Das Phasenmodel einer Sicherheitspatch-Verwaltung

Microsoft-Leitfaden zur Sicherheitspatch-Verwaltung
Solutions for Security
Solutions for Management
Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf
Internetwebsites, können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten Firmen,
Organisationen, Produkte, Personen und Ereignisse sind frei erfunden. Jede Ähnlichkeit mit bestehenden Firmen,
Organisationen, Produkten, Personen oder Ereignissen ist rein zufällig. Die Verantwortung für die Beachtung aller
geltenden Urheberrechte liegt allein beim Benutzer. Unabhängig von der Anwendbarkeit der entsprechenden
Urheberrechtsgesetze, darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft Corporation kein Teil dieser
Unterlagen für irgendwelche Zwecke vervielfältigt oder übertragen werden, unabhängig davon, auf welche Art und Weise
oder mit welchen Mitteln, elektronisch oder mechanisch, dies geschieht.
Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken, Urheberrechten oder
sonstigem geistigen Eigentum besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Das Bereitstellen
dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges
geistiges Eigentum, es sei denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt.
© 2003 Microsoft Corporation. Alle Rechte vorbehalten.
Weitere in diesem Dokument aufgeführte tatsächliche Produkt- und Firmennamen können geschützte Marken ihrer
jeweiligen Inhaber sein.
Inhaltsverzeichnis
Inhaltsverzeichnis .................................................................................................................................... 2
Überblick .................................................................................................................................................. 5
Kurzfassung ......................................................................................................................................... 5
Hinweise zur Lektüre ........................................................................................................................... 6
Software und Ressourcen .................................................................................................................... 8
Umfang des Leitfadens ........................................................................................................................ 9
Ihre Meinung ...................................................................................................................................... 10
Beratung und Support ........................................................................................................................ 10
Danksagung........................................................................................................................................... 10
Veröffentlichungshinweise ..................................................................................................................... 11
Änderungen in dieser Ausgabe .......................................................................................................... 11
Offene Fragen und Probleme ............................................................................................................ 12
Teil I ....................................................................................................................................................... 12
Wichtige Informationen .......................................................................................................................... 12
1 Einführung in die Sicherheitspatch-Verwaltung.................................................................................. 12
Sichere IT-Verwaltung und Betrieb .................................................................................................... 12
Sicherheitspatch-Verwaltung ............................................................................................................. 13
Sicherheit: Terminologie .................................................................................................................... 14
Wie Microsoft Software nach Veröffentlichung korrigiert ................................................................... 16
Die Bedeutung einer proaktiven Sicherheitspatch-Verwaltung ......................................................... 17
2 Vorbereitung der Patchverwaltung ..................................................................................................... 19
Bewerten Ihrer Umgebung, Risiken und Anforderungen ................................................................... 19
Definieren von Gruppen und Verantwortlichen .................................................................................. 22
Weitere Schritte.................................................................................................................................. 22
3 Verstehen der Sicherheitspatch-Verwaltung ...................................................................................... 23
Einrichtung ......................................................................................................................................... 24
Änderungseinleitung .......................................................................................................................... 27
Sicherheits-Veröffentlichungen .......................................................................................................... 31
Erzwingen von Sicherheitsrichtlinien ................................................................................................. 36
Reaktionen auf sicherheitsrelevante Notfälle .................................................................................... 36
Ergebnisoptimierung .......................................................................................................................... 37
4 Werkzeuge und Technologien ............................................................................................................ 37
Kurzfassung: Verteilung von Software-Updates ................................................................................ 37
Microsoft-Produkt- und –Technologie-Wegweiser ............................................................................. 39
Anhang A ............................................................................................................................................... 45
Drittanbieter-Werkzeuge und Ressourcen ......................................................................................... 45
Patchverwaltung................................................................................................................................. 46
Software für die Sicherheit ................................................................................................................. 46
Teil II ...................................................................................................................................................... 47
Phasenmodel der Sicherheitspatch-Verwaltung ................................................................................... 47
1 Einführung .......................................................................................................................................... 48
Überblick über das Phasenmodell einer Sicherheitspatch-Verwaltung ............................................. 48
Unregelmäßige Aktivitäten ................................................................................................................. 48
Einführung in verschiedene Techniken .............................................................................................. 51
2 Einrichtung .......................................................................................................................................... 52
Zusammenfassung ............................................................................................................................ 52
Konfiguration und Pflege der Infrastruktur ......................................................................................... 52
Basiseinrichtung ................................................................................................................................. 53
Abonnements ..................................................................................................................................... 55
Sicherheitsberichte ............................................................................................................................ 57
Einrichtungs-Techniken ..................................................................................................................... 58
3 Änderungseinleitung ........................................................................................................................... 69
Zusammenfassung ............................................................................................................................ 69
Identifikation ....................................................................................................................................... 70
Relevanz ............................................................................................................................................ 72
Quarantäne ........................................................................................................................................ 73
4 Veröffentlichung .................................................................................................................................. 74
Zusammenfassung ............................................................................................................................ 74
Änderungsverwaltung ........................................................................................................................ 75
Veröffentlichungsverwaltung .............................................................................................................. 79
Änderungsüberprüfung ...................................................................................................................... 83
Techniken der Sicherheitsveröffentlichungen .................................................................................... 84
5 Sicherheitsrichtlinien durchsetzen ...................................................................................................... 91
Zusammenfassung ............................................................................................................................ 91
Strategien zur Durchsetzung ............................................................................................................. 93
6 Reaktion auf sicherheitsrelevante Notfälle ......................................................................................... 94
Zusammenfassung ............................................................................................................................ 94
Vorbereitungen für den Notfall – Planen von Alternativen ................................................................. 95
Einbruchserkennung .......................................................................................................................... 96
Notfall-Reaktionsplan ......................................................................................................................... 99
Aktivitäten nach dem Vorfall und Nachbetrachtung ......................................................................... 102
7 Ergebnisoptimierung ......................................................................................................................... 103
Messverfahren und Verbesserungen ............................................................................................... 103
Tätigkeitsbeurteilung ........................................................................................................................ 107
Sicherheitsbeurteilung ..................................................................................................................... 107
Überblick
Kurzfassung
Die unternehmerische Problemstellung
Organisationen sind von IT-Ressourcen und deren Sicherheit abhängig: Während einige Tage
Ausfallzeit nur kostspielig sind, kann eine Sicherheitskompromittierung schwerwiegende Folgen
haben.
Viren und Würmer, wie etwa Klez, Nimda und SQL-Slammer, verwenden Sicherheitslücken um
Computer anzugreifen und von diesen aus neue Angriffe auf andere Computer zu starten. Diese
Sicherheitslücken geben Angreifern außerdem die Möglichkeit, Informationen und Systeme zu
kompromittieren, sowie den Zugriff von rechtmäßigen Benutzern zu unterbinden. Der Angreifer
könnte sich erweiterte Berechtigungen auf einem System verschaffen und Daten lesen und
verändern.
Die Betriebskosten eines Ausfalltages können größtenteils abgeschätzt werden, aber wie verhält
es sich mit Informationen, wenn diese der Öffentlichkeit preisgegeben werden?
Ein Sicherheitsproblem und der resultierende Verlust an Glaubwürdigkeit (gegenüber Kunden,
Partnern und Behörden), kann für ein Unternehmen schwere Probleme aufwerfen. Unternehmen,
denen es nicht gelingt, eine proaktive Sicherheitspatch-Verwaltung als Teil ihrer IT-Strategie
umzusetzen, gehen ein unnötiges Risiko ein.
Die Reaktion
Microsoft nimmt Sicherheitbedrohungen sehr ernst, und stellt Ihnen schnelle Hilfe und
Sicherheitspatches zur Verfügung. Microsoft möchte sicherstellen, dass Kunden die Möglichkeit
haben, ihre Computer gegen Sicherheitslücken abzusichern, bevor diese durch Viren oder
Angreifer ausgenutzt werden können.
Einige Unternehmen wenden regelmäßig Sicherheitspatches an, um das Risiko eines zukünftigen
Angriffs zu minimieren und ihre Umgebung abzusichern – eine Menge anderer Unternehmen
machen dies nicht. Um IT-Ressourcen sicher zu halten, ist eine proaktive SicherheitspatchVerwaltung notwendig.
Dieser Leitfaden bietet Unternehmen präzise Informationen, Anleitungen, Werkzeuge und
Vorlagen, um bei einer kostengünstigen Realisierung einer sicheren und verlässlichen MicrosoftUmgebung über eine proaktive Beurteilung von Sicherheitslücken und der Verwendung von
Sicherheitspatches zu helfen.
Hinweis: Dieser Leitfaden bietet Informationen über die Wartung von Computern
innerhalb eines Unternehmens. Wenn Sie für die Sicherheit ihres eigenen Computers
verantwortlich sind, finden Sie weitere Informationen zur Sicherheit Ihres Computers
unter http://www.microsoft.com/security/home/basics.asp (englischsprachig).
Hinweise zur Lektüre
Der Leitfaden ist in zwei Teile geteilt: Der erste Teil bietet grundlegende Informationen zur
Sicherheitspatch-Verwaltung, der zweite Teil bietet detaillierte Beschreibungen zu Verfahren und
Techniken.
Teil I – Grundlegende Informationen
Teil I bietet nützliche Informationen für Entscheidungsträger und IT-Experten, die im Bereich der
Sicherheitspatch-Verwaltung keine Erfahrung besitzen. Er zeigt, wie Microsoft bei SoftwareUpdates und Sicherheitslücken vorgeht. Sie erhalten Informationen zu Prozessen, Werkzeugen,
Methoden und Ressourcen, mit denen Sie eine effektive Sicherheitspatch-Verwaltung
durchführen können. Im zweiten Teil werden Schlüsselkonzepte und Technologien besprochen.
1. Einführung in die Sicherheitspatch-Verwaltung
Dieses Kapitel diskutiert unterschiedliche Aspekte der Sicherheit in der Softwareindustrie und die
resultierenden Auswirkungen, die sie auf ein Unternehmen haben können. Es werden
Schlüsselbegriffe eingeführt, die in diesem Leitfaden oft verwendet werden. Sie erfahren mehr
über die bekannten Sicherheitslücken, und wie diese in der Vergangenheit ausgenutzt wurden.
2. Vorbereitung der Patch-Verwaltung
Kapitel 2 zeigt die Folgekosten einer fehlenden Patch-Verwaltung auf. Sie erfahren mehr über die
zur Einführung einer proaktiven Patch-Verwaltung notwendigen Schritte und die für ein PatchVerwaltungs-Phasenmodel erforderlichen Kernkompetenzen.
3. Die Sicherheitspatch-Verwaltung verstehen
In diesem Kapitel wird ein durchgängiges Verfahren für die Sicherheitspatch-Verwaltung
besprochen. Es definiert Schlüsselaufgaben, Konzepte und optimale Vorgehensweisen. Dieses
Verfahren dient als strukturelle Grundlage für die empfohlenen Prozesse und Techniken, die im
zweiten Teil vorgestellt werden.
4. Werkzeuge und Technologien
In Kapitel 4 erhalten Sie Informationen zu Patch-Ressourcen bei Microsoft, zu
Bereitstellungstechnologien und zu deren Einsatzmöglichkeiten und Kosten. Das Kapitel hilft
Ihnen außerdem bei der Entscheidung, welche Patchverteilungs-Infrastruktur die beste für Ihre
Umgebung ist.
Anhang A: Dritthersteller-Produkte und Ressourcen
Enthält eine Liste von Drittanbieter-Produkten und -Ressourcen aus dem Bereich
Sicherheitspatch-Verwaltung.
Teil II – Das Phasenmodel einer Sicherheitspatch-Verwaltung
Teil II bespricht die Verfahrensweisen der Sicherheitspatch-Verwaltung genauer. Werkzeugspezifische Aufgaben und Techniken werden beschrieben. Während die Verfahrensweisen für
jedes Unternehmen interessant sind, wendet sich die Beschreibung der Aufgaben und Techniken
besonders an die Unternehmen, die Microsoft Windows Update (WU), Microsoft Software Update
Services (SUS) oder Microsoft Systems Management Server (SMS) zur SicherheitspatchVerwaltung verwenden.
1. Einführung
Dieses Kapitel gibt Ihnen einen Überblick über das Phasenmodell einer SicherheitspatchVerwaltung und führt unterschiedliche Techniken ein. Sie erhalten Informationen dazu, wie Sie
die unterschiedlichen Aktivitäten des Phasenmodells mit Hilfe dieser Techniken durchführen.
2. Einrichtung
Selbst bei einer bereits vorhanden Infrastruktur zur Patchverwaltung gibt es einige Aufgaben, die
in unregelmäßigen Abständen auszuführen sind. Diese sind für eine effektive Patchverwaltung
notwendig. Dieses Kapitel bespricht diese Aufgaben, wie zum Beispiel die Konfiguration und
Wartung der Infrastruktur, die Inventarisierung und Basiseinrichtung der Umgebung, die
Abonnierung von Sicherheitsbenachrichtungen und das permanente Erstellen von
Sicherheitsberichten (zum Beispiel über den Microsoft Baseline Security Analyzer).
3. Änderungseinleitung
Kapitel 3 beschreibt Wartungs- und Überwachungsaktivitäten, und wie Sie die so erhaltenen
Informationen für die Reaktion auf Sicherheitsprobleme nutzen. Diese Aktivitäten umfassen eine
regelmäßige Überprüfung von Webseiten, Sicherheitsbenachrichtigungen und
Sicherheitsberichten. So bleiben Sie über neue Software-Updates informiert, und können diese
herunterladen, sie für die eigene Umgebung bewerten und gegebenenfalls eine Veröffentlichung
einleiten.
4. Veröffentlichung
Das Veröffentlichen eines Software-Updates oder ähnliche Gegenmaßnahmen sind eine typische
Reaktion auf eine gerade erkannte Sicherheitslücke. Dieses Kapitel bespricht die Aspekte der
Änderungsverwaltung, Veröffentlichungsverwaltung (einschließlich der Tests von SoftwareUpdates) und einer Erfolgsüberwachung (inklusive einer möglichen Wiederherstellung), die einer
Veröffentlichung folgen sollten.
5. Sicherheitsrichtlinien durchsetzten
Neu installierte Computer, Laborumgebungen, mobile Benutzer und eine dezentrale
Administration können dazu führen, dass bereits beseitigte Sicherheitslücken wieder auftreten.
Solche Sicherheitslücken stellen ein erhöhtes Risiko dar. In Kapitel 5 werden einige Strategien
besprochen, über die Unternehmen wiederkehrende Sicherheitslücken eliminieren können.
6. Reaktion auf sicherheitsrelevante Notfälle
Dieses Kapitel beschreibt die Vorbereitung auf einen Sicherheitsnotfall. Außerdem erfahren Sie
mehr über optimale Vorgehensweisen, mit denen wirksam auf eine mögliche Bedrohung oder
eine Angriff reagieren werden kann.
7. Ergebnisoptimierung
Es ist wichtig, die Effektivität der Sicherheitspatch-Verwaltung regelmäßig zu prüfen. Kapitel 7
bespricht die zentralen Leistungsindikatoren, die ermittelt und verbessert werden können.
Software und Ressourcen
Werkzeuge und Vorlagen des Leitfadens verwenden
Zusammen mit diesem Leitfaden haben Sie textbasierte Skripte, Abfragen und Dokumente und
Formulare bezüglich der Sicherheitspatch-Verwaltung erhalten. Das gesamte Paket enthält
keinerlei ausführbare Programme. Nach dem Entpacken finden Sie die folgende
Verzeichnisstruktur vor:
Die Datei Liesmich.txt enthält eine vollständige Liste aller Datei des Paketes.
Verwandte Ressourcen

