Updatemanagement TechCenter

Erläuterungen zur Updateverwaltung

Veröffentlicht: 1. Oktober 2003 | Aktualisiert: 7. Juni 2004

Auf dieser Seite

EinführungEinführung
Schützen der IT-InfrastrukturSchützen der IT-Infrastruktur
Microsoft-Technologien für die Verwaltung von Sicherheits- und SoftwareupdatesMicrosoft-Technologien für die Verwaltung von Sicherheits- und Softwareupdates
Ziele für die Zukunft: Rationalisieren des Patch- und Updateverwaltungsprozesses Ziele für die Zukunft: Rationalisieren des Patch- und Updateverwaltungsprozesses
Verwandte Links Verwandte Links

Einführung

Branchenanalysten bei Forrester Research1 zufolge werden bis zum Jahr 2010 ca. 14 Milliarden Geräte über einen Internetanschluss verfügen. Diese Verbindungswege ermöglichen potenziell den Zugriff durch nicht autorisierte Benutzer. Das Computer Security Institute (CSI) kommt in den Ergebnissen der Umfrage „CSI/FBI Computer Crime and Security Survey“ aus dem Jahr 20022 zu dem Schluss, dass die Bedrohung, die von der Computerkriminalität und anderen Datenschutzverletzungen ausgeht, unvermindert fortbesteht und der finanzielle Schaden wächst.

Neunzig Prozent der im Rahmen der CSI/FBI-Umfrage Befragten haben im Jahr 2002 Computersicherheitsverletzungen festgestellt. 95 Prozent dieser Sicherheitsverletzungen waren auf eine unzureichende Systemkonfiguration zurückzuführen. Ungefähr 85 Prozent der Teilnehmer stießen trotz der Verwendung von Firewalls (98 Prozent) und Antivirustechnologie (99 Prozent) auf Viren. Die Angriffe auf die Infrastruktur können unterschiedliche Gestalt annehmen. Hierzu gehören der Diebstahl vertraulicher Informationen, finanzieller Betrug, Würmer, Viren oder der Internetmissbrauch durch Unternehmensmitarbeiter.

Dem CERT Coordination Center, einem Center für Internetsicherheit an der Carnegie Mellon University, zufolge basieren die meisten Eindringungsversuche auf der Ausnutzung bekannter Sicherheitsrisiken, auf Konfigurationsfehlern oder auf Virenangriffen, für die Gegenmaßnahmen verfügbar waren. Letzteres gilt für die meisten Angriffe durch Internetwürmer und -viren. Für die meisten Sicherheitsrisiken sind Gegenmaßnahmen verfügbar. Aber werden sie auch bereitgestellt? Im Falle von Systemen und Netzwerken, die diesen Angriffen zum Opfer fallen, lautet die Antwort normalerweise „Nein“ oder „Nicht immer“.3

Forrester Research stellte erst vor kurzem fest, dass im Durchschnitt bei neun Angriffen auf die Sicherheit in Microsoft-Umgebungen schon Wochen oder Monate im Voraus Softwarepatches für den Wurm bzw. den Virus verfügbar waren.

CERT schätzt den finanziellen Schaden, der weltweit durch Sicherheitsverletzungen entsteht, auf 15 Milliarden US-Dollar im Jahr. Der CSI/FBI-Umfrage zufolge stellten 90 Prozent der Befragten im letzten Jahr Computersicherheitsverletzungen fest. 80 Prozent gaben an, finanzielle Verluste erlitten zu haben. Für 44 Prozent (die Unternehmen, die den Verlust quantifizieren konnten) bezifferte sich der Verlust insgesamt auf 456 Millionen US-Dollar. In Anbetracht dieser Verluste ist die Einbeziehung aller Ressourcen (Finanzen, Mitarbeiter und Technologie) in ein unternehmensweites Programm erforderlich.

Darüber hinaus ist die Zeitspanne zwischen der Veröffentlichung eines Sicherheitsupdates und dem Zeitpunkt, an dem eine Möglichkeit zur Ausnutzung eines Sicherheitsrisikos dieses Updates öffentlich bekannt wird, wesentlich kürzer geworden, während die Verfahren zur Ausnutzung von Sicherheitslücken immer raffinierter werden.

Daher ist es zu einem immer wichtiger werdenden Bestandteil dieses unternehmensweiten Systemverwaltungs- und Sicherheitsprogramms geworden, sicherzustellen, dass die neuesten Softwareupdates, insbesondere Sicherheitsupdates, schnell und gleichmäßig im kleinen, mittelständischen oder großen Unternehmen integriert werden.

Schützen der IT-Infrastruktur

Sicherheitsverwaltung bezieht sich darauf, was eine Organisation oder eine IT-Abteilung in betrieblicher Hinsicht tun kann, um die Risiken in der EDV-Umgebung zu verwalten und zu senken. Eine stetige Verbesserung der Sicherheit ist gleichbedeutend mit einer Verbesserung der Systemverwaltung. Konsistente, wiederholbare Prozesse, zuverlässige Überwachung und Berichte in Bezug auf die Richtlinien und eine effektive Änderungskontrolle können den Grad der Unsicherheit und den Risikofaktor in der gesamten IT-Infrastruktur reduzieren. Darüber hinaus muss, wie die bereits behandelten Sicherheitstrends zeigen, eine effektive Sicherheitsverwaltungsstrategie gewährleisten, dass die Software stets auf dem aktuellen Stand und so vollständig wie möglich vor Würmer, Viren und anderen Bedrohungen der Sicherheit von Daten geschützt ist.

Durch Implementieren einer effektiven Sicherheitsverwaltungsstrategie können sich Organisationen die folgenden Geschäftsvorteile sichern:

  • Kürzere Ausfallzeiten und verringerte Kosten, die dadurch entstehen, dass Systeme und Anwendungen nicht verfügbar sind.
  • Verringerte Arbeitskosten, die durch eine ineffiziente Bereitstellung von Sicherheitsupdates entstehen.
  • Geringerer Datenverlust aufgrund schädlicher Viren oder Verletzungen der Datensicherheit.
  • Erhöhter Schutz des geistigen Eigentums.

Microsoft bietet im Rahmen verschiedener Sicherheitsinitiativen Produkte, Ressourcen, ausführliche Anleitungen, Schulungen und Partner an, die Kunden helfen, ihre IT-Infrastrukturen in einem einwandfreien Zustand zu halten und von den Vorteilen und der Stabilität zu profitieren, die eine sichere EDV-Umgebung mit sich bringt. In den übrigen Abschnitten dieses Whitepaper werden die Bemühungen beschrieben, die Microsoft unternimmt, um den Prozess der Verwaltung von Sicherheitsupdates zu verbessern und ausführliche Anleitungen für die effektive Nutzung der gegenwärtig verfügbaren Ressourcen bereitzustellen.

Trustworthy Computing bildet den Rahmen der Initiativen von Microsoft zur Sicherheits- und Updateverwaltung

Die Microsoft-Initiative „Trustworthy Computing“, die im Januar 2002 als langfristige Initiative für Unternehmen angekündigt wurde, konzentriert sich auf vier Kernbereiche: Sicherheit, Datenschutz, Zuverlässigkeit und geschäftliche Integrität.

Die Sicherheitsbemühung hat folgendes Ziel:

  • Verbesserung und Vereinfachung der Integration von Patches, um Kunden zu helfen, ihre gesamten Systeme zu schützen und auf dem neuesten Stand zu halten.
  • Bereitstellung von Sicherheitsanleitungen, um Kunden zu helfen, Microsoft-Produkte so sicher wie möglich bereitzustellen und zu bedienen.
  • Innovation mithilfe von Sicherheitstechnologien, die auf Microsoft Windows basierende Computer auch dann vor Angriffen schützen, wenn keine Sicherheitsupdates installiert sind.
  • Verbesserung der Qualität unserer Software durch den Entwicklungsprozess von „Trustworthy Computing“, um Sicherheitsrisiken zu verringern, bevor die Software bereitgestellt wird.

