In den meisten Unternehmen laufen Arbeitsplatzrechner und Notebooks mit einem Microsoft-Windows-Betriebssystem, häufig auch die Server-Hardware. Für die einzelnen Windows-Betriebssysteme liefert der US-Softwarehersteller regelmäßig automatische Updates aus. Ohne die richtige Strategie im Umgang mit den Aktualisierungen, sind Probleme jedoch vorprogrammiert. Im schlimmsten Fall werden Arbeitsplatzrechner lahmgelegt. Die IT-Beratungsfirma Aagon Consulting aus Soest gibt neun Tipps zur Umsetzung einer ganzheitlichen Update-Strategie.
1. Windows Server Update Services nutzen
Betriebe nutzen in der Regel zwei Verfahren, um die PC-Arbeitsplätze und Windows-Server mit den aktuellen Updates von Microsoft zu versorgen. Das sind der direkte Download auf den jeweiligen Rechner und der Einsatz kostenfreier Windows Server Update Services (WSUS).
WSUS ist sinnvoll, wenn Unternehmen mindestens einen Windows-Server (Version 2003 und 2008) einsetzen, den ein Administrator betreut, oder mehr als 20 Windows-PCs betreiben. Updates für alle eingesetzten PCs oder Notebooks müssen mit WSUS nur einmal heruntergeladen werden, was Bandbreite spart. Zudem kann der Administrator die Aktualisierungen selektiv für die einzelnen Clients freigeben. Bei direkten Updates werden sie automatisch verteilt.
2. Gruppenrichtlinien konfigurieren
Anwender legen die Einstellungen für Windows-Updates häufig individuell fest. Dies kann der Administrator durch den Einsatz von Gruppenrichtlinien (Group Policy Objects = GPO) unterbinden, wenn an Windows-Arbeitsplätzen automatische Updates über Microsoft oder ein lokaler WSUS-Server konfiguriert sind.
Zudem kann er festlegen, ob der jeweilige Benutzer über neue Updates informiert wird.
3. Updates erst testen und dann verteilen
Alle Aktualisierungen sollten zunächst nur auf die Rechner einer kleinen Testgruppe, etwa der Power-User oder der Administratoren, verteilt werden. Das schützt vor Beeinträchtigungen, falls Updates fehlerhaft sein sollten. Laufen die Test-Rechner nach dem Update ein bis zwei Wochen störungsfrei, können die Aktualisierungen unternehmensweit ausgerollt werden. Technische Voraussetzung für eine kontrollierte Verteilung der Updates ist ein WSUS-Server oder ein Client-Management-System, das mit dem lokalen Windows-Update-Dienst auf den PCs zusammenarbeitet.
4. Klare Sicht auf Update-Historie schaffen
Verursacht ein Update, das bereits seit längerem installiert sind, plötzlich Probleme bei der Ausführung einer kritischen Applikation, sollte es kontrolliert von den betroffenen Arbeitsplätzen entfernt werden. Dazu braucht der Administrator eine klare Sicht auf sämtliche Updates an allen Rechnern, um die entsprechenden Clients zu selektieren, die das Update erhalten haben. Mit Client-Management-Systemen lassen sich diese Aufgaben weitgehend automatisiert durchführen.
5. Patches notfalls erzwingen
Windows-Updates mit und ohne WSUS arbeiten teilweise reaktiv. Das heißt: die Clients müssen selbst bei Microsoft oder bei den WSUS nach neuen Updates fragen. Tun sie dies nicht, erhalten sie auch keine Aktualisierungen. Ist das Windows-Update in ein unternehmensweites Client-Management integriert, erhält der Administrator die Möglichkeit, aktiv die Installation bestimmter Patches zu erzwingen.
6. Offline-Clients, offline aktualisieren
Auch Client-Rechner, die nicht mit dem Internet verbunden sind, sollten regelmäßig aktualisiert werden. Die Patches können offline über einen externen Datenträger eingespielt werden. Möglich ist dies mit Hilfe eines speziellen WSUS-Offline-Update-Tools, das als Donation-Ware kostenfrei über das Internet erhältlich ist.
Auch manche Client-Management-Systeme verfügen über eine entsprechende Offline-Client-Funktion.
7. Auch mobile Windows-Nutzer mit Updates versorgen
Offline-Updates sind auch für mobile Anwender sinnvoll, die ein Windows-Betriebssystem nutzen, doch nur gelegentlich oder mit geringer Bandbreite online gehen. Sie können über einen WSUS-Server versorgt werden oder sich an einem Hotspot die Windows-Updates direkt über das Internet von den Microsoft-Servern herunterladen. Letzteres hat den Vorteil, dass die Aktualisierungen nicht über das Virtual Private Network (VPN) auf den Client laufen.
8. Kontrolliertes Update-Management durchführen
Beim Roll-Out neuer Rechner, der Neuinstallation von Betriebssystemen oder bei der Migration von Windows XP auf Windows 7 ist ein kontrolliertes Update-Management sinnvoll. Dadurch wird vermieden, dass Aktualisierungen doppelt heruntergeladen werden. Wird ein Windows-7-Betriebssystem ohne Service-Pack 1 neu installiert, spielt die interne Update-Funktion automatisch alle verfügbaren Patches ein. Aktuell sind das rund 60 Softwarepakete. Danach lädt Windows 7 zusätzlich den Service-Pack 1 herunter, der bereits viele Patches der zuvor eingespielten Patches beinhaltet.
9. Update-Risiken minimieren
Unternehmen sollten eine konkrete Strategie für ihren Umgang mit Windows-Updates festlegen und diese dokumentieren. Sie beinhaltet unter anderem die konkreten Zeiträume, wann welche Nutzergruppe welche Art von Updates erhalten soll. Für kritische Windows-Updates, die außerhalb der "Microsoft-Patch-Days" erscheinen, lässt sich der Testzeitraum verkürzen, um sie schneller auf die Clients zu bringen.
Ebenso sollte das Malware-Removal-Tool (MRT), das Microsoft einmal im Monat aktualisiert, auf allen Rechnern installiert sein. Zu einer kompletten Update-Strategie gehört nicht zuletzt der richtige Umgang mit Aktualisierungen für die Softwareprodukte anderer Hersteller, die ein Unternehmen einsetzt.