Microsoft Security Ressourcen im TechNet:
http://www.microsoft.com/technet/security (englischsprachig)

Das Microsoft Security Technologies Community Center:
http://www.microsoft.com/communities/security (englischsprachig)
Umfang des Leitfadens
Ein Ziel von Microsoft ist es, dass Ihre Umgebung sicher und zuverlässig bleibt. Obwohl alle
Software-Updates auf die gleiche Weise behandelt werden können, konzentriert sich der
Leitfaden primär auf die Sicherheitspatches. Wenn Sicherheitspatches und Servicepacks nicht
korrekt aktualisiert werden, kann dies verheerende Auswirkungen auf ein Unternehmen haben.
Hinweis: In diesem Leitfaden finden Sie nur wenige Informationen über zukünftige
Microsoft-Entwicklungen. Weitere Informationen zu zukünftigen Features und
Verbesserungen finden Sie im Whitepaper Improving Patch Management unter
http://www.microsoft.com/security/whitepapers/patch_management.asp
(englischsprachig)
Microsoft Operations Framework (MOF) und Microsoft Solutions for Management
(MSM)
Dieser Leitfaden wurde auf Grundlage der Microsoft Solutions for Management (MSM)-Leitfäden
zur Patchverwaltung erstellt. Er konzentriert sich zusätzlich auf das Thema Sicherheit. Die MSM
geben Ihnen Informationen zu optimalen Vorgehensweisen und Dienste zur Implementierung und
Automatisierung für ein reibungslosen Betrieb.
Um diesen Leitfaden zu lesen, ist es nicht erforderlich, dass Sie das MOF oder die MSM bereits
implementiert haben. Einige Aspekte der MSM und des MOF werden vereinfacht dargestellt.
Weitere Informationen zu den MSM und dem MOF finden Sie unter:

Microsoft Solutions for Management:
http://www.microsoft.com/technet/itsolutions/msm (englischsprachig)

Microsoft Operations Framework:
http://www.microsoft.com/mof (englischsprachig)
Nicht vom Leitfaden abgedeckt
Der Zweck dieses Leitfadens ist es, Microsoft Anwendungen auf der Basis von Windows
abzudecken. Produkte die für andere Plattformen konzipiert sind, werden nicht berücksichtigt. Für
OEM-Software ist normalerweise der Hardware-Hersteller zuständig.
Es gibt im Sicherheitsbereich einige Themen, die mit der in diesem Leitfaden eingeführten
Sicherheitspatch-Verwaltung eng verbunden sind, hier jedoch nicht besprochen werden.
Wann immer möglich, erhalten Sie Verweise auf externe Quellen zu den folgenden Bereichen:

Virenscanner

Einbruchserkennung

Betriebssystem- und Anwendungsabsicherung
Der Fokus dieses Leitfadens liegt bei der Sicherheitspatch-Verwaltung. Sie erhalten keine
Anleitung zu Architektur und Bereitstellungsverfahren einer Patchverteilungs-Infrastruktur über
SUS, SMS oder anderen Produkten von Drittanbietern. Der Leitfaden verweist jedoch auf
vorhandene externe Quellen.
Ihre Meinung
Wir interessieren uns für ihre Meinung zu diesem Leitfaden. Für Meinungen zu den folgenden
Themen sind wir ganz besonders dankbar:

Wie nützlich waren die Informationen?

Waren die Schritt-für-Schritt-Anleitungen präzise?

Waren die Kapitel gut lesbar und interessant?

Welche anderen Techniken haben Sie vermisst?

