Patchverwaltungsprozess

Phase 1: Bewerten

Aktualisiert: 1. Juni 2007

Auf dieser Seite
ModulübersichtModulübersicht
ZielsetzungZielsetzung
Geltungsbereich:Geltungsbereich:
Verwendung dieses ModulsVerwendung dieses Moduls
ÜbersichtÜbersicht
Inventur der vorhandenen IT-RessourcenInventur der vorhandenen IT-Ressourcen
Bewerten von Sicherheitsrisiken und SicherheitslückenBewerten von Sicherheitsrisiken und Sicherheitslücken
Ermitteln der besten Informationsquelle für SoftwareupdatesErmitteln der besten Informationsquelle für Softwareupdates
Bewerten der vorhandenen Softwareverteilungsinfrastruktur Bewerten der vorhandenen Softwareverteilungsinfrastruktur
Bewerten der betrieblichen EffizienzBewerten der betrieblichen Effizienz
ZusammenfassungZusammenfassung
Übergang zur BestimmungsphaseÜbergang zur Bestimmungsphase

Modulübersicht

In diesem Modul wird die erste Phase des vierphasigen Updateverwaltungsprozesses beschrieben: die Bewertungsphase. Die Bewertungsphase befasst sich mit dem Überwachen der Software in Ihrer Produktionsumgebung, dem Evaluieren potenzieller Sicherheitsbedrohungen und Sicherheitslücken sowie dem Bewerten der vorhandenen Updateverwaltungsinfrastruktur.

Ziel dieses Moduls ist eine Beschreibung der Bewertungsphase des Updateverwaltungsprozesses. Ferner werden die Aufgabentypen vorgestellt, mit deren Hilfe die Bewertung mit Microsoft Windows Server Update Services (WSUS) und Microsoft Systems Management Server (SMS) durchgeführt werden kann.

Hinweis: Beta 2 der nächsten SMS-Version namens System Center Configuration Manager 2007 ist jetzt unter http://www.microsoft.com/technet/sms/2007/evaluate/download.mspx (möglicherweise in englischer Sprache) als Download verfügbar. Verbesserungen wurden vor allem in den Bereichen Einfachheit, Konfiguration, Bereitstellung und Sicherheit vorgenommen. Dadurch wurde die Systembereitstellung, die Automatisierung von Aufgaben, die Kompatibilitätsverwaltung und die richtlinienbasierte Sicherheitsverwaltung in Configuration Manager 2007 sehr vereinfacht, was Unternehmen wiederum erhöhte Flexibilität ermöglicht.

Nach Lektüre dieses Moduls sind Sie in der Lage, die Planung für folgende Aufgaben durchzuführen:

Ressourcen in Ihrer Produktionsumgebung

Mögliche Sicherheitsrisiken und Sicherheitslücken

Reaktionen Ihres Unternehmens auf neue Softwareupdates

Ohne einen fortlaufenden Bewertungsprozess wissen Sie nicht, über welche Computerressourcen Sie verfügen, wie Sie diese schützen können und wie Sie sicherstellen können, dass Ihre Softwareverteilungsarchitektur die Updateverwaltung unterstützt.

Zielsetzung

Themenbereiche:

Inventur der vorhandenen IT-Ressourcen

Beurteilen von Sicherheitsrisiken und Sicherheitslücken

Ermitteln der besten Informationsquelle für Softwareupdates

Bewerten der vorhandenen Softwareverteilungsinfrastruktur

Bewerten der betrieblichen Effizienz

Geltungsbereich:

Die Informationen in diesem Modul gelten für folgende Produkte und Technologien:

Alle Microsoft-Produkte und -Technologien

Verwendung dieses Moduls

In diesem Modul wird die Bewertungsphase des vierphasigen Updateverwaltungsprozesses beschrieben. Es enthält eine Beschreibung der grundlegenden Aufgaben, die zur Bewertung mithilfe von Microsoft Windows Server Update Services (WSUS) und Microsoft Systems Management Server (SMS) erforderlich sind.

Empfehlungen für eine erfolgreiche Arbeit mit diesem Modul:

Lesen Sie die Einleitung zum Modul „Updateverwaltungsprozess“. Diese enthält einen Überblick über jede der vier Phasen des Updateverwaltungsprozesses sowie eine Einführung in die Tools, die die Updateverwaltung in Umgebungen mit Microsoft Windows-Betriebssystemen unterstützen.

Ausführlicheres Referenzmaterial finden Sie in den technischen Bibliotheken für WSUS und SMS. Diese Bibliotheken befinden sich unter:

Technische Bibliothek für Windows Server Update Services (WSUS)

Technische Bibliothek für Systems Management Server 2003

Übersicht

Die Bewertungsphase ist die erste wichtige Phase im Patchverwaltungsprozess, siehe Abbildung 1.

Abbildung 1: Der Patchverwaltungsprozess

Abbildung 1: Der Patchverwaltungsprozess

Im Idealfall handelt es sich bei der Bewertungsphase um einen Vorgang, den Sie fortlaufend ausführen sollten, um festzustellen, über welche Computerressourcen Sie verfügen, wie Sie diese schützen können und wie Sie sicherstellen können, dass Ihre Softwareverteilungsarchitektur die Updateverwaltung unterstützt.

Im verbleibenden Abschnitt werden die Anforderungen an eine fortlaufende Bewertung erläutert. Zu diesen Anforderungen gehört Folgendes:

Inventur der vorhandenen IT-Ressourcen

Beurteilen von Sicherheitsrisiken und Sicherheitslücken

Ermitteln der besten Informationsquelle für Softwareupdates

Bewerten der vorhandenen Softwareverteilungsinfrastruktur

Bewerten der betrieblichen Effizienz

Inventur der vorhandenen IT-Ressourcen

Bei der Automatisierung der Updateverwaltung gibt es zwei verschiedene Ziele für die Inventur. Systeme, die mit einem Verwaltungstool wie Microsoft Windows Server Update Services (WSUS) oder Systems Management Server (SMS) verwaltet werden, zählen zur verwalteten Infrastruktur. Andere Systeme, die nicht über einen aktiven SMS-Agent oder einen Client für automatische Updates (zur Verwendung mit WSUS) verfügen, oder die absichtlich von der Automatisierung der Verwaltungsprozesse ausgeschlossen wurden, gehören zur nicht verwalteten Infrastruktur. Die nicht verwaltete Infrastruktur kann folgende Systeme einschließen:

Sicherheitssysteme, externe und DMZ-Hosts sowie bekannte Systeme in bestimmten Umgebungen wie Test und Entwicklung

Eigenständige Computer.

