1. Was ist Microsoft Windows Patch Management?

2. Handhabung von Windows-Server-Patches

3. Warum ist Patch-Management in Windows wichtig?

4. Patch-Management für Windows Schritt für Schritt

5. Windows Patch-Management Best Practices

6. Strategien für das Windows-Patch-Management

7. Auswahl von Software-Tools für Patch-Management für Windows

8. Blog-Beiträge

9. Zusätzliche Ressourcen

Was ist Patch Management und speziell Microsoft Windows Patch Management?

Das Patch-Management besteht darin, Computer, mobile Geräte oder andere Maschinen in einem Netzwerk auf fehlende Software-Updates, so genannte "Patches", zu überprüfen und das Problem zu beheben, indem diese Patches installiert werden, sobald sie verfügbar sind.

Das Windows-Patch-Management ist der Prozess der Verwaltung von Patches für Microsoft Windows. Patches sind eine Art von Code, der in den Code eines bestehenden Softwareprogramms eingefügt (oder gepatcht) wird. Es handelt sich dabei in der Regel um eine Überbrückungsmaßnahme, bis eine neue Vollversion der Software verfügbar ist.

Windows Update ist ein Microsoft-Dienst für MS Windows-Betriebssysteme, der das Herunterladen von Windows-Software-Updates automatisiert. Der Dienst liefert nicht nur Software-Updates, sondern auch viele Antiviren-Produkte von Microsoft. Microsoft versucht zwar, Sicherheits-Patches schnell zu veröffentlichen, aber die häufige Anwendung von Patches auf Servern auf Produktionsebene kann sich negativ auf die Produktivität und Stabilität auswirken.

Seit 2003 hat Microsoft am "Patch Tuesday" - dem zweiten Dienstag eines jeden Monats - eine große Anzahl von Patches für seine Betriebssysteme und andere Softwareprodukte veröffentlicht. Mit der Veröffentlichung von MS Windows 10 hat Microsoft jedoch auch begonnen, kumulative Updates für das neue Betriebssystem herauszugeben. 

Jeder dieser Patches enthält Korrekturen für eine oder mehrere Sicherheitslücken, die durch Nummern identifiziert wurden, die über das Common Vulnerabilities and Exposures (CVE)-System zugewiesen wurden, das vom National Cybersecurity Federally Funded Research and Development Center (FFRDC) gepflegt wird.

Mit Patch Tuesday können sich Systemadministratoren auf mögliche Auswirkungen von Patch-Anwendungen vorbereiten und ihre Benutzer warnen. Wenn ein schwerwiegendes Problem mit einem Patch gemeldet wird, kann dies Auswirkungen auf die Computer haben, auf denen das Update installiert werden soll. Das IT-Personal kann die Installation dieses Patches aufschieben, während die übrigen Patches installiert werden, damit der Schutz vor all den anderen Sicherheitslücken nicht verloren geht.

Updates, die alle aktuellen Korrekturen in einem einzigen Patch zusammenfassen, bieten zwar den Komfort einer Komplettlösung, nehmen dem Administrator aber auch die Möglichkeit, selbst auszuwählen, welche Schwachstellen er patchen möchte. Dadurch erhöht sich die Wahrscheinlichkeit, dass eine Inkompatibilität mit einer bestimmten Systemkonfiguration oder anderer Software dazu führt, dass das Update entweder fehlschlägt oder ein unerwünschtes Verhalten zeigt. Microsoft verwendet das kumulative Rollup-Konzept für seine Sicherheitsupdates für die Webbrowser Internet Explorer und Edge.

Handhabung von Windows-Server-Patches

Beim Server-Patching werden mehrere Code-Änderungen an verwalteten Computersystemen erworben, getestet und installiert, um sie auf dem neuesten Stand zu halten. Der Prozess bestimmt auch die geeigneten Software-Patches für jedes Programm und plant die Installation der Patches auf den verschiedenen Systemen.

Das Patchen eines Servers ist komplexer als das Patchen einer Workstation. Die Ausfallzeiten von Workstations sind nicht so kritisch, da Workstations neu erstellt werden können, wenn es ein ernsthaftes Problem mit einem Patch gibt. Im Gegensatz dazu umfasst das Patchen von Servern nicht nur den Server, sondern auch die darauf laufenden Anwendungen und die Middleware zwischen den Anwendungen. Aufgrund der kritischen Rolle, die Server für ein Unternehmen spielen, müssen Ausfallzeiten auf ein absolutes Minimum beschränkt werden. Die meisten Administratoren halten es für wichtig, bei Server-Patches Prioritäten zu setzen.