Wie bewerten Sie den Leitfaden insgesamt?
Schicken Sie uns Ihre Meinung an die E-Mail-Adresse [email protected]. Wir freuen uns
darauf, von Ihnen zu hören.
Beratung und Support
Es gibt viele Organisationen, die Unternehmen bei der Patchverwaltung unterstützen. Als
Startpunkt können Ihnen die folgenden Ressourcen dienen:

Suchen Sie im Microsoft Resource Directory nach Microsoft Gold Certified Partnern,
Microsoft Certified Technical Education Centern, Microsoft Certified Partnern und Produkten
unabhängiger Softwarehersteller, die Microsoft-Technologien verwenden.
Danksagung
Microsoft Solutions for Security (MSS) spricht seine Anerkennung und seinen Dank dem Team
aus, dass den Microsoft Leitfaden - Sicherheitspatch-Verwaltung erstellt hat. Die folgenden
Personen waren direkt verantwortlich oder haben einen wesentlichen Beitrag zur Erstellung
dieses Leitfadens geleistet.
Entwicklungsteam
Autoren
Tester
José Maldonado, Microsoft Services
Greg Feiges, Microsoft Services
Rod Trent, Studio B
Mike Jenne, Microsoft Services
Redakteure
Programm-Manager
Jennifer Kerns, Wadeware
Derick Campbell, MSS
Anthony Baron und Graham Stenson vom Microsoft Solutions for Management (MSM) Team
haben ebenfalls einen Umfangreichen Beitrag geleistet.
Betatester
Microsoft-Tester
Externe-Tester
Kristie B. R. Atwood, Enterprise Technical
Sales
Susan E. Bradley, Microsoft MVP
Gigel Avram, Software Update Services
Dean Farrington, Wells Fargo
David H. Baur, Microsoft Services
Nina Ferguson, Qwest
Cory Delamarter, Operations and Technology Adam S. Greene, Intel
Group
Chris Geier, Microsoft Services
Glenn Hellriegel, Verizon Wireless
Robert Hensing, PSS Security
Paul Hudson, Attenda Ltd.
Maxim Kapteijns, Microsoft Services
Deanna Jenness, First Call Computer Solutions
David Lef, Operations and Technology Group Russ Klanke, Verizon Wireless
Patrick Martin, Microsoft Services
Jeff Middleton, Microsoft MVP
Eric Price, Windows Sustained Engineering
Hans Muller, Attenda Ltd.
Christopher Reinhold, Microsoft Services
Chad Sharp, Intel
John Roller, Enterprise Technical Sales
Kerry Steele, Citadel Security Software
Fernando Pessoa Sousa, Microsoft Services Maria M. Tsiolakki, University of Cyprus
Bill Stackpole, Microsoft Services
Microsoft bedankt sich außerdem beim National Institute of Standards and Technology für die
wertvollen Informationen und den Beta-Test dieses Leitfadens.
Veröffentlichungshinweise
Dies ist Version 1.1 des Microsoft Leitfadens zur Sicherheitspatch-Verwaltung. Sie wurde am
3. Juli 2003 fertiggestellt.
Änderungen in dieser Ausgabe
Version 1.1
Es wurden zwei Korrekturen durchgeführt:

Seite 59 – Office Update - Teil I, Kapitel 4, Werkzeuge und Technologien. Ein Update von
Office steht erst ab Office 2000 und nicht ab Office 97 zur Verfügung.

Seite 115 – Ohotfix.exe Beschreibung - Teil II, Kapitel 4, Veröffentlichung. Beschreibung von
Ohotfix.exe korrigiert.
Geringfügige Ergänzung am 24. Juli 2003

