Meister aller Klassen: Patchen ruhender virtueller Computer

Wenn Sie ruhende virtuelle Computer (Virtual Machines, VMs) mit dem Microsoft Offlinewartungstool für virtuelle Computer patchen, stellen Sie sicher, dass die VMs einsatzbereit sind und vermeiden Probleme mit veralteten Patches.

Von Greg Shields.

Finden Sie Patchen lästig? Ich ganz bestimmt. Patchen war schon immer eine undankbare Aufgabe, die zudem keinen Geschäftswert hat. Zumindest keinen anderen Geschäftswert als das Wissen, dass Sie vielleicht eine zukünftige, unbekannte Katastrophe vermeiden.

Patchen war in der IT-Welt lange eine leidige Arbeit. Ein Hauptgrund für lange Abende und Anrufe, dass man sich verspätet. Patchen und Patchverwaltung waren Aufgaben, die wir alle gern vermieden hätten.

Heutzutage hat sich die Patchverwaltung allerdings sehr stark verbessert. Es ist noch nicht lange her, dass eine umfangreiche Tabelle für Patches erforderlich war, um Ordnung zu halten. Jeder Patch wurde darin mit seiner „MS“- und der „q“-Nummer verknüpft – seine Microsoft-Wichtigkeit und unsere Unternehmenspriorität wurden zugeordnet. Zu verfolgen, welche Patches andere Patches ersetzten, nahm jeden Monat mindestens einen halben Tag in Anspruch.

Mit der Veröffentlichung von Windows Server Update Services (WSUS) änderte sich in dieser Hinsicht vieles. Dieses einfache, aber sehr zeitsparende Tool machte einen Großteil der manuellen Arbeit beim Anwenden von Patches überflüssig. Durch die Ergänzung von WSUS durch Skripts konnten Sie sogar Patches sofort auf einen Computer anwenden, ohne auf den nächsten geplanten Lauf zu warten. (Ich habe das Skript immer noch. Rufen Sie concentratedtech.com auf, falls Sie eine Kopie davon haben möchten.)

Für WSUS galt eine Einschränkung: Der automatische Patchmechanismus funktionierte nur, wenn der Server oder Desktopcomputer, auf den Sie den Patch anwenden wollten, tatsächlich eingeschaltet war. Computer, die aus verschiedenen Gründen abgeschaltet werden mussten, waren für WSUS ein Problem. Dadurch musste sofort nach dem Anschalten des Computers am nächsten Morgen ein Patchzyklus ausgeführt werden, oder der Administrator musste zusätzliche Zeit aufwenden, um den Computer am Abend zuvor zu suchen und anzuschalten.

Heute ist allgemein bekannt, dass diese Einschränkung von WSUS kein großes Problem darstellt. Wenn die Benutzer ihre Computer während des Patchzyklus am Abend ausgeschaltet lassen, wird am nächsten Morgen beim Anschalten ein Hinweis in einer Sprechblase angezeigt, und die Patches werden installiert. Auch heute bleiben Server normalerweise die ganze Zeit an. Das bedeutet, dass sie durchgängig ausgeführt werden und Anweisungen für das WSUS-Patchen empfangen können.

Ändern der Kombination

Diese angenehme und statische Umgebung ändert sich mit der Virtualisierung der Datencenter erneut. Nach der Virtualisierung bleiben die Server wahrscheinlich weiterhin durchgängig eingeschaltet. Diese virtuellen Server müssen allerdings einen Entstehungspunkt haben. Für eine große Mehrheit von uns ist dies das Klonen einer Servervorlage.

Mithilfe von nützlichen Servervorlagen können Sie schnell einen neuen Server erstellen und diesen mit minimalem Aufwand online stellen. Sie stellen auf diese Weise auch sicher, dass jeder Server dieselbe Kernkonfiguration als Ausgangspunkt aufweist. Servervorlagen haben aber auch eine Schattenseite. Sie bringen neue Server hervor, aber die Vorlagen selbst sind nicht dazu vorgesehen, aktiviert zu werden.

Eine Servervorlage ist auf einer beliebigen Dateifreigabe als VHD-Datei gespeichert. Im deaktivierten Zustand ruht diese Datei tatsächlich. Sie unterscheidet sich nicht von einer sehr umfangreichen Word-Datei oder einer Excel-Tabelle. Bei Aktivierung wird diese ruhende Datei zu einem voll funktionsfähigen Server, der normale Arbeitslasten oder böswillige Arbeitslasten heutiger Malware und anderer Exploits verarbeiten kann.

Kurz gesagt, wenn auf solche ruhenden Vorlagen keine Patches angewendet werden, könnten sie die Quelle eines neuen Malwareausbruchs werden. Und das nur, weil sie aktiviert wurden.

Möchten Sie mehr darüber wissen? Das Microsoft Offlinewartungstool für virtuelle Computer, derzeit in Version 2.1 verfügbar, behandelt genau dieses Problem. Der kostenlose Solution Accelerator installiert einen Satz Automatisierungsfunktionen, die dazu dienen, die andernfalls ruhenden VM-Vorlagen mit WSUS auf dem neuesten Stand zu halten.