Nicht verwaltete Ressourcen müssen dennoch in die Updateverwaltung einbezogen werden. Stellen Sie durch Überprüfen dieser Systeme sicher, dass die aktuellen Softwareupdates installiert sind. Manuelle Überprüfungen oder die Verwendung von Microsoft Update stellen bei solchen Systemen oft die effektivste Methode für die Bereitstellung von Softwareupdates dar.

Das Feststellen der Updateverwaltungsanforderungen von eigenständigen Computern oder Computern, die nicht Teil einer von Ihnen überwachten Domäne sind, kann Sie vor Probleme stellen. Ohne lokale Administratorrechte für diese nicht verwalteten Clients kann es schwierig werden, weitere Systeminformationen als den Computernamen und die IP-Adresse (Internet Protocol) abzurufen. Dennoch können diese Basisinformationen als Grundlage für die Bestimmung nicht verwalteter Clients in Ihrer Umgebung dienen.

Hinweis: Bei auf Microsoft Windows basierenden Systemen zeigt der Microsoft Baseline Security Analyzer (MBSA) die Namen und IP-Adressen von Computern an, die nicht überprüft werden können, weil das Benutzerkonto, von dem aus die Überprüfung gestartet wurde, nicht über Administratorrechte für den Zielcomputer verfügt.

Welche Informationen müssen erfasst werden?

Eine effektive Updateverwaltung erfordert genaue und aktuelle Kenntnisse darüber, welche Hardware und Software in der Produktionsumgebung bereitgestellt wurden. Ohne diese Informationen können Sie nicht feststellen, auf welchen Computern in Ihrer Umgebung ein Softwareupdate erforderlich ist. Außerdem muss festgestellt werden, wie Client-Computer mit dem Netzwerk verbunden sind. Bei Computern, die über langsame oder unzuverlässige Verbindungen oder Remotezugriff per Einwahlverfahren angeschlossen sind, unterscheidet sich die Methode zur Verteilung und Installation von Softwareupdates von der Methode bei Computern, die an ein schnelles, zuverlässiges Netzwerk angeschlossen sind.

In den folgenden Abschnitten werden die Informationen aufgeführt, die für eine effektive Updateverwaltung von den Computern in der Produktionsumgebung abgerufen werden müssen.

Bestimmen von Hardwaretypen und -versionen

Wenn Administratoren wissen, ob es sich bei einem Computer um einen Laptop (mobiler Client), Desktop oder Server handelt, können sie die Methode für die einzelnen Softwareupdates einfacher bestimmen. Wenn es beispielsweise um Updates für einen Server geht, müssen unter Umständen Wartungsfenster (bestimmte Zeiten, zu denen Änderungen und Computerneustarts zulässig sind) beachtet oder sichergestellt werden, dass der Server vor der Bereitstellung des Softwareupdates gesichert wird.

SMS ermöglicht das Erstellen von Sammlungen, die Server enthalten, die in einem bestimmten Wartungsfenster aktualisiert werden können. Dadurch wird sichergestellt, dass Softwareupdates nicht während des normalen Geschäftsbetriebs installiert werden. Ausführlichere Informationen zur Verwendung von SMS in der Bewertungsphase finden Sie unter Technische Bibliothek für Systems Management Server 2003.

Bestimmen von Betriebssystemtypen und -versionen

Administratoren müssen alle Betriebssystemtypen und -versionen kennen, die in der Produktionsumgebung vorhanden sind. MBSA informiert Sie über fehlende Sicherheitsupdates und Service Packs und erkennt Sicherheitslücken bei Installationen der Betriebssysteme Microsoft Windows Server™ 2003, Windows Vista, Windows XP, Windows 2000 und Windows NT 4.0. Außerdem wird berichtet, ob die Computerkonfiguration den üblichen bewährten Verfahrensweisen für die Sicherheit (z. B. starke Kennwörter) entspricht.

Bestimmen von Anwendungen und Middleware

Neben der Version des Betriebssystems und des Service Packs müssen Administratoren auch alle installierten Softwareanwendungen und Versionen kennen.

Wenn Sie WSUS bereitstellen, müssen Sie MBSA 2.0.1 für die Identifizierung fehlender Sicherheitsupdates verwenden. MBSA erkennt auch falsch konfigurierte Sicherheitseinstellungen einiger Anwendungen (zum Beispiel Microsoft Office, Internet Information Services (IIS), Internet Explorer und Microsoft SQL Server™). Ausführlichere Informationen zur Verwendung von WSUS in der Bewertungsphase finden Sie unter Technische Bibliothek für Windows Server Update Services (WSUS).

Wenn Sie SMS 2003 verwenden, kann der Hardwareinventurclient-Agent zum Sammeln von Informationen zu installierten Anwendungen, Service Packs und Softwareupdates eingesetzt werden, die in der Windows-Systemsteuerung unter „Software“ registriert sind. Der Softwareinventurclient-Agent von SMS 2003 kann zum Abrufen von Details zu allen installierten ausführbaren Dateien (EXE-Dateien) verwendet werden. Dies schließt selbst die Anwendungen ein, die nicht unter „Software“ registriert sind. Ausführlichere Informationen zur Verwendung von SMS in der Bewertungsphase finden Sie unter Technische Bibliothek für Systems Management Server 2003.

