Patchverwaltungsprozess
Einführung
Auf dieser SeiteModulübersichtDieses Modul bietet eine Einführung in die Updateverwaltung. Es wird erläutert, warum die Updateverwaltung für Unternehmenssysteme unerlässlich ist. Sie erhalten einen Überblick über die Sicherheitsterminologie und die häufigsten Sicherheitslücken und Arten von Bedrohungen. Weiterhin werden in diesem Modul die Verfahren beschrieben, mit denen Softwareupdates bei Microsoft entwickelt und veröffentlicht werden, und wie sich dies auf die bei einer proaktiven Sicherheitsupdateverwaltung erforderlichen Schritte auswirkt. Abschließend wird der von Microsoft empfohlene vierphasige Updateverwaltungsprozess vorgestellt, der in den nachfolgenden Modulen näher erläutert wird. Ziel dieses Moduls ist, die grundlegenden Aspekte der Updateverwaltung in Umgebungen mit einem Microsoft Windows-Betriebssystem vorzustellen und die wichtigsten Tools, Technologien und Verfahren zu beschreiben, die Microsoft für diese Aufgabe empfiehlt. ZielsetzungThemenbereiche:
Geltungsbereich:Die Informationen in diesem Modul gelten für alle Produkte und Technologien von Microsoft. Verwendung dieses ModulsDieses Modul bietet eine Einleitung in die Sicherheitsupdateverwaltung. Es werden die wichtigsten Begriffe und Konzepte, Tools und Technologien vorgestellt, und Sie erhalten einen Überblick über den empfohlenen vierphasigen Updateverwaltungsprozess. Anhand einiger in der Vergangenheit erfolgten Angriffe auf Systeme wird beispielhaft aufgezeigt, wie diese Angriffe mithilfe einer angemessenen proaktiven Sicherheitsupdateverwaltung hätten vermieden werden können. Empfehlungen für eine erfolgreiche Arbeit mit diesem Modul:
Updateverwaltung: ÜbersichtUpdateverwaltung ist der Prozess, mit dem vorläufige Softwareversionen in der Produktionsumgebung bereitgestellt und gewartet werden. Mit diesem Prozess können Effizienz und Effektivität der Betriebsabläufe aufrechterhalten, Sicherheitslücken geschlossen und die Stabilität der Produktionsumgebung gewährleistet werden. Wenn ein Unternehmen kein vertrauenswürdiges Niveau für Betriebssysteme und Anwendungssoftware festlegen und aufrechterhalten kann, kann eine Anzahl von Sicherheitslücken auftreten, die im Ernstfall zu Umsatzeinbußen und Verlust geistigen Eigentums führen können. Um diese Bedrohung zu minimieren, müssen Sie über ordnungsgemäß konfigurierte Systeme verfügen, aktuelle Software verwenden und die empfohlenen Softwareupdates installieren. Beim Bestimmen der möglichen finanziellen Auswirkungen einer unzureichenden Updateverwaltung sollten Sie die folgenden Punkte berücksichtigen:
Die Bewertung und Aufrechterhaltung der Softwareintegrität in einer vernetzten Umgebung mithilfe eines bewährten Updateverwaltungsprogramms ist ein erster Schritt in Richtung optimaler Informationssicherheit, unabhängig von allen physischen Zugriffbeschränkungen auf einen Computer. SicherheitsterminologieIn diesem Abschnitt werden die wichtigsten Begriffe aufgeführt, die den an der Sicherheitsupdateverwaltung beteiligten Mitarbeitern bekannt sein sollten. Tabelle 1 enthält eine Beschreibung der wichtigsten Sicherheitsbegriffe, die in diesen Modulen verwendet werden. Tabelle 1: Wichtige Sicherheitsbegriffe
SicherheitslückenEs gibt verschiedene Möglichkeiten, wie eine Software für einen Angriff anfällig werden kann. Tabelle 2 enthält einige typische Sicherheitslücken von Software. Tabelle 2: Softwaresicherheitslücken
MSRC-Schweregrade für SicherheitslückenDas Microsoft Security Response Center (MSRC) verwendet Schweregradsklassifikationen, mit denen die Dringlichkeit von Sicherheitslücken und der entsprechenden Softwareupdates ermittelt werden kann. Tabelle 3 zeigt die vom MSRC verwendeten Klassifikationen, mit der der Schweregrad von Sicherheitslücken bestimmt wird. Tabelle 3: Schweregrade für Sicherheitslücken
