Thema: Windows Server Update Services (WSUS)
Patch-Management, das neue Maßstäbe setzt
Patch-Management ist eine Herausforderung für jedes Unternehmen. Was Windows, Office, Exchange Server, SQL Server & Co. betrifft, hat Microsoft die überzeugende Antwort für kleine und mittlere Unternehmen: Windows Server Update Services (WSUS).
Gegen das subversive Treiben von Würmer und anderer Malware, die Sicherheitslücken auszunutzen versuchen, haben sich die Software Update Services (SUS) von Microsoft als effektives Mittel erwiesen. Mit diesem kostenlosen Add-On für Windows 2000 Server und Windows Server 2003 können Unternehmen sicherheitsrelevante Patches, die Microsoft auf seiner Windows Update-Website im Internet bereitstellt, automatisiert herunterladen und auf ihren Computern installieren lassen. Wie wirksam SUS ist, zeigte sich unter anderem im vergangenen Jahr bei Sasser: Unternehmen, die SUS einsetzten, hatten über zweieinhalb Wochen Zeit, die Server und Arbeitsplatz-PCs im Firmen-LAN auf Malware vorzubereiten, die die betreffende Sicherheitslücke ausnutzt, und zuverlässig davor ganz automatisch zu schützen.
SUS arbeitet Hand in Hand mit der Automatische Updates-Funktion und Gruppenrichtlinien: Über die Automatische Updates-Funktion, die in Windows 2000 SP3 und höher, Windows XP sowie Windows Server 2003 serienmäßig enthalten ist, können Computer Patches nach einem automatischen Schema beziehen. Mit Hilfe zentral per Active Directory definierbarer Gruppenrichtlinien steuern Administratoren, von welcher Quelle (Windows Update-Website von Microsoft im Internet oder SUS-Server im Unternehmens-Intranet) die Automatische Updates-Funktion ihre Aktualisierungen beziehen soll.
Es ist leicht zu verstehen, warum die Leute nach Sicherheits-Guides schreien. Jeder kann sehen wie einfach es ist, einige Einstellungen vorzunehmen und so einen Angriff abzuwehren. In einigen Umgebungen muss ein System tatsächlich unter Einhaltung bestimmter Sicherheits- oder Absicherungs-Guides eingerichtet werden - ansonsten entspricht es nicht der Sicherheitsrichtlinie. Bevor Sie aber anfangen, Sicherheitskonfigurationen vorzunehmen, sollten Sie einige der grundlegenden Probleme im Bezug auf solche Änderung kennen lernen. Wir nennen diese Probleme "Legenden".
Der nächste Schritt
Mit Windows Server Update Services (WSUS) offeriert Microsoft die deutlich leistungsfähigere Weiterentwicklung von SUS. WSUS, das zeitweise unter dem Arbeitstitel Windows Update Services (WUS) geführt wurde, baut auf dem bewährten SUS-Konzept auf, hat jedoch eine Vielzahl zusätzlicher, erheblich leistungsfähigerer Funktionen zu bieten.
Eine der wichtigsten WSUS-Neuerungen betrifft den Fokus unterstützter Produkte: Im Gegensatz zum reinen Patch-Management des Windows-Betriebssystems über SUS nimmt sich WSUS auch Nicht-Betriebssystem-Updates an. Bereits in der ersten Stufe beherrscht WSUS daher das Patch-Management sowohl von Windows als auch von Office, Exchange Server, SQL Server und Microsoft SQL Server 2000 Desktop Engine (MSDE). Im Laufe der Zeit wird Microsoft Updates für weitere Produkte in die WSUS-Infrastruktur einfließen lassen. Bestehende WSUS-Implementationen lassen sich dabei dynamisch und ohne Reinstallation erweitern.
Parallel zu WSUS stellt Microsoft im Internet den Dienst Microsoft Update bereit. Hierüber bezieht WSUS seine Aktualisierungen für alle unterstützten Produkte – so, wie SUS für Windows-bezogene Aktualisierungen den Windows Update-Dienst von Microsoft im Internet nutzt. Microsoft Update und Windows Update werden nebeneinander verfügbar sein.
Eine weitere große WSUS-Verbesserung stellt die Integration anderer Update-Typen in den automatischen Verteilungsmechanismus dar. Während sich SUS auf sicherheitsbezogene Aktualisierungen konzentriert, sind Unternehmen mit WSUS in der Lage, weitere Update-Typen in den Patch-Management-Prozess mit einzubeziehen. Neben Security-Updates lassen sich mit WSUS beispielsweise Service-Packs, wichtige Treiber-Aktualisierungen, nichtkritische Updates, Feature-Packs, Tools oder Dokumentationen automatisiert auf die Computer im Unternehmen verteilen.