Wie bereits erwähnt, automatisiert Microsoft Windows Updates das Herunterladen von Software-Updates. Unternehmen, die nur eine Handvoll Windows-Server haben, können das Microsoft Windows Server Update-Tool verwenden, um Windows-Updates zu verteilen. Die meisten Unternehmen haben jedoch eine vielseitigere Computerumgebung und verwenden mehrere Tools für andere Aufgaben, z. B. für Microsoft-Anwendungssoftware-Patches oder Mac OS-Patches.

Die Verwendung mehrerer Tools ist problematisch, weil das Operationsteam dadurch nicht in der Lage ist, das Risikoniveau des IT-Einsatzes zu verstehen. Viele Unternehmen bieten ein einziges "Alleskönner"-Tool für das Server-Patching an - eines, das alles verarbeiten kann, von Microsoft-Produkten und Software von Drittanbietern bis hin zu PC-basierter Hardware, Mac-Computern, Client-Systemen und Servern.

Warum ist Patch-Management in Windows wichtig?

Eine ordnungsgemäßes Patch-Management kann die Sicherheit eines Unternehmens erheblich verbessern, indem es die Schwachstellen in der Software und den Betriebssystemen behebt. Im Folgenden finden Sie einige Gründe, warum das Patch-Management eine wichtige Ausgabe in fast jedem IT-Budget ist:

• Sicherheit
  Sicherheit ist der wichtigste Vorteil des Patch-Managements. Sicherheitslücken in Netzwerken werden am häufigsten durch fehlende Patches in Betriebssystemen und anderen Anwendungen verursacht. Zum Beispiel werden regelmäßig Sicherheitslücken in MS Windows ActiveX, IIS, Internet Explorer und .Net Framework entdeckt. Durch die Installation von Sicherheitsupdates vermeiden Sie Schäden an der Software, Datenverlust und Identitätsdiebstahl. Es ist wichtig, Updates schnell zu installieren, da sich Malware innerhalb weniger Stunden nach ihrer Einführung verbreiten kann.

• Produktivität
  Computerabstürze aufgrund defekter Software können immer noch vorkommen, was letztendlich zu einer geringeren Produktivität führt. Ein Patch hingegen verringert die Möglichkeit von Abstürzen und Ausfallzeiten, so dass die Mitarbeiter ihre Aufgaben ohne Unterbrechungen erledigen können.

• Feature-Updates
  Bei Patches geht es nicht immer um die Behebung von Fehlern. Sie können auch neue Features und Funktionen enthalten, die die neuesten Innovationen der Software nutzen. Microsoft arbeitet ständig an neuen Funktionen und stellt neue Funktionen in Form von Software-Patches zur Verfügung. Wenn Sie diese herunterladen und installieren, können Sie besser und intelligenter arbeiten.

• Einhaltung der Richtlinien
  Cyber-Bedrohungen sind alltäglich geworden. Deshalb schreiben die Aufsichtsbehörden vor, dass Unternehmen die neuesten Patches anwenden, um diese Bedrohungen zu vermeiden. Die Nichteinhaltung kann zu hohen Strafen führen. Daher ist eine gute Patch-Management-Strategie notwendig, um diese Standards zu erfüllen.

• BYOD
  Das Aufkommen von "Bring Your Own Device" (BYOD) hat Cyberangreifern ganz neue Möglichkeiten eröffnet. Mitarbeiter verwenden zunehmend ihre privaten und dienstlichen Geräte, um ihre Arbeit zu verrichten - daher müssen auch die persönlichen Geräte geschützt werden. Eine gute Patch-Management-Software installiert Patches für alle Geräte, unabhängig von deren Standort. Dabei werden viele der Herausforderungen bewältigt, die mit der Verwendung privater Geräte einhergehen.

Patch-Management für Windows und andere Anwendungen von Drittanbietern - Schritt für Schritt

Das Installieren der neuesten Updates ist nicht der effektivste Prozess des Patch-Managements. Vielmehr sollte jedes Tool einer detaillierten Reihe von Schritten folgen, um sicherzustellen, dass das Endergebnis wirtschaftlich, effizient und effektiv ist.

Im Folgenden finden Sie einige wichtige Schritte zur Erstellung eines aktuellen Inventars der vorhandenen Geräte:

1. Erstellen Sie eine Richtlinie für das Patch-Management

2. Scannen Sie das Netzwerk und die Geräte regelmäßig, um Schwachstellen und fehlende Patches zu erkennen.

3. Überprüfen Sie die erfolgreiche Installation der heruntergeladenen Patches in einer Testumgebung und achten Sie auf eventuelle Inkompatibilitäten oder Leistungsprobleme.

4. Wenden Sie den Patch auf das gesamte Unternehmen an, wenn während der Testphase keine Probleme festgestellt wurden.

5. Erstellen Sie eine ausführliche Dokumentation und Berichte über das Herunterladen, Testen und Installieren von Patches für Audits und die Einhaltung von Vorschriften.

