für die Lebenszyklen seiner Produkte festgelegt (http://www.microsoft.com/lifecycle), so dass Kunden die Verfügbarkeit von Updates für ihre Software exakt absehen können.
Kunden, die für die Verwaltung und Bereitstellung von Updates Tools wie SMS (Systems Management Server) mit Feature Pack 3, SUS (Software Update Services), MBSA (Microsoft Baseline Security Analyzer), Windows Update und Office Update einsetzen, müssen diese weder upgraden noch ersetzen. Die Tools können in jedem Fall weiterhin genutzt werden.
Kunden, die nicht von Microsoft stammende Patchmanagement- und Bereitstellungsprodukte verwenden, sollten sich an den jeweiligen Hersteller wenden, um sicherzustellen, dass diese Produkte auch unter dem neuen Veröffentlichungsverfahren korrekt arbeiten.
Feedback von Kunden
Microsoft hat ausführliche Gespräche mit vielen Kunden geführt und dabei umfangreiches Feedback zum Veröffentlichungsprozess für Security Bulletins erhalten. Das Feedback lässt sich zu folgenden Hauptaussagen zusammenfassen:
| • | Microsoft veröffentlicht Sicherheitsupdates in zu geringen Zeitabständen. |
| • | Kunden sind grundsätzlich zufrieden mit der Sicherheitskommunikation von Microsoft und den Security Bulletins. Allerdings halten sie die eigenständigen Knowledge Base-Artikel zu den Updates, die ähnliche Informationen wie die Bulletins enthalten, für verwirrend. Zudem zwingt die Aufteilung in Knowledge Base-Artikel und Bulletins die Kunden dazu, beide Dokumente zu lesen, um ein vollständiges Bild der Problematik zu erhalten. "Ich finde die Sicherheitskommunikation von Microsoft gut. Nur: Warum enthält der Knowledge Base-Artikel unterschiedliche Informationen als das Bulletin? Führen Sie die Informationen in einem Dokument zusammen, damit ich sie nicht immer aus zwei Quellen zusammensuchen muss." |
| • | Kunden benötigen Problemumgehungen und alternative Strategien für die Schadensbegrenzung. "Ein Abschnitt mit Problemumgehungen sollte in jedem Bulletin enthalten sein." |
| • | Kunden wünschen genauere Informationen, die ihnen eine Risikoeinschätzung für ihre spezifische IT-Umgebung ermöglichen. Hierzu können Worst-Case-Szenarios gehören, zu denen das Ausnutzen einer Sicherheitsanfälligkeit durch Angreifer führen kann. "Sagen Sie mir geradeheraus, welche Gefahr besteht. Was ist das schlimmste, das ein potenzieller Angreifer anstellen kann? Warum sind diese Angaben in den Bulletins immer so versteckt?" |
| • | Kunden wollen wichtige Informationen zum Update gleich auf den ersten Blick sehen, einschließlich eines direkten Links zum Update. |
| • | Kunden verlangen, dass Microsoft ihnen klar und deutlich zu erkennen gibt, wie hoch die Sicherheitsgefahr ist und wie dringend ein Update installiert werden muss. "Es ist wichtig für mich, Prioritäten sofort erkennen zu können. Sagen Sie mir unmissverständlich, wenn ich alles stehen und liegen lassen muss, um mit dem Testen des Updates zu beginnen." |
Das neue Veröffentlichungsverfahren für Security Bulletins
Am 15. Oktober 2003 startet Microsoft ein neues Verfahren für die Veröffentlichung von Security Bulletins. Der neue Prozess wurde auf Grundlage von umfassendem Kunden-Feedback entwickelt. Er bietet eine größere Vorhersagbarkeit und verbessert die Möglichkeit, erforderliche Schritte bereits im Vorfeld zu planen.