Weitere Informationen zu den MSRC-Schweregraden für Sicherheitslücken finden Sie im Microsoft Security Response Center-Sicherheitsbulletin zum Schweregradsbewertungssystem unter der folgenden Adresse: http://www.microsoft.com/technet/security/bulletin/rating.mspx (möglicherweise in englischer Sprache). BedrohungskategorienMicrosoft hat das in Tabelle 4 zusammengefasste STRIDE-Modell entwickelt, mit dem Bedrohungen von Software kategorisiert werden. Diese Kategorien werden oft in Microsoft-Sicherheitsbulletins zur Beschreibung von Sicherheitslücken verwendet. Tabelle 4: Das STRIDE-Modell für Bedrohungskategorien
Hinweis: Weitere Informationen zum STRIDE-Modell und zur Schulung von Entwicklern bei Microsoft für das Schreiben von sicherem Code finden Sie in der zweiten Ausgabe des Buchs Writing Secure Code von Michael Howard und David LeBlanc, Redmond, WA, Microsoft Press, 2002 unter der Adresse: http://www.microsoft.com/mspress/books/5957.asp (möglicherweise in englischer Sprache). Darüber hinaus finden Sie zusätzliche nützliche Informationen auf einer Partner-Website unter: http://www.cl.cam.ac.uk/~rja14/tcpa-faq.html AngreiferBöswillige Bedrohungen sind Angriffe von innerhalb oder außerhalb eines Netzwerks, mit dem Zweck einem Unternehmen zu schaden oder den Betrieb zu unterbrechen. Nicht böswillige Bedrohungen entstehen gewöhnlich durch schlecht geschulte Mitarbeiter, die sich Sicherheitsbedrohungen und -lücken nicht bewusst sind. In Tabelle 5 sind verschiedene böswillige Bedrohungen durch Angreifer aufgeführt. Tabelle 5: Angreifer
Hinweis: Während automatische Bedrohungen wie Viren bestimmte Sicherheitslücken ausnutzen, kennt ein Angreifer, der es auf Ihr Unternehmen abgesehen hat, solche Einschränkungen nicht. Er versucht mit allen möglich Mitteln, in eine Umgebung einzudringen. Gesteuerte Angriffe können lokal oder remote ausgeführt werden und können eine umfangreiche Suche nach einer von vielen Sicherheitslücken beinhalten, einschließlich Sicherheitslücken in der Software, schwachen Kennwörtern, schwachen Sicherheitskonfigurationen und Sicherheitslücken in Sicherheitsrichtlinien oder Schulung. Wie Microsoft Software nach der Veröffentlichung behebtMicrosoft sieht sich verpflichtet, seine Kunden vor Sicherheitslücken zu schützen. Im Rahmen dieser Bemühungen veröffentlicht Microsoft regelmäßig Softwareupdates. Weitere Informationen hierzu finden Sie im Whitepaper zur vertrauenswürdigen Datenverarbeitung unter http://www.microsoft.com/mscorp/twc/twc_whitepaper.mspx (möglicherweise in englischer Sprache). Für jede Produktgruppe von Microsoft gibt es eine eigenständige technische Arbeitsgruppe, die für Probleme mit dem veröffentlichten Produkt Softwareupdates entwickelt. Wenn Microsoft auf eine Sicherheitslücke aufmerksam geworden ist, wird diese durch das MSRC und die entsprechenden Produktgruppen bewertet und überprüft. Die technischen Arbeitsgruppen der Produktgruppen erstellen und testen dann ein Sicherheitsupdate, um den Mangel zu beheben, während das MSRC sich mit der Person austauscht, die die Sicherheitslücke entdeckt hat. Informationen zur Sicherheitslücke werden in Form eines Sicherheitsbulletins veröffentlicht, das die Einzelheiten des Sicherheitsupdates enthält. Die Softwareupdates werden dann über das Microsoft Download Center und andere Dienste verteilt, darunter: Automatische Updates:
Vom Benutzer initiierte (benutzerdefinierte) Udates