Auch wenn diese Schritte variieren können, sollten die Updates nicht einfach installiert werden, sobald sie verfügbar sind. Stattdessen sollten sie einen vom Unternehmen festgelegten Prozess durchlaufen. Ein solcher prozessorientierter Ansatz macht es auch einfach, einige der besten Praktiken des Patch-Managements zu befolgen.

Eine etwas andere Sichtweise auf Patch-Management-Prozesse finden Sie in diesem Blog: Die beste Patch-Management-Strategie für 2019.

Windows-Patch-Management Best Practices

Das Patchen von Windows steht in der Regel ganz oben auf der To-Do-Liste eines Administrators. Wenn das Patch-Management nicht korrekt durchgeführt wird, kann sie ein Risiko für das Unternehmen darstellen, anstatt das Risiko zu mindern. Mit ein paar einfachen Best Practices lassen sich diese Risiken jedoch leicht beseitigen und es wird sichergestellt, dass der Prozess schnell und effizient abgeschlossen wird.

Hier finden Sie einige Best Practices speziell für MS Windows-Patches:

• Testen Sie, bevor Sie Updates anwenden
  Windows-Patches mögen für sich genommen gut funktionieren. Aber in der realen Welt besteht immer die Möglichkeit von Inkompatibilitäten zwischen einem Patch und anderer Software. Wenn Sie Software-Patches bereitstellen, ohne sie ordnungsgemäß zu testen, riskieren Sie, dass einer der Patches zu Konflikten führt und Probleme in der Infrastruktur des Unternehmens verursacht. Es ist eine gute Idee, die Auswirkungen des Updates zu testen, indem Sie es zunächst in einer Testumgebung oder auf einer Handvoll von Computern anwenden, bevor Sie es auf das gesamte Netzwerk anwenden.

• Bleiben Sie auf dem Laufenden mit Neuigkeiten von Patch-Überwachungsseiten Dritter
  Es kann schwierig sein, die große Menge an Informationen, die Microsoft über neue Patches - und Patches für frühere Patches - veröffentlicht, zu verarbeiten! Eine Abkürzung ist die Lektüre von Tech-News-Seiten, auf denen über die Erfahrungen von Unternehmen bei der Anwendung neuer Microsoft-Software-Updates berichtet wird.

• Prüfen Sie die Probleme, die Microsoft für jeden Patch kennt
  Wenn Sie E-Mails von Microsoft über ein neues Sicherheitsupdate erhalten, achten Sie auf die darin enthaltenen Informationen über erkannte Probleme. So kann es beispielsweise sein, dass Microsoft einen Software-Patch veröffentlicht, der endlich eine Sicherheitslücke schließt, die bei früheren Updates übersehen wurde.

• Warten Sie mit dem Patchen - es wird nicht wehtun, aber es kann wehtun, wenn Sie es nicht tun
  Eine gute Faustregel ist, dass Sie eine Woche für Tests einplanen sollten, nachdem die Patches am Patch Tuesday von Microsoft veröffentlicht wurden. Selbst wenn Ihr Unternehmen zu klein ist, um ausführliche Tests durchzuführen, gibt Ihnen die zusätzliche Woche Zeit, die Ressourcen von Microsoft und Dritten daraufhin zu überprüfen, ob es negative Auswirkungen auf die Patch-Anwendung geben könnte. Für Server-Patches für wichtige Server und andere kritische Systeme sollten Sie sogar eine zusätzliche Woche für Tests und Überprüfungen einplanen.

Im Folgenden finden Sie einige allgemeine Best Practices für das Patch-Management, die einem Unternehmen dabei helfen, seine Sicherheit zu verbessern und immer auf dem neuesten Stand zu bleiben, was die neuesten Software-Erweiterungen angeht:

• Wissen, warum Sie es tun
  Patch-Management ist ein wesentlicher Bestandteil der Softwarewelt, und es ist wichtig, dass sowohl die Geschäftsleitung als auch das Admin-Team die Vorteile für das Unternehmen als Ganzes verstehen. Die Vermittlung der Bedeutung des Patch-Managements wird dazu beitragen, dass es zu einem festen Bestandteil der IT-Aktivitäten wird.

• Überwachen Sie den Patch-Status aller Ihrer Anwendungen
  Seien Sie immer informiert, wenn neue Patches benötigt werden. Am einfachsten erreichen Sie dies, indem Sie eine Lösung einsetzen, die den Patch-Status Ihres Netzwerks überwacht und Sie automatisch benachrichtigt, wenn Patches verfügbar sind. Wenn das Budget nicht ausreicht, können Sie sich auch merken, welche Anwendungen Sie verwenden und regelmäßig auf den entsprechenden Websites nach neuen Updates suchen.

