Suchen

Aus der Praxis der Aagon-Berater – Windows-Updates richtig gemacht

3 mal 3 Tipps für Windows-Updates mit Strategie

Seite: 2/3

Firmen zum Thema

2. Konfiguration über Gruppenrichtlinien

Sind auf den Windows-Arbeitsplätzen automatische Updates über Microsoft oder einen lokalen WSUS-Server konfiguriert, kann der Administrator dort über Gruppenrichtlinien (GPO – Group Policy Objects) festlegen, wie die Arbeitsplatzrechner damit umgehen sollen. So lässt sich beispielsweise festlegen, ob der jeweilige Benutzer über neue Updates informiert wird oder ob Aktualisierungen still und leise im Hintergrund heruntergeladen werden.

Ebenso kann der Administrator lokale Änderungen an den Einstellungen für den Umgang mit Windows-Updates erlauben oder verhindern. Hier empfiehlt es sich auf alle Fälle, Änderungen der Einstellungen für Windows-Updates durch Benutzer zu unterbinden.

Ob Anwender über neue Updates unterrichtet werden sollen oder nicht, ist hingegen eher Geschmacksache. Eine gute Übersicht über alle Konfigurationsmöglichkeiten für Windows-Updates per GPO bietet auch die Web-Seite Gruppenrichtlinien.

3. Erst testen, dann verteilen

Manche Updates schaden in der Praxis mehr, als sie nutzen. Im besten Fall bringt ein defektes Update nur einen lästigen Bug mit sich. Im schlimmsten Fall verhindert es die korrekte Funktion des kompletten Arbeitsplatzes – beispielsweise durch einen fehlerhaften Treiber für eine Netzwerkkarte.

Um sich vor Beeinträchtigungen durch fehlerhafte Updates zu schützen, sollten Unternehmen alle Aktualisierungen daher zunächst nur an eine kleine aber möglichst repräsentative Testgruppe verteilen. Dies können etwa die Rechner der Administratoren selbst oder eine Gruppe von Power-Usern im Unternehmen sein.

Laufen deren Rechner nach dem Update ein bis zwei Wochen lang ohne Probleme, kann auch der Rest des Unternehmens die Aktualisierungen erhalten. Achtung: Auch ein einfaches Update eines Web-Browser sollte im Idealfall zunächst getestet werden – insbesondere dann, wenn unternehmenskritische Web-basierte Anwendungen zum Einsatz kommen.

Wer Updates nicht richtig plant, riskiert, dass so manches Sicherheitsleck offen bleibt, weil Patches zu spät eingespielt werden.
Wer Updates nicht richtig plant, riskiert, dass so manches Sicherheitsleck offen bleibt, weil Patches zu spät eingespielt werden.

Voraussetzung für die kontrollierte Verteilung von Windows-Updates ist der Einsatz eines WSUS-Servers oder eines Client-Management-Systems. Aagon bietet dafür „ACMP“ an, das mit dem lokalen Windows-Update-Dienst auf den PCs zusammenarbeitet.

4. Wer hat was wann erhalten?

Gerade bei Updates, die erst nach einiger Zeit Probleme mit einer wichtigen Anwendung verursachen, kann es sinnvoll sein, diese kontrolliert wieder von den betroffenen Arbeitsplätzen zu entfernen. Hierzu muss der Admin jedoch wissen, welcher PC ein bestimmtes Update bereits erhalten hat und welcher nicht.

Der WSUS-Server kann hier nicht wirklich weiterhelfen. Soll die Entfernung von Updates weitgehend automatisiert geschehen, ist wiederum der Einsatz eines Client-Management-Systems notwendig.

Hier kann ein Administrator beispielsweise komfortabel in seiner zentralen Konsole alle Rechner selektieren, die ein bestimmtes Update erhalten haben. Mit einem Mausklick wird dieses dann automatisch von allen PCs wieder entfernt.

(ID:34654730)