Bestimmen von Rollen

Es ist äußerst wichtig, die Rolle eines Computers zu ermitteln, da Administratoren anhand dieser Informationen feststellen, welche Auswirkungen ein Neustart nach einem Softwareupdate haben kann. Beispiel:

Wenn der Computer ein Server ist, auf dem unternehmenswichtige Anwendungen ausgeführt werden, müssen Sie die Installation eines Softwareupdates möglicherweise in Zeiträume verlegen, in denen die Auswirkungen für die Geschäftsabläufe am geringsten sind. Außerdem ist es u. U. erforderlich, Maßnahmen zur Geschäftskontinuität zu ergreifen, damit Benutzer beispielsweise während eines Serverneustarts weiterhin mit den Anwendungen arbeiten können.

Wenn der Computer ein Domänencontroller mit einer oder mehreren Betriebsmaster- bzw. FSMO-Rollen (Flexible Single Master Operation) ist, müssen Sie diese Rollen während der Aktualisierung des Computers auf andere Domänencontroller in der Domäne verschieben. Nach dem erfolgreichen Neustart stellen Sie die Rollen auf dem ursprünglichen Computer wieder her.

Wenn Sie SMS 2003 verwenden, kann der Hardwareinventurclient-Agent über die auf einem bestimmten Computer ausgeführten Dienste berichten. Ausführlichere Informationen zur Verwendung von SMS in der Bewertungsphase finden Sie unter Technische Bibliothek für Systems Management Server 2003.

Hinweis: Wie zuvor im Einführungsmodul erwähnt, ist Beta 2 der nächsten SMS-Version namens System Center Configuration Manager 2007 jetzt unter http://www.microsoft.com/technet/sms/2007/evaluate/download.mspx (möglicherweise in englischer Sprache) als Download verfügbar.

Netzwerkkonnektivität

Für eine erfolgreiche Aktualisierung ist es wichtig, den Aufbau der betreffenden Netzwerkinfrastruktur, ihre Funktionen, Sicherheitsstufen sowie ihre Übertragungsrate und die Verbindungsverfügbarkeit zu kennen. Softwareupdates können unterschiedlich groß sein. Wenn Sie die Einschränkungen Ihrer Netzwerkinfrastruktur kennen, lassen sich Verzögerungen bei der Verteilung von Softwareupdates möglicherweise reduzieren. Darüber hinaus kann die Infrastruktur vorgeben, wie das Softwareupdate auf bestimmten Clientcomputern bereitgestellt wird.

Mithilfe der SMS-Netzwerkermittlung erhalten Sie Informationen zur Netzwerktopologie und den mit dem Netzwerk verbundenen Geräten. Ausführlichere Informationen zur Verwendung von SMS in der Bewertungsphase finden Sie unter Technische Bibliothek für Systems Management Server 2003.

Bestimmen installierter und fehlender Softwareupdates

Zu wissen, welche Softwareupdates auf Computern installiert sind, ist von entscheidender Bedeutung. Wenn Sie WSUS verwenden, müssen Sie mithilfe von MBSA bestimmen, welche Softwareupdates auf Servern und Arbeitsstationen im Unternehmen benötigt werden, da WSUS über keine speziellen Überwachungstools verfügt. MBSA kann jedoch nicht für alle Betriebssysteme und Softwareanwendungen feststellen, ob Softwareupdates installiert wurden. Eine vollständige Liste der Updates, die erkannt werden können, finden Sie im Microsoft Knowledge Base-Artikel 895660 „Microsoft Baseline Security Analyzer (MBSA) 2.0 verfügbar“ unter http://support.microsoft.com/kb/895660. Wenn in Ihrem Unternehmen eine umfangreiche Hardware- und Softwareüberwachung erforderlich ist und die Möglichkeit bestehen muss, installierte Anwendungen wie SQL Server 2000 zu aktualisieren und nicht sicherheitsbezogene Softwareupdates bereitzustellen, sollten Sie in Betracht ziehen, SMS zur Unterstützung der Updateverwaltung bereitzustellen. Ausführlichere Informationen zur Verwendung von WSUS in der Bewertungsphase finden Sie unter Technische Bibliothek für Windows Server Update Services (WSUS).

Wenn Sie SMS 2003 verwenden, können Sie mit dem Sicherheitsupdate-Inventurprogramm und dem Inventurprogramm für Microsoft Updates (Teil der Verwaltung von Softwareupdates) die SMS-Hardwareinventur so erweitern, dass Sie über Softwareupdates informiert werden, die auf einem Satz Clients installiert werden müssen. SMS 2003-Clients vergleichen vorhandene Installationen mit einer Liste verfügbarer Softwareupdates, die im aktuellen Softwareupdatekatalog (Mssecure.cab) enthalten ist, der von der Microsoft Update-Website heruntergeladen werden kann. Obwohl dieses Tool nicht auf fehlende Service Packs hinweist, können die SMS-Hardware- und -Softwareinventurclient-Agents Ihnen das bereits installierte Service Pack anzeigen. SMS 2003 enthält darüber hinaus das Microsoft Office-Inventurprogramm für Updates, das Teil der Softwareupdateverwaltung ist. Dadurch wird die SMS-Hardwareinventur so erweitert, dass Sie über erforderliche Softwareupdates für Microsoft Office informiert werden. Ausführlichere Informationen zur Verwendung von SMS in der Bewertungsphase finden Sie unter Technische Bibliothek für Systems Management Server 2003.

Durchführen der Inventur/Überwachung

Eine Überwachung bietet einem Unternehmen einen Überblick und eine präzise Darstellung seiner Produktionsumgebung, bevor die Basisrichtlinien mit den zuvor genannten Tools ermittelt werden. Die Ergebnisse der bisher erfolgten Überwachung sollten dem zentralen Repository Ihres Unternehmens hinzugefügt werden, um Informationen über die Produktionsumgebung nachzuverfolgen. Dadurch entsteht ein doppelter Referenzpunkt, durch den nicht nur gewährleistet wird, dass die Überwachung richtig ausgeführt, sondern auch, dass Ihr Repository aktualisiert wurde. Achten Sie auf Unterschiede zwischen den Überwachungsergebnissen und dem Repositorydatensatz, und geben Sie diese Informationen an Ihr Problemlösungsteam zur Überprüfung weiter. Mitglieder des Problemlösungsteams sollten versuchen, den Fehler im Datensatz zu bestimmen und bei Bedarf eine Problemumgehung zu entwickeln, um ähnliche Zwischenfälle in der Zukunft zu verhindern.