Das Vorantreiben wichtiger Verbesserungen im Bereich der Patch- und Updateverwaltung ist ein Hauptaspekt der „Trustworthy Computing“-Initiative. Im Jahr 2002 wurde von Microsoft eine interne Sondereinheit mit der Aufgabe ins Leben gerufen, Möglichkeiten zu finden, um den Prozess der Verwaltung von Software- und Sicherheitsupdates und die damit zusammenhängenden Technologien zu verbessern und diese Verbesserungen voranzutreiben. Dieses abteilungsübergreifende Team, das den Namen „Patch Management Task Force“ trägt, hat Organisationen unterschiedlicher Größe in der ganzen Welt um Feedback gebeten. Au der Grundlage umfangreicher Kundenkommentare hat die „Patch Management Task Force“ aus den gesammelten Informationen vier Hauptaufgaben herauskristallisiert:

  • Bereitstellen klarer und rechtzeitiger Mitteilungen und Anleitungen.
  • Sicherstellen von Konsistenz bei Standards und Funktionsweisen.
  • Bereitstellen qualitativ hochwertiger Sicherheitsupdates, die die Rücknahmen, Updategrößen und Systemneustarts verringern.
  • Bereitstellen konsolidierter und kostengünstiger Tools.

Klare Mitteilungen

IT-Fachleute über Software- und Sicherheitsupdates auf dem Laufenden zu halten, ist ein entscheidender Bestandteil im Bemühen, Kunden zu helfen, beim Verwalten ihrer betrieblichen Risiken die erforderlichen und geeigneten Maßnahmen zu ergreifen. Microsoft gibt aber auch zu, dass es mitunter schwierig sein kann, klare Informationen bereitzustellen. So haben Kunden beispielsweise auf vier verschiedenen Websites nach Inhalten zur Verwaltung von Sicherheitsupdates gesucht und sich darüber beklagt, dass die Sicherheitsbewertungsstufen unklar und die verwendete Terminologie inkonsistent waren.

Der Sicherheitsbulletin-Benachrichtigungsdienst ermöglicht Kunden, direkt von Microsoft rechtzeitig und korrekt über Würmer, Viren und andere sicherheitsrelevante Ereignisse informiert zu werden. Er repräsentiert einen der ersten Schritte, die unternommen wurden, um Kunden dabei zu helfen herauszufinden, ob ein Ereignis für ihre Umgebungen wichtig ist, wie und wann die Sicherheitsupdates heruntergeladen und bereitgestellt werden sollen und wie sich die Software- oder Sicherheitsupdates auf ihre gesamte IT-Infrastruktur auswirken werden. Kunden können sich dafür anmelden, per E-Mail benachrichtigt zu werden, sobald die aktuellsten Sicherheitsbulletins mit Versionen für IT-Fachleute und Endbenutzer in Unternehmen bereitgestellt werden.

Im vergangenen Jahr hat Microsoft auf der Grundlage von Kundenfeedback am Sicherheitsbulletin-Benachrichtigungsdienst die folgenden Verbesserungen vorgenommen:

  • Das Microsoft Security Response Center (MSRC) hat seine Verteilungsprozesse normiert und sendet Bulletins jetzt am zweiten Dienstag jedes Monats (es sei denn, dass plötzlich ein Sicherheitsrisiko bekannt wird, für das sofort ein entsprechendes Bulletin veröffentlicht wird).
  • Vielen Kunden erschienen die Sicherheitsbulletins für ihre Anforderungen zu technisch oder zu detailliert. Microsoft hat das ursprüngliche Bulletinformat für Fachleute beibehalten, sendet aber jetzt auch allgemeiner und weniger technisch formulierte Bulletins für Verbraucher.
  • Microsoft hat ein Websuchtool für die Suche nach Sicherheitsbulletins entwickelt und dadurch die Websites zusammengefasst, auf denen Kunden nach Informationen zu Sicherheitsupdates suchen müssen. Kunden können alle Sicherheitsbulletins anzeigen lassen, die für ein bestimmtes Produkt und eine bestimmte Service Pack (SP)-Stufe verfügbar sind.
  • Um in Bezug auf die Sicherheitsbewertungsstufen von Microsoft mehr Klarheit zu schaffen, hat Microsoft die Definitionen dieser Stufen überarbeitet. (Siehe Tabelle 1: Definitionen des Schweregrads). Im Zusammenhang mit diesem Unterfangen hat Microsoft für Software- und Sicherheitsupdates außerdem eine konsistentere Terminologie geschaffen.
Tabelle 1: Definitionen des Schweregrads

Bewertung

Definition

Kritisch

Ein Sicherheitsrisiko, dessen Ausnutzung ohne entsprechende Gegenmaßnahmen des Benutzers die Verbreitung eines Internetwurms oder -virus ermöglichen könnte.

Wichtig

Ein Sicherheitsrisiko, dessen Ausnutzung die Vertraulichkeit, Integrität oder Verfügbarkeit der Daten der Benutzer oder die Integrität oder die Verfügbarkeit von Verarbeitungsressourcen gefährden könnte.

Mittel

Die Möglichkeit zum Ausnutzen eines Sicherheitsrisikos dieser Stufe wird durch Faktoren wie z. B. die Standardkonfiguration, die Überwachung oder die Ausnutzungsschwierigkeit weitgehend eingedämmt.

Gering

Ein Sicherheitsrisiko, dessen Ausnutzung äußerst schwierig oder deren Schadenswirkung minimal ist.

Zusätzlich werden folgende Tools und Ressourcen eingesetzt, um Kunden zu informieren:

  • Sicherheitsanleitungskit. Dieser kostenlose Download beinhaltet neben ausführlichen Sicherheitsanleitungen eine Sammlung von Tools, Vorlagen, Plänen und Anleitungen. Das Kit wurde dafür entwickelt, beim Implementieren von Maßnahmen wie z. B. der Automatisierung der Installation von Sicherheitsupdates und dem Blockieren unsicherer E-Mail-Anlagen zu helfen, um den fortwährenden Schutz von Organisationen zu gewährleisten.
  • Virus Information Alliance. In diesem Verband haben sich Branchenpartner wie z. B. Computer Associates, McAfee, Sybari, Symantec und Trend Micro zusammengeschlossen, um Kunden über die neuesten Viruswarnungen zu informieren.
  • Solution Accelerators. Um Kunden und Partnern zu helfen, mithilfe der ihnen zur Verfügung stehenden Tools und Ressourcen von Microsoft effektive Sicherheitsprozesse zu entwickeln, werden von Microsoft ausführliche Anleitungen zur Verwendung dieser Tools und Ressourcen angeboten. Die Solution Accelerators zur Anleitung bei der Verwaltung von Sicherheitsupdates verwenden einen klar definierten Prozess mit vier Schritten, der dafür konzipiert wurde, bei der Verwaltung von Sicherheitsupdates Best Practices mit zusätzlichen Anleitungen zu verknüpfen, um die kritische Bereitstellung von Updates innerhalb von 24 Stunden zu gewährleisten. Für die Verwaltung von Sicherheits- und Softwareupdates stehen zwei Solution Accelerators zur Verfügung: ein Solution Accelerator zur Verwendung mit Microsoft Software Update Services (SUS) und ein weiterer zur Verwendung mit Microsoft Systems Management Server. Weitere Informationen finden Sie unter
    http://www.microsoft.com/windowsserversystem/overview/benefits/manageability/patch.mspx.