Das MSRC sendet ein entsprechendes Sicherheitsbulletin, wenn das Softwareupdate verfügbar ist. Hinweis: Sicherheitsupdates werden für mehrere Betriebssystem- und Anwendungsversionen entwickelt. Wie viel Unterstützung Sie für unterschiedliche Softwareversionen erwarten können, finden Sie in den Microsoft-Produktsupportlebenszyklen unter: http://support.microsoft.com/default.aspx?scid=fh;[LN];lifecycle. In der Regel stehen Sicherheitsupdates für unterstützte Produkte nicht nur für das aktuelle Service Pack, sondern auch für die vorhergehende Version zur Verfügung. Das ist jedoch nicht immer der Fall. Überprüfen Sie daher den Produksupportlebenszyklus für Ihr Produkt. Microsoft empfiehlt seinen Kunden, die jeweils geeignetste Updateverwaltungslösung einzusetzen. Im Allgemeinen ist WSUS für einfache Updateverwaltungsszenarien gedacht, während Systems Management Server (SMS) 2003 umfangreichere Updateverwaltungsanforderungen erfüllt. In Tabelle 6 wird dargestellt, welches Produkt Kunden typischerweise für welche Unternehmensgröße wählen: Tabelle 6: Unternehmensgröße
1. Kunden können ein anderes Aktualisierungstool oder einen manuellen Aktualisierungsprozess für Betriebssystemversionen und Anwendungen verwenden, die von WSUS oder Microsoft Update nicht unterstützt werden. 2. Microsoft Update ist ein neuer, im Web gehosteter Aktualisierungsdienst, der Updates für zusätzliche Microsoft-Software anbietet. Microsoft Update wird zusammen mit der Veröffentlichung von WSUS verfügbar sein. Windows Update ist weiterhin verfügbar. Softwareupdate-TerminologieTabelle 7 zeigt die aktuellen Standardbegriffe von Microsoft für Softwareupdates, die seit dem 30. Juni 2003 gültig sind. Beachten Sie, dass der Begriff „Patch“ von Microsoft nicht mehr im Sinne eines Softwareupdates verwendet wird, außer als Bestandteil des Begriffs „Sicherheitspatch“ oder in der Beschreibung von Verfahren zur Updateverwaltung (dies entspricht der in der Softwareindustrie allgemein gebräuchlichen Terminologie). Tabelle 7: Microsoft-Terminologie für Softwareupdates
Hinweis: Da diese Definitionen neu sind, werden sie in verschiedenen bestehenden Ressourcen und Tools noch nicht gemäß der oben stehenden Tabelle berücksichtigt. Die Bedeutung einer proaktiven UpdateverwaltungEs gibt im Zusammenhang mit Microsoft-Produkten eine Reihe veröffentlichter Angriffe und Sicherheitslücken. Viele Unternehmen mit proaktiver Updateverwaltung waren von diesen Angriffen nicht betroffen, weil sie auf die von Microsoft vorab zur Verfügung gestellten Informationen reagiert haben. In Tabelle 8 sind einige in der Vergangenheit erfolgten Angriffe mit ihrem Datum aufgeführt. In allen Fällen veröffentlichte das MSRC vorher eine Warnung, in der auf die Sicherheitslücke und deren Beseitigung hingewiesen wurde (etwa durch Softwareupdates und andere Gegenmaßnahmen). In der letzten Spalte der Tabelle ist die Anzahl der Tage angegeben, die Unternehmen Zeit hatten, die MSRC-Empfehlungen zu implementieren und den Angriff zu vermeiden. Tabelle 8: Beispiele für Angriffe in der Vergangenheit und zugehörige MSRC-Sicherheitsbulletins
*Bulletin wurde vor der Zuordnung eines MSRC-Schweregrads veröffentlicht Ziel dieses Leitfaden ist es, Ihnen bei der Vermeidung zukünftiger Angriffe behilflich zu sein. Achten Sie besonders auf die Spalte „Tage verfügbar vor dem Angriff“. Hinweis: Eine proaktive Updateverwaltung ist eine effektive Maßnahme zur Eingrenzung von Angriffen, die bekannte Sicherheitslücken ausnutzen. Die obige Tabelle enthält keine zielgerichteten, vorsätzlichen Angriffe von Personen innerhalb oder außerhalb des betroffenen Unternehmens, die mit krimineller Absicht gezielt nach Sicherheitslücken suchen und diese ausnutzen. Um die Möglichkeiten von MSRC-Bulletins für Unternehmen zu veranschaulichen, die für eine sichere Umgebung sorgen möchten, werden in den folgenden Abschnitten kurz zwei Angriffe aus der Vergangenheit beschrieben:
Vermeiden von Angriffen, Beispiel 1: Code RedCode Red ist ein Wurm, der sich sehr schnell verbreitet hat und ein großes Schadenspotenzial aufweist. Am 16. Juli 2001 breitete sich die ursprüngliche Version in nur neun Stunden auf 250.000 Computern aus. Zu den zahlreichen Auswirkungen des Wurms zählten die Verlangsamung der Internetgeschwindigkeit, der Ausfall und die Manipulation von Webseiten sowie Unterbrechungen geschäftlicher und privater Anwendungen, zum Beispiel E-Mail und E-Commerce. Code Red nutzte einen Pufferüberlauf in IIS als Sicherheitslücke, um Code auf Webservern auszuführen. IIS sind unter Microsoft Windows Server 2000 standardmäßig installiert und werden von vielen Anwendungen genutzt. Einige Unternehmen vermieden einen Angriff durch Code Red, indem sie den Anweisungen des Sicherheitsbulletins MS01-033 des MSRC folgten, die am 18. Juni 2001 veröffentlicht wurden, 28 Tage, bevor Code Red in Umlauf kam. Weitere Informationen zu diesem Sicherheitsbulletin, einschließlich technischer Informationen und Gegenmaßnahmen, finden Sie unter folgender Adresse: http://www.microsoft.com/technet/security/bulletin/ms01-033.mspx. Vermeiden von Angriffen, Beispiel 2: SQL SlammerSQL Slammer (oder Sapphire) ist ein Wurm, der auf Systeme mit Microsoft SQL Server 2000 und Microsoft Data Engine (MSDE) 2000 gerichtet ist. Er führt sowohl im Internet als auch im privaten, internen Netzwerk zu hohem Netzwerkverkehr, wodurch er sich effektiv wie ein Denial-of-Service-Angriff (scheinbar unbeabsichtigt) verhält. Am Freitag, dem 24. Januar 2003, verursachte SQL Slammer etwa um 21:30 Uhr PST (Pacific Standard Time) einen dramatischen Anstieg des weltweiten Netzwerkverkehrs. Eine Analyse des Wurms SQL Slammer zeigt Folgendes:
SQL Slammer nutzte eine Sicherheitslücke in einem Pufferüberlauf aus. Diese wurde zuerst im Microsoft-Sicherheitsbulletin MS02-039 (Juli 2002) veröffentlicht, 184 Tage bevor der Angriff startete. Noch einmal erwähnt wurde die Sicherheitslücke im Sicherheitsbulletin MS02-061. Mit beiden Bekanntmachungen wurde ein Sicherheitspatch angeboten sowie geeignete Gegenmaßnahmen veröffentlicht. Weitere Informationen zu diesem Sicherheitsbulletin, einschließlich technischer Informationen und Gegenmaßnahmen, finden Sie unter folgender Adresse: http://www.microsoft.com/technet/security/bulletin/ms02-039.mspx. Aus SQL Slammer gewonnene Erkenntnisse Eine der Herausforderungen bei der Vermeidung von SQL Slammer für die betroffenen Unternehmen war die außerordentlich hohe Verbreitung der MSDE und sogar die von SQL Server, da sie von vielen anderen Produkten installiert und genutzt werden. Der SQL-Slammer-Angriff hebt drei wichtige Punkte im Zusammenhang mit Sicherheitslücken hervor:
Anforderungen für eine erfolgreiche UpdateverwaltungDie Updateverwaltung ermöglicht Unternehmen, die Bereitstellung von Softwareupdates zu steuern. Jedes Unternehmen, das seine Betriebsumgebung aktualisieren möchte, sollte Folgendes sicherstellen:
Effektive ProzesseMOF, das MOF-Prozessmodell, die MOF-Dienstverwaltungsfunktionen (Service Management Functions, SMFs) und das MOF-Teammodell unterstützen effektive IT-Prozesse. Die drei folgenden SMFs sind für die Updateverwaltung besonders wichtig: Änderungsmanagement, Konfigurationsverwaltung und Versionsverwaltung. Tools und TechnologienIn diesem Abschnitt werden die automatisierten Tools besprochen, mit denen Unternehmen aller Größen Softwareupdateinstallationen verwalten und steuern können. Für die Updateverwaltung in Windows-basierten Systemen stehen Unternehmen drei grundlegende Technologien von Microsoft zur Verfügung.