Genaue und aktuelle Informationen zu den in der Umgebung vorhanden Komponenten sind für die Updateverwaltung unerlässlich. Daher müssen Administratoren überprüfen, ob eine Überwachung durchgeführt wurde, bevor sie mit der Bereitstellung von Softwareupdates mithilfe von WSUS oder SMS in der Produktionsumgebung beginnen.

Wenn Sie WSUS verwenden, müssen Sie mit MBSA die installierten Anwendungen und die fehlenden Sicherheitsupdates bestimmen, um diese Anwendungen sicherer zu gestalten. Ausführlichere Informationen zur Verwendung von WSUS in der Bewertungsphase finden Sie unter Technische Bibliothek für Windows Server Update Services (WSUS).

Wenn Sie SMS 2003 verwenden, muss als erster Schritt bei der Erfolgsüberprüfung der Überwachung sichergestellt werden, dass das Microsoft Office-Inventurprogramm für Updates und das Sicherheitsupdate-Inventurprogramm erfolgreich ausgeführt wurden. Überprüfen Sie dazu, ob Fehler in den Statusmeldungen aufgeführt wurden. Danach sollten Sie den Status der Hardware- und Softwareinventur für jeden SMS-Client überprüfen, indem Sie einen Webbericht erstellen, der alle SMS-Clientcomputer auflistet, bei denen die Hardware- und Softwareinventurclient-Agents nicht installiert werden konnten, oder bei denen die Agents innerhalb einer bestimmten Zeitspanne nicht ausgeführt werden konnten. Ausführlichere Informationen zur Verwendung von SMS in der Bewertungsphase finden Sie unter Technische Bibliothek für Systems Management Server 2003.

Analysieren von Inventurdaten auf Vollständigkeit

Wenn eine Überwachung durchgeführt wurde, müssen Administratoren die Ergebnisse auf Vollständigkeit überprüfen und sicherstellen, dass alle verwalteten Computer aktuelle Informationen übermittelt haben. Folgende Aktivitäten sollten durchgeführt werden:

Die Überwachungsergebnisse sollten mit einer früheren Überwachung verglichen werden. Achten Sie darauf, ob sich die Anzahl der erkannten Computer verändert hat. Eine deutliche Veränderung könnte darauf hinweisen, dass nicht alle Computer vollständig erfasst wurden.

Die Überwachungsergebnisse sollten auch mit Computerobjekten (Computerkonten) in Domänen mit dem Microsoft Active Directory-Verzeichnisdienst verglichen werden. Sofern veraltete Konten regelmäßig gelöscht werden, ist diese Methode mindestens so effektiv wie das Vergleichen mithilfe von Namensauflösungsdiensten.

Systeme, die aktiv in Gebrauch sind, werden registriert und verwenden die Namensauflösungsdienste – WINS (Windows Internet Name Service) und DNS (Domain Name System) – in Ihrer Umgebung. Skripts mit Querverweisen auf die aktive Infrastruktur, wie diese Dienste, können die Vollständigkeit der Updateverwaltungsinventur detailliert anzeigen. Stellen Sie sicher, dass die Funktionen für Aufräumen bzw. die Bereinigung veralteter Datensätze auf Ihren Namensauflösungsservern aktiviert ist, um genauere Ergebnisse zu erhalten.

Wenn die Analyse eine Abweichung in den zurückgegebenen Informationen findet, sollten Sie weitere Nachforschungen anstellen, um die Ursache dafür zu finden und sicherzustellen, dass von der Überwachung übergangene Systeme beim nächsten Mal darin aufgenommen sind.

Festlegen der Basisrichtlinie für Ihre Umgebung

Eine Basisrichtlinie besteht aus einer Reihe dokumentierter Konfigurationen für ein Produkt oder ein System, die zu einem bestimmten Zeitpunkt festgelegt wurden. Basisrichtlinien setzen Standards, die Systeme der gleichen Klasse und Kategorie erfüllen müssen. Effektive IT-Betriebsabläufe verwenden Basisrichtlinien als vertrauenswürdige Ausgangspunkte für die Entwicklung und Bereitstellung von Systemen. In der Regel wird die von einer Basisrichtlinie definierte Konfiguration streng getestet und vom Lieferanten zertifiziert.

Die Basisrichtline einer Anwendung oder Software liefert die für die Wiederherstellung eines bestimmten Systemzustands erforderlichen Informationen. Unter Umständen müssen Basisrichtlinien für verschiedene Softwareanwendungen, Hardwareanbieter oder Computertypen erstellt werden.

Beim Einsatz von Basisrichtlinien muss eine präzise Inventur der Computer und Dienste in der Umgebung durchgeführt und gepflegt werden. Beachten Sie beim Einrichten von Basisrichtlinien für Ihre Umgebung folgende Punkte:

Infrastrukturen, die die Basisrichtlinie nicht erfüllen, müssen beim Problemmanagement berücksichtigt werden. Alle Computer, die nicht der Basisrichtlinie entsprechen, sollten auf den Stand der Basisrichtlinie gebracht werden. Bei diesen Computern gab es möglicherweise Probleme mit der Verteilung, der Planung oder mit Berechtigungen, bzw. es bestehen besondere Anforderungen bei der Ausnahmeverwaltung.