Konsistenz und Qualität

Jedes Microsoft-Produkt ist im Laufe der Jahre durch Innovationen und Entwicklungen herangereift, die in erster Linie darauf ausgerichtet sind, Kunden zu helfen, unter den verschiedensten Umständen ihre Bereitstellungsziele zu erreichen. Diese Unabhängigkeit hat es den einzelnen Produktteams ermöglicht, auf kreative Weise die betrieblichen und technischen Anforderungen ihrer Kunden zu erfüllen. Zugleich hatte diese Unabhängigkeit aber auch zur Folge, dass Software- und Sicherheitsupdates in isolierten „Silos“ entwickelt wurden.

Ohne gemeinsame Terminologie oder Taxonomie haben die Produktteams zahlreiche Installationstechnologien entwickelt, die unterschiedliche Benutzeroberflächen und Funktionsweisen bereitgestellt haben. Insbesondere die Stabilität des Codes, die Paketgröße, die Konsistenz und die Systemstartanforderungen von Sicherheitsupdates bedurften weiterer Verbesserungen.

Die Qualität von Sicherheitsupdates bleibt nach wie vor ein wichtiges Aufgabenfeld, da das Feedback von Kunden auf zu viele Rückrufe, unnötige Systemneustarts und übermäßige Größen hinweist. Wenn Microsoft ein Produkt veröffentlicht, wird ein umfassender Regressions-, Kompatibilitäts-, Funktionalitäts- und Sicherheitstestplan verwendet, um eine hohe Qualität des Produkts zu gewährleisten. Dem wirkt allerdings entgegen, dass Sicherheitsupdates in der Regel so schnell wie möglich getestet und veröffentlicht werden müssen.

Um diese Konsistenz- und Qualitätsprobleme zu bewältigen, hat Microsoft die folgenden Änderungen vorgenommen und Pläne für weitere Änderungen in Angriff genommen.

Konsistenz

  • Microsoft plant, die Terminologie und die Benennungskonventionen zu vereinheitlichen und Richtlinien für alle Produktgruppen zu entwickeln und durchzusetzen. Eine umfassende Liste der neu implementierten Standards finden Sie unter
    http://www.microsoft.com/technet/security/guidance/patchmanagement/stdpatex.mspx.
  • Alle Softwareanwendungen von Microsoft, die zur Bereitstellung in Organisationen entwickelt werden (also Geschäfts- oder Unternehmensanwendungen), verwenden einheitlich eines von zwei Standardinstallationsprogrammen: Update.exe für Betriebssystemkomponenten und Microsoft Installer (MSI) 3.0 für Anwendungen. Beide Installationsprogramme werden die Möglichkeit unterstützen, Updates zu deinstallieren, und werden außerdem die standardisierten Installationsoptionen verwenden.

Qualität

  • Microsoft verwendet jetzt einen Testzyklus von 5 Wochen mit Abbruchkriterien für jeden Schritt des Zyklus, gründlicheren Tests aller Komponenten der Sicherheitsupdates, zusätzlichen Tests der täglichen Arbeitsstationsbelastung, eigenem Hosting, konsistenten Kriterien für die Veröffentlichung von Sicherheitsupdates und der Bestätigung von Updates auf Managementebene vor ihrer Veröffentlichung. Um das Problem der Patchgröße zu lösen, werden die Paketinhalte jetzt genauer auf überflüssige oder doppelt vorhandene Dateien überprüft.
  • Es wurde ein Kunden-Patchprüfungsprogramm implementiert, um Testprobleme in der Kundenumgebung zu erkennen.
  • Das Microsoft Security Response Center (MSRC) und das „Secure Windows Initiative“-Team führen an jedem Sicherheitsupdate, das in Verbindung mit einem Sicherheitsbulletin veröffentlicht wird, eine formelle „Post Mortem“-Prüfung durch.
  • Die Häufigkeit, mit der neue Updates bisher veröffentlicht wurden, wurde von einmal pro Woche auf einmal pro Monat am zweiten Dienstag jedes Monats reduziert. In Notfallsituationen, d. h., wenn sich Informationen ergeben, dass ein Sicherheitsrisiko ausgenutzt oder die Kenntnis einer solchen Möglichkeit in unmittelbarer Zukunft öffentlich bekannt werden könnte, wird Microsoft die erforderlichen Updates außerhalb des normalen Veröffentlichungszyklus bereitstellen.
  • Der Anteil der von Windows Update bereitgestellten Sicherheitsupdates, die einen Neustart des Systems erfordern, wurde um 10 Prozent reduziert.
  • Technologie zur speicherinternen Implementierung von ursprünglich durch Microsoft Windows Server 2003 Service Pack 1 (SP1) bereitgestellten Patches hat die Anzahl der Windows Server 2003-Sicherheitsupdates, die einen Computerneustart erfordern, um etwa 30 Prozent reduziert. Es wird damit gerechnet, dass dieser Prozentsatz im Laufe der Zeit steigen wird.
  • Darüber hinaus arbeiten die Engineeringteams von Microsoft an der Entwicklung intelligenterer Installationsprogramme mit einer besseren Erkennung und einer dynamischen Analyse, um zu ermitteln, ob ein Systemneustart erforderlich ist und welche Betriebssystemverbesserungen die Ersetzung von Dateien ohne Neustart ermöglichen.

Die richtigen Tools

Microsoft arbeitet kontinuierlich an der Entwicklung von Tools und Technologien zur Updateverwaltung. Diese Tools sind für die einzigartigen Anforderungen der Kunden von Microsoft – vom privaten Einzelkunden bis hin zum größten Unternehmen – konzipiert und an sie angepasst. Um den unterschiedlichen Kundenanforderungen zu entsprechen, verfolgt Microsoft eine breit angelegte Strategie für Updateverwaltungstechnologie. In der unten stehenden Tabelle werden die wichtigsten Angebote von Microsoft für die Updateverwaltung aufgelistet.

Tabelle 2: Angebote von Microsoft für die Updateverwaltung

Technologietyp

Microsoft-Angebot

Updateanalyse

  • Microsoft Baseline Security Analyzer (MBSA) 1.2
  • Office Update Inventory Tool 2.0

Online Update Service

  • Microsoft Update
  • Windows Update
  • Office Update (jetzt durch Microsoft Update ersetzt)

Automatisierte Updateverwaltung

  • Windows-Funktion „Automatische Updates“
  • Software Update Services (SUS) 1.0
  • SMS 2003

Einzelbenutzer und IT-Administratoren können MBSA verwenden, um einen Bericht der auf ihren Systemen installierten und fehlenden Sicherheitsupdates abzurufen. MBSA erkennt fehlende Sicherheitsupdates bei zahlreichen Windows-Betriebssystemen und anderer Microsoft-Software. MBSA umfasst auch Funktionen für Berichte zu häufigen Fehlern bei der Sicherheitskonfiguration. MBSA 1.2 hat mehrere Verbesserungen an den in MBSA 1.1.1 enthaltenen Funktionen zur Erkennung fehlerhafter Sicherheitskonfigurationen bereitgestellt, und in MBSA 2.0 wird die Funktionalität dieses Tools noch erweitert. Auf diese Verbesserungen wird im unten stehenden Abschnitt über MBSA eingegangen.