Windows Server Update Services (WSUS)WSUS ist ein kostenloses Tool, mit dem Sie einen Dienst installieren können, der alle wichtigen Updates, Sicherheitsupdates und Service Packs herunterlädt, sobald diese auf der Microsoft Windows Update Website unter der folgenden Adresse bereitgestellt werden: http://update.microsoft.com. Wenn Sie diese Updates genehmigt haben, stellt WSUS sie automatisch auf allen vorkonfigurierten Servern zur Verfügung, auf denen Microsoft Windows Server™ 2003 und Windows 2000 ausgeführt werden, sowie auf allen Desktops, auf denen Windows XP Professional und Windows Vista ausgeführt werden. Die Priorität von Sicherheitsupdates wird vom Microsoft Security Response Center (MSRC) festgelegt. Eine Übersicht zu MSRC und den im Entscheidungsprozess verwendeten Regeln finden Sie unter http://www.microsoft.com/security/msrc/default.mspx (möglicherweise in englischer Sprache). WSUS bietet Folgendes:
Die Funktionen von WSUS können in zwei Gruppen eingeteilt werden: serverseitige und clientseitige Funktionen. Das folgende Diagramm zeigt die zwei verschiedenen Gruppen von WSUS-Funktionen:
WSUS ermöglicht IT-Administratoren die Bereitstellung aktueller Updates auf Systemen mit Microsoft Windows Server™ 2003 und Windows 2000 sowie auf allen Desktops mit Windows XP Professional und Windows Vista. Mit WSUS können Sie die Verteilung von Updates, die auf Microsoft Updates veröffentlicht werden, auf Computern Ihres Netzwerks komplett steuern. Die WSUS-Serverkomponente wird innerhalb der Unternehmensfirewall auf einem Computer mit Microsoft Windows 2000 Server mit Service Pack 4 (SP4) oder dem Betriebssystem Windows Server 2003 installiert. Der WSUS-Server bietet Administratoren die erforderlichen Funktionen zum Verwalten und Verteilen von Updates mit einem webbasierten Tool für WSUS 2.0, auf das von jedem Windows-Computer innerhalb des Unternehmensnetzwerks über Internet Explorer zugegriffen werden kann, oder über MMC für WSUS 3.0, auf das vom MMC-Snap-In auf jedem Windows-Computer des Unternehmensnetzwerks zugegriffen werden kann. Beachten Sie, dass für WSUS 3.0 MMC 3.0 erforderlich ist. Darüber hinaus kann ein Windows Server Update Services-Server als Updatequelle für andere Windows Server Update Services-Server dienen. Die WSUS-Clientcomputerkomponente kann auf Computern mit den Betriebssystemen Windows Vista, Windows XP, Windows 2000 mit SP3 und Windows Server 2003 ausgeführt werden. Mithilfe von automatischen Updates können Server- und Clientcomputer Updates von Microsoft Update oder von einem WSUS-Server empfangen. WSUS bietet weder Scan- noch Überprüfungsfunktionen. Daher erfordert eine WSUS-basierte Updateverwaltungslösung zusätzlich das Tool Microsoft Baseline Security Analyzer 2.0. Hinweis: Diese Seite enthält eine Zusammenfassung der WSUS-Produktübersicht. Die vollständige Produktübersicht für WSUS 2.0 finden Sie hier und für WSUS 3.0 hier. Verwandte Links
In den folgenden Modulen wird die Verwendung von WSUS und MBSA bei der Updateverwaltung zusammengefasst:
Ausführlichere Informationen zur Verwendung von WSUS und MBSA zur Unterstützung der Updateverwaltung finden Sie unter Technische Bibliothek für Windows Server Update Services (WSUS). Microsoft Baseline Security Analyzer (MBSA) 2.0.1Microsoft Baseline Security Analyzer (MBSA) 2.0.1 ist ein einfach zu bedienendes Tool, mit dessen Hilfe kleine und mittlere Unternehmen ihre Sicherheit entsprechend den Sicherheitsempfehlungen von Microsoft bewerten können. Dieser Artikel beschäftigt sich mit der Verfügbarkeit von MBSA 2.0.1. MBSA 2.0.1 erkennt Produkte, die derzeit von Microsoft Update, dem zentralen Katalog für Updates für Microsoft-Produkte, unterstützt werden. Microsoft Update ersetzt Windows Update. Windows Update aktualisiert nur Produkte für Microsoft Windows-Betriebssysteme. Microsoft Update hostet die Erkennungslogik für MBSA 2.0.1 und andere Tools. MBSA 2.0.1 scannt nach fehlenden Sicherheitsupdates, ermittelt, ob auf einem Computer allgemein bewährte Sicherheitsmethoden (zum Beispiel sichere Kennwörter) umgesetzt sind und identifiziert Konfigurationsoptionen, die ein potenzielles Sicherheitsrisiko darstellen. Mit entsprechender Konfiguration kann MBSA Updates finden, die auf einem WSUS-Server bereits genehmigt, aber noch nicht installiert wurden. MBSA 2.0.1 scannt nach administrativen Sicherheitsrisiken in Microsoft Windows Vista, Windows 2000, Windows XP, Windows Server 2003, Microsoft Internet Information Services (IIS) 5.0, 5.1 und 6.0, Microsoft Internet Explorer 5.01, 5.5 und 6.0 (einschließlich Internet Explorer 6.0 für Windows XP SP2 und Internet Explorer 6.0 für Windows Server 2003), Microsoft SQL Server 7.0 und SQL Server 2000 und Microsoft Office 2000, Office XP und Office 2003. Beachten Sie, dass MBSA 2.0.1 nur Scans für Windows Vista unterstützt. Die kommende Version 2.1 von MBSA unterstützt lokale Scans für Windows Vista-Systeme.
MBSA 2.0.1 enthält im Vergleich zur vorhergehenden Version 1.2.1 viele Verbesserungen und neue Funktionen. Es wird empfohlen, MBSA 2.0 zu verwenden. Zum Herunterladen von MBSA besuchen Sie die MBSA-Homepage unter folgender Microsoft-Website: MBSA 2.0.1 umfasst die folgenden wichtigen Funktionen:
Obwohl MBSA auf Domänen- bzw. Subnetzebene ermitteln kann, welche Punkte zur Sicherung eines bestimmten Computers erforderlich sind, enthält es keine Methode, die Updates an diese Computer zu verteilen oder die Computer zu konfigurieren. Aus diesem Grund sollte für eine Updateverwaltungslösung MBSA zusammen mit WSUS verwendet werden. MBSA enthält jedoch Informationen zum Beheben von gefundenen Sicherheitslücken, einschließlich Verweise auf Artikel in der Knowledge Base und in Whitepapers. MBSA 2.0.1 bietet eine grafische Oberfläche zur Anzeige von Berichten für jeden Computer sowie eine Befehlszeile für Skripts. MBSA kopiert eine XML-Datei aus dem Microsoft Download Center. Auf diese Weise wird sichergestellt, dass für neue sicherheitsrelevante Softwareupdates eine aktuelle Liste mit detaillierten Beurteilungen verwendet wird. Weitere Informationen zu MBSA finden Sie unter folgender Adresse http://www.microsoft.com/mbsa (möglicherweise in englischer Sprache). Systems Management Server 2003Microsoft Systems Management Server (SMS) 2003 ist das bevorzugte Tool für das Bereitstellen und Verwalten von Softwareupdates für eine große Anzahl von Clients. Es enthält die folgenden Funktionen, die für eine erfolgreiche Bereitstellung unerlässlich sind:
Die SMS 2003-Programme zur Inventurüberprüfung sind für die effektive Verwaltung von Softwareupdates besonders wichtig. Für jeden Clientcomputer wird mithilfe dieser Programme eine Inventurliste der anwendbaren und installierten Updates erstellt. Dabei wird eine automatisierte Ermittlungslogik eingesetzt. Die damit gewonnenen Daten werden in die Inventur von Systems Management Server aufgenommen. Mit den webbasierten Berichterstattungsfunktionen wird ein umfassender Statusbericht angezeigt. Die Inventurdaten werden in der Regel auf die Punkte eingeschränkt, zu denen Sicherheitsbulletins von Microsoft veröffentlicht werden. SMS 2003 enthält die folgenden Tools (die auch im SMS 2.0 Software Update Services Feature Pack verfügbar sind):