Infrastrukturen, die die Basisrichtlinie übertreffen, sind nicht unbedingt vorteilhaft. Auf Computern, die die Basisrichtlinie ihrer Klasse übertreffen, sollte überprüft werden, ob unerlaubte Änderungen vorgenommen wurden. Eventuell muss das System auf eine vertrauenswürdige Ebene zurückgesetzt oder durch Sperren von Änderungen kontrolliert werden. Computer, die eine genehmigte Basisrichtlinie übertreffen, enthalten Anwendungsversionen oder Softwareupdates, die nicht auf ihre Interoperabilität getestet und nicht vom IT-Betriebs- und -Sicherheitspersonal genehmigt wurden.

Manche Computer unterliegen speziellen Bedingungen, wodurch sie von der Basisrichtlinie ihrer Klasse ausgenommen sind. So benötigt beispielsweise eine ältere Arbeitsstation mit einer älteren Lohnbuchhaltungsanwendung, deren Daten per Modem an eine Bearbeitungsstelle gesendet werden, ein Betriebssystem auf einem erheblich niedrigeren Niveau als der festgelegten Basisrichtlinie. Eine Aktualisierung dieses Systems auf die aktuelle Basisrichtlinie wäre nicht sinnvoll, wenn die ältere Anwendung dann nicht mehr ausgeführt werden kann.

Bewerten von Sicherheitsrisiken und Sicherheitslücken

Wenn Sie wissen, welche Computersysteme und Daten in Ihrer Produktionsumgebung bereitgestellt sind, sollten Sie eine fortlaufende Sicherheitsbeurteilung durchführen, um Schritte zum Schutz der Verfügbarkeit, Integrität und Vertraulichkeit von Computersystemen und Daten festzulegen. Die Sicherheitsbeurteilung sollte zumindest folgende Punkte umfassen:

Bestimmen von Sicherheitsstandards und -richtlinien

Feststellen, wie Sicherheitsrichtlinien und Standards erzwungen werden können

Analysieren von Sicherheitslücken im System

Ausführlichere Informationen zur Durchführung einer Sicherheitsbewertung finden Sie im Leitfaden zum Sicherheitsrisikomanagement unter http://www.microsoft.com/technet/security/topics/complianceandpolicies/secrisk/srsgch01.mspx (möglicherweise in englischer Sprache).

Bestimmen von Sicherheitsstandards und -richtlinien

Eine effektive Sicherheitsrichtlinie sollte die Mindestanforderungen an die Sicherheit von Computern aufzeigen und so zur Minimierung potenzieller Sicherheitslücken beitragen. Aus Effektivitätsgründen sollte die Sicherheitsrichtlinie eines Unternehmens geprüft werden, sobald Änderungen an IT-System und Software in der Produktionsumgebung vorgenommen werden. Die Überprüfung sollte zumindest folgende Punkte umfassen:

Installationstandards, in denen unterstützte Installationspfade und -methoden beschrieben werden

Netzwerk- und Domänenstandards, in denen die Art und Weise der Zuordnung von Namen und TCP/IP-Daten sowie die entsprechenden Domänen für die Computer festgelegt werden

Sicherheitsoptionen und Richtlinieneinstellungen für Betriebssysteme, einschließlich solcher zur Reduzierung von geöffneten Ports je nach angeforderten Diensten

Alle Standards, die das Verwenden verschlüsselter Dateisysteme beschreiben

Mindestanforderungen für Service Packs und Sicherheitsupdates, diese werden in jeder neuen Version aktualisiert

Kompatibilität mit Antivirensoftware

Konfigurationseinstellungen für die Anwendungssicherheit, z. B. Schutz vor Makrodateien und Sicherheitszonen

Standards für Administratorkonten, z. B. Umbenennen oder Deaktivieren von Konten und Einrichten von Scheinkonten

Starke Kennwortstandards

Eine Verletzung der Sicherheitsrichtlinien weist auf eine Sicherheitslücke hin, die geschlossen werden sollte. Bei Sicherheitslücken kann es sich um einen Computer handeln, auf dem bestimmte Softwareupdates fehlen oder der nicht richtig konfiguriert ist, bzw. um einen Benutzer, der keine starken Kennwörter verwendet.

Die Sicherheitsrichtlinie kann Richtlinien für jede Art der Richtlinienverletzung enthalten. Anhand dieser Richtlinien kann dann der Schweregrad eines Sicherheitsvorfalls eingestuft werden.

Hinweis: MBSA sucht nach Sicherheitsupdates und gängigen falschen Sicherheitskonfigurationen. Es wird nicht überprüft, ob alle Elemente den Sicherheitsrichtlinien eines Unternehmens entsprechen.

Wenn Sie eine Sicherheitsrichtlinie für die Sicherheitsstandards Ihrer Computer eingerichtet und aktiviert haben, sollten Sie bei Sicherheitsverletzungen oder -lücken die im folgenden Abschnitt genannten Eskalationsstrategien anwenden.

Feststellen, wie Sicherheitsrichtlinien und Standards erzwungen werden können

Das Erzwingen von Sicherheitsrichtlinien kann durch verteilte Verwaltung und anfällige, nicht zentral verwaltete Systeme erschwert werden. Die für die Ressourcenverwaltung und die Behebung von Sicherheitslücken verantwortlichen Mitarbeiter sind eventuell nicht bekannt oder schwer aufzufinden. Vielleicht arbeiten sie in einer anderen Abteilung bzw. verfügen nicht über die zur Problemlösung erforderlichen Kenntnisse.

Daher gibt es mehrere Vorgehensweisen, die beim Erzwingen von Sicherheitsrichtlinien notwendig und hilfreich sind:

Sicherheitsrichtlinien, Erzwingungszeitrahmen und Ansätze sollten auf der Führungsebene des gesamten Unternehmens unterstützt werden.

Bestimmten Supportmitarbeitern sollten Techniken und Tools zum Feststellen von Besitz- und Verwaltungsdaten nicht verwalteter Computer zur Verfügung stehen.

Supportmitarbeiter sollten entsprechend geschult sein, um Sicherheitslücken zu beseitigen, durch die Sicherheitsrichtlinien verletzt werden.