Hier sollte angemerkt werden, dass in MBSA seit Veröffentlichung von Version 1.2 die Funktion Office Update Inventory Tool 2.0 enthalten ist, die lokale Systeme auf fehlende Microsoft Office-Updates untersucht. Daher wird das Office Update Inventory Tool nicht benötigt, wenn von SMS oder anderen Methoden, die auf den zu untersuchenden Systemen lokal MBSA ausführen, Überprüfungen durch MBSA gestartet werden.

Microsoft hostet drei Onlineaktualisierungsdienste: Microsoft Update, Windows Update und Office Update (Office Update dient in erster Linie zum Aktualisieren älterer Office-Versionen, da neuere Updates für Office, Windows und ausgewählte Drittanbieterprodukte von Microsoft Update besser versorgt werden). Diese drei Dienste ermöglichen es, einzelne Systeme über das Internet zu aktualisieren. Wie die Namen dieser Dienste bereits erkennen lassen, dient Windows Update zur Aktualisierung verschiedener Versionen des Windows-Betriebssystems und Office Update zur Aktualisierung von Office 2000 oder älterer Versionen aus der Familie der Microsoft Office-Produkte auf Systemen, die auf diese Websites zugreifen. Für diejenigen, die nach der einfachsten und umfassendsten Aktualisierungslösung für einzelne Systeme suchen, auf denen neuere Versionen von Windows und Office ausgeführt werden, empfiehlt Microsoft Microsoft Update.

Einzelpersonen oder Organisationen ohne einen durch einen IT-Administrator kontrollierten Prozess zur Updateverwaltung können auch automatisch auf dem neuesten Stand bleiben, indem sie sich mit der Windows-Funktion „Automatische Updates“ die neuesten Sicherheitsupdates besorgen, die von Microsoft für Windows XP, Windows 2000 SP3 oder höher und Windows Server 2003 bereitgestellt werden. Die Funktion „Automatische Updates“ sucht automatisch in regelmäßigen Abständen auf der Website von Windows Update nach den aktuellsten Sicherheitsupdates und wichtigen Updates und lädt sie herunter. Einzelbenutzer oder IT-Administratoren können wählen, ob der Computerbenutzer zum Installieren neuer Updates aufgefordert werden soll oder ob die Updates automatisch installiert werden sollen.

In der Anfangszeit der Initiative „Trustworthy Computing“ erfuhr Microsoft von vielen Organisationen, dass ihre jeweiligen Richtlinien für die Patchverwaltung die Anforderung umfassten, Patches in ihren Betriebsumgebungen zu testen und zu genehmigen, bevor die unternehmensweite Bereitstellung erlaubt wurde. Um diesen Prozess zu erleichtern, hat Microsoft mit SUS 1.0 eine von IT-Administratoren kontrollierte Lösung für eine einfache Updateverwaltung veröffentlicht.

Ab dem 10. Juli des Jahres 2007 wird SUS durch Windows Server Update Services 3.0 (WSUS 3.0) ersetzt. Dieser Dienst umfasst neue Features, die es Administratoren ermöglichen, Updates leichter in der gesamten Organisation zu verwalten und bereitzustellen. Zu den Vorteilen, die WSUS 3.0 bietet, zählen eine neue, auf MMC basierende Benutzeroberfläche mit erweiterter Filterung und Berichterstattung, eine verbesserte Leistung und Zuverlässigkeit, verschiedene Zweigstellenoptimierungen und ein Berichterstattungsrollup sowie ein Microsoft Operations Manager-Paket. Genau wie SUS wird auch WSUS für Windows Server-Lizenznehmer ohne Zusatzgebühren zur Verfügung gestellt. Informationen zum Ende der Verfügbarkeit von SUS 1.0.

Viele Kunden möchten kein separates Tool für die Updateverwaltung, sondern suchen eine integrierte Systemverwaltungslösung, die Möglichkeiten zur Patchverwaltung bietet. Die im Oktober des Jahres 2003 veröffentlichte Lösung SMS 2003 erfüllt diese Anforderung, da sie in einer integrierten Systemverwaltungslösung eine erweiterte Patchverwaltung ermöglicht, die auch das Asset-Management, die Softwarebereitstellung, die Softwaremessung und andere ausgereifte Konfigurationsverwaltungsfunktionen umfasst. Im Jahr 2007 wurde SMS v4 in „System Center Configuration Manager“ umbenannt, um diese Hauptfunktionalität stärker zu verdeutlichen.

Im März des Jahres 2007 hat Microsoft mit System Center Essentials 2007ein automatisiertes Updateverwaltungstool angekündigt, das speziell dafür konzipiert ist, die Anforderungen mittelständischer Unternehmen zu erfüllen. Microsoft empfiehlt seinen Kunden, die Funktionen und Einschränkungen dieser Angebote für die automatisierte Updateverwaltung zu prüfen und eine oder mehrere dieser Optionen zu wählen, die ihren individuellen Anforderungen am besten gerecht werden. In der unten stehenden Tabelle sind die Optionen zusammengefasst, die sich für die verschiedenen Kundentypen am besten eignen.

Tabelle 3: Auswahl für die automatisierte Updateverwaltung

Kundentyp

Geeignete Optionen

Mittelständisches oder großes Unternehmen

  • System Center Configuration Manager
  • SMS 2003
  • System Center Essentials 2007
  • WSUS 3.0

Kleines Unternehmen

  • WSUS 3.0
  • Windows-Funktion „Automatische Updates“

Einzelbenutzer

  • Windows-Funktion „Automatische Updates“

Microsoft-Technologien für die Verwaltung von Sicherheits- und Softwareupdates

Updateanalyse
Microsoft Baseline Security Analyzer 1.2

MBSA 1.2 ist ein eigenständiges Tool, das im Microsoft-Downloadcenter als kostenloser Webdownload zur Verfügung gestellt wird. MBSA kann unter Windows XP, Windows 2000 und Windows Server 2003 installiert werden und ermöglicht den Benutzern, ein oder mehrere Windows-Computer auf fehlende Sicherheitsupdates und häufige Fehler bei der Sicherheitskonfiguration zu überprüfen. MBSA 1.2 wurde im Januar des Jahres 2004 veröffentlicht.

MBSA 1.2 unterstützt die Überprüfung von Systemen, auf denen Windows NT 4.0, Windows 2000, Windows XP oder Windows Server 2003 ausgeführt wird. Das Tool prüft auf häufige Konfigurationsfehler von Betriebssystemen, Internetinformationsdiensten (IIS), Microsoft SQL ServerTM, Microsoft Internet Explorer und Microsoft Office und auf fehlende Sicherheitsupdates für eine breite Palette von Microsoft-Anwendungen einschließlich Windows, Microsoft Office, IIS, SQL Server und Microsoft Exchange Server.

Hinweis: MBSA 1.2 vereint in sich die Funktionalität, die in Office Update Inventory Tool 2.0 (nur für lokale Überprüfungen) bereitgestellt wird. Weitere Informationen hierzu finden Sie im unten stehenden Abschnitt zu Office Update Inventory Tool 2.0. Eine komplette Liste der durch MBSA 1.2 überprüften Software steht unter http://www.microsoft.com/technet/security/tools/mbsahome.mspx und im Microsoft Knowledge Base-Artikel 306460 zur Verfügung.

MBSA 1.2 unterstützt die Durchführung des Sicherheitsupdateabschnitts einer Überprüfung anhand einer Liste von durch einen Administrator genehmigten Updates auf einem lokalen SUS-Server. Die Benutzer können diese Option in der grafischen Benutzeroberfläche von MBSA oder in der Befehlszeilenschnittstelle von MBSA angeben. Diese Unterstützung ermöglicht es Administratoren, einen Bericht über fehlende Sicherheitsupdates nur in Bezug auf die von den Administratoren genehmigten Updates zu generieren, statt in diesem Bericht die komplette Liste der Sicherheitsupdates zu berücksichtigen, die in der von dem Tool zur Laufzeit heruntergeladenen Datei „Mssecure.xml“ enthalten ist.

