Suchen

Aus der Praxis der Aagon-Berater – Windows-Updates richtig gemacht

3 mal 3 Tipps für Windows-Updates mit Strategie

Seite: 3/3

Firmen zum Thema

5. Bringschuld statt Holschuld

Windows-Updates mit und ohne WSUS arbeiten zumindest zum Teil reaktiv. Das heißt, dass die Clients selber bei Microsoft oder den WSUS nach neuen Updates fragen müssen. Tun sie dies aus welchem Grund auch immer nicht, erhalten sie auch keine Aktualisierungen.

Ist das Windows-Update jedoch in ein unternehmensweites Client-Management integriert, so erhält der Administrator dadurch zusätzlich die Möglichkeit, aktiv die Installation bestimmter Patches zu erzwingen. Dazu selektiert er nach einer Inventarisierung zunächst alle Rechner, die ein bestimmtes Update noch nicht besitzen und löst dann über den Agenten des CMS dort eine Suche nach aktuellen Windows-Updates aus.

6. Offline-Updates

Manche Clients sind gar nicht mit dem Internet verbunden. Dies heißt jedoch nicht, dass diese Rechner nicht gefährdet wären. Denn Trojaner, Spyware und sonstige Malware können sich auch über USB-Sticks oder externe Festplatten verbreiten.

Um auch solche Rechner regelmäßig auf dem aktuellen Stand zu halten, gibt es neben den Online-Updates über Microsoft oder einen WSUS-Server auch die Möglichkeit, Windows-Rechner über einen externen Datenträger offline mit Aktualisierungen zu versorgen. Ein Tool, das diese Aufgabe erledigt, gibt es zwar nicht von Microsoft, aber es ist als Donationware (kostenlos mit Bitte um eine Spende) auf der Website WSUS Offline erhältlich. Zudem verfügen manche Client-Management-Systeme über einen Offline-Client, der neben "normaler" Software auch Windows-Patches und Service-Packs verteilen kann.

7. Mobile Nutzer

Offline-Updates können auch für mobile Anwender sinnvoll sein, die nur gelegentlich oder mit sehr wenig Bandbreite online sind. Wer beispielsweise lediglich per GPRS Kontakt mit der Firmenzentrale aufnehmen kann, um E-Mails und Termine abzugleichen, wird über ein mehrere hundert Megabyte großes Service-Pack nicht unbedingt glücklich sein.

Bei anderen mobilen Nutzern ist es wiederum empfehlenswert, diese trotz eines WSUS-Servers im Unternehmen direkt über die Server von Microsoft mit Updates zu versorgen. So müssen die Update-Dateien nicht durch das VPN auf den Client wandern, sondern können bei Bedarf beispielsweise an einem Hotspot direkt aus dem Internet geladen werden.

Hier besteht allerdings das Risiko, ein faules Update zu erwischen. Ist auf den mobilen Clients jedoch ein Agent des unternehmensweiten Client-Management-Systems vorhanden, lassen sich die Updates auch von zentraler Stelle aus wieder entfernen.

8. Rollouts von neuen Rechnern

Auch beim Rollout von neuen Rechnern, der Neuinstallation von Betriebssystemen oder bei der Migration von XP auf Windows 7 kann ein kontrolliertes Update-Management mit einem Client-Management-System hilfreich sein. Installiert der Admin beispielsweise ein frisches Windows 7 ohne Service-Pack, so holt sich das Betriebssystem über seine interne Update-Funktion zunächst alle Patches seit seinem Erscheinen. Bei Windows 7 sind dies bereits rund 60 Softwarepakete!

Nach deren Installation lädt Windows 7 dann das Service-Pack 1 herunter, das viele dieser Patches schon enthält. Mit Hilfe eines CMS könnte der Administrator hier entweder direkt nach der Installation von Windows 7 das SP1 installieren und erst dann die Windows-Updates starten. Oder die Softwareverteilung des CMS enthält bereits ein Paket mit allen aktuellen Service-Packs und Patches, das automatisch nach der Installation des Betriebssystems verteilt wird. Beide Vorgehensweisen sparen sowohl Zeit als auch Bandbreite.

9. Dokumentieren und Zeiträume verkürzen

Grundsätzlich sollten Unternehmen eine konkrete Strategie für ihren Umgang mit Windows-Updates festlegen und diese entsprechend dokumentieren. Ein solcher Update-Plan beinhaltet unter anderem konkrete Zeiträume, wann welche Nutzergruppe welche Art von Updates erhalten soll.

So können kritische Windows-Updates, die außerhalb der Patch-Days erscheinen, beispielsweise einen verkürzten Testzeitraum erhalten, um sie schneller auf die Rechner der Anwender zu bringen. Auch das Malware-Removal-Tool, das Microsoft einmal im Monat aktualisiert, sollte möglichst zeitnah auf alle Clients ausgebracht werden.

Patch-Days sind regelmäßig, doch es gibt kritische Windows-Updates auch außerhalb des Takts.
Patch-Days sind regelmäßig, doch es gibt kritische Windows-Updates auch außerhalb des Takts.

Zu einer kompletten Update-Strategie gehört aber auch der Umgang mit den Updates aller anderen Softwarehersteller, deren Produkte aktiv im Unternehmen zum Einsatz kommen. Da diese entweder über eigene oder gar keine Update-Mechanismen verfügen, ist hier der Einsatz eines Client-Management-Systems fast unverzichtbar, wenn man einen einheitlichen und aktuellen Softwarestand im Unternehmen sicherstellen möchte. Dabei sollten Administratoren auf alle Fälle darauf achten, dass ein CMS nahtlos mit einem WSUS und dem Windows-Update-Dienst zusammenarbeitet.

(ID:34654730)