Abbildung 1: die drei Hauptkomponenten der Offline-VM-Aktualisierung

In Abbildung 1 wird gezeigt, wie die Aktualisierung im Wesentlichen funktioniert. Der Server, der System Center Virtual Machine Manager (VMM) hostet, interagiert mit einer seiner Bibliotheksfreigaben, einem Hyper-V-Host und dem Server zur Softwareupdateverwaltung. Der Updateverwaltungsserver kann ein WSUS-Server oder ein verfügbarer System Center Configuration Manager (SCCM)-Server sein. Die Prozesse sind für beide fast identisch.

Das Offlinewartungstool für virtuelle Computer verwendet sogenannte Wartungsjobs, um die Bereitstellung von Updates für VMs in der VMM-Bibliothek zu verwalten. Diese Wartungsjobs sind im Wesentlichen vom Windows-Taskplaner verarbeitete Tasks, die zu vorab festgelegten Zeiten starten.

Wenn ein Wartungsjob aktiviert werden soll, wird zunächst der virtuelle Computer am Speicherort seiner Vorlage „geweckt“. Dieser Prozess umfasst das Bereitstellen des virtuellen Computers auf einem Hyper-V-Host und das Einschalten. Sobald der virtuelle Computer eingeschaltet ist, wird der intern konfigurierte Windows Update-Agent (WUA) des virtuellen Computers angewiesen, einen Softwareupdatezyklus zu starten.

Die WUA-Konfiguration des virtuellen Computers wird genauso eingerichtet, wie Sie es von all Ihren Computern gewohnt sind. Sie können eine Gruppenrichtlinie anwenden oder die Konfiguration innerhalb des virtuellen Computers manuell einrichten. Damit dieser Prozess funktioniert, müssen Sie alle typischen WSUS-Konfigurationen festlegen, zum Beispiel den Pfad für den Updatedienst, WSUS-Computergruppen und andere spezifische Merkmale, die in Ihrer Sicherheitsrichtlinie definiert sind.

Nachdem Sie den virtuellen Computer erfolgreich aktualisiert haben, wird er vom Wartungsjob abgeschaltet und an die Bibliothek zurückgegeben. Dieser automatische Prozess stellt sicher, dass Ihre VMs, wie die übrige Infrastruktur, mit den richtigen Patches aktualisiert werden. Das Offlinewartungstool für virtuelle Computer fügt keine seiner eigenen Updateverwaltungskonfigurationen hinzu. Es stützt sich stattdessen auf die Einstellungen, die Sie bereits für WSUS oder SCCM konfiguriert haben.

Zur Installation des Offlinewartungstools für virtuelle Computer sind einige Schritte erforderlich, die nicht sofort offensichtlich sind, wenn Sie nicht das zugehörige Solution Accelerator-Handbuch gelesen haben. Obwohl es in der Version 2.1 vorliegt, mutet das Tool wie eine frühe Version an. Die Installation erfordert einen Konsolendownload von der Microsoft-Website. Zum Ausführen des Tools müssen Sie zudem PSExec-Binärdateien herunterladen und in den Ordner „bin“ des Tools unter „C:\Programme\Microsoft Offline Virtual Machine Servicing Tool\bin“ kopieren. Außerdem muss für „RemoteSigned“ die Windows PowerShell-Ausführungsrichtlinie konfiguriert sein.

Abbildung 2: Konsole des Offlinewartungstools

Nach der Installation identifiziert die Konsole (siehe Abbildung 2) tatsächlich nur Gruppen virtueller Computer, um zu bestimmen, auf welche Computer zu welcher Zeit Patches angewendet werden. Die Konsole identifiziert auch Wartungsjobs, auf die die Merkmale der Updatetasks zutreffen. Das Wartungstool funktioniert darüber hinaus nur mit in Ihrer VMM-Bibliothek enthaltenen VMs. Das bedeutet, dass alle ausgeschalteten VMs, die bereits auf einem Hyper-V-Host bereitgestellt wurden, nicht mit dem Tool funktionieren.

Das Tool funktioniert mit VMs, die keine speziellen Vorlagen sind. Dazu zählen beispielsweise alle Hotspare-VMs, die Sie bereithalten, um sie nach einem Fehler oder bei zusätzlich erforderlichen Servern online zu stellen. In diesen Fällen schlägt das Tool die Verwendung einer zweiten NIC auf Hotspareservern vor, zusammen mit der Bereitstellung in einem isolierten Netzwerk. Dadurch wird verhindert, dass der Hotspare-VM unbeabsichtigt funktionsfähig wird, wenn Sie nur aktuelle Patches anwenden möchten.

Das Microsoft Offlinewartungstool für virtuelle Computer ist vielleicht keine umfassende Lösung für alle Anforderungen an die Offlineanwendung von Patches, aber es ist kostengünstig und bietet Unterstützung in Situationen, in denen Sie nur einige ruhende VMs auf dem neuesten Stand halten möchten. Wenn Sie den Aufwand für das manuelle Ausführen dieser Aufgabe und dazu die Auswirkung eines fehlenden, nicht angewendeten Patches bedenken, dann wird klar, wie wichtig es ist, alle ruhenden, aber potenziell gefährlichen, VMs im Auge zu behalten.

 

Verwandter Inhalt

• Installation von Nicht-Microsoft-Patches mit System Center Essentials
• Bereitstellen von Anwendungen und Updates für Ihre Zweigstellen
• Einblick in das Anwendungskompatibilitäts-Toolkit 5.5