Update- und Patchmanagement

Das zeitnahe Einspielen zur Verfügung stehender Sicherheitspatches zählt bekanntermaßen zu den wichtigsten Maßnahmen.

Betriebssystem-, Anwendungs- und Treiberpatches und -updates sollten zentral verwaltet und bereitgestellt werden. Das hat folgende Vorteile:

  1. Sicherheitspatches können, abhängig von der Schwere des Risikos durch die Schwachstelle unter den konkreten Bedingungen, priorisiert und in einem angemessenen Zeitrahmen ausgeliefert werden.
  2. Externe Stellen können keine Informationen über das System und die darauf installierten Programme ermitteln (wenn "Dual Scan" deaktiviert ist).
  3. Wird die Gefährdung der Systemstabilität durch Updates und weniger sicherheitskritische Patches befürchtet, können einzelne bis zur manuellen Freigabe zurück gestellt werden.
  4. Da Updates innerhalb des Netzwerks verteilt werden, geht das nicht zu Lasten der Internet-Bandbreite.

Ein zentrales Patch-Management kann mit dem Microsoft System Center Configuration Manager (SCCM) oder den Microsoft Windows Server Update Services (WSUS) erreicht werden, wie es auch im gp-pack empfohlen wird.

Unabhängig davon, von wo das System die Updates bezieht, sollte Windows Update (zudem) mit folgenden Gruppenrichtlinieneinstellungen konfiguriert sein:

Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Update

GruppenrichtlinieneinstellungEmpfohlene Option
Automatische Updates sofort installierenAktiviert
Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sindAktiviert
Zugriff auf Feature "Updates aussetzen" entfernenAktiviert

Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Update | Windows Update für Unternehmen

GruppenrichtlinieneinstellungEmpfohlene Option
Vorabversionen verwaltenDeaktiviert
Zeitpunkt für den Empfang von Vorabversionen und Funktionsupdates auswählen

Aktiviert

  • Wählen Sie das Windows-Bereitschaftsniveau für die Updates aus, die Sie erhalten möchten: Semi-Annual Channel

Gründliche Vorbereitung von Featureupgrades

Jeder Versionssprung macht eine sorgsame Planung erforderlich. Mit den sogenannten Featureupgrades von Windows 10 können bspw. die in früheren Versionen umgesetzten Sicherheitsfunktionen und -einstellungen wegfallen [1] oder unerwünschte Anwendungen und Einstellungen hinzugefügt worden sein, die in der Standardeinstellung aktiviert sind, solange sie nicht manuell deaktiviert werden. Vor jedem Update muss dies begutachtet werden und ggf. Anpassungen vorgenommen werden [2], um nicht versehentlich automatisch unter das angestrebte IT-Sicherheits- und Datenschutzniveau zu fallen. Die kürzeren Veröffentlichungszyklen der zur Verfügung stehenden Windows-10-Upgrades [3] (im Vergleich zu den selteneren Upgrades der vorangegangenen Versionen) kann in einem Mehrwaufwand in der Systembetreuung resultieren, der angemessen berücksichtigt werden muss.

Fußnoten

[1]

bspw. Softwarebeschränkungsrichtlinien ("Software Restiction Policy") in den Gruppenrichtlinien sind abgekündigt und werden von "zukünftigen Aktualisierungen" entfernt, vgl. docs.microsoft.com/en-us/windows/deployment/planning/windows-10-1803-removed-features

[2]

Ein vorkonfiguriertes Windows-Image kann als Basis für die Installation und alle weiteren Versions-Upgrade dienen. Dieses abgespeckte Image sollte unerwünschte Anwendungen und Einstellungen gar nicht erst enthalten, wodurch von Anfang an ein wohl konfiguriertes System an das Netzwerk geht und nachträgliche Entfernen und Abändern erspart bleiben, vgl. iX-Artikel "Kollateralgenerve" (06/2017), www.gruppenrichtlinien.de/artikel/windows-10-upgrade-verteilen/

[3]

Lediglich im Release-Zweig "Long-Term Servicing Channel" (LTSC) ist das anders, welcher sich wegen seiner Beschränkungen jedoch nicht für typische Arbeitsplätze eignet, vgl. digital-brainzoom.de/windows10ltsc-client/