Update- & Patchmanagement

Das zeitnahe Einspielen zur Verfügung stehender Sicherheitspatches zählt bekanntermaßen zu den wichtigsten Maßnahmen.

Das Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) vertritt die Meinung, dass zur Verfügung stehende Updates nicht automatisch heruntergeladen und laut Zeitplan installiert werden sollten, was im gp-pack PaT dann auch so implementiert wurde. In dieser Empfehlung kann nach unserer Auffassung aber im Allgemeinen kein Datenschutzvorteil erkannt werden. In Verbindung mit einem WSUS, bei dem Updates freigegeben werden müssen, um die Systemstabilität zu gewährleisten, kann diese Empfehlung sogar der IT-Sicherheit abträglich sein, wenn der Zeitpunkt des Einspielens durch den Nutzer aufgeschoben wird. Daher empfehlen wir abweichend vom gp-pack zumindest für stand-alone Systeme die folgenden Einstellungen:

Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Update

Gruppenrichtlinieneinstellung Empfohlene Option
Automatische Updates konfigurieren

Aktiviert

  • Automatische Updates konfigurieren: 4 – Autom. herunterladen und laut Zeitplan installieren
  • Updates für andere Microsoft-Produkte installieren
 

In gemanagten und größeren Umgebungen sollte aber eine zentrale Verwaltung und Bereitstellung von Betriebssystem-, Anwendungs- und Treiberupdates überlegt werden. Das hat folgende Vorteile:

  1. Sicherheitspatches können, abhängig von der Schwere des Risikos durch die Schwachstelle unter den konkreten Bedingungen, priorisiert und in einem angemessenen Zeitrahmen ausgeliefert werden.
  2. Externe Stellen können keine Informationen über das System und die darauf installierten Programme ermitteln (wenn "Dual Scan" deaktiviert ist).
  3. Wird die Gefährdung der Systemstabilität durch Updates und weniger sicherheitskritische Patches befürchtet, können einzelne bis zur manuellen Freigabe zurück gestellt werden.
  4. Da Updates innerhalb des Netzwerks verteilt werden, geht das nicht zu Lasten der Internet-Bandbreite.

Ein zentrales Patch-Management kann mit dem Microsoft System Center Configuration Manager (SCCM) oder den Microsoft Windows Server Update Services (WSUS) erreicht werden, wie es auch im gp-pack empfohlen wird.

Unabhängig davon, von wo das System die Updates bezieht, sollte Windows Update (zudem) mit folgenden Gruppenrichtlinieneinstellungen konfiguriert sein:

Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Update

Gruppenrichtlinieneinstellung Empfohlene Option
Automatische Updates sofort installieren Aktiviert
Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind Aktiviert
Zugriff auf Feature "Updates aussetzen" entfernen Aktiviert

Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Update | Windows Update für Unternehmen

Gruppenrichtlinieneinstellung Empfohlene Option
Vorabversionen verwalten

Aktiviert

  • Verhalten für den Empfang von Vorabversionen festlegen: Vorabversionen deaktivieren
 
Zeitpunkt für den Empfang von Vorabversionen und Funktionsupdates auswählen

Aktiviert

  • Wählen Sie das Windows-Bereitschaftsniveau für die Updates aus, die Sie erhalten möchten: Semi-Annual Channel
  • Nach der Freigabe einer Vorabversion oder eines Funktionsupdates soll der Empfang so viele Tage zurückgestellt werden: 365
 

Ebenfalls im gp-pack enthalten ist die Empfehlung, keine Verbindungen mit Windows Update-Internetadressen herzustellen, wenn das System so konfiguriert ist, dass die Verbindung mit einem internen Updatedienst (WSUS) hergestellt wird. Diese Konfiguration gewährleistet, dass externe Stellen weniger Informationen über das System und die darauf installierten Programme ermitteln können, kann allerdings nur empfohlen werden, wenn Updates trotz Nichterreichbarkeit des WSUS zeitnah ausgerollt werden können. Solange dieser Problemfall (noch) nicht vorbereitet wurde, sollte zugunsten der IT-Sicherheit das System stattdessen (abweichend zu gp-pack) so konfiguriert werden, dass in regelmäßigen Abständen Informationen vom öffentlichen Windows Update-Dienst abgerufen werden (Dual-Scan):

Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Update

Gruppenrichtlinieneinstellung Empfohlene Option
Keine Verbindungen mit Windows Update-Internetadressen herstellen Deaktiviert

Gründliche Vorbereitung von Feature-Upgrades

Jeder Versionssprung macht eine sorgsame Planung erforderlich. Mit den sogenannten Feature-Upgrades von Windows 10 können bspw. die in früheren Versionen umgesetzten Sicherheitsfunktionen und -einstellungen wegfallen oder unerwünschte Anwendungen und Einstellungen hinzugefügt worden sein, die in der Standardeinstellung aktiviert sind, solange sie nicht manuell deaktiviert werden. Vor jedem Update muss dies begutachtet und ggf. Anpassungen vorgenommen werden, um nicht versehentlich automatisch unter das angestrebte IT-Sicherheits- und Datenschutzniveau zu fallen. Die kürzeren Veröffentlichungszyklen der zur Verfügung stehenden Windows-10-Upgrades (im Vergleich zu den selteneren Upgrades der vorangegangenen Versionen) können in einem Mehrwaufwand in der Systembetreuung resultieren, der angemessen berücksichtigt werden muss.

Kommunikations- und Informationszentrum (kiz)

  • Helpdesk

    Kontaktieren Sie uns bei Fragen und Problemen zu den Services des kiz:

    Sprechzeiten
    Mo - Do 09:00 - 12:00 Uhr
                  13:00 - 15:30 Uhr
    Fr 09:00 - 12:00 Uhr

    Telefon
    +49 (0) 731 / 50 - 30000

    Telefax
    +49 (0) 731 / 50 - 1230000

    Rückruf beauftragen
    helpdesk(at)uni-ulm.de
    Login Support-Portal
    [mehr]

  • Service-Points

    An den Service-Points können Sie uns persönlich aufsuchen.

    [mehr]

  • Identitätsmanagement

    Self Service Funktionen des Identitätsmanagementsystems (IDM): Berechtigungen verwalten, Dienste abonnieren, Passwörter ändern etc.

    IDM Self Services
    [mehr]

  • Literatursuche

  • kiz von A bis Z

    Etwa 400 Stichwörter führen Sie direkt zu einer einschlägigen Web-Seite des kiz. Wenn Sie ein Stichwort vermissen, geben Sie uns Nachricht an das Team Public Relations.

    A-Z-Liste