Automatisierte Tools und Techniken (zum Beispiel Gruppenrichtlinien) sollten zur Gewährleistung eingesetzt werden, dass Computersysteme dauerhaft den Sicherheitsrichtlinien und -standards des Unternehmens entsprechen.

Die Art einer Sicherheitslücke, z. B. das Anfälligkeitsrisiko für Angriffe und die Wiederherstellungskosten, sollten bei der Festlegung Ihrer Reaktion bei Systemen, die den Richtlinien nicht entsprechen, berücksichtigt werden. Sollte eine Sicherheitslücke nicht in der vorgegebenen Zeit geschlossen werden, können Sie zu härteren Taktiken greifen, z. B.:

Problem innerhalb des Unternehmens des Verursachers eskalieren

Das primäre Konto deaktivieren, von dem der Zugriff auf den Computer erfolgt

Den Computer durch Trennen der Verbindung physisch aus dem Netzwerk entfernen, oder die Netzwerkhardware so konfigurieren, dass das Gerät automatisch aus dem Netzwerk entfernt wird, zum Beispiel durch Deaktivieren von Ports

Die beiden letztgenannten Taktiken führen normalerweise zu einem Anruf bei der Supportabteilung, wo die nicht beseitigte Sicherheitslücke dann erörtert und eine Lösung gefunden werden kann. Vergewissern Sie sich zunächst, ob diese Sicherheitsrichtlinie auf Führungsebene unterstützt wird, bevor Sie die Sicherheitsverletzungen weiterleiten und diese Techniken anwenden.

Analysieren von Sicherheitslücken im System

Sicherheitsprobleme müssen unbedingt regelmäßig überprüft und in Berichten festgehalten werden, damit potenzielle Sicherheitslücken ermittelt und gelöst werden können.

Unternehmen sollten zumindest folgende Maßnahmen ergreifen:

Computer in der Produktionsumgebung überprüfen und die Konfigurationen der Betriebssysteme und sonstiger installierter Komponenten wie Microsoft Internet Information Services (IIS) und Microsoft SQL Server auf Sicherheitsverletzungen hin überprüfen. Durch Einsatz von MBSA kann eine große Anzahl falscher Sicherheitskonfigurationen erkannt werden. Suchen Sie außerdem auf dem Microsoft Sicherheits-Portal nach weiteren Informationen zu Computerschutz und -sicherheit. Diese Website finden Sie unter folgender Adresse: http://www.microsoft.com/security (möglicherweise in englischer Sprache).

Prüfen und identifizieren Sie Computer, die von einem Virus befallen sein könnten, regelmäßig. Diese Berichte können Sie mit dem Antivirenprogramm Ihres Unternehmens erstellen.

Prüfen Sie anhand der Informationen von Netzwerküberwachungsprogrammen, Ereignisprotokollen und sonstigen Überwachungstools sowie der Ergebnisse von Angriffserkennungssystemen, ob Computer in der Produktionsumgebung angegriffen werden.

Erstellen und pflegen Sie Betriebssystemabbilder (Basisrichtlinien), die schnell auf beliebige Hardwareplattformen angewendet werden können, um ein betroffenes Betriebssystem schnell in einen sicheren Zustand zurückzusetzen.

Stellen Sie sicher, dass alle Benutzer und Administratoren wissen, was sie bei einem Angriff auf Computersysteme der Produktionsumgebung zu tun haben.

Führen Sie eine Prioritätenliste mit allen wichtigen Informationen und Ressourcen, die im Fall eines Angriffs zuerst geschützt werden müssen.

Prüfen Sie Ihre Router- und Firewallprotokolle und -konfigurationen, damit diese mit den Unternehmensstandards für diese Geräte übereinstimmen.

Überprüfen Sie die Sicherheitsrichtlinien der Domänencontroller.

Die Überprüfung von Systemen auf potenzielle Sicherheitslücken sollte möglichst automatisch erfolgen und bei den meisten Systemen täglich durchgeführt werden. Die Häufigkeit richtet sich nach der für den jeweiligen Bereich verfügbaren Automatisierungsstufe, nach der Verfügbarkeit und den Kenntnissen der IT-Sicherheitsmitarbeiter und nach dem Sicherheitsbewusstsein im Unternehmen.

Wenn Sie einen Angriff auf eine Sicherheitslücke feststellen, müssen Sie entsprechende Notfallgegenmaßnahmen ergreifen, um die Auswirkungen möglichst gering zu halten.

Ermitteln der besten Informationsquelle für Softwareupdates

Wenn Sie wissen, welche Ressourcen in Ihrer Produktionsumgebung vorhanden sind und Sicherheitsrisiken und -lücken analysiert haben, müssen Sie die beste Informationsquelle für neue Softwareupdates ermitteln. Diese Informationen kommen in der folgenden Phase der Bestimmung von Softwareupdates zum Einsatz. Mögliche Informationsquellen für Softwareupdates sind:

E-Mail-Benachrichtigungen

Websites

Technische Mitarbeiter von Microsoft

Das Abonnieren der richtigen Benachrichtigungsmethoden ist für die Wartung und Aktualisierung Ihrer Betriebsbasisrichtlinien und das Implementieren eines effizienten Updateverwaltungsprozesses unerlässlich.

Das Microsoft Security Response Center (MSRC) untersucht Probleme, über die Microsoft direkt informiert wird, sowie Probleme, die in bestimmten bekannten Sicherheitsnewsgroups diskutiert werden. Die Sicherheitsbulletins von Microsoft enthalten eine Zusammenfassung der Sicherheitslücken und der betroffenen Produkte. Die Bulletins enthalten auch ausführliche technische Informationen, d. h. eine Beschreibung der Sicherheitslücken, Updates und Problemumgehungen sowie Bereitstellungsinformationen und Downloadanweisungen für verfügbare Updates.