MBSAScan.wsf.txt konnte wegen der Kommentare nicht ausgeführt werden. Dies wurde
behoben.
Version 1.0
Die erste Version dieses Leitfadens wurde am 30. Juni 2003 veröffentlicht.
Offene Fragen und Probleme
FWLink im TechNet
Diverse Links in diesem Leitfaden verwenden eine Weiterleitungstechnik von Microsoft.com.
Diese wird FWLink (Forward Link) genannt. Auf einige Computer kann es gelegentlich passieren,
dass Sie die Meldung Objekt nicht gefunden erhalten. In diesem Fall klicken Sie in Ihrem Browser
bitte einfach auf Aktualisieren.
Teil I
Wichtige Informationen
1 Einführung in die Sicherheitspatch-Verwaltung
Sichere IT-Verwaltung und Betrieb
Computersicherheit ist zu einem entscheidendem Faktor bei der Investitionen in Technologien
geworden. Die Implementierung und das kontinuierliche Verbessern der Computersicherheit
gewinnt zunehmend an Bedeutung, da sich ständig neue Technologien entwickeln und Angreifer
neue Methoden entdecken um Sicherheitslücken auszunutzen. Dies kann sich negativ auf Ihre
Geschäftsprozesse auswirken.
Sicherheitspatch-Verwaltung, die Absicherung von Betriebssystemen und Anwendungen, eine
proaktive Virenerkennung, Einbruchserkennung und die regelmäßige Überprüfung von
Sicherheitseinstellungen, sowie Kontenberechtigungen sind ausschlaggebende Elemente einer
sicheren IT-Verwaltung. Jedes Element für sich ist Teil eines effektiven Schutzes und einer
umfassenden Strategie, die dazu beiträgt, die Auswirkungen der Computerkriminalität auf die
eigene Organisation so gering wie möglich zu halten.
Die Kosten einer schlechten Sicherheit
Es ist schwierig die Kosten von Sicherheitsmängeln zu beziffern - viele Firmen machen keine
Angaben über Angriffe auf ihr Netzwerk. Das Computer Security Institute und das U.S. Federal
Bureau of Investigation führen eine jährliche Befragung durch. So wurden mehr als 201 Millionen
Dollar an finanziellen Verlusten für das Jahr 2002 errechnen.
Von diesen Angriffen waren mit 82% die häufigsten Viren und mit 80% ein Missbrauch von
Zugriffsrechten durch Mitarbeiter. Der Diebstahl von geschützten Daten verursachte den größten
Schaden, mit einem durchschnittlichen Wert von 2,7 Millionen Dollar.
Hinweis: Die Untersuchung 2003 CSI/FBI Computer Crime and Security Survey finden
Sie unter http://www.gocsi.com/db_area/pdfs/fbi/FBI2003.pdf (englischsprachig)
Die Konsequenzen eines Angriffs auf ein Unternehmen können schwerwiegend sein. Sie zeigen
sich in beschädigten Daten und Ressourcen, Unterbrechung des Geschäftsbetriebs und durch
unerwünschte Zugriff auf vertrauliche und geheime Daten. Nachdem ein Computer infiltriert
wurde, ist das Anwenden von Sicherheitspatches nicht länger zweckmäßig – eine erfolgreiche
Wiederherstellung der Sicherheit kann häufig nur durch eine vollständige Neuinstallation
gewährleistet werden.
Sicherheitspatch-Verwaltung
Die Sicherheitspatch-Verwaltung ist ein auf allen Plattformen notwendiger Prozess - jeder
bedeutende Softwarehersteller, der sich der Sicherheit verpflichtet fühlt, wird regelmäßig
Sicherheitspatches veröffentlichen. Es gibt kein weitverbreitetes Betriebssystem und keine
Anwendung, das immun gegen Angriffe wären.
Der Begriff Patchverwaltung beschreibt Werkzeuge, Hilfsmittel und Verfahren, um Computer
ständig mit den neuesten Software-Updates zu versorgen.
Sicherheitspatch-Verwaltung ist ein Begriff, der im gesamten Leitfaden verwendet wird. Er
beschreibt eine Patchverwaltung mit Fokus auf die Beseitigung von Sicherheitslücken.
Eine proaktive Verwaltung von Sicherheitspatches ist erforderlich, um eine Umgebung sicher und
zuverlässlich zu halten. Als Teil der Wartung einer sicheren Umgebung sollten Unternehmen
einen Prozess definieren, der Sicherheitslücken identifiziert und schnell auf diese reagiert. Dies
bezieht das Anwenden von Software-Updates, Konfigurationsänderungen und
Gegenmaßnahmen mit ein. Die Natur vieler Angriffe benötigt lediglich einen verwundbaren
Computer in einem Netzwerk. Daher sollte dieses Verfahren so umfassend wie möglich sein. Die
Mehrheit erfolgreicher Angriffe entsteht durch das Ausnutzen von nur wenigen Sicherheitslücken.
Der durchschnittliche Angreifer versucht, den einfachsten und bequemsten Weg zu wählen und
die bekanntesten Schwächen zu nutzen. Er verwendet für seinen Angriff weit verbreitete
Werkzeuge.
Solche Angreifer zählen darauf, dass Unternehmen bekannte Probleme nicht beheben. Sie
durchkämmen das Internet nach ungeschützten Computern. Angreifer finden die eigentliche
Sicherheitslücke normalerweise nicht selbst, sondern nutzen diese nur aus. Sie müssen keine
Sicherheitsexperten sein, um eine Sicherheitslücke auszunutzen.
Sicherheitspatch-Verwaltung und IT-Betrieb
Sicherheitspatch-Verwaltung sollte als eine Untermenge eines größeren Bereiches betrachtet
werden, der die Verwaltung von Änderungen und Veröffentlichungen umfasst. Die
Implementierung der Sicherheitspatch-Verwaltung wird am besten durch eine konsistente und
integrierte Lösung im Zusammenhang mit standardisierten Unternehmensprozessen erreicht.
Ohne einen einheitlichen Betrieb kann ein separater Prozess für die Sicherheit sehr leicht höhere
Gesamtkosten verursachen und zu nicht kompatiblen Prozessen führen. Dieser Leitfaden stärkt
die Konsistenz der Abläufe, indem er eine einheitliche Begrifflichkeit fördert. Das MOF dient als
Bezugssystem und Vorlage zur Verwaltung von Änderungen und Veröffentlichungen.
Sicherheit: Terminologie
Dieser Abschnitt beschreibt einige Schlüsselbegriffe, die den Personen, die sich mit der
Sicherheitspatch-Verwaltung beschäftigen, bekannt sein sollten.
Die Begriffe in der folgende Tabelle werden im gesamten Leitfaden verwendet.
Tabelle 1.1: Wichtige Begriffe
Begriff
Definition
Sicherheitslücke
Software, Hardware, Eigenschaft, Konfiguration, die während eines Angriffs
ausgenutzt werden kann. Im englischen Sprachraum auch als Exposure bekannt.
Angriff
Ein Versuch, eine Sicherheitslücke auszunutzen und sich dadurch Vorteile zu
verschaffen.
Gegenmaßnahme Hardware, Software, Konfiguration, um das Risiko in einer Umgebung zu verringern.
Bedrohung
Eine Gefahrenquelle.
Art des Angriffs
Person oder der Prozess, über den der Angriff durchführt wird.
Sicherheitslücken
Die folgende Tabelle enthält einige typische Software-Sicherheitslücken
Tabelle 1.2: Sicherheitslücken
Begriff
Definition
Pufferüberlauf Ein nicht überprüfter Puffer in einem Programm kann mit neuen Daten überschrieben
werden. Wenn es sich um ausführbaren Code handelt, kann ein Angreifer dies dazu
nutzen, beliebige Operationen im Kontext des Programms auszuführen.
RechteErweiterung
Erlaubt Benutzern oder Angreifern höhere Rechte als die vorgesehenen zu erlangen.
Prüffehler
Fehlerhafte Daten können zu unbeabsichtigten Ergebnissen führen.
MSRC-Schweregrade für Sicherheitslücken
Das Microsoft Security Response Center (MSRC) nutzt eine Klassifikationen von
Schweregraden. Mit ihnen haben Unternehmen eine Möglichkeit, die Dringlichkeit einer
Sicherheitslücke und der entsprechenden Software-Updates zu bestimmen.
Tabelle 1.3: Schweregrade für Sicherheitslücken
Bewertung
Definition
Kritisch
Über diese Sicherheitslücke könnte sich ein Internetwurm ohne Aktion des Benutzers
ausbreiten.
Wichtig
Ein solche Sicherheitslücke könnte zur Verlust von Vertraulichkeit, Integrität oder
Verfügbarkeit von Daten des Benutzers oder von Ressourcen führen.
Durchschnittlich Eine Sicherheitslücke, die durch unterschiedliche Faktoren (zum Beispiel eine
Standardkonfiguration oder eine Überwachung) entschärft wird.
Gering
Ein Sicherheitslücke, die nur extrem schwer auszunutzen ist oder deren Auswirkungen
minimal sind.
Weitere Informationen zu den MSRC-Schweregraden für Sicherheitslücken finden Sie unter
http://www.microsoft.com/technet/security/policy/rating.asp (englischsprachig)
Bedrohungskategorien
Microsoft hat das STRIDE-Modell entwickelt, um Bedrohungen von Software zu kategorisieren.
Diese Kategorien werden in Security Bulletins zur Beschreibung von Sicherheitslücken
verwendet.
Tabelle 1.4: Das STRIDE-Modell der Bedrohungskategorien
Begriff
Definition
Vortäuschung Illegaler Zugang zu Systemen unter Nutzung einer fremden Identität.
einer Identität
Manipulation
von Daten
Die böswillige Verfälschung von Daten.
Ablehnung
In Zusammenhang mit Benutzern, die das Ausführen einer Aktion verweigern, auch wenn
kein anderer Weg zu[m?] Nachweis existiert. Nichtablehnung bezieht sich auf die Fähigkeit
einer Ablehnung zu begegnen. (Etwa das Bestätigen eines Paket Empfangs, das als
Nachweis genutzt werden kann).
Offenlegung
von
Informationen
Das Zugänglichmachen von Information gegenüber Personen, für die diese Informationen
nicht gedacht sind.
Denial of
Service
Ein direkter Versuch, einen Dienst derart mit unsinnigen Anfragen zu überlasten, dass ein
normale Benutzung nicht mehr möglich ist.
RechteErweiterung
Erlaubt Benutzern oder Angreifern höhere Rechte als die vorgesehenen zu erlangen.
Hinweis: Weitere Informationen über das STRIDE Model und darüber, wie Microsoft
Entwickler ausbildet, um sicheren Code zu schreiben, finden Sie unter Howard, Michael
and David LeBlanc, Writing Secure Code, Second Edition, Redmond, WA: Microsoft
Press, 2002, http://www.microsoft.com/mspress/books/5957.asp (englischsprachig)
Träger des Angriffs
Bösartige Bedrohungen sind Angriffe von innerhalb oder außerhalb des Netzwerks, mit dem
Zweck einem Unternehmen zu schaden oder den Betrieb zu stören. Nicht bösartige Bedrohungen
entstehen gewöhnlich durch schlecht geschulte Mitarbeiter, die sich ihrer Handlungen nicht
bewusst sind. Die folgende Tabelle beschreibt verschiedene bösartige Bedrohungen durch
Angreifer.
Tabelle 1.5: Art des Angriffs
Begriff
Definition
Virus
Ein Programm, welches wichtige Dateien löscht, Änderungen am System durchführt oder
andere schädliche Operationen ausführt. Ein Virus hängt sich selbstständig an sein
Wirtsprogramm an.
Wurm
Ein sich selbst vervielfältigendes Programm, oft ähnlich schädlich wie ein Virus, dass sich
von Computer zu Computer ausbreiten kann.
Trojanisches Software oder eine E-Mail, die scheinbar nützliche Funktionen bietet - tatsächlich aber eine
Pferd
Hintertür für spätere Angriffe öffnet.
E-Mail
Bombe
Eine böswillige E-Mail, die von einem unverdächtigen Absender stammt. Wenn der
Empfänger die Nachricht öffnet oder ein Programm startet, entfaltet es seine Schadwirkung
oder gewährt einem Angreifer Zugriff.
Angreifer
Eine Person oder Organisation, die einen Angriff durchführt.
Hinweis: Während Bedrohungen wie Viren sich durch eine Sicherheitslücke Vorteile
verschaffen, kennt ein Angreifer solche Beschränkungen nicht – er versucht mit allen
möglich Mitteln in eine Umgebung einzudringen. Gesteuerte Angriffe können lokal oder
ferngesteuert ausgeführt werden.
Wie Microsoft Software nach Veröffentlichung korrigiert
Microsoft sieht sich verpflichtet, seine Kunden vor Sicherheitslücken zu schützen. Als Teil dieses
Verfahrens veröffentlicht Microsoft regelmäßig Software-Updates. Weitere Informationen zu
diesem Verfahren finden Sie unter http://www.microsoft.com/presspass/exec/craig/1002trustworthywp.asp (englischsprachig)
Jede Microsoft-Produktgruppe umfasst eine eigenständige technische Arbeitsgruppe, die für
Probleme mit dem veröffentlichten Produkt Software-Updates bereitstellt.
Wenn Microsoft auf eine Sicherheitslücke aufmerksam geworden ist, wird diese durch das MSRC
der entsprechenden Produktgruppe bewertet und überprüft. Die Arbeitsgruppen erstellen und
testen dann einen Sicherheitspatch, um den Mangel zu beheben, während das MSRC sich mit
dem Entdecker der Sicherheitslücke austauscht, um eine Veröffentlichung der Sicherheitslücke
als Security Bulletin zusammen mit dem Sicherheitspatch durchzuführen.
Die Software-Updates sind über das Microsoft Download Center und andere Dienste zugänglich.
Zum Beispiel Microsoft Windows Update, Microsoft Office Update, Microsoft Software Update
Services (SUS) und Microsoft Systems Management Server (SMS) mit dem SUS Feature Pack.
Sobald das Software-Update verfügbar ist, teilt dies das MSRC in einem entsprechenden
Security Bulletin mit.
Hinweis: Sicherheitspatches werden für unterstützte Betriebssystem- und
Anwendungsversionen entwickelt. Informationen zu Produktlebenszyklen finden Sie unter
http://support.microsoft.com/default.aspx?scid=fh;[LN];lifecycle (englischsprachig)
Typischerweise stehen Sicherheitspatches für die aktuelle und die vorhergehende Version zur
Verfügung. Das ist jedoch nicht immer der Fall. Überprüfen Sie den Produktlebenszyklus um
festzustellen, welche Patches verfügbar sind.
Software-Update Terminologie
Die folgende Tabelle zeigt die neuen Begriffe für Software-Updates. Diese sind ab dem
30. Juni 2003 gültig. Beachten Sie, dass der Begriff Patch - außer im Zusammenhang mit dem
Begriff Sicherheitspatch oder in der Beschreibung von Verfahren zur Patchverwaltung - nicht
länger von Microsoft im Sinne eines Software-Updates gebraucht wird.
Tabelle 1.6: Neue Terminologie für Software-Updates
Begriff
Definition
Sicherheitspatch Eine allgemein veröffentlichte Korrektur für eine bestimmte Sicherheitslücke in einem
bestimmten Produkt. (Security patch)
Kritisches Update Eine allgemein veröffentlichte Korrektur eines kritischen Problems, dass aber keine
Sicherheitsbelange betrifft. (Critical update)
Update
Eine allgemein veröffentlichte Korrektur eines bestimmten Problems, dass aber keine
Sicherheitsbelange betrifft. (Update)
Hotfix
Ein einzelnes Paket aus einer oder mehreren Dateien, um ein spezielles Problem in
einem Produkt zu beheben. Hotfixes beziehen sich auf eine ganz bestimmte
Kundensituation. Sie sind nur für Kunden mit Supportvertrag verfügbar und
ausschließlich für die entsprechenden Kunden gedacht. Sie dürfen ohne Zustimmung
von Microsoft nicht an Dritte weitergegeben werden. (Hotfix)
Update rollup
Ein Zusammenstellung von Sicherheitspatches, kritischen Updates und Hotfixes. Diese
Zusammenstellung wird zum Beispiel. für den Microsoft Internet Information Server (IIS)
oder den Microsoft Internet Explorer angeboten. (Update rollup)
Servicepack
Eine Sammlung von Sicherheitspatches, kritischen Updates und Hotfixes seit der
Veröffentlichung des Produktes. Sie können Kundenwünsche enthalten, etwa
Änderungen an der Oberfläche oder von Funktionen. (Servicepack)
Integriertes
Servicepack
Die Kombination eines Produktes mit einem integrierten Servicepack in einem Paket.
(Integrated service pack)
Featurepack
Eine neue Veröffentlichung, die einem Produkt Eigenschaften hinzufügt - gewöhnlich
fließen diese in die nächste Version mit ein. (Feature pack)
Hinweis: Da diese Definitionen neu sind, werden sie in diversen Ressourcen und
Werkzeugen noch nicht berücksichtigt.
Die Bedeutung einer proaktiven Sicherheitspatch-Verwaltung
Es gibt diverse veröffentlichte Angriffe und Sicherheitslücken zu Microsoft-Produkten. Viele
Unternehmen, die eine proaktive Verwaltung von Sicherheitspatches durchführen, waren von
diesen Angriffen nicht betroffen. Sie haben auf die von Microsoft zur Verfügung gestellten
Informationen reagiert und die Angriffe verhindert.
In der folgenden Tabelle sind einige historische Angriffe mit deren Datum aufgeführt. In allen
Fällen hat das MSRC vorher eine Warnung veröffentlicht, in der auf die Sicherheitslücke und
deren Beseitigung hingewiesen wurde (etwa durch Gegenmaßnahmen und Updates). Die letzte
Spalte zeigt die Anzahl der Tage zwischen Veröffentlichung der Sicherheitslücke durch das
MSRC und dem Angriff.
Tabelle 1.7: Beispiel zu Angriffen und den entsprechenden MSRC Security Bulletins
Angriff
Datum der
öffentlichen
Entdeckung
MSRC
Schweregrad
MSRC Bericht
MSRC
Berichtsdatum
Tage verfügbar
vor Angriff
Trojan.Kaht
05. Mai 03
Kritisch
MS03-007
17. Mrz 03
49
SQL Slammer
24. Jan 03
Kritisch
MS02-039
24. Jul 02
184
Klez-E
17. Jan 02
*
MS01-020
29. Mrz 01
294
Nimda
18. Sep 01
*
MS00-078
17. Okt 00
336
Code Red
16. Jul 01
*
MS01-033
18. Jun 01
28
* Bericht wurde vor der Zuordnung eines MSRC-Schweregrads veröffentlicht
Dieser Leitfaden wurde entwickelt, um Unternehmen zu helfen, zukünftige Angriffe zu vermeiden.
Viele Unternehmen verhinderten erfolgreich Angriffe durch eine proaktive SicherheitspatchVerwaltung.
Hinweis: Die Tabelle deckt keine gesteuerten Angriffe von Personen, die gezielt
Sicherheitslücken suchen und diese kriminell ausnutzen ab. Eine proaktive
Sicherheitspatch-Verwaltung ist eine effektive Maßnahme, um Angriffe zu begrenzen die
bekannte Sicherheitslücken nutzen.
Angriffe vermeiden, Beispiel 1: Code Red
Code Red ist ein Wurm, der sich sehr schnell verbreitet hat und ein großes Schadenspotential
aufweist. Am 16. Juli 2001 breitete sich die ursprüngliche Version in nur neun Stunden auf
250.000 Computer aus. Die Auswirkungen des Wurms waren eine Verlangsamung des
Internetzugriffs, Ausfall von Webseiten und Manipulationen, sowie Störungen an geschäftlichen
und privaten Anwendungen.
Code Red nutzte einen Pufferüberlauf als Sicherheitslücke in den IIS, um Code auf Webservern
auszuführen. Die IIS sind unter Microsoft Windows Server 2000 standardmäßig installiert und
werden von vielen Anwendungen genutzt.
Einige Unternehmen vermieden einen Angriff durch Code Red, indem sie den Security Bulletins
MS01-033 des MSRC folgten, die am 18 Juni 2001 veröffentlicht wurden. Dies war 28 Tage,
bevor Code Red in Umlauf kam.
Weitere Informationen zu diesem Security Bulletin, einschließlich technischer Informationen und
Gegenmaßnahmen, finden Sie unter http://www.microsoft.com/technet/security/bulletin/MS01033.asp (englischsprachig)
Angriffe vermeiden, Beispiel 2: SQL Slammer
SQL Slammer (oder Sapphire) ist ein Wurm, der auf Microsoft SQL Server 2000 und Microsoft
Data Engine (MSDE) 2000-Systeme abzielt und zu einem hohen Netzwerkverkehr führt. Er
verursacht so einen DoS-Zustand.
Etwa um 21:30 Uhr PST (Pacific Standard Time) am Freitag, den 24. Januar 2003, verursachte
SQL Slammer einen dramatischen Anstieg des weltweiten Netzwerkverkehrs. Eine Analyse von
SQL Slammer zeigt:

Der Wurm benötigte etwa 10 Minuten, um sich weltweit auszubreiten, was ihn mit Abstand
zum bis jetzt schnellsten Wurm macht.

In den frühen Phasen verdoppelte sich die Anzahl der betroffenen Computer alle 8,5
Sekunden

Zur Spitzenzeit (etwa 3 Minuten nach Aktivierung des Wurms), durchkämmten die Computer
55 Millionen IP-Adressen pro Sekunde.

Er erreichte mindestens 75.000 Opfer (wahrscheinlich beträchtlich mehr).
SQL Slammer nutzte eine Sicherheitslücke mit einem Pufferüberlauf aus. Die wurde zuerst im
Microsoft Security Bulletin MS02-039 (Juli 2002) veröffentlicht, 184 Tage bevor der Angriff
startete. Noch einmal erwähnt wurde die Sicherheitslücke im Security Bulletin MS02-061. Mit
beiden Bulletins wurden Sicherheitspatches angeboten und Gegenmaßnahmen veröffentlicht.
Weitere Informationen zu diesem Security Bulletin, einschließlich technischer Informationen und
Gegenmaßnahmen finden Sie unter http://www.microsoft.com/technet/security/bulletin/MS02039.asp (englischsprachig).
Lektion aus SQL Slammer
Eine der Herausforderungen bei der Vermeidung von SQL Slammer für die betroffenen
Unternehmen war die hohe Verbreitung der MSDE von SQL Server. Diese kommen in vielen
Produkten zum Einsatz.
Der SQL-Slammer-Angriff hebt drei wichtige Punkte im Zusammenhang mit Sicherheitslücken
hervor:

Einen guten Überblick über alle eingesetzten Computer, Produkte und Technologien in der
Umgebung ist unabdingbar für eine erfolgreiche Sicherheitspatch-Verwaltung.

Ein wirksamer Angriff benötigt keine Sicherheitslücken in wertvollen Ressourcen. SQL
Slammer erreichte sein Ziel auch über einfache Computer innerhalb des Netzwerks.

Die Anwendung eines Sicherheitspatches ist nicht ausreichend, um eine Sicherheitslücke zu
beheben. Regelmäßiges Scannen auf ein erneutes Auftreten der Sicherheitslücke ist ebenso
notwendig.
Hinweis: SQL Slammer hat auch Microsoft einiges darüber gelehrt, wie Werkzeuge für
die Sicherheitspatch-Verwaltung beschaffen sein müssen. Softwarequalität, externe
Kommunikation und ständige interne Evaluierungsprozesse sind entscheidende
Elemente einer Sicherheitsstrategie.
Weitere Informationen über diese Prozesse bei Microsoft finden Sie unter
http://www.microsoft.com/security/whitepapers/patch_management.asp (englischsprachig).
2 Vorbereitung der Patchverwaltung
Um sich für die Patchverwaltung vorzubereiten, ist es wichtig, die geschäftliche Tragweite zu
verstehen. Wichtig sind auch die Technologien und Fähigkeiten, die vorhanden oder nicht
vorhanden sind. Als nächstes müssen Gruppen und Verantwortlichkeiten vereinbart werden, um
sicher zu stellen, dass die Betriebsabläufe wirkungsvoll eingehalten werden können. Eine
erfolgreiche Umsetzung von Sicherheitsmaßnahmen wird durch eine Kombination von
Menschen, Prozessen und Technologien erreicht.
Bewerten Ihrer Umgebung, Risiken und Anforderungen
Um den Aufwand für die Sicherheitspatch-Verwaltung zu bestimmen, müssen Sie zuerst die
Auswirkung einer schwachen (oder reaktiven) Patchverwaltung betrachten. Danach bestimmen
Sie, ob die vorhanden Fähigkeiten und Infrastrukturen für die Patchverwaltung ausreichend sind.
Die unternehmerische Problemstellung
Betrachten Sie die geschäftlichen Auswirkungen, die auftreten, wenn keine Patchverwaltung
durchgeführt und lediglich auf Zwischenfälle reagiert wird.
Die folgenden Aspekte helfen Ihnen bei der Abschätzung der finanziellen Auswirkungen einer
schwachen Patchverwaltung:

Ausfallzeit: Wie hoch sind die Kosten einer Ausfallzeit? Was geschieht, wenn wichtige
Systeme betroffen sind? Schätzen Sie die Kosten für den Verlust an Produktivität der
Benutzer, fehlende Transaktionen sowie verlorengegangenem Umsatz ein. Ausfallzeit wird
meist durch Angriffe verursacht. Entweder durch den Angriff selbst oder durch die
Wiederherstellung der Umgebung. Vergangene Angriffe haben Computer zum Teil für Tage
lahmgelegt.

Wiederherstellungszeit: Welche Kosten entstehen bei einer Behebung eines Problems?
Wie hoch sind die Kosten für eine Neuinstallation von Computern? Viele Angriffe erfordern
eine Neuinstallation, um möglichen Hintertüren vorzubeugen.

Fragwürdige Integrität der Daten: Für den Fall eines Angriffs kann die Integrität von Daten
geschädigt werden. Wie hoch sind die Kosten dafür, die letzte verlässliche Sicherungskopie
ausfindig zu machen oder die Daten mit Kunden und Partnern abzugleichen?

Verlust an Vertrauenswürdigkeit: Welche Kosten entstehen durch einen Vertauensverlust
bei den Kunden? Wie wirkt sich der Verlust von Kunden aus?

Schlechte Wirkung auf die Öffentlichkeit: Was sind die Auswirkungen für ein
Unternehmen hinsichtlich des Ansehensverlustes? Wie wirkt sich dies etwa auf den
Aktienkurs aus? Was sind die Auswirkung bei einem Diebstahl von vertrauliche Daten
(Kreditkarten-Informationen)?

Rechtliche Folgen: Wie sehen die Kosten für mögliche Gerichtsverfahren aus, die gegen ein
Unternehmen in der Folge eines Angriffs angestrengt werden könnten?

Diebstahl geistigen Eigentums: Was sind die Kosten für den Verlust oder die Zerstörung
geistigen Eigentums?

Andere Bereiche: Wie sehen die Kosten für mögliche gerichtliche Untersuchungen gegen
Angreifer aus?
Nutzen Sie vergangene Angriffe, um diese Kosten zu bestimmen. Bedenken Sie jedoch, dass
diese Angriffe möglicherweise nicht ihr volles Schadenspotential entfaltet haben. Zielgerichtete
Angriffe können noch kostspieliger sein.
Die Beurteilung
Die Beurteilungsphase sollte alle Werkzeuge und Ressourcen umfassen, die für die
Patchverwaltung zur Verfügung stehen.
Einige der kritischen Bereiche sind:

Betriebssysteme und Versionen: Wie viele unterschiedliche Betriebssysteme werden
unterstützt? Je mehr Betriebssysteme unterstützt werden, um so größer ist die
Herausforderung für eine umfassende Patchverwaltung.

Anwendungen und Versionen: Wie viele verschiedene Anwendungen und Versionen
bedürfen gegebenenfalls eines Patches? Werden alle Anwendungen unterstützt? Wie viele
wurden im vergangenen Jahr mit Patches aktualisiert? Verschiedene Versionen derselben
Anwendung können die Patchverwaltung erschweren.

Computerbestand und kritische Ressourcen: Wie viele Computer müssen in der
Umgebung verwaltet werden? Welche Systeme sind besonders kritisch und erfordern eine
hohe Verfügbarkeit? Werden Inventarisierungen von Computern und Software unterstützt
und laufen diese manuell oder automatisch ab? Eine aktuelle Inventarliste ist
ausschlaggebend für die wirkungsvolle Patchverwaltung.