Hinweis: Beta 2 der nächsten SMS-Version namens System Center Configuration Manager 2007 ist jetzt unter http://www.microsoft.com/technet/sms/2007/evaluate/download.mspx (möglicherweise in englischer Sprache) als Download verfügbar. Verbesserungen wurden vor allem in den Bereichen Einfachheit, Konfiguration, Bereitstellung und Sicherheit vorgenommen. Dadurch wurde die Systembereitstellung, die Automatisierung von Aufgaben, die Kompatibilitätsverwaltung und die richtlinienbasierte Sicherheitsverwaltung in Configuration Manager 2007 sehr vereinfacht, was Unternehmen wiederum erhöhte Flexibilität ermöglicht. Sicherheitsupdate-InventurprogrammDas Sicherheitsupdate-Inventurprogramm baut auf den SMS-Inventurfunktionen auf und nutzt die MBSA-Funktionalität, um jeden Client auf Sicherheitsupdates zu überprüfen. Die so gewonnenen Daten werden in die SMS-Inventurliste eingefügt. Die webbasierten Berichterstattungsfunktionen bieten umfassende Statusberichte. Dieses Programm ist nicht standardmäßig auf SMS-Standorten installiert. Es ist jedoch Bestandteil der Softwareupdate-Überprüfungsprogramme von SMS 2003 und kann von der folgenden Adresse heruntergeladen werden: http://www.microsoft.com/smserver/downloads/2003/default.asp. Microsoft Office-Inventurprogramm für UpdatesDas Microsoft Office-Inventurprogramm für Updates nutzt das vorhandene Microsoft Office-Inventurprogramm, um SMS-Clients automatisch und kontinuierlich auf installierte oder anwendbare Office-Updates zu überprüfen. Dieses Tool ist Bestandteil der SMS 2003 SP1-Überprüfungstools. Die Daten werden konvertiert und in die SMS-Inventurliste eingefügt. Sie können mithilfe der webbasierten Berichterstattung auch angezeigt werden. Dieses Programm ist nicht standardmäßig auf SMS-Standorten installiert. Es ist jedoch Bestandteil der Softwareupdate-Überprüfungsprogramme von SMS 2003 und kann von der folgenden Adresse heruntergeladen werden: http://www.microsoft.com/smserver/downloads/2003/default.asp. Softwareupdateverteilungs-AssistentDer Softwareupdateverteilungs-Assistent vergleicht die verfügbaren Updates mit der Inventurliste des Clientcomputers, um fehlende und zuvor installierte Updates zu finden. Nur erforderliche Updates werden installiert, redundante oder nicht erforderliche Updates werden ignoriert oder auf einen späteren Zeitpunkt verschoben. Dadurch wird die Systembelastung verringert. Der Softwareupdateverteilungs-Assistent verfügt über die folgenden Funktionen:
Weitere Informationen zu SMS 2003 finden Sie unter folgender Adresse: http://www.microsoft.com/smserver. In den folgenden Modulen wird die Verwendung von SMS 2003 bei der Updateverwaltung zusammengefasst:
Ausführlichere Informationen zur Verwendung von SMS 2003 zur Unterstützung der Updateverwaltung finden Sie unter Technische Bibliothek für Systems Management Server 2003. Vergleich der Tools und TechnologienIn Tabelle 10 werden die Funktionen von SMS 2003 und WSUS verglichen. Tabelle 10: Updateverwaltungsfunktionen