Umfassendes Update-Framework
Eine Reihe weiterer WSUS-Neuerungen erlauben es Unternehmen, in der IT-Umgebung ein individuelles Patch-Management zu realisieren. Beispielsweise lassen sich Firmen-PCs flexibel zu WSUS-Computer-Gruppen zusammenfassen, um Updates nur an bestimmte PCs gezielt verteilen zu können. Zwei solcher Computer-Gruppen sind standardmäßig vorhanden: Alle Computer und Nicht-zugewiesene Computer. Wenn WSUS-Clients den WSUS-Server erstmalig kontaktieren, werden die neuen Clients vom WSUS-Server zunächst beiden Gruppen automatisch zugeordnet. Haben Administratoren eigene Computer-Gruppen erstellt, lassen sich neue, noch nicht zugewiesene Clients dann bequem in die gewünschte Computer-Gruppe verschieben.
Verschiedene Replizierungs- und Synchronisierungsoptionen gestatten den Aufbau verteilter Patch-Management-Strukturen. Auf diese Weise können auch entfernte Niederlassungen von den zentralisierten Update-Prozessen im Unternehmen profitieren. Ebenso möglich ist es, Updates nicht auf den lokalen WSUS-Servern im Intranet vorzuhalten, sondern diese direkt von der Microsoft Update-Website im Internet zu beziehen. Solche Szenarien erweisen sich beispielsweise für Roaming-Clients als sinnvoll, die zwar nur ab und an mit dem Unternehmens-LAN, dafür aber häufig mit dem Internet verbunden sind. Ausführliche Reporting-Funktionen liefern Administratoren dabei einen sofortigen Überblick, welche Updates auf welchen Clients bereits installiert sind oder noch ausstehen.
Zur intelligenten Bandbreiten-Verwaltung setzt WSUS auf den Background Intelligent Transfer Service (BITS) 2.0. Bei BITS handelt es sich um einen Dienst, der Dateitransfers effizient im Hintergrund immer dann abwickelt, wenn gerade nur sehr wenig Bandbreite von anderen Anwendungen benutzt wird. BITS unterstützt sowohl Download- als auch Upload-Operationen und kann nicht nur zeitgesteuert aktiviert werden, sondern genauso Übertragungsvorgänge unterbrechen und später nahtlos fortsetzen. WSUS nutzt BITS 2.0 gleich mehrfach: zum Dateitransfer zwischen Microsoft Update-Dienst und WSUS-Servern, zum Abgleich zwischen WSUS-Servern sowie zur Übertragung von Updates an Clients.
Starten mit WSUS
Die beste Möglichkeit, die vielfältigen Dimensionen der neuen Microsoft-Lösung zum automatisierten Patch-Management zu entdecken, ist es, WSUS auszuprobieren. Denn ebenso wie SUS bietet Microsoft auch den Nachfolger WSUS kostenlos zum Download an. Die finale Version von WSUS, das in mehreren Sprachen (unter anderem in Deutsch) erhältlich ist, wird im Laufe des zweiten Quartals 2005 erwartet. Mit dem Release-Candidate (RC) von WSUS steht die leistungsfähige SUS-Weiterentwicklung seit Ende März 2005 schon jetzt in den Startlöchern. Über die Windows Server Update Services-Website können Sie sich für den WSUS-Release-Candidate registrieren, die Software inklusive BITS 2.0 herunterladen und die neuen Möglichkeiten ausprobieren.
Von der Windows Server Update Services-Website aus erhalten Sie nicht nur einen fundierten Überblick, sondern gelangen auch zur FAQ-Sektion von WSUS. Des Weiteren erfahren Sie in einer Schnellübersicht, welche Anforderungen das auf kleine und mittlere Unternehmen zugeschnittene WSUS oder aber der – mit noch umfassenderen Patch-Management-Funktionen aufwartende, für Enterprise-Umgebungen konzipierte – Microsoft Systems Management Server (SMS) 2003 adressieren. Mit diesem Wissen ausgestattet, können Sie die ideale Lösung zum automatisierten Patch-Management in Ihrer IT-Umgebung einsetzen.
Darüber hinaus stellt Microsoft im Internet eine Vielzahl weiterer Informationen zu WSUS bereit. Neben dem grundlegenden Windows Server Update Services Datasheet können Sie sich beispielsweise im Windows Server Update Services Reviewer's Guide über die einzelnen Funktionen eingehend informieren. Die Schritt-für-Schritt-Anleitung unterstützt Sie dabei, WSUS schnell und einfach in Betrieb zu nehmen. Administratoren finden zudem viele wertvolle Informationen und Tipps im Windows Server Update Services Deployment Guide sowie im Windows Server Update Services Operations Guide.