Nicht verwaltete Computer: Wie viele nicht zentral verwaltete Computer gibt es in der
Umgebung? Diese müssen ebenfalls von der Patchverwaltung erfasst werden. Sie
verursachen häufig einen größeren Aufwand.

Aktueller Sicherheitslücken-Status: Werden alle Computer mit den neuesten Servicepacks
und Sicherheitspatches versorgt? Gibt es hinreichende Richtlinien zur Sicherheit im
Unternehmen? Wie werden Sicherheitslücken in einer Umgebung gefunden? Das
regelmäßige Nutzen von Werkzeugen, wie dem Microsoft Baseline Security Analyzer, dient
dem Aufspüren von Sicherheitslücken.

Netzwerk-Infrastruktur: Wie ist die Struktur des Netzwerks und sein Sicherheitsstatus? Ist
das Netzwerk gegen allgemeine Gefahren gesichert? Sind Firewalls vorhanden? Sind
drahtlose Netzwerke gesichert?

Software-Bereitstellung: Gibt es eine Infrastruktur für die Software-Bereitstellung? Kann
diese auch Aktualisierungen bereitstellen? Bedient sie alle Computer der Umgebung?

Personen und Fähigkeiten: Gibt es genügend qualifizierte Mitarbeiter, um eine
Sicherheitspatch-Verwaltung zu realisieren? Sind sich die Mitarbeiter der Notwendigkeit
bewusst? Kennen sie die wesentlichen Sicherheitselemente, wie etwa Analyse,
Softwareverteilung und Patchverwaltung?

Effektiver Betrieb: Sind standardisierte Prozesse vorhanden, oder sind diese nur vage
umrissen? Gibt es Prozesse für die Verwaltung von Änderungen oder Veröffentlichungen,
zumindest informelle? Die Sicherung einer Umgebung sollte nicht dem Zufall überlassen,
oder von Fall zu Fall durchgeführt werden.
Unterstützung sichern, Ziele definieren
Die Einführung von Sicherheitsprogrammen, wie etwa die Sicherheitspatch-Verwaltung, wird
durch eine Unterstützung durch die Geschäftsleitung vereinfacht. IT-Experten können eine
Infrastruktur betreiben, aber ohne eine umfassende Unterstützung kann die Durchsetzung von
Richtlinien schwierig werden.
Klare Geschäftsziele und eine gute Unterstützung sollten vorhanden sein. Die Geschäftsziele
sollten folgende Bereiche abdecken:

Ziel: Minimierung von Angriffen

Sicherstellen einer proaktiven Einrichtung und Installation aller notwendigen SoftwareUpdates.


Sicherstellen der Durchsetzung einer Sicherheitsrichtlinie, einschließlich der
Standardeinstellungen für Computer, die den Sicherheitsanforderungen des
Unternehmens entsprechen (keine Sicherheitsrichtlinie = maximales Risiko).

Minimierung von Sicherheitslücken durch regelmäßiges analysieren der Umgebung.

Sicherstellen kurzer Reaktionszeiten bei Angriffen durch eine proaktive Erkennung von
Einbrüchen.

Sicherstellen, dass das Unternehmen geeignete Werkzeuge, Fähigkeiten und
Maßnahmen zur Reaktion bereitgestellt hat, um wirksam auf Angriffe reagieren zu
können.
Ziel: Optimale Verwendung von Zeit und Ressourcen auf die Sicherheitspatch-Verwaltung.

Verwendung von Werkzeugen, die Sicherheitslücken automatisiert finden, beurteilen und
beheben.

Verfahren für eine wirkungsvolle Sicherheitspatch-Verwaltung etablieren.
Teil II dieses Leitfadens gibt Ihnen Detailinformationen und Ressourcen um diese Ziele zu
erreichen.
Definieren von Gruppen und Verantwortlichen
Abhängig von den Bedürfnissen eines Unternehmens und seiner Größe, wird die
Patchverwaltung entweder von einer einzigen Person oder von einer Gruppe zentral oder
dezentral ausgeführt. Um deren Erfolg sicherzustellen, sollte die Verantwortung klar verteilt sein.
Ein Hilfestellung bei diesen Gruppenstrukturen bietet Ihnen das Microsoft Operations FrameworkGruppenmodell, welches sechs Rollentypen umfasst. Dies decken einen effektiven Betrieb
komplett ab.
Die Rollentypen können für die gesamte Gruppe, die den Betrieb realisiert, verwendet werden. In
kleineren Umgebungen können einige Gruppen auch mehrere Rollen übernehmen.
Eine vollständige Beschreibung der MOF-Rollentypen finden sie unter:
http://www.microsoft.com/technet/itsolutions/tandp/opex/mofrl/MOFTMl.asp (englischsprachig).
Weitere Schritte
Nach dem Bewerten der Anforderungen des Unternehmens und dem Festlegen alle Rollentypen
und Verantwortlichkeiten, wird im nächsten Schritt die Implementierung der benötigten
Infrastruktur als integraler Bestandteil der IT-Umgebung angegangen.
Implementierung und Betrieb
Die Implementierung konzentriert sich auf die Auswahl und Installation der notwendigen
Werkzeuge, Technologien und Infrastrukturen, die zur wirkungsvollen Einrichtung einer
Sicherheitspatch-Verwaltung nötig sind.
Teil I, Kapitel 4, Werkzeuge und Technologien und Teil I, Anhang A, Drittanbieter-Produkte und
Ressourcen stellen Ihnen Informationen zu verfügbaren Werkzeuge für eine automatischen
Erkennung von Sicherheitslücken, sowie zur automatisierten Anwendung von Sicherheitspatches
zur Verfügung. Teil I, Kapitel 4, umfasst außerdem Anleitungen zur Auswahl einer MicrosoftBereitstellungs-Infrastruktur.
Hinweis: Anleitungen und Vorgehensweisen zur Planung und Erstellung von ITLösungen finden Sie im Microsoft Solutions Framework unter
http://www.microsoft.com/msf (englischsprachig).
3 Verstehen der Sicherheitspatch-Verwaltung
Hinweis: Teil II dieses Leitfadens arbeitet mit dem selben Phasenmodell, dass auch in
diesem Kapitel behandelt wird. Er bietet Ihnen jedoch zusätzlich Informationen zu den
unterschiedlichen Techniken.
Abbildung 3.1
Überblick über die Sicherheitspatch-Verwaltung
Software-Firmen veröffentlichen Software-Updates um Probleme zu beheben, die nach der
Auslieferung des Produktes aufgetreten sind. Um eine Umgebung sicher und stabil gegen
Angriffe zu machen, bedarf es großer Sorgfalt und eines nicht unerheblichen Aufwandes.
Dieses Kapitel bietet dem Leser ein grundlegendes Verständnis der permanent erforderlichen
Prozesse im Rahmen einer Sicherheitspatch-Verwaltung und beschreibt die zentralen Konzepte
und Prinzipien einer Patchverwaltung, einschließlich:

Einrichtung: Die erforderlichen unregelmäßigen Tätigkeiten, die für eine effektive
Sicherheitspatch-Verwaltung erforderlich sind, umfassen unter anderem das Inventarisieren
der Umgebung, das Erstellen von Basiseinrichtungen, sowie die Einrichtung von Warnungen,
die Erstellung von Sicherheitsberichten, um eine Identifikation, Konfiguration und Wartung
der Infrastruktur zu ermöglichen.

Änderungseinleitung: Fortwährende Überwachung, um sicherheitsrelevante Sachverhalte
zu erkennen und diese in die Produktivumgebung einfließen zu lassen. Dies schließt die
Überprüfung verschiedener Informationsquellen mit ein. Damit können die geeigneten
Schritte eingeleitet und passende Software-Updates ausgewählt werden.
Die typischen Reaktionen auf ein Sicherheitsproblem sind:

Veröffentlichung: Das Veröffentlichen eines Software-Updates und ähnliche
Gegenmaßnahmen sind die übliche Reaktion auf erkannte Sicherheitslücken.
Sicherheitsänderungen bedürfen immer vorbereitender Maßnahmen, wie dem Testen der
Patches und dem Ankündigen der Änderung.

Sicherheitsrichtlinie durchsetzen: Diese Maßnahme ist notwendig, wenn bereits beseitigte
Sicherheitslücken erneut auftreten. Solche Sicherheitslücken stellen ein erhöhtes Risiko dar.