Hinweis: Wenn bei der Überprüfung von einer Liste der von den Admistratoren genehmigten Updates ausgegangen wird, ist MBSA 1.2 nicht mit der bevorstehenden Windows Update Services-Version kompatibel. Diese Einschränkung wird in der nächsten Hauptversion von MBSA korrigiert werden.

Wie bereits erwähnt, stellt MBSA sowohl über eine grafische Benutzeroberfläche als auch über eine Befehlszeilenschnittstelle Optionen zum Überprüfen eines oder mehrerer Windows–Computer bereit. Einzelne Benutzer können über die grafische Benutzeroberfläche schnell eine Systemüberprüfung starten, indem sie auf der Begrüßungsseite der Webschnittstelle von MBSA die Option „Scan a Computer“ (Einen Computer überprüfen) auswählen. Die Überprüfung wird standardmäßig am lokalen Computer durchgeführt und umfasst eine Sicherheitsüberprüfung auf häufige Konfigurationsfehler und das Fehlen von Sicherheitsupdates. Für Einzelbenutzer stellt diese Überprüfung einen umfassenden Bericht bereit, der die Sicherheitsbereitschaft eines Computers bewertet, zu jedem Ergebnis eine Erklärung liefert und ausführliche Empfehlungen bietet, mit welchen Verfahren die festgestellten Probleme behoben werden können.

MBSA kann nicht nur einzelne Computer, sondern anhand einer Domänenmitgliedschaft oder eines Bereichs von IP-Adressen auch eine Gruppe von Computern überprüfen. Durch Kombinieren der Befehlszeilenschnittstelle von MBSA mit verfügbaren Planungstools wie z. B. Taskplaner können Organisationen MBSA-Operationen in einem Skript zusammenstellen, um sie zu einem festgelegten Zeitplan mit einem festgelegten Satz von Optionen an einer festgelegten Gruppe von Zielcomputern durchzuführen. Eine Überprüfung könnte beispielsweise für eine ganze Domäne mit allen verfügbaren Einzelüberprüfungen während einer Zeitspanne mit geringer Ressourcennutzung durchgeführt werden. Diese Möglichkeit lässt sich aber noch besser nutzen, indem ein MBSA-Skript erstellt wird, das in Gruppenrichtlinien eingebunden und im Rahmen eines Benutzeranmeldungsprozesses ausgeführt wird. Mithilfe der auf der TechNet-Website (http://www.microsoft.com/technet) verfügbaren Beispielskripte ist es möglich, einzelne Computerüberprüfungsberichte zu einem zentralisierten Überprüfungsrollup für Update- oder Konfigurationsüberprüfungen zu kombinieren. Diese Beispiele demonstrieren auch, wie eine unbegrenzte Anzahl von Computern überprüft und der Grad des Schutzes vor einer bestimmten Sicherheitsbedrohung abgefragt werden kann.

MBSA 1.2 bietet die folgenden Hauptverbesserungen:

  • Unterstützung der Sprachen Deutsch, Japanisch und Französisch.
  • Konfigurationsüberprüfungen für Internetverbindungsfirewall, „Automatische Updates“ und Internet Explorer-Zonen.
  • Überprüfung auf das Fehlen von Updates für zusätzliche Microsoft-Software einschließlich Microsoft Office, Exchange Server 2003 und verschiedene andere Produkte.
  • Zusätzliche MBSA-Befehlszeilenschalter.
  • Unterstützung alternativer Dateiversionen.

Weitere Informationen zu MBSA finden Sie unter den folgenden Ressourcen:

Office Update Inventory Tool 2.0

Office Update Inventory Tool 2.0 ermöglicht es Administratoren, einen oder mehrere Computer in ihrer Organisation auf den Status der Updates für Microsoft Office 2000, Microsoft Office XP und Microsoft Office 2003 zu überprüfen. Von einem zentralen Standort aus können Administratoren das Tool ausführen, um Berichte darüber zu erhalten, welche Updates zum Installieren zur Verfügung stehen und welche Updates nur in einem administrativen Abbild installiert werden können.

Aufgrund des Feedbacks von Kunden wurde Version 2.0 des Erkennungsmoduls entscheidend verbessert, indem Folgendes integriert wurde:

  • Eine Funktion, um zu ermitteln, ob die ausführbaren Dateien oder die Erkennungsdaten des Inventory Tool veraltet sind, und um ggf. die neuesten Versionen herunterzuladen.
  • In der Erkennungsausgabe enthaltene Informationen zu abgelaufenen Updates, also zu Updates, die durch neuere Versionen ersetzt wurden.
  • Zusätzliche Angaben in den Überprüfungsberichten, wie z. B. eine Kennung, um das Suchen von Updateinformationen in der XML-Datei zu vereinfachen, ein Pfad zur Seite für die Clientaktualisierung sowie Informationen zu den Grundvoraussetzungen.

Hinweis: Wie bereits erwähnt, wurden die Funktionen von Office Update Inventory Tool 2.0 in MBSA 1.2 integriert. Daher sollte anstelle dieses Tools MBSA 1.2 verwendet werden, es sei denn, es müssen Remoteüberprüfungen von Systemen auf das Fehlen von Microsoft Office-Updates durchgeführt werden.

Online gehostete Dienste
Windows Update

Windows Update ist die Onlineerweiterung von Windows, die dabei hilft, Computer auf dem neuesten Stand zu halten. Windows Update unterstützt derzeit Windows 98, Windows Millennium Edition, Windows 2000, Windows XP und Windows Server 2003. Kunden können Windows Update verwenden, um Updates für die Betriebssystemsoftware und die Hardwaretreiber eines Computers zu wählen. Windows Update wird neuer Inhalt hinzugefügt, sobald von Microsoft neue Updates für Windows verfügbar gemacht werden. Aus diesem Grund ist dieses Tool die wichtigste Quelle der neuesten Updates für die oben aufgelisteten Windows-Betriebssysteme.

Die Verwendung von Windows Update ist einfach und in drei Schritte unterteilt:

  1. Wechseln Sie zur Website von Windows Update, und klicken Sie auf „Scan for Updates“ (Wichtige Updates abrufen).
  2. Durchsuchen Sie die verfügbaren Updates jeder Kategorie, und klicken Sie auf „Add“ (Hinzufügen), um ein Update auszuwählen und der Sammlung der zu installierenden Updates hinzuzufügen. Lesen Sie bei Bedarf eine vollständige Beschreibung jedes Updates, indem Sie auf den Link „Read More“ (Weitere Informationen) klicken.
  3. Klicken Sie nach dem Auswählen aller erforderlichen Updates auf „Review and Install Updates“ (Updates anzeigen und installieren) und danach auf „Install Now“ (Jetzt installieren).

Der Windows Update-Katalog (Windows Update Catalog, WUC) erweitert die Grundoperationen von Windows Update, indem er Benutzern oder Administratoren ermöglicht, Updates für einzelne Kategorien – Betriebssysteme oder Hardwaretreiber – anzufordern und sie an einen festgelegten Speicherort herunterzuladen, um sie zu einem späteren Zeitpunkt zu installieren. WUC verpackt die Updates in einer Unterverzeichnisstruktur und stellt ein Verlaufsprotokoll für das Herunterladen zur Verfügung, in dem die heruntergeladenen Updates, ihr Speicherort und eine kurze Beschreibung jedes Updates angezeigt werden.