• Arbeiten Sie mit Ihren Managed Service Providern zusammen
  Viele Managed Service Provider bieten Patch-Management-Services an, die auf die Bedürfnisse verschiedener Unternehmen zugeschnitten sind. Wenn Sie unter Zeit- oder Ressourcenknappheit leiden, sollten Sie diese Option in Betracht ziehen, damit Sie sich auf Ihr Kerngeschäft konzentrieren können, während die Patches von diesen Anbietern verwaltet werden.

• Erstellen Sie einen Notfallplan für die Wiederherstellung
  Eine weitere wichtige, aber oft übersehene Best Practice ist ein Notfallplan für den Fall, dass Ihr Patch-Management versagt und Probleme verursacht. Backups sind die einfachste Option und können auch dazu verwendet werden, andere Risiken wie eine Vireninfektion oder ein Eindringen in Ihr System zu minimieren.

Strategien für das Windows-Patch-Management

Wie bereits erwähnt, riskieren Sie bei der Bereitstellung von Patches, ohne diese ordnungsgemäß zu testen, dass einer der Patches zu Konflikten führt und Probleme in der Infrastruktur des Unternehmens verursacht. Die übergreifende Strategie für das Patch-Management besteht also darin, die Art der Schwachstelle, die ein Patch beheben soll, genau zu bestimmen. Dann bestimmen Sie, wie hoch das Risiko ist, das mit der Anwendung des Patches verbunden ist, wie Sie den Patch anwenden sollten und wann Sie ihn anwenden sollten.

Sobald Sie Ihre Risikobewertung vorgenommen haben, gibt es verschiedene Strategien, um die Schwachstelle tatsächlich zu beheben.

• Akzeptieren Sie das Risiko 
  Warten Sie, bis Microsoft eine Korrektur veröffentlicht.

• Verwenden Sie einen Workaround
  Microsoft bietet möglicherweise eine Möglichkeit, das Problem zu umgehen, bis ein Patch verfügbar ist. Oder Sie haben eine Notlösung, bis Sie einen Patch testen können.

• Verlassen Sie sich auf die Versicherung
  Eine Versicherung mag zwar teuer sein, aber das Risiko kann im Wesentlichen auf eine Versicherungsgesellschaft übertragen werden, die sich dann um eventuelle Probleme kümmern kann.

• Patchen Sie jetzt einfach - oder entfernen Sie die potenziell betroffene Software
  Setzen Sie den Patch ein und hoffen Sie, dass nichts schief geht. Oder entfernen Sie die Software oder Windows-Komponente vollständig von den betroffenen Systemen.

Auswahl von Software-Tools für Patch-Management für Windows

Einige Administratoren gehen vielleicht davon aus, dass die von Microsoft empfohlenen Patches die meisten Sicherheitslücken schließen. Die meisten Experten sind sich jedoch einig, dass Sie sich nicht ausschließlich auf die von Microsoft bereitgestellten Patches, Updates und Service Packs verlassen können. Aufgrund dieser unkontrollierten Schwachstellen haben sich viele Unternehmen für automatische Patch-Management-Tools entschieden. Windows-Patch-Management-Software kann Administratoren entlasten und die Gesamteffizienz des Herunterladens und Installierens von Patches auf verschiedenen Geräten verbessern. So kann jedes Unternehmen alle seine Endgeräte mit den neuesten Patches aktualisieren - und das mit wenig menschlichem Zutun, unabhängig von den Hardwarespezifikationen und geografischen Standorten.

Aber wie wählen Sie die richtige Patch-Management-Software aus, angesichts der großen Anzahl der heute verfügbaren Patch-Management-Tools? Hier finden Sie einige Funktionen, die eine gute automatisierte Patch-Management-Software bieten sollte:

• Funktioniert auf verschiedenen Plattformen und Betriebssystemen - einschließlich Microsoft®-, MAC OS X®- und Linux®-Betriebssystemen, Amazon Web Services (AWS), anderen Cloud-Plattformen sowie Anwendungen von Drittanbietern

• Scannt das gesamte Netzwerk, um fehlende Patches für verschiedene Software zu identifizieren

• Lädt Patches direkt von den Websites der Hersteller herunter

• Beinhaltet effizientes Testen und Verteilen von Patches

• Bietet detaillierte Berichte, damit Administratoren einen vollständigen Überblick über fehlende, heruntergeladene, getestete und installierte Patches erhalten

• Lässt sich problemlos auf allen Geräten wie Desktops, Laptops und Servern installieren.

• Integriert mit automatischem Patch-Management, damit Sie Zeit sparen können

• Erzeugt Berichte über den Status der einzelnen Updates und relevante Statistiken über Patch-Installationen und Updates zu Prüfzwecken

Blogs

GFI-Ressourcen für Windows-Patch-Management-Software