Effektive ProjektmanagementverfahrenFür optimale Ergebnisse sollten Sie die in diesem Modul umrissene Updateverwaltung als Projekt mit einem effektiven Updateverwaltungsprozess behandeln. Viele Unternehmen haben ihre eigenen Vorgehensweisen, die alle mit der in diesem Modul vorgegebenen Anleitung kompatibel sein sollten. Microsoft empfiehlt für Anleitungen zur Projektverwaltung die Verwendung von Microsoft Solutions Framework (MSF). Weitere Informationen zu MSF finden Sie unter http://www.microsoft.com/technet/solutionaccelerators/msf/default.mspx (möglicherweise in englischer Sprache). Der Vierphasenansatz zur UpdateverwaltungDer von Microsoft empfohlene Updateverwaltungsprozess ist ein vierphasiger Prozess zum Verwalten von Softwareupdates, mit dem Ihr Unternehmen in die Lage versetzt werden soll, die Bereitstellung und Wartung vorläufiger Softwareversionen in der Produktionsumgebung zu steuern. Der Prozess besteht aus den folgenden vier Phasen: BewertenDas Verfahren beginnt mit einer Beurteilung der Gegebenheiten in Ihrer Produktionsumgebung, der möglichen Sicherheitsbedrohungen und Sicherheitslücken, sowie der Frage, ob Ihr Unternehmen auf neue Softwareupdates vorbereitet ist. Weitere Informationen zur Bewertungsphase finden Sie im Modul Updateverwaltungsphase 1: Bewerten. BestimmenDas Ziel der Bestimmungsphase besteht darin, neue Softwareupdates zuverlässig zu erkennen, zu bestimmen, ob ein Update für die Produktionsumgebung relevant ist und ob es sich um eine reguläre Aktualisierung oder einen Notfall handelt. Weitere Informationen zur Bestimmungsphase finden Sie im Modul Updateverwaltungsphase 2: Bestimmen. Evaluieren und PlanenIn der Evaluierungs- und Planungsphase wird entschieden, ob ein bestimmtes Update bereitgestellt wird und welche Schritte hierzu erforderlich sind. Darüber hinaus wird die Aktualisierung in einer an die Produktionsumgebung angelehnten Umgebung getestet, um sicherzustellen, dass unternehmenswichtige Systeme und Anwendungen durch die Bereitstellung nicht beeinträchtigt werden. Weitere Informationen zur Evaluierungs- und Planungsphase finden Sie im Modul Updateverwaltungsphase 3: Evaluieren und Planen. BereitstellenZiel der Bereitstellungsphase ist die erfolgreiche Einführung des genehmigten Softwareupdates in der Produktionsumgebung, sodass alle bestehenden Vereinbarungen zum Servicelevel (Service Level Agreements, SLAs) eingehalten werden. Weitere Informationen zur Bereitstellungsphase finden Sie im Modul Updateverwaltungsphase 4: Bereitstellen. In Abbildung 1 wird das Verfahren mit den vier Phasen aufgezeigt.  Abbildung 1: Der von Microsoft empfohlene vierphasige Updateverwaltungsprozess Dieser vierphasige Prozess basiert auf dem MOF-Änderungsmanagement, der Versionsverwaltung und den Dienstverwaltungsfunktionen (SMFs) zur Konfigurationsverwaltung. Informationen dazu finden Sie unter folgender Adresse: http://www.microsoft.com/technet/itsolutions/cits/mo/default.mspx (möglicherweise in englischer Sprache). Verwandte RessourcenInformieren Sie sich über weitere Sicherheitslösungen des Microsoft Solutions for Security and Compliance (MSSC)-Teams. Senden Sie uns Ihr FeedbackDas Microsoft Solutions for Security and Compliance (MSSC)-Team legt Wert auf Ihre Meinung zu dieser und anderen Sicherheitslösungen. Sie möchten uns Ihre Meinung mitteilen? Nutzen Sie hierfür den Security Solutions Blog für IT-Experten. Sie können Ihr Feedback auch an die folgende E-Mail-Adresse senden: SecWish@microsoft.com. Wir reagieren häufig auf Feedback, das an dieses Postfach gesendet wird. Wir freuen uns schon, von Ihnen zu hören.
|
In diesem Beitrag
|