WUC ist über die Website von Windows Update verfügbar, zu der am Ende des Inhaltsverzeichnisses ein Link bereitgestellt wird. Wenn der Link nicht sichtbar ist, können Sie die Einstellungen unter „Personalize Windows Update“ (Windows Update personalisieren) entsprechend ändern, damit der Link zu WUC angezeigt wird.

Office Update

Office Update liegt ein ähnliches Konzept wie Windows Update zugrunde, ist jedoch auf Updates für die Microsoft Office-Produktsuite beschränkt. Eine Liste der unterstützten Produkte finden Sie unter„Which Office products does the Office Update site support?“" (Welche Office-Produkte werden von der Office Update-Website unterstützt) auf der Seite „About Office Update“ (Info zu Office Update).

Benutzer wechseln zur Website von Office Update und wählen „Check for Updates“ (Auf Updates überprüfen)“ aus, um eine Überprüfung der Microsoft Office-Installation eines Computers auf das Fehlen von Softwareupdates oder Service Packs zu starten. Es wird eine ausführliche Liste der fehlenden Updates angezeigt, die benötigt werden, um das System auf den neuesten Stand zu bringen. Anschließend werden die ausgewählten Updates auf dem Computer installiert.

Vom Administrator gestartete Aktualisierung von Office

Bei Organisationen ist die Aktualisierung einzelner Computer ggf. keine sehr praktische Vorgehensweise. Es gibt in einer verwalteten Umgebung zwei Hauptmöglichkeiten, um Softwareupdates zu installieren und Microsoft Office-Produkte zu warten:

  • Patchen Sie das administrative Abbild.
  • Installieren Sie Softwareupdates – sowohl binäre Patches als auch aus ganzen Dateien bestehende Patches – direkt auf dem Client.

Das Office-Verwaltungsupdatecenter stellt Informationen dazu bereit, welche Wartungsmethode für eine Organisation am besten geeignet ist.

Microsoft stellt zwei zusätzliche Tools zur Verfügung, um den Prozess der Aktualisierung von Microsoft Office-Installationen in Organisationen zu unterstützen:

  • Microsoft Security Baseline Analyzer 1.2 und Office Update Inventory Tool 2.0 ermöglichen es, die Office-Produktreihe auf fehlende Updates zu überprüfen. Ausführliche Informationen zu diesen Tools finden Sie weiter oben im Abschnitt „Updateanalyse“.
  • Ohotfix.exe ist ein Dienstprogramm, das dafür entwickelt wurde, Administratoren beim Bereitstellen von Updatedateien in ihren Organisationen zu helfen. OHotFix liest dazu eine Folge von Bereitstellungsanweisungen, die in einer INI-Datei enthalten sind, und verwendet anschließend diese Anweisungen dafür, ein Update auf dem Computer zu installieren. Wenn eine Office-Updatedatei auf dem System verfügbar ist, kann OHotFix auch die auf dem Computer installierten Office-Anwendungen überprüfen, um zu ermitteln, welche Anwendungen das Update benötigen, und eine Gruppe von Updatedateien in einer bestimmten Reihenfolge anordnen, um eine Installation zu optimieren.

    Weitere Informationen finden Sie unter http://www.microsoft.com/office/ork/xp/journ/Ohotfix.htm.

Hinweis: Die aktuellsten Informationen und ausführlichere Dokumentationen zur Aktualisierung von Microsoft Office in einer verwalteten IT-Umgebung finden Sie im Office-Verwaltungsupdatecenter unter http://www.microsoft.com/office/ork/updates/default.htm.

Angebote für die automatisierte Updateverwaltung
Automatische Updates

„Automatische Updates“ ist eine Funktion von Windows 2000 SP3 und höher, Windows XP und Windows Server 2003, die es ermöglicht, einzelne Systeme dafür zu konfigurieren, automatisch auf der Website von Windows Update nach neuen Sicherheitsupdates und wichtigen Updates zu suchen und sie herunterzuladen. Die Komponente „Automatische Updates“ umfasst Analysefunktionen zum Ermitteln fehlender Updates. Sie lädt nur fehlende Updates für die auf einem Computer ausgeführte Betriebssystemversion herunter und kann dafür konfiguriert werden, entweder den Benutzer zur Installation aufzufordern oder die Updates automatisch auf dem Computer zu installieren.

IT-Administratoren können die verschiedenen Einstellungen von „Automatische Updates“ zentral mithilfe von Gruppenrichtlinien oder Skripts konfigurieren, die die entsprechenden Registrierungswerte einstellen.

Software Update Services 1.0

SUS ist eine Version von Windows Update, die für Organisationen entwickelt wurde, in denen jedes Softwareupdate genehmigt werden soll, bevor es installiert wird. SUS ermöglicht Administratoren, Sicherheitsupdates für Windows und wichtige Updates schnell und einfach auf jedem Computer zu installieren, auf dem Windows 2000, Windows XP Professional oder Windows Server 2003 ausgeführt wird. SUS beinhaltet die folgenden Funktionen:

  • Softwareupdates können auf jedem SUS-Server genehmigt werden, was Testverfahren in einer separaten Umgebung sowie phasengesteuerte Bereitstellungen im gesamten Unternehmen ermöglicht.
  • SUS-Clients, die mit der bereits beschriebenen Komponente „Automatische Updates“ identisch sind, können dafür konfiguriert werden, Softwareupdates vom SUS-Server (dadurch wird bei gemeinsam genutzten Internetverbindungen die Bandbreite geschont) oder direkt von der Website von Windows Update herunterzuladen.
  • Softwareupdates können auch von einem ans Internet angeschlossenen SUS-Server auf eine CD-ROM kopiert und danach auf einen SUS-Server in einem geschützten Netzwerk ohne Internetzugang übertragen werden.

SUS-Server erfordern Windows 2000 Server oder Windows Server 2003, IIS und Port 80-Kommunikationen mit SUS-Clients. SUS-Server können dafür konfiguriert werden, Softwareupdatepakete und -genehmigungen entweder manuell oder automatisch von einem übergeordneten SUS-Server (oder von Windows Update) aus zu synchronisieren. Dies ermöglicht Flexibilität bei der Wartung der Umgebung.

Die Bereitstellung von SUS-Servern wird von den Erfordernissen einer Organisation in Bezug auf Systemupdates bestimmt. Theoretisch kann ein einziger SUS-Server die Anforderungen einer ganzen Organisation hinsichtlich der Verwaltung von Sicherheitsupdates erfüllen. In der Praxis empfiehlt es sich jedoch, mehrere SUS-Server bereitzustellen.

So kann beispielsweise ein SUS-Server für Testreihen in einer Testumgebung vor der endgültigen Installation bereitgestellt werden, um die Auswirkungen zu ermitteln, die jedes einzelne Sicherheitsupdate auf eine Organisation haben wird. Dieser SUS-Server kommuniziert direkt mit der Website von Windows Update, um zu prüfen, ob Updates verfügbar sind. Nachdem bestimmte Updates getestet wurden, werden sie für einen SUS-Server der Produktionsumgebung genehmigt. Dieser SUS-Server der Produktionsumgebung prüft, ob auf der Website von Windows Update Sicherheitsupdates verfügbar sind, und kann dafür konfiguriert werden, Updates lokal herunterzuladen oder eine lokale SUS-Metadatei mit Updateinformationen zu ändern. Nachdem der „Stamm“-SUS-Server über die geeigneten (lokalisierten oder referenzierten) Updates verfügt, können stufenweise angeordnete SUS-Server, die möglicherweise näher bei den Desktops einer Organisation bereitgestellt werden, dafür konfiguriert werden, verfügbare und genehmigte Updates mit dem „Stamm“-SUS-Server zu synchronisieren. Der Synchronisierungsvorgang kann manuell oder nach Zeitplan erfolgen.