Die meisten der im Folgenden beschriebenen Änderungen am Prozess betreffen sowohl die technische (Zielgruppe: IT-Profis und andere technische Benutzer) als auch die Endkunden-Version (Zielgruppe: nicht technische Benutzer) der Bulletins. Die beiden Bulletinversionen unterscheiden sich in folgenden Punkten:
| • | Kunden, die den Benachrichtigungsdienst für technische Bulletins abonnieren, erhalten Bulletins für alle Produkte. Abonnenten der Endkunden-Versionen hingegen erhalten nur Bulletins für Microsoft Windows und Microsoft Office. |
| • | In den beiden Dokumenten für die nicht technische Zielgruppe (Security Bulletin und Security Bulletin Summary) fehlen einige der detaillierten technischen Informationen, die in den IT-Pro-Bulletins enthalten sind. |
Erscheinungsintervalle und Zeitplan
Ab Oktober 2003 gibt Microsoft am zweiten Dienstag jedes Kalendermonats Sicherheitsbulletins heraus. Die ersten monatlichen Bulletins für Oktober erschienen jedoch am Mittwoch, den 15. Oktober 2003. Für das Jahr 2007 sind folgende Veröffentlichungstermine vorgesehen:
| 1. Quartal 2008 | 2. Quartal 2008 | 3. Quartal 2008 | 4. Quartal 2008 |
08. Jan. | 08. Apr. | 08. Juli | 14. Okt. |
12. Feb. | 13. Mai | 12. Aug. | 11. Nov. |
11. März | 10. Juni | 09. Sep. | 09. Dez. |
Ein wichtiger Vorteil der Umstellung auf einen monatlichen Veröffentlichungszyklus von Sicherheitsupdates besteht darin, dass die Kunden mehrere Updates auf einmal installieren können, die betroffenen Computer aber nur einmal neu starten müssen (mithilfe von QChain.exe, Update.exe und ähnlichen Tools). Dadurch werden die Stillstandszeiten missionskritischer Systeme stark verringert, während die Kunden nur einmal monatlich eine Updateinstallation einplanen müssen.
Ein weiterer Vorteil eines monatlichen Veröffentlichungszyklus liegt darin, dass die Kunden durch die längeren Intervalle zwischen den Sicherheitsupdates mehr Zeit gewinnen, so dass sie die Updates in ihrer Computerumgebung intensiver evaluieren, testen und installieren können, Außerdem wird die Veröffentlichung vorhersagbarer, so dass Kunden die Installation von Updates im vorab planen können.
Ausnahmen vom monatlichen Veröffentlichungsplan
Microsoft sieht Ausnahmen vom obigen Veröffentlichungsplan vor, wenn es zur Erkenntnis gelangt, dass Kunden durch Viren, Würmer, Angriffe oder andere böswillige Aktivitäten unmittelbar gefährdet sind. In einer solchen Situation kann Microsoft umgehend Sicherheitsupdates veröffentlichen, um seine Kunden besser zu schützen.
Umfang und Benennung
Security Bulletin
Microsoft wird pro Sicherheitsupdate einmal monatlich ein neues Security Bulletin herausgeben. Das Security Bulletin dient als Einzelquelle für detaillierte Informationen über das Update. Es vereint die Informationen des Knowledge Base-Artikels und des Security Bulletins, die bisher als separate Dokumente erschienen.
Das Security Bulletin wird weiterhin nach dem derzeitigen Schema MSYY-XXX benannt, wobei YY auf zwei Stellen das Jahr angibt und XXX die fortlaufende Security Bulletin-Nummer ist, die für jedes Jahr nur einmal ausgegeben wird.
Zur Identifikation des Security Bulletins wird die Nummer eines Knowledge Base-Artikels verwendet. Der Artikel enthält jedoch nur einen Hinweis auf das Security Bulletin und keine weiteren Informationen. Die Zuordnung zu einem Knowledge Base-Artikel bietet den Kunden Querverweise und gibt ihnen die Möglichkeit, nach der Updatenummer zu suchen, die sie in der Systemsteuerung von Windows im Fenster "Programme hinzufügen/entfernen" finden. Kunden, die nach der Nummer des Knowledge Base-Artikels für das Update suchen, können das Security Bulletin mit den Detailinformationen über das Update leicht finden.