Sicherheitsbulletins und dazugehörige Sicherheitsupdates werden am zweiten Dienstag jedes Monats zwischen 10 und 11 Uhr PST (Pacific Standard Time) veröffentlicht, sofern Microsoft nicht festlegt, dass für die Kunden ein anderes Veröffentlichungsdatum besser ist. Diese Richtlinie wurde aufgrund von internationalem Kundenfeedback eingeführt, um Kunden eine bessere proaktive Planung der Updateverwaltung zu ermöglichen.

Eine Übersicht über alle Sicherheitsbulletins sowie weitere Informationen zur Sicherheit von Microsoft-Produkten finden Sie unter http://www.microsoft.com/technet/security/default.mspx (möglicherweise in englischer Sprache). Hier stehen auch alle Sicherheitsupdates, die in den beiden letzten Service Packs für alle derzeit unterstützten Produkte enthalten sind, zum Download zur Verfügung.

Sie können sich über neue Softwareupdates per E-Mail benachrichtigen lassen. Die von Ihnen benötigten Detailinformationen sind von der Größe Ihres Unternehmens und von der gewünschten technischen Informationsebene abhängig:

Kunden mit umfassenden Kenntnissen oder großem Interesse an den Technologien von Sicherheitsupdates bietet Microsoft TechNet den kostenlosen E-Mail-Benachrichtigungsdienst Microsoft Security Notification Service. Dieser kostenlose E-Mail-Benachrichtigungsdienst ist an IT-Spezialisten gerichtet. Die E-Mail-Nachrichten enthalten detaillierte technische Informationen. Weitere Informationen zum Microsoft Security Notification Service finden Sie unter http://www.microsoft.com/technet/security/bulletin/notify.mspx (möglicherweise in englischer Sprache). Dort können Sie diesen Dienst auch abonnieren.

Microsoft bietet nun auch den kostenlosen E-Mail-Benachrichtigungsdienst Microsoft Security Update an, mit dessen Hilfe sich kleine Unternehmen über aktuelle Sicherheitsupdates informieren können. Bei jeder Veröffentlichung eines Microsoft-Updates erhalten die Abonnenten eine E-Mail-Nachricht, in der auf nicht-technische Weise erläutert wird, warum Microsoft das Update veröffentlicht hat. Diese Nachricht enthält auch eine Liste der betroffenen Produkte sowie einen Link zur vollständigen Mitteilung auf dem Microsoft Sicherheits-Portal. Benachrichtigungen von Microsoft zur technischen Sicherheit können Sie unter folgender Adresse abonnieren: https://profile.microsoft.com/RegSysProfileCenter/subscriptionwizard.aspx?wizid=5a2a311b-5189-4c9b-9f1a-d5e913a26c2e&lcid=1033 (möglicherweise in englischer Sprache).

Sie können auch benachrichtigt werden, wenn neue Artikel in der Knowledge Base erscheinen. Melden Sie sich dazu unter der folgenden URL für den Microsoft TechNet Flash Newsletter an: http://www.microsoft.com/technet/abouttn/subscriptions/flash_register.mspx. Diese Artikel enthalten regelmäßig Informationen über empfohlene Softwareupdates, mit denen Sie Probleme in Ihrer Produktionsumgebung beheben können.

Bewerten der vorhandenen Softwareverteilungsinfrastruktur

Ein weiterer Schlüssel zur effektiven Updateverwaltung ist die Bewertung der Softwareverteilungsinfrastruktur. Bei der Bewertung sind folgende Fragen zu berücksichtigen:

Ist eine Softwareverteilungsinfrastruktur vorhanden?

Ist sie zur Verteilung von Softwareupdates geeignet?

Kann sie für alle Computer in Ihrer Umgebung verwendet werden? Ist sie so ausgelegt, dass damit unternehmenswichtige Computer aktualisiert werden können?

Werden Ihre WSUS- oder SMS-Infrastruktur, Active Directory und die Implementierung der Gruppenrichtlinien ordnungsgemäß gewartet?

Wenn Sie WSUS verwenden, sollten Sie einen einzelnen übergeordneten WSUS-Server so konfigurieren, dass Softwareupdates automatisch von den öffentlichen Microsoft Windows Update-Servern heruntergeladen werden. Diese Updates sollten täglich und auf Grundlage eines vorkonfigurierten Synchronisierungszeitplans erfolgen. Sobald die Updates genehmigt sind, stehen sie sofort für alle WSUS-Clients zur Verfügung. Der Download sollte zu Zeiten mit wenig Netzwerkverkehr stattfinden. Ausführlichere Informationen zur Verwendung von WSUS in der Bewertungsphase finden Sie unter Technische Bibliothek für Windows Server Update Services (WSUS).

Wenn Sie SMS verwenden, sollten Sie darauf achten, dass sich die Server am selben Standort wie eine große Anzahl von Clients befinden, bzw. dort, wo Netzwerkbandbreite verwaltet oder gesteuert werden muss. An einigen Standorten benötigen Sie möglicherweise zwei SMS-Standortserver, einen für die Clients der Arbeitsstation und einen zweiten zur Unterstützung unternehmenswichtiger Computer.

Weitere Informationen

Ausführlichere Informationen zur Verwendung von WSUS in der Bewertungsphase finden Sie unter Technische Bibliothek für Windows Server Update Services (WSUS).

Ausführlichere Informationen zur Verwendung von SMS und SMS 2003 in der Bewertungsphase finden Sie unter Technische Bibliothek für Systems Management Server 2003.

Bewerten der betrieblichen Effizienz

Effektive IT-Betriebsabläufe sind die wahrscheinlich wichtigste Bedingung für eine effektive Updateverwaltung. Das Microsoft Operations Framework (MOF), das auf der IT Infrastructure Library (ITIL) basiert, umfasst 20 Dienstverwaltungsfunktionen (Service Management Functions, SMF). Weitere Informationen zu den SMFs, die eine direkte Auswirkung auf die Updateverwaltung haben, darunter Änderungsverwaltung, Konfigurationsverwaltung und Versionsverwaltung, finden Sie in der TechNet-Anleitung zu Microsoft-TechNet-Verwaltungslösungen unter folgender Adresse: http://www.microsoft.com/technet/itsolutions/cits/mo/default.mspx (möglicherweise in englischer Sprache).