SUS-Clients stellen nach einem täglichen oder wöchentlichen Zeitplan die Verbindung zu einem zugeordneten SUS-Server her. Wie im Abschnitt zu „Automatische Updates“ bereits erwähnt, kann ein Client mithilfe von Gruppenrichtlinieneinstellungen oder administrativen Skripts, die die entsprechenden Registrierungswerte einstellen, zentral konfiguriert werden. Von Administratoren festgelegte Konfigurationsoptionen, die von Gruppenrichtlinien bestimmt werden, haben stets Vorrang vor benutzerdefinierten Optionen. Darüber hinaus sind auf einem Clientcomputer, auf dem administrative Richtlinien eingestellt wurden, Systemsteuerungsoptionen für „Automatische Updates“ deaktiviert.

Administratoren können auch einen Webserver verwenden, um statistische Informationen von „Automatische Updates“ zu heruntergeladenen Updates und deren Installationsstatus zu protokollieren. Diese statistischen Daten werden unter Verwendung des HTTP-Protokolls gesendet, damit der Webserver diese Informationen in seine Protokolle aufnehmen kann. Der Statistikserver muss ein Computer sein, auf dem IIS 5.0 oder höher ausgeführt wird und Protokollierung aktiviert ist.

Weitere Informationen finden Sie unter http://www.microsoft.com/sus/default.mspx.

Systems Management Server 2003

Mit den von SMS 2003 bereitgestellten erweiterten Funktionen für die Updateverwaltung können Administratoren die Verwaltung von Sicherheitsupdates und andere Updates im gesamten Unternehmen leicht bewältigen. SMS war schon immer in der Lage, jede Art von Software zu verteilen, doch die neue Updateverwaltungsfunktionalität rationalisiert den Prozess der Verwaltung von Sicherheitsupdates.

SMS enthält umfassende Funktionen zur Inventar-, Sicherheitsrisiko- und Softwareupdatebewertung, webbasierte Berichte zum Aufzeigen der Kompatibilitäts- und Installationsergebnisse sowie Assistenten zur Vereinfachung der Verwaltung von Sicherheitsupdates. SMS 2003 bewertet Sicherheitsupdates für Windows, Microsoft Office und andere von MBSA überprüfte Produkte und stellt sie bereit. SMS beinhaltet die folgenden Tools.

Installationsprogramm für die Sicherheitsupdateinventur
Das Installationsprogramm für die Sicherheitsupdateinventur wird dazu verwendet, für Clientcomputer eine Inventur der geeigneten und installierten Sicherheitsupdates durchzuführen. Dieses Tool besteht aus drei Hauptkomponenten:

  • Installationsprogramm für die Sicherheitsupdateinventur Diese Komponente wird auf dem SMS-Standortserver ausgeführt und erstellt automatisch das Paket, die Sammlung und die Ankündigung, die für die Bereitstellung der anderen Toolkomponenten innerhalb des SMS-Systems benötigt werden.
  • Sicherheitsupdate-Inventurprogramm Diese Komponente verwendet die vorhandene MBSA 1.2-Technologie sowie den Sicherheitspatchbulletin-Katalog (Mssecure.xml) und den Microsoft-XML-Parser (MSXML), um automatisierte, kontinuierliche Überprüfungen der Clientcomputer auf installierte oder geeignete Sicherheitsupdates durchzuführen. Danach wandelt es die von diesen Tools gesammelten Daten in SMS-Inventurdaten um.
  • Synchronisierungsprogramm für Sicherheitsupdates Diese Komponente wird vom Installationsprogramm bereitgestellt und auf einem einzelnen Computer mit Internetverbindung ausgeführt. Das Programm überprüft regelmäßig die Downloadswebsite von Microsoft, um den aktuellsten Sicherheitsupdatebulletin-Katalog herunterzuladen. Danach verwendet es SMS-Verteilungspunkte innerhalb der SMS-Infrastruktur, um die neuesten Versionen dieser Objekte an Clientcomputer zu senden.

Installationsprogramm für den Softwareupdateverteilungs-Assistenten
Das Installationsprogramm für den Softwareupdateverteilungs-Assistenten wird verwendet, um Aufgaben zur Verteilung von Softwareupdates durchzuführen. Dieses Tool besteht aus drei Hauptkomponenten:

  • Installationsprogramm für den Softwareupdateverteilungs-AssistentenDiese Komponente wird auf dem SMS-Standortserver ausgeführt und installiert den Softwareupdateverteilungs-Assistenten.
  • Softwareupdateverteilungs-Assistent Dieser Assistent führt vom SMS-Standortserver aus die folgenden Aufgaben zur Verteilung von Softwareupdates durch:
    • Er verwendet Inventardaten, um für Clients den Status geeigneter Updates zu analysieren.
    • Er stellt eine Methode zum Überprüfen und Autorisieren vorgeschlagener Updates bereit.
    • Er lädt autorisierte Updates und Installationsinformationen herunter.
    • Er erstellt Pakete und Ankündigungen, die auf jedes Update oder jeden Satz von Updates zugeschnitten sind.
    • Er verteilt mithilfe der SMS-Features zur Verteilung von Software die Updateankündigungen innerhalb eines Unternehmens auf Clientcomputer.
    • Er stellt auf Clientcomputern den Installations-Agent für Softwareupdates bereit.
  • Installations-Agent für Softwareupdates Der Agent wird dafür verwendet, angekündigte Softwareupdates im Vergleich zu fehlenden und bereits installierten Updates auf Clientcomputern zu bewerten. Er vereinfacht den Prozess der Installation erforderlicher Updates und verhindert die Installation überflüssiger oder unnötiger Updates, um die Gemeinkosten des Systems zu reduzieren.

Webberichte-Add-In für Softwareupdates
Das Webberichte-Add-In für Softwareupdates erweitert das Tool zur SMS-Webberichterstattung um zusätzliche Features und ermöglicht Benutzern, einen Satz von Berichten anzuzeigen, der anhand von Informationen erstellt wurde, die von Tools zur Softwareupdateinventur gesammelt wurden. Zusätzlich zu den vorkonfigurierten Berichten, die das Webberichte-Add-In liefert, werden auch benutzerdefinierte Inventurberichte mithilfe von SQL Server-Ansichten sowie das Inventurschema unterstützt.

Organisationen, die nach erweiterten Funktionen für die Updateverwaltung oder nach einer integrierten Systemverwaltungslösung suchen, in der eine Updateverwaltung enthalten ist, sollten SMS 2003 in die engere Wahl ziehen.

Ziele für die Zukunft: Rationalisieren des Patch- und Updateverwaltungsprozesses

Microsoft arbeitet kontinuierlich an der Verbesserung der Tools, die Kunden für die Verwaltung von Sicherheits- und Softwareupdates zur Verfügung stehen. Wie bereits erwähnt, lässt das Feedback von Kunden erkennen, dass es notwendig ist, die Tools zu konsolidieren und zu integrieren. Aus diesem Grund hat Microsoft einen Plan zur Konsolidierung und Integration der verschiedenen Updateverwaltungstechnologien entwickelt.

Dieser Plan sieht vor, dass Microsoft die Kerninfrastruktur für die Updateverwaltung und eine Lösung zur einfachen Updateverwaltung in Windows bereitstellen wird. Windows Update Services, die nächste Version der Software Update Services, wird den ersten Schritt darstellen, um diese Infrastruktur und Updateverwaltungslösung in Windows verfügbar zu machen. Windows Update Services wird zunächst Lizenznehmern von Windows 2000 Server oder Windows Server 2003 als kostenloser Webdownload zur Verfügung gestellt werden und später in zukünftigen Versionen von Windows integriert sein.