Security Bulletin Summary
Gemeinsam mit dem Security Bulletin gibt Microsoft für jede betroffene Produktfamilie (z.B. Windows, Exchange, SQL Server, Office) jeden Monat ein Dokument namens Security Bulletin Summary heraus. Hierbei handelt es sich um eine Zusammenfassung, die eine Liste aller für die Produktfamilie veröffentlichten Sicherheitsupdates enthält. Die Summary listet Informationen wie die spezifischen Produkte (innerhalb der Produktfamilie) auf, die von dem Update betroffen sind, oder die möglichen Auswirkungen der Sicherheitsanfälligkeiten.
Die Security Bulletin Summary trägt folgenden Titel: "Microsoft <Name der Produktfamilie> Security Bulletin Summary für <Monat> <JJJJ>", wobei JJJJ für die vierstellige Jahreszahl steht.
Format und Inhalt
In Reaktion auf das Feedback der Kunden bietet Microsoft in den Security Bulletins und der neuen Security Bulletin Summary nun mehr praktisch anwendbare Informationen als bisher. Beide Dokumente sind so gestaltet, dass sie leicht lesbar und verwendbar sind. Anhang 1 und Anhang 2 listen die in den neu gestalteten Security Bulletins und in der neuen Security Bulletin Summary enthaltenen Informationen auf.
Security Bulletin
Microsoft hat das Format der Security Bulletins so geändert, dass die Informationen, die bisher auf den Knowledge Base-Artikel und das Security Bulletin verteilt waren, in einem Dokument vereint sind.
Die neuen Security Bulletins bieten einige neue Informationen zu den Updates, die bisher nicht angegeben waren. So enthalten die Bulletins separate Problemumgehungen und schadensbegrenzende Faktoren. Diese Informationen bieten Kunden, die die Sicherheitsupdates nicht sofort anwenden können, kurzfristige alternative Optionen. Anhang 1 listet alle Informationen auf, die in den neu gestalteten Security Bulletins enthalten sind.
Security Bulletin Summary
Das Format der neuen Security Bulletin Summary wurde nach den Bedürfnissen der Kunden gestaltet. Die Summary ermöglicht es Kunden, ein einzelnes Dokument (für eine Produktfamilie) zu durchsuchen und gezielt Entscheidungen über die Installation von Updates in ihrer IT-Umgebung zu treffen.
Darüber hinaus enthält die Security Bulletin Summary, wie auch das Bulletin selbst, Hinweise zu Produkten, Tools und Services, die zur Installation der Sicherheitsupdates verwendet werden können. Anhang 1 listet alle Informationen auf, die in der neuen Security Bulletin Summary enthalten sind.
Danksagungen an die Entdecker von Sicherheitsanfälligkeiten
Auch in den neuen Security Bulletins dankt Microsoft den Personen und Organisationen, die die jeweiligen Sicherheitsanfälligkeiten entdeckt und zum Schutz der Kunden mit Microsoft zusammengearbeitet haben. Diese Personen oder Personengruppen melden Sicherheitsanfälligkeiten vertraulich, entwickeln gemeinsam mit Microsoft Updates und helfen bei der Verbreitung der entsprechenden Informationen. Auf diese Weise leisten sie einen entscheidenden Beitrag zur Minimierung des Risikos von Microsoft-Kunden.
Microsoft erhielt zum Beispiel Mitte 2003 von einer Forschergruppe namens Last Stages of Delirium (LSD) eine Meldung über eine Sicherheitsanfälligkeit von RPC/DCOM. Für diesen Hinweis wurde LSD im Security Bulletin MS03-026, das die Sicherheitsanfälligkeit beschreibt und das Update für deren Beseitigung enthält, der Dank ausgesprochen.
Die Danksagungen an die Entdecker von Sicherheitsanfälligkeiten werden auch in der Security Bulletin Summary veröffentlicht.