Um die betriebliche Effizienz in Bezug auf diese SMFs zu ermitteln, sollten eine Reihe von Fragen gestellt werden:

Verfügen genügend Mitarbeiter über die zur Updateverwaltung erforderlichen Kenntnisse?

Sind sich die Mitarbeiter über die Wichtigkeit der Updateverwaltung bewusst?

Haben die zuständigen Mitarbeiter Kenntnisse über Sicherheitseinstellungen, allgemeine Sicherheitslücken, Techniken für die Softwareverteilung, Remoteverwaltung und den Updateverwaltungsprozess?

Bestehen Standardbetriebsabläufe, oder sind die täglichen Abläufe nicht oder ungenau definiert?

Gibt es zumindest formlose Prozesse für die Änderungs- und Veröffentlichungsverwaltung? Das Schützen einer Umgebung vor einem Angriff sollte nicht dem Zufall überlassen oder erst im Ernstfall bedacht werden.

Gibt es ein Notfallverfahren für die Bereitstellung von Softwareupdates?

Werden Prozesse kontinuierlich bewertet und getestet?

Die Updateveraltung ist nur einer von vielen Bereichen der IT-Betriebsabläufe. Unternehmen verwenden einen großen Teil ihrer IT-Budgets auf Abläufe, da die Ausgaben durch gut funktionierende Betriebsabläufe gesenkt und die Zuverlässigkeit, Verfügbarkeit, Unterstützbarkeit und Verwaltbarkeit unternehmenswichtiger Dienste verbessert werden können.

Durch eine Betriebsablaufbewertung können die zuständigen Mitarbeiter deutliche Vorteile bei bestehenden oder vorgeschlagenen Betriebsabläufen erzielen. Dabei spielen weder die Größe des Unternehmens noch die Länge der Geschäftstätigkeit eine Rolle.

Eine schnelle Bewertung Ihrer Geschäftsabläufe können Sie mit dem MOF (Microsoft Operations Framework) Self-Assessment Tool zur Selbsteinschätzung ausführen. Dieses finden Sie unter http://www.microsoft.com/technet/itsolutions/cits/mo/mof/moftool.mspx (möglicherweise in englischer Sprache).

Weitere Informationen zur Bewertung von Geschäftsabläufen und Empfehlungen von Beratungsdiensten, die solche Bewertungen durchführen, finden Sie unter http://www.microsoft.com/services/microsoftservices/srv_mgmt_ops.mspx (möglicherweise in englischer Sprache).

Verwaltungsmodell

Ein Unternehmen sollte auch das aktuelle Verwaltungsmodell seiner IT-Umgebung prüfen und bestimmen, wie gut die Updateverwaltung dadurch unterstützt wird. Dabei müssen u. a. folgende Punkte berücksichtigt werden:

Wie groß ist die Infrastruktur im Vergleich zur Mitarbeiterzahl? Wie sieht das Verhältnis „Adminstrator zu System“ aus?

Wie ist das aktuelle Supportmodell aufgebaut? Zentral, dezentral oder gemeinsam genutzt?

Wie viele Betriebsstunden stehen den Supportmitarbeitern zur Verfügung? Sind genügend Änderungsfenster für Wartung und Verwaltung vorgesehen?

Sind die Rollen klar definiert, und sind alle Teammitarbeiter darüber informiert?

Sind Dienstverwaltungsprozesse formalisiert, und werden sie befolgt?

Stehen den einzelnen Mitarbeitern genügend Tools zur Verfügung, damit sie ihre Rolle effektiv erfüllen können?

Qualifikationen

Anhand der folgenden Fragen können Sie bestimmen, welche Kenntnisse für die Durchführung einer effektiven Updateverwaltung erforderlich sind.

Haben die einzelnen Mitarbeiter genügend Erfahrung im Umgang mit der Größe und Komplexität der Infrastruktur?

Wurde das Personal richtig und in den relevanten Technologien geschult?

Arbeiten die Mitarbeiter effektiv als Team zusammen?

Haben die einzelnen Mitarbeiter genügend Erfahrung oder wurden sie entsprechend geschult, um die Hauptaspekte der Betriebsabläufe und -methoden zu verstehen?

Kennen sich die einzelnen Mitarbeiter mit der Skripterstellung aus?

Verstehen die einzelnen Mitarbeiter Benutzer- und Systemberechtigungen sowie -kontexte?

Kennen Sich die einzelnen Mitarbeiter mit Softwareupdatestrukturen und -abhängigkeiten aus?

Zusammenfassung

Dies sind die Kernpunkte der Bewertungsphase des Updateverwaltungsprozesses:

Sie müssen die Gefahren für Ihre Produktionsumgebung sowie ihre Sicherheitslücken feststellen.

Sie sollten wissen, welche Ressourcen unternehmenswichtig sind.

Sie sollten wissen, welche Ressourcen in der Produktionsumgebung bereitgestellt sind und welche davon als (mit Verwaltungstools) verwaltet und welche als nicht verwaltet eingestuft werden.

Sie sollten gewährleisten, dass Ihre Softwareverteilungstools konfiguriert und gewartet werden, und dass sie die Updateverwaltung sowohl für Routine- als auch für Notfallszenarien unterstützen.

Sie sollten sicherstellen, dass allen Mitarbeitern Rollen und Verantwortungsbereiche zugewiesen werden, und dass sie wissen, wie sie im Notfall reagieren müssen, das heißt wie sie mit dem Softwareupdate umgehen müssen und wie Gefahren abgewendet werden.

Übergang zur Bestimmungsphase

Mit der Benachrichtigung, dass ein neues Softwareupdate verfügbar ist, beginnt die Bestimmungsphase des Updateverwaltungsprozesses. Weitere Informationen zur Bestimmungsphase finden Sie im Modul Updateverwaltungsphase 2: Bestimmen.


**
**

Vollständige Lösung herunterladen

Patchverwaltung mit SMS 2003