Windows Update Services wird auch das maßgebende, integrierte Analysemodul von Microsoft zum Erkennen fehlender Updates für jede von Windows Update Services unterstützte Software und andere Verwaltungs- oder Sicherheitstools wie z. B. MBSA und SMS enthalten. Darüber hinaus wird es möglich sein, das WUS-Analysemodul durch Produkte anderer Softwareanbieter aufzurufen, um einen Bericht über fehlende Microsoft-Softwareupdates zu erhalten. Da das Analysemodul im Windows Update Services-Client integriert ist, der in Windows enthalten ist und auch die Funktion „Automatische Updates“ ermöglicht, setzen diese Produkte nicht die Bereitstellung eines Windows Update Services-Servers voraus, um das Analysemodul verwenden zu können.

Im Laufe der Zeit werden SMS und das Nachfolgeprodukt (Microsoft System Center) mehr und mehr die Infrastruktur von Windows Update Services nutzen, um erweiterte Funktionen für die Updateverwaltung bereitzustellen.

Für die nächsten Jahre ist u. a. die Veröffentlichung der folgenden Technologien für die Updateverwaltung geplant: Microsoft Update, Windows Update Services, SMS 2003 SP1 und MBSA 2.0.

Microsoft Update

Microsoft Update, das in seiner Funktion Windows Update ähnelt, wird ein von Microsoft gehosteter neuer Onlineaktualisierungsdienst sein, der das Bereitstellen von Updates für verschiedene Versionen von Windows-Betriebssystemen sowie für weitere Microsoft-Software unterstützen wird. Microsoft Update wird auch wichtige Treiberupdates verfügbar machen. Die Veröffentlichung von Microsoft Update ist für das Ende des Jahres 2004 geplant.

Bei seiner Veröffentlichung wird Microsoft Update zunächst Updates für Windows 2000, Windows XP, Windows Server 2003, Microsoft Office 2003, Microsoft Office XP, Microsoft SQL Server 2000, MSDE 2000 und Microsoft Exchange Server 2003 bereitstellen. Danach wird dieses Angebot im Laufe der Zeit kontinuierlich um Updates für weitere Microsoft-Software erweitert werden.

Windows Update wird aus Gründen der „Tradition“ beibehalten und gemeinsam mit Microsoft Update weiterhin aktualisiert werden.

Windows Update Services

Die auf den in SUS 1.0 bereitgestellten Funktionen basierenden Windows Update Services, die nächste Version der Software Update Services, werden die administrative Flexibilität erhöhen und zugleich die Verwaltung von Sicherheits- und Softwareupdates insgesamt vereinfachen. Die Veröffentlichung der Windows Update Services ist für das Ende des Jahres 2004 geplant. Zum selben Zeitpunkt wird auch Microsoft Update veröffentlicht werden.

Da die Windows Update Services zum Herunterladen von aktualisierten Inhalten mit Microsoft Update synchronisiert werden sollen, wird die erste Version der Windows Update Services zunächst die Aktualisierung derselben Softwareanwendungen unterstützen, die weiter oben bereits für Microsoft Update aufgelistet wurden. Danach wird dieses Angebot im Lauf der Zeit automatisch und kontinuierlich um die Unterstützung zusätzlicher Microsoft-Software erweitert werden, die auf Microsoft Update als Inhalt verfügbar gemacht wird.

Zusätzlich zur Möglichkeit, weitere Microsoft-Software zu aktualisieren, werden die Windows Update Services u. a. die folgenden Hauptverbesserungen bieten:

  • Eine neue Updateverwaltungsinfrastruktur für Windows, einschließlich des maßgebenden, integrierten Analysemoduls von Microsoft zum Erkennen fehlender Updates für jede von Windows Update Services unterstützte Software, ein neues Datenmodell für die Updateverwaltung sowie Client- und Server-APIs, die eine Integration mit Verwaltungs- oder Sicherheitssoftware, die nicht von Microsoft stammt, sowie die Bereitstellung administrativer Skripts ermöglichen.
  • Erweiterte administrative Funktionen zum Kontrollieren der Ausrichtung von Updates sowie zum Kontrollieren von Deinstallationen, Clientsuchhäufigkeit, Installationsfristen, Benutzerfreundlichkeit und so weiter.
  • Erhöhte Bandbreitenoptimierung einschließlich verbesserter binärer Deltakomprimierung, um die Anzahl der Bit, die mit Downloads von Updates verbunden sind, drastisch zu reduzieren.
  • Die Erstellung von Statusberichten einschließlich vordefinierter Berichte zum Aufzeigen fehlender Updates sowie des Download- und Installationsstatus.

Informationen zu Windows Update Services finden Sie unter http://www.microsoft.com/wus.

Systems Management Server 2003 SP1

Seit der Veröffentlichung von SMS 2003 hat Microsoft seine Analysetechnologien aktualisiert, um die verbesserte MBSA-Version 1.2 zu verwenden, die im Januar des Jahres 2004 veröffentlicht wurde. SMS 2003 SP1 wird im dritten Quartal des Jahres 2004 verfügbar werden und die derzeit in SMS 2003 enthaltenen Features für die Updateverwaltung verbessern, indem es ermöglichen wird, Updates von Microsoft noch einfacher und schneller als bisher zu beziehen und sie anschließend an ein Unternehmen weiterzugeben. SMS 2003 SP1 wird zusätzlich SMS 2003 um die Möglichkeit erweitern, Updates von wichtigen Hardwareanbietern wie beispielsweise der Dell Corporation auf die gleiche integrierte Weise bereitzustellen, in der Kunden heute in SMS 2003 ihre Microsoft-Updates verwalten.

Darüber hinaus wird SMS 2003 dahingehend aktualisiert werden, das im Windows Update Services-Client enthaltene Analysemodul zu verwenden, sobald dieser Client veröffentlicht wird. Die Verwendung dieses Moduls wird bei allen Plattformen und Produkten von Microsoft die Konsistenz der Überprüfung auf Updates erhöhen. Für die nächste Version von SMS sind noch weitere Verbesserungen geplant, die jedoch zu dem Zeitpunkt, zu dem dieser Artikel verfasst wurde, noch nicht feststanden.

Weitere Informationen zu SMS 2003 finden Sie unter http://www.microsoft.com/smserver.

Microsoft Baseline Security Analyzer 2.0

MBSA 2.0, dessen Veröffentlichung für das erste Halbjahr des Jahres 2005 vorgesehen ist, stellt in der Fähigkeit, in Organisationen jeder Größe Sicherheitsprobleme zu erkennen, zu analysieren und zu beheben, einen bedeutenden Fortschritt dar. MBSA wird weiterhin häufige Fehler in der Sicherheitskonfiguration und das Fehlen von Sicherheitsupdates melden, wird aber für jede Software, die von Windows Update Services unterstützt wird, das in Windows Update Services enthaltene Analysemodul verwenden. Bis zu dem Zeitpunkt, zu dem Windows Update Services jede in Organisationen verwendete Microsoft-Software unterstützen wird, wird MBSA für Software, die nicht von Windows Update Services unterstützt wird, weiterhin sein eigenes Analysemodul verwenden.

Weitere Informationen zu MBSA finden Sie unter http://www.microsoft.com/technet/security/tools/mbsahome.mspx.

Verwandte Links

Weitere Informationen finden Sie in folgenden Ressourcen:

Page view tracker