Update- und Patchmanagement

Das zeitnahe Einspielen zur Verfügung stehender Sicherheitspatches zählt bekanntermaßen zu den wichtigsten Maßnahmen.

Das Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) vertritt die Meinung, dass zur Verfügung stehende Updates nicht automatisch heruntergeladen und laut Zeitplan installiert werden sollten, welcher im gp-pack PaT übernommen wurde. In dieser Empfehlung kann kein Datenschutzvorteil erkannt werden. In Verbindung mit einem WSUS, bei dem Updates freigegeben werden müssen, um die Systemstabilität zu gewährleisten, kann diese Empfehlung sogar der IT-Sicherheit abträglich sein, wenn der Zeitpunkt des Einspielens durch den*die Nutzer*in aufgeschoben wird. Daher empfiehlt das ACSC (s. Literatur), abweichend vom gp-pack, folgende Einstellungen:

Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Update

Gruppenrichtlinieneinstellung Empfohlene Option
Automatische Updates konfigurieren

Aktiviert

  • Automatische Updates konfigurieren: 4 – Autom. herunterladen und laut Zeitplan installieren
  • Updates für andere Microsoft-Produkte installieren

Betriebssystem-, Anwendungs- und Treiberpatches und -updates sollten zentral verwaltet und bereitgestellt werden. Das hat folgende Vorteile:

  1. Sicherheitspatches können, abhängig von der Schwere des Risikos durch die Schwachstelle unter den konkreten Bedingungen, priorisiert und in einem angemessenen Zeitrahmen ausgeliefert werden.
  2. Externe Stellen können keine Informationen über das System und die darauf installierten Programme ermitteln (wenn "Dual Scan" deaktiviert ist).
  3. Wird die Gefährdung der Systemstabilität durch Updates und weniger sicherheitskritische Patches befürchtet, können einzelne bis zur manuellen Freigabe zurück gestellt werden.
  4. Da Updates innerhalb des Netzwerks verteilt werden, geht das nicht zu Lasten der Internet-Bandbreite.

Ein zentrales Patch-Management kann mit dem Microsoft System Center Configuration Manager (SCCM) oder den Microsoft Windows Server Update Services (WSUS) erreicht werden, wie es auch im gp-pack empfohlen wird.

Unabhängig davon, von wo das System die Updates bezieht, sollte Windows Update (zudem) mit folgenden Gruppenrichtlinieneinstellungen konfiguriert sein:

Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Update

GruppenrichtlinieneinstellungEmpfohlene Option
Automatische Updates sofort installierenAktiviert
Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sindAktiviert
Zugriff auf Feature "Updates aussetzen" entfernenAktiviert

Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Update | Windows Update für Unternehmen

Gruppenrichtlinieneinstellung Empfohlene Option
Vorabversionen verwalten

Aktiviert

  • Verhalten für den Empfang von Vorabversionen festlegen: Vorabversionen deaktivieren
Zeitpunkt für den Empfang von Vorabversionen und Funktionsupdates auswählen

Aktiviert

  • Wählen Sie das Windows-Bereitschaftsniveau für die Updates aus, die Sie erhalten möchten: Semi-Annual Channel
  • Nach der Freigabe einer Vorabversion oder eines Funktionsupdates soll der Empfang so viele Tage zurückgestellt werden: 365

Ebenfalls im gp-pack enthalten ist die Empfehlung, keine Verbindungen mit Windows Update-Internetadressen herzustellen, wenn das System so konfiguriert ist, dass die Verbindung mit einem internen Updatedienst (WSUS) hergestellt wird. Diese Konfiguration gewährleistet, dass externe Stellen weniger Informationen über das System und die darauf installierten Programme ermitteln können, kann allerdings nur empfohlen werden, wenn Updates trotz Nichterreichbarkeit des WSUS zeitnah ausgerollt werden können. Solange dieser Problemfall (noch) nicht vorbereitet wurde, sollte zugunsten der IT-Sicherheit das System stattdessen (abweichend zu gp-pack) so konfiguriert werden, dass in regelmäßigen Abständen Informationen vom öffentlichen Windows Update-Dienst abgerufen werden (Dual-Scan):

Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Update

GruppenrichtlinieneinstellungEmpfohlene Option
Keine Verbindungen mit Windows Update-Internetadressen herstellenDeaktiviert

Gründliche Vorbereitung von Featureupgrades

Jeder Versionssprung macht eine sorgsame Planung erforderlich. Mit den sogenannten Featureupgrades von Windows 10 können bspw. die in früheren Versionen umgesetzten Sicherheitsfunktionen und -einstellungen wegfallen [1] oder unerwünschte Anwendungen und Einstellungen hinzugefügt worden sein, die in der Standardeinstellung aktiviert sind, solange sie nicht manuell deaktiviert werden. Vor jedem Update muss dies begutachtet werden und ggf. Anpassungen vorgenommen werden [2], um nicht versehentlich automatisch unter das angestrebte IT-Sicherheits- und Datenschutzniveau zu fallen. Die kürzeren Veröffentlichungszyklen der zur Verfügung stehenden Windows-10-Upgrades [3] (im Vergleich zu den selteneren Upgrades der vorangegangenen Versionen) kann in einem Mehrwaufwand in der Systembetreuung resultieren, der angemessen berücksichtigt werden muss.

Fußnoten

[1]

bspw. Softwarebeschränkungsrichtlinien ("Software Restiction Policy") in den Gruppenrichtlinien sind abgekündigt und werden von "zukünftigen Aktualisierungen" entfernt, vgl. docs.microsoft.com/en-us/windows/deployment/planning/windows-10-1803-removed-features

[2]

Ein vorkonfiguriertes Windows-Image kann als Basis für die Installation und alle weiteren Versions-Upgrade dienen. Dieses abgespeckte Image sollte unerwünschte Anwendungen und Einstellungen gar nicht erst enthalten, wodurch von Anfang an ein wohl konfiguriertes System an das Netzwerk geht und nachträgliche Entfernen und Abändern erspart bleiben, vgl. iX-Artikel "Kollateralgenerve" (06/2017), www.gruppenrichtlinien.de/artikel/windows-10-upgrade-verteilen/

[3]

Lediglich im Release-Zweig "Long-Term Servicing Channel" (LTSC) ist das anders, welcher sich wegen seiner Beschränkungen jedoch nicht für typische Arbeitsplätze eignet, vgl. digital-brainzoom.de/windows10ltsc-client/