Tools und Ressourcen
Die wichtigste Veränderung, die der neue Security Bulletin-Prozess mit sich bringt, betrifft die Anzahl und den Veröffentlichungszeitpunkt der Sicherheitsupdates. Das bedeutet, dass Kunden einige der Prozesse, nach denen sie Updates testen, verteilen und installieren, eventuell überprüfen müssen. Die folgenden Tools und Ressourcen unterstützen Kunden bei Evaluierung, Planung, Management und Anwendung von Sicherheitsupdates:
Empfohlene Tools für die Bereitstellung von Sicherheitsupdates
| • | Benutzer von Microsoft Systems Management Server (SMS) mit Feature Pack 3 können weiterhin mit dieser Lösung arbeiten. Es ist keine Anpassung an das neue Verfahren nötig. |
| • | Unternehmen, die derzeit Windows Update oder SUS mit MBSA und Office Update verwenden, müssen keine Upgrades vornehmen oder zusätzliche Software installieren. |
| • | Für Privatanwender, die Windows Update/Auto Update und Office Update benutzen, erfordert die Implementierung des neuen Security Bulletin-Prozesses keine Neukonfiguration. |
| • | Kunden, die nicht von Microsoft stammende Patchmanagement- und Bereitstellungsprodukte verwenden, sollten sich an den jeweiligen Hersteller wenden, um sicherzustellen, dass diese Produkte auch unter dem neuen Veröffentlichungsverfahren korrekt arbeiten. |
Microsoft Product Lifecycle Support Policy
Die Microsoft Product Lifecycle Support Policy bietet konsistente und vorhersagbare Richtlinien für die Verfügbarkeit von Produktsupport entsprechend den festgelegten Produktlebenszyklen. Die Support Lifecycle-Richtlinie trat am 15. Oktober 2002 in Kraft und gilt für die meisten Produkte, die derzeit im Einzelhandel oder im Rahmen von Volumenlizenzen erhältlich sind, sowie für die meisten zukünftigen Produkte. Weitere Einzelheiten über die Microsoft Product Lifecycle Support Policy finden Sie unter http://www.microsoft.com/lifecycle.
Microsoft-Richtlinien für den Produkt-Support
Unternehmens- und Entwicklungssoftware
Microsoft bietet ab dem Verfügbarkeitsdatum eines Produkts mindestens fünf Jahre Mainstream-Support an. Nach dem Ende der Mainstream-Phase haben Kunden die Möglichkeit, erweiterten Support für zwei Jahre zu erwerben. Darüber hinaus ist für die meisten Produkte für mindestens acht Jahre ein Online-Selbsthilfesupport vorgesehen. Besuchen Sie die Seite "Locate Your Product" (http://support.microsoft.com/default.aspx?scid=fh;[ln];complifeport), um die Supportzeiten für Ihr individuelles Produkt zu finden.
Endkunden-, Hardware- und Multimediaprodukte
Microsoft bietet ab dem Verfügbarkeitsdatum eines Produkts mindestens fünf Jahre Mainstream-Support an. Produkte, für die jährlich eine neue Version veröffentlicht wird (z.B. Money, Encarta, Picture It! Streets & Trips), werden ab dem Datum ihrer Verfügbarkeit mit einer Mainstream-Supportzeit von mindestens drei Jahren unterstützt. Darüber hinaus ist für die meisten Produkte für mindestens acht Jahre ein Online-Selbsthilfesupport vorgesehen. Xbox-Spiele sind derzeit in der Product Support Lifecycle Policy nicht enthalten.
Microsoft-Richtlinien für Sicherheitsupdates
Unternehmens- und Entwicklungssoftware
Sicherheitsupdates stehen für die meisten Produkte bis Jahresende der verlängerten Supportzeit (fünf Jahre Mainstream-Phase + zwei Jahre Extended-Support) ohne zusätzliche Kosten zur Verfügung. Um in der verlängerten Supportphase Fixes für Sicherheitsanfälligkeiten zu erhalten, müssen Kunden keinen Vertrag für erweiterten Support unterzeichnen. Informationen zu den geltenden Supportzeiten für Ihre Microsoft-Produkte finden Sie auf der Seite "Locate Your Product" (http://support.microsoft.com/default.aspx?scid=fh;[ln];complifeport).
Endkunden-, Hardware- und Multimediaprodukte
Sicherheitsupdates stehen für die meisten Produkte bis zum Ende des Mainstream-Supports ohne zusätzliche Kosten zur Verfügung. Informationen zu den geltenden Supportzeiten für Ihre Microsoft-Produkte finden Sie auf der Seite "Locate Your Product" (http://support.microsoft.com/default.aspx?scid=fh;[ln];complifeport).
Microsoft-Richtlinien für den Support von Service Packs
Microsoft bietet nicht nur für aktuelle, sondern auch für unmittelbar vorhergehende Service Pack-Versionen Support an. Damit können Kunden in der Mainstream-Phase Hotfixes für das aktuelle oder das unmittelbar vorhergehenden Service Pack erhalten.
Mainstream- und Extended-Support
Mainstream-Support: beinhaltet alle Supportoptionen und -programme, die Microsoft derzeit anbietet. Hierzu zählen kostenloser Incident-Support, bezahlter Incident-Support, auf Stundenbasis verrechneter Support, Support für Garantieansprüche und Hotfix-Support. Für Unternehmens- und Entwicklungssoftware steht nach dem Ende der Mainstream-Phase erweiterter Support zur Verfügung.
Extended-Support: umfasst alle bezahlten Supportoptionen sowie Support durch kostenlose Sicherheits-Hotfixes. Hotfixes, die nicht im Zusammenhang mit Sicherheitsproblemen stehen, erfordern einen separaten Extended-Support-Vertrag. Dieser ist innerhalb von 90 Tagen nach Ende des Mainstream-Supports zu erwerben. Microsoft nimmt in der verlängerten Supportphase keine Anfragen zu Garantie-Support, Designänderungen oder neuen Features an.
Sicherheitstools
Microsoft bietet eine Reihe von kostenlosen Tools an, die Kunden bei der Absicherung ihrer IT-Umgebung helfen. Diese Tools stehen auf der Microsoft-Website zum Download zur Verfügung.
Service und Tools für die Identifikation und Verwaltung von Sicherheitsupdates
| • | Mit dem Microsoft Baseline Security Analyzer (MBSA) können Sie einzelne oder mehrere Systeme lokal und über das Netzwerk nach fehlenden Sicherheitsupdates und fehlerhaften Konfigurationen durchsuchen - http://www.microsoft.com/germany/technet/datenbank/articles/600189.mspx. |
| • | Mit den Software Update Services (SUS) können Sie Updates und Hotfixes für Windows XP Professional, Windows 2000 Server und Windows Server 2003 zentral testen und dann schnell und zuverlässig auf die Desktop- und Servercomputer in Ihrem Netzwerk verteilen - http://www.microsoft.com/germany/technet/datenbank/articles/600220.mspx. |
| • | Das Tool KB824146Scan dient dazu, in Netzwerken Computer zu identifizieren, auf denen die Sicherheitsupdates 823980 (MS03-026) und 824146 (MS03-039) nicht installiert sind - http://support.microsoft.com/default.aspx?scid=kb;de;827363. |
| • | QChain.exe gibt ihnen die Möglichkeit, mehrere Updates oder Hotfixes für Windows zu "verketten" und mit nur einem Neustart zu installieren - http://support.microsoft.com/default.aspx?scid=kb;de;d296861. |
Tools für die automatische Überprüfung und Aktualisierung von Windows und Office
| • | Windows Update überprüft Ihren Computer und bietet eine Auswahl von auf Ihr Betriebssystem, Ihre Software und Ihre Hardware abgestimmten Updates an - http://windowsupdate.microsoft.com/. |
| • | Office Update überprüft und aktualisiert Produkte der Microsoft Office-Familie - http://office.microsoft.com/officeupdate/default.aspx. |
Lockdown-, Auditing- und Intrusion-Detection-Tools
| • | Der IIS Lockdown Wizard deaktiviert ungenutzte Funktionen der Internet Information Services (IIS) und verkleinert so die Angriffsfläche Ihrer IT-Umgebung. Um eine tiefgreifende Verteidigung zur Verfügung zu stellen oder mehrere Schutzschichten gegen Angreifer zu implementieren, sind in den IIS Lockdown Wizard das Tool UrlScan sowie für einzelne Serverrollen angepasste Vorlagen integriert - http://www.microsoft.com/germany/technet/datenbank/articles/600187.mspx. |
| • | Mit dem Tool UrlScan 2.5 können Sie festlegen, welche HTTP-Anfragen von den Internet Information Services (IIS) bearbeitet werden dürfen und welche nicht. Angriffe auf IIS-Server, bei denen bestimmte Anfragetypen ausgenutzt werden, lassen sich dadurch schon im Vorfeld unterbinden - http://www.microsoft.com/germany/technet/datenbank/articles/600185.mspx. |
| • | Das Tool EventCombMT, erhältlich als Teil der Download-Scripts des "Handbuchs für den sicheren Betrieb von Windows 2000 Server", analysiert Ereignislogs von mehreren Servern - http://www.microsoft.com/germany/technet/datenbank/articles/900133.mspx. |