Reaktion auf sicherheitsrelevante Notfälle
Im Laufe der Zeit sollte ein Unternehmen eine Optimierung erreichen – regelmäßig sollte man
prüfen, wie effektiv die verwendeten Prozesse sind und diese unter Umständen anpassen.
Dieses Kapitel schließt mit einem allgemeinen Überblick zu den Optimierungsresultaten.
Einrichtung
Dieser Abschnitt bietet einen allgemeinen Überblick über seltene Tätigkeiten zum Einrichten der
Sicherheitspatch-Verwaltung. Dieses Thema wird detaillierter in Teil II, Kapitel 2, Einrichten
diskutiert.
Abbildung 3.2
Einrichten der Sicherheitspatch-Verwaltung
Basiseinrichtung
Eine Basiseinrichtung heißt, alle Computer in einer Umgebung auf einen einheitlichen Stand zu
bringen – also den gleichen Softwareversionen und Patches. Ohne diesen Vorgang wäre die
Sicherheitspatches-Verwaltung unnötig aufwendig.
Die Basiseinrichtung umfasst die folgenden Schritte:
1. Erstellen einer Inventarliste der Hardware (Computer und Modelle), Betriebssysteme und
Anwendungen, inklusive besondere Softwareversionen und Updates, die angewendet
wurden.
2. Benutzen Sie die Informationen der Inventarisierung, um die Standard-Software für alle
Computer zu ermitteln.
3. Prüfen Sie, welche Computer den Kriterien entsprechen und welche nicht. Dann entscheiden
Sie, welche Computer Sie neu konfigurieren müssen.
4. Bringen Sie alle Computer auf den gewünschten Stand.
5. Stellen Sie sicher, dass die Kriterien zu Standard-Software erfüllt sind. Wenn aus
geschäftlichen Gründen Ausnahmen nötig sind, entscheiden Sie fallweise.
Unterschiedliche Arten von Computern (etwa E-Mail Server oder Verzeichnisdienst-Server)
können unterschiedliche Anwendungs-Basiseinrichtungen benötigen, jedoch trotzdem über eine
gemeinsame Betriebssystem-Basiseinrichtung verfügen. Unterschiedliche Modelle (etwa HP oder
Dell) können unterschiedliche Basiseinrichtungen haben.
Hinweis: In einer Umgebung, in der Richtlinien nicht strikt eingehalten werden, wird das
Erstellen von Basiseinrichtungen anfangs eine Herausforderung darstellen, da
Softwareversionen und Updates auf einem unterschiedlichen Stand sein werden. Ohne
eine Basiseinrichtung wären eine effektive Sicherheitspatch-Verwaltung jedoch nur
schwer durchzuführen.
Das Erstellen von Basiseinrichtungen hat weitere Vorteile. Sie haben zum Beispiel einen
umfassenden Überblick über den Bestand an Computern und Software.
Microsoft Produkt-Supportrichtlinie
Microsoft erstellt nur für unterstützte Produkte Sicherheitsupdates. Damit die Verfügbarkeit von
neuen Sicherheitsupdates sichergestellt ist, sollten die Software-Basiseinrichtungen nur
unterstützte Produkte mit aktuellen Servicepacks umfassen. Weitere Informationen darüber,
welche Versionen von Microsoft Produkten im Moment unterstützt werden finden Sie unter
http://support.microsoft.com/default.aspx?scid=fh;[LN];lifecycle (englischsprachig).
Sicherheitspatches werden zwischen den einzelnen Servicepacks veröffentlicht. Aktualisieren Sie
Ihre Basiseinrichtungen mit diesen Sicherheitspatches so schnell wie möglich. Damit reduzieren
Sie die Zahl an Servicepatches, die Sie nach der Einrichtung eines neuen Computers installieren
müssen. Weitere Informationen zu Servicepacks finden Sie unter
http://www.microsoft.com/technet/columns/security/essays/srvpatch.asp (englischsprachig).
Bestandskategorisierung und Wertbestimmung
Während des Erstellens von Basiseinrichtungen ist es hilfreich, verschiedene Ressourcen und
Kategorien zu unterscheiden. Wichtig sind auch Unterkategorien, die später für eine Priorisierung
benötigt werden.
Bedenken Sie dabei die Kosten für Ausfallzeiten und die Anforderungen jeder Kategorie und
Unterkategorie – führen Sie eine Risikoabschätzung durch, um die Wichtigkeit unterschiedlicher
Ressourcen zu bestimmen. Kategorisierungen nach technischen Funktionen sind nicht immer
zutreffend.
Hinweis: Unabhängig vom relativen Wert jeder Ressource sollten Sie bedenken, dass
ein Angriff Ressourcen mit geringer Bedeutung die gesamte Umgebung in
Mitleidenschaft ziehen kann. Die Sicherheitspatch-Verwaltung sollte so umfassend wie
möglich sein – es soll keine Lücke für einen Angriff bleiben.
Abonnements
Die Abonnierung der entsprechenden Benachrichtigungen ist für eine Pflege und Aktualisierung
der etablierten Basiseinrichtungen und für eine effiziente Patchverwaltung essentiell.
Das Microsoft Security Response Center (MSRC) kümmert sich um Sicherheitsprobleme, die
Microsoft Produkte betreffen und gibt Security Bulletins heraus. Jedes Unternehmen das
Microsoft Produkte nutzt, sollte diese abonnieren. Sie stehen in zwei Varianten zur Verfügung:

Technische Warnungen – Abonnieren Sie diese unter
http://www.microsoft.com/technet/security/bulletin/notify.asp (englischsprachig).

Nicht-Technische Warnungen – Abonnieren Sie die unter
http://register.microsoft.com/subscription/subscribeme.asp?id=166 (englischsprachig).
Stellen Sie sicher, dass mehr als eine Person in ihrem Unternehmen Security Bulletins erhält. So
gewährleisten Sie, dass diese Informationen auch während des Urlaubs eines Mitarbeiters
ausgewertet werden.
Alte Security Bulletins finden Sie unter http://www.microsoft.com/technet/security/current.asp
(englischsprachig).
Sicherheitsberichte
Kontinuierliches Untersuchen und Berichten über sicherheitsrelevante Belange ist notwendig, um
die Sicherheit in Ihrer Umgebung zu gewährleisten. Dies ist der Prozessschritt, bei dem
Sicherheitsberichte angefertigt werden.
Die wichtigsten Sicherheitsberichte über ihre Umgebung sollten für eine effektive
Sicherheitspatch-Verwaltung die folgende Punkte beinhalten:

Sicherheitslücken-Analysebericht: Diese Berichte können durch Werkzeuge, wie den
Microsoft Baseline Security Analyzer (MBSA) erstellt werden.

Virus-Analyseberichte: Diese Berichte können durch Virensuchprogramme erstellt werden.

Berichte zur Einbruchserkennung: Diese Berichte fassen die Resultate von
unterschiedlichen Aktivitäten zusammen, wie etwa die Überwachung von Netzwerken und
das Untersuchen der Ereignisanzeigen und die Ergebnisse von Systemen zur
Einbruchserkennung. Ein solches System zur Einbruchserkennung hilft bei der
automatisierten Überwachung von Sicherheitsproblemen.
Jeder dieser Berichte - zusammen mit Sicherheitsbenachrichtigungen und anderen
Informationsquellen - ermöglicht, dass ein Unternehmen stets die nötigen sicherheitsrelevanten
Informationen hat, um die Änderungseinleitung zu steuern.
Die Erstellung solcher Berichte sollte soweit wie möglich automatisiert werden; außerdem sollten
sie regelmäßig erstellt werden. Viele Berichte sollten täglich, einige wöchentlich angefertigt
werden. Die Häufigkeit hängt vom Grad der Automatisierung und dem Umfang des Berichts ab.
Weitere Faktoren sind die vorhanden Technologien und die Personaldecke des Unternehmens
und der Stellenwert, den die angestrebte Sicherheit im Unternehmen einnimmt.
Konfiguration und Wartung
Die Infrastruktur zur Patchverwaltung umfasst alle Werkzeuge und Technologien die genutzt
werden, um die Anlagen zu warten, zu testen und in Betrieb zu nehmen. Diese Infrastruktur ist
ein unerlässliches Instrument, um die Sicherheit und Stabilität in einer Umgebung zu
gewährleisten. Sie verdient ein hohes Maß an Aufmerksamkeit und Pflege.
Wenn die Infrastruktur zur Patchverwaltung eine Sicherheitslücke aufweist, bietet dies einem
Angreifer umfassenden Zugriff auf das Unternehmen – dies beinhaltet die Möglichkeit, eine große
Anzahl von Computern in kurzer Zeit anzugreifen. Eine Patchverwaltungs-Infrastruktur muss mit
weitreichenden Überlegungen zur Sicherheit in Betrieb genommen, konfiguriert und gewartet
werden.
Änderungseinleitung
Dieser Abschnitt gibt einen grundlegenden Überblick über die Änderungseinleitung. Dieser
fortdauernde Prozess steuert die Sicherheitspatch-Verwaltung. Das Thema wird in Teil II, Kapitel
3, Änderungseinleitung noch detailliert diskutiert.
Abbildung 3.3
Einleitung von Änderungen in der Sicherheitspatch-Verwaltung
Ermittlung
Die Ermittlung von Sicherheitsbelangen und den damit verbundenen Software-Updates ist ein
andauernder Prozess, der von unterschiedlichen Quellen abhängig ist.
Untersuchungsberichte zur Verwundbarkeit
Diese Berichte erfassen Sicherheitslücken, die mit konfigurierten Einstellungen und
Softwareversionen in Zusammenhang stehen. Das Ziel sollte eine geringe Anzahl von
verschiedenen Versionen sein.
Sicherheitslücken, die mit kürzlich gemachten Veröffentlichungen in Verbindung stehen, leiten
gewöhnlich eine Sicherheitsveröffentlichung ein. Wiederkehrende Sicherheitslücken und
schwache Sicherheitseinstellungen werden am besten durch den Einsatz einer schärferen
Sicherheitsrichtlinie behoben.
Security Bulletins
Microsoft Security Bulletins beschreiben neue Sicherheitslücken von Produkten, Aktualisierungen
der vergangenen Berichte und neu entdeckte Viren.
Berichte über Sicherheitslücken beschreiben die passenden Software-Updates und geeignete
Gegenmaßnahmen zur Absicherung der Systeme. Besondere Sicherheitslücken werden
normalerweise durch eine Sicherheitsveröffentlichung im Security Bulletin erklärt.
Microsoft Security Bulletins werden - wenn sich der Schweregrad der Lücke ändert - neu erstellt.
Die Security Bulletins werden ebenso neu aufgelegt, wenn die entsprechenden Software-Updates
veröffentlicht wurden, um ein Problem des Produktes zu beheben oder die Qualität zu
verbessern.
Neu aufgelegte Berichte, die einen höheren Schweregrad haben, sollten erneut evaluiert werden.
Dabei sollte geprüft werden, ob eine beabsichtigte Sicherheitsveröffentlichung mit hoher Priorität
und beschleunigt ausgeführt werden muss.
Wenn eine neuere Version eines Software-Updates veröffentlicht wurde, sollten Sie feststellen,
ob eine neue Sicherheitsveröffentlichung durchgeführt werden muss.
Microsoft Richtlinie im Bezug auf Security Bulletins
Microsoft verteilt niemals Software direkt durch einen E-Mail-Anhang. Wenn Sie eine Nachricht
erhalten, die behauptet Software von Microsoft zu beinhalten, führen Sie nicht den Dateianhang
aus – löschen Sie stattdessen die Nachricht.
Weitere Informationen zu diesen Richtlinien finden Sie unter
http://www.microsoft.com/technet/security/policy/swdist.asp (englischsprachig).
Es gibt ein Menge an E-Mail-Täuschungen und -Scherzen, die behaupten, von Microsoft zu
stammen. Wenn Sie ein Microsoft Security Bulletin erhalten, überprüfen Sie alle Links durch den
Aufruf der offiziellen Microsoft Seite: http://www.microsoft.com/technet/security/current.asp
(englischsprachig).
Weitere Informationen hierzu finden Sie unter
http://www.microsoft.com/technet/security/news/patch_hoax.asp (englischsprachig).
Warnungen und Webseiten
Neben dem Lesen von Sicherheitsberichten und der Überprüfung auf Sicherheitslücken, sollten
Sie regelmäßig Produkt- und Technologiewebseiten besuchen, um herauszufinden, ob neue
Service Packs, wichtige Sicherheitsbetrachtungen oder Whitepapers veröffentlicht wurden. Einige
Dienste senden per E-Mail Warnungen, die in Zusammenhang mit bestimmten Produkten stehen.
Die Folge einer neu gefunden Sicherheitsinformation kann das Einleiten einer
Sicherheitsveröffentlichung sein. Überprüfen Sie, ob Änderungen an den Sicherheitsrichtlinien
vorgenommen werden müssen, um einen besseren Schutz zu erzielen. Der Einsatz eines neuen
Tools könnte auch eine hilfreiche Neuerung darstellen. Besondere Software-Updates, die nichts
mit Sicherheit zu tun haben, sollten eigenständig behandelt werden.
Ein Angriff durch einen neuen Virus oder einen Wurm ist ein guter Grund für die Einrichtung eines
Notfallreaktionsplans. Dieser kann Ihnen helfen, den Schaden durch einen Angriff zu minimieren
und versetzt ein Unternehmen in ein gute Ausgangslage.
Berichte zu Viren und Einbruchserkennung
Das Aufspüren eines Virus oder Einbruchs offenbart einen bereits laufenden Angriff, der einer
schnellen Reaktion bedarf. Die typische Reaktion auf einen Angriff ist ein Notfallreaktionsplan.
Microsoft-Richtlinie zu neu entdeckten Sicherheitslücken
Wenn Sie eine neue Sicherheitslücke in eine Microsoft Produkt entdecken, informieren Sie
Microsoft bitte sofort. Wenn Sie einen Microsoft Premium Support Vertrag haben, kontaktieren
Sie ihren Ansprechpartner bei Microsoft. Für Unternehmen, bei denen dies nicht der Fall ist,
bietet Microsoft eine entsprechende Formular-Seite im Internet an, über die Sicherheitslücken
gemeldet werden können: https://www.microsoft.com/technet/security/bulletin/alertus.asp
(englischsprachig).
Relevanz
Um die notwendigen Reaktionsmaßnahmen zu bestimmen, sollten Sie erkannte
Sicherheitslücken auf deren Bedeutung für die Unternehmensumgebung überprüfen. Die
Überprüfung sollte alle entscheidenden Dokumentationen umfassen, wie zum Beispiel
Knowledge Base (KB)-Artikel. Stellen Sie fest, of eine Sicherheitslücke in der Umgebung für eine
bestimmte Softwareversion existiert. Wenn die Sicherheitslücke existiert, muss reagiert werden.
Hinweis: Eine Sicherheitslücke, die durch eine Gegenmaßnahme abgeschwächt wurde
(etwa durch Netzwerkfilter oder Dienstabschaltung) ist noch immer eine Gefahrenquelle.
Da einige Gegenmaßnahmen nicht umfassend sind, verhindern sie nicht jeden Angriff.
Außerdem kann durch eine zukünftige Konfigurationsänderung unbeabsichtigt eine
Gegenmaßnahme entfernt werden. Aus diesen Gründen sind solche Sicherheitslücken
trotz Gegenmaßnahmen bedeutsam und benötigen ein Sicherheitspatch.
Obwohl die Existenz einer solchen Gegenmaßnahme die Priorität eines SoftwareUpdates reduziert, muss die Sicherheitslücke trotzdem weiter überwacht und später
behoben werden.
Quarantäne
Um die Produktionsumgebung vor Vireninfektion und bösartigem Code zu schützen, sollten alle
Software-Updates in einer speziellen Testumgebung geprüft werden. Diese Quarantäne sollte
sich über die gesamte Software und Dokumentation erstrecken.
Die Software, welche die Quarantäne durchlaufen hat, sollte dann die einzige verwendete
Version für die Verwaltung von Änderungen und Veröffentlichungen sein.
Hinweis: Microsoft Software-Updates und Verteilungswerkzeuge umfassen die Software
Update Services (SUS) und den Systems Management Server (SMS) mit SUSErweiterung. Dadurch wird erreicht, dass nur Software aus vertrauenswürdigen,
virusfreien Microsoft-Quellen bezogen wird. Die Authentizität der Datenpakete wird durch
digitale Signaturen sichergestellt.
Diese Richtlinie versucht die größtmögliche Sicherheit für den Bezug von SoftwareUpdates durchzusetzen. Trotzdem können bestimmte Prozesse weiterhin eine
Quarantäne-Umgebung für die heruntergeladenen Softwareaktualisierungen erfordern.
Sicherheits-Veröffentlichungen
Dieser Abschnitt bietet einen grundlegenden Überblick über Sicherheits-Veröffentlichungen, die
typische Reaktion auf eine entdeckte Sicherheitslücke. Dieses Thema wird detaillierter in Teil II,
Kapitel 4, Sicherheits-Veröffentlichungen diskutiert.
Abbildung 3.4
Sicherheits-Veröffentlichungen
Änderungsverwaltung
Die Änderungsverwaltung im Zusammenhang mit Sicherheits-Veröffentlichungen ist der Prozess,
um eine geeignete Reaktion auf eine Sicherheitslücke oder eine Bedrohung zu bieten. Dies
schließt folgende Punkte ein:

Bestimmen, welche Art von Änderung in der Produktionsumgebung notwendig ist. Die
Lösung kann entweder das Einsetzen von Software-Updates oder aber das Anwenden von
Gegenmaßnahmen sein. Auch eine Kombination aus beiden Maßnahmen ist denkbar.

Beschreibung der notwendigen Änderungen, so dass andere diese verstehen und
entsprechend handeln können.

Priorisierung und Planung einer Veröffentlichung, um die Änderung zu implementieren.

Sicherstellen, dass die entsprechenden Personen den Vorgang autorisieren und freigeben,
um die Änderung durchzuführen.
Auswahl von Gegenmaßnahmen
Die beste Reaktion auf Softwaresicherheitslücken ist der Einsatz von Updates, die das Problem
beheben. Gelegentlich ist dies nicht sofort erforderlich. Die Anwendung einer Gegenmaßnahme
hat unterschiedliche Nutzen:

Einige Gegenmaßnahmen können ohne Ausfallzeit angewendet werden, während andere
Software-Updates einen Neustart erfordern.

Einige Gegenmaßnahmen sind mit einem geringeren Risiko verbunden und können schnell
eingesetzt werden ohne umfangreiche Tests. Bei Software-Updates ist dies jedoch meist
nicht der Fall.

Gegenmaßnahmen können gewöhnlich schnell wieder rückgängig gemacht werden, wenn
sie ungewollte Auswirkungen haben. Updates hingegen können nicht einfach deinstalliert
werden.
Aus diesen Gründen sind Gegenmaßnahmen am ehesten zu nutzen, um schnell auf
Sicherheitslücken zu reagieren, wenn diese aufgrund der Bedrohung geboten sind und eine
Aktualisierung nicht so schnell angewendet werden kann.
Wann immer lediglich eine Gegenmaßnahme angewendet wird, sollte auch eine Planung von
Sicherheitsveröffentlichungen als zweiter Schritt vorgenommen werden um die zugrunde
liegende Sicherheitslücke zu beheben.
Hinweis: Viele Gegenmaßnahmen sind in der Anwendung gut für die allgemeine
Sicherheit. Wenn die Gegenmaßnahmen vollständig verstanden wurden, sollten Sie
überlegen, ob die Einstellungen nicht in die Standardsicherheitsrichtlinien übernommen
werden können.
Beschreibung der Änderungen
Es gibt viele Aspekte von Sicherheitsveröffentlichungen, die Sie verstehen sollten. Dabei helfen
Ihnen die nachfolgenden Fragen:

Was ist die Änderung? Welche Reaktion auf welches Sicherheitsproblem stellt die Änderung
dar?

Welche Dienste sind von der Änderung betroffen?

Wurde eine Software-Update angewendet?

Ist durch die Aktualisierung ein Neustart erforderlich?

Kann die Aktualisierung rückgängig gemacht werden?

Sollte eine Gegenmaßnahme angewendet werden?

Was sind die empfohlenen Teststrategien für die Änderung?
Priorisierung und Planung der Veröffentlichung
Die folgende Tabelle gibt einige Empfehlungen zu unterschiedlichen Prioritäten für
Sicherheitsveröffentlichungen.
Tabelle 3.1: Zeitrahmen und Empfehlungen für Sicherheitsveröffentlichungen
Priorität
Empfohlener Zeitrahmen
Minimaler Zeitrahmen
1
Innerhalb 24 Stunden
Innerhalb von 2 Wochen
2
Innerhalb eines Monats
Innerhalb von 2 Monaten
3
In Abhängigkeit der Verfügbarkeit anwenden.
Aktualisierung innerhalb von 6
Dies kann die Installation eines Servicepacks
Monaten.
oder die Aktualisierung der Anwendungssoftware
bedeuten und sollte innerhalb von 4 Monaten
geschehen.
4
In Abhängigkeit der Verfügbarkeit anwenden.
Anwendung der Software-Updates
Dies kann die Installation eines Servicepacks
innerhalb eines Jahres oder kein
oder einer Aktualisierung der Software umfassen Einsatz von Software-Updates.
und sollte innerhalb eines Jahres eingesetzt
werden.
Die Priorität und die resultierende Planung für eine Sicherheitsveröffentlichung sollte durch die
Überlegung bestimmt werden, dass der definierte Schweregrad des MSRC durch spezifische
Eigenschaften der jeweiligen Umgebung ergänzt werden muss.
Ein einfaches Verfahren zur Ermittlung der tatsächlichen Priorität sollte zuerst den vom MSRC
vorgeschlagen Schweregrad zugrunde legen und diesen dann den spezifischen Bedürfnissen
des Unternehmens anpassen. Dabei spielen die individuellen Aspekte der jeweiligen Umgebung
eine wichtige Rolle (Tabelle 3.3).
Tabelle 3.2: Bestimmen der anfänglichen Priorität
MSRC Schweregrad
Anfängliche Priorität der Sicherheitslücke
Kritisch
1
Wichtig
2
Mäßig
3
Niedrig
4
Tabelle 3.3: Faktoren, die einen Einfluss auf die Priorität der Veröffentlichung haben
Umgebungs-/Unternehmensfaktoren
Mögliche Anpassung der
Priorität
Hohe Werte oder hohe Gefährdung von Ressourcen
Erhöhen
Ressourcen, die typischerweise angegriffen werden
Erhöhen
Abschwächende Faktoren, die bereits eingesetzt wurden –zum Beispiel bereits Herabsetzen
implementierte Gegenmaßnahmen