| • | Das Tool Cipher.exe bietet eine wichtige neue Option - die Möglichkeit, alle gelöschten Daten auf einer Festplatte endgültig zu überschreiben. Dies stellt sicher, dass ein Angreifer mit physikalischem Zugriff auf eine Windows 2000-Maschine nicht in der Lage ist, bereits gelöschte Daten wiederherzustellen - http://www.microsoft.com/germany/technet/datenbank/articles/600188.mspx. |
Virenschutz- und Säuberungstools
| • | Das Outlook E-Mail-Sicherheitsupdate ist im Service Pack 3 für Office 2000 enthalten. Das Update verhindert, dass Benutzer beim Öffnen von E-Mail-Anhängen auf verschiedene potenziell gefährliche Dateitypen zugreifen. Zudem erhöht es die standardmäßigen Sicherheitseinstellungen von Outlook - http://www.microsoft.com/downloads/details.aspx?FamilyID=5C011C70-47D0-4306-9FA4-8E92D36332FE&displaylang=DE. |
Ressourcen im Internet
Folgende Ressourcen zu Sicherheitsupdates und deren Anwendung stehen im Internet zur Verfügung:
Ressourcen für die Verwaltung von Sicherheitsupdates
Ermitteln der passenden Benachrichtigungs-, Bewertungs- und Aktualisierungslösung
| • | Microsoft Security Guidance Center: Patch-Management - http://www.microsoft.com/germany/sicherheit/guidance/topics/patchmanagement.mspx |
| • | Microsoft-Leitfaden zur Sicherheitspatch-Verwaltung - http://www.microsoft.com/germany/technet/datenbank/articles/900193.mspx |
Update-Verwaltung: SUS und SMS - mit Maintenance-Lösungen verwaltete Netzwerke
| • | Solution Accelerator for Patch Management using SMS and SUS - http://www.microsoft.com/solutions/msm/evaluation/overview/patchmgmt.asp |
Aktuelle Themen und verwandte Informationen
| • | Bewährte Methoden für die Schadensbegrenzung bei RPC- und DCOM-Sicherheitsanfälligkeiten - http://www.microsoft.com/germany/technet/datenbank/articles/600317.mspx |
| • | Microsoft warnt vor gefälschten Sicherheits-E-Mails - http://www.microsoft.com/germany/technet/sicherheit/bulletins/bogusmails.mspx |
| • | Server Security Patch Management at Microsoft - http://www.microsoft.com/technet/itsolutions/MSIT/Security/SMS03SPM.mspx |
| • | Frequently Asked Questions about the Security Bulletin Search Tool - http://www.microsoft.com/technet/security/bulletin/srchfaq.asp |
Produktspezifische Ressourcen
Outlook
| • | Outlook E-Mail Sicherheitsupdate downloaden - http://www.microsoft.com/downloads/details.aspx?familyID=5C011C70-47D0-4306-9FA4-8E92D36332FE&displaylang=DE |
Windows 2000 Server
| • | Windows 2000 Server Distributed Systems Guide: Software Installation and Maintenance - http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/Default.asp?url=/resources/documentation/windows/2000/server/reskit/en-us/distrib/dsee_int_njzf.asp |
| • | Handbuch für den sicheren Betrieb von Windows 2000 Server (darin Kapitel 8 - Patchverwaltung) - http://www.microsoft.com/germany/technet/datenbank/articles/900133.mspx |
Windows-Clients
| • | Windows Update - http://v4.windowsupdate.microsoft.com/de/default.asp |
| • | Turn on Automatic Updates - http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hsc_autoupdate_turn_on.mspx |
Windows Server 2003
| • | Microsoft Windows Server 2003-Sicherheitshandbuch - http://www.microsoft.com/germany/technet/datenbank/articles/900117.mspx |
| • | Windows Update - http://technet2.microsoft.com/windowsserver/en/library/e77ca20b-52d3-414d-a119-18bbe53c66781033.mspx |
| • | Windows Automatic Updates - http://technet2.microsoft.com/windowsserver/en/library/cc865354-df2a-4833-bb3b-a5e55225bd041033.mspx |
| • | HOW TO: Turn on Automatic Updates - http://technet2.microsoft.com/windowsserver/en/library/d5876c37-4ae9-420d-9bb1-1173ba6c9a331033.mspx |
Anhang 1 - Format der neuen Security Bulletins
Die neue Security Bulletins enthalten detaillierte technische Informationen über den Patch. Dabei werden die Inhalte der bisherigen Bulletins mit den Inhalten kombiniert, die früher in den Knowledge Base-Artikeln veröffentlicht wurden.
Die neuen Bulletins sind folgendermaßen aufgebaut:
| • | Erstveröffentlichung - Datum der ersten Veröffentlichung des Bulletins | ||||||||||||||||||
| • | Letzte Aktualisierung - Datum der letzten Überarbeitung des Bulletins | ||||||||||||||||||
| • | Version - aktuelle Versionsnummer des Bulletins | ||||||||||||||||||
| • | Zusammenfassung
| ||||||||||||||||||
| • | Technische Details
| ||||||||||||||||||
| • | Problemumgehungen
| ||||||||||||||||||
| • | Häufig gestellte Fragen (FAQs) | ||||||||||||||||||
| • | Informationen zum Sicherheitsupdate - Details und Anleitungen zu Bezug, Installation und Bereitstellung des Updates
| ||||||||||||||||||
| • | Danksagung - Namen der Personen und Organisationen, die Microsoft auf die Sicherheitsanfälligkeit hingewiesen haben | ||||||||||||||||||
| • | Sicherheitsressourcen - Weitere relevante Ressourcen zur Behebung von Sicherheitsproblemen | ||||||||||||||||||
| • | Support - Kontaktinformationen für den Produktsupport von Microsoft | ||||||||||||||||||
| • | Revisionen - Protokoll der Überarbeitungen des Security Bulletins |
Anhang 2 - Format der neuen Security Bulletin Summary
Die neue Security Bulletin Summary wurde aufgrund des Feedbacks unserer Kunden entwickelt. Sie enthält folgende Informationen:
| • | Veröffentlicht - Datum der Erstveröffentlichung der Summary |
| • | Version - aktuelle Versionsnummer der Summary. Die primäre Versionsnummer (1.0, 2.0, 3.0 etc.) wird bei grundlegenden Überarbeitungen immer parallel zur primären Versionsnummer der Security Bulletins hochgestuft. Die sekundäre Versionsnummer (1.0, 1.1, 1.2 etc.) wird bei kleineren Korrekturen am Text o.ä. in den Bulletins oder der Summary verändert. |
| • | IT Pro Security Zone Community: Link zur Online-Community für IT-Pros unter http://www.microsoft.com/technet/security/en-us/community/security/default.mspx. |
| • | Microsoft Security Notification Service: Link zur Registrierungsseite für den Sicherheitsbenachrichtigungsdienst von Microsoft unter http://www.microsoft.com/germany/technet/datenbank/articles/430926.mspx. |
| • | Zusammenfassung - Auflistung der Updates, geordnet nach Schweregrad |
| • | Betroffene Software - Liste der betroffenen Microsoft-Produkte innerhalb der entsprechenden Produktfamilie |
| • | Auswirkung - Informationen zu den möglichen Folgen, die die Sicherheitsanfälligkeit auf den Systemen von Benutzern haben kann (z.B. Remote-Ausführung von Code, Erhöhung von Benutzerrechten, Denial of Service oder Offenlegung von Daten) |
| • | Letzte Überarbeitung - Datum der letzten Überarbeitung des Bulletins |
| • | Version - aktuelle Versionsnummer des Security Bulletins |
| • | Bereitstellung - Liste der Deployment-Tools, die für die Installation der Updates genutzt werden können | ||||||||
| • | Weitere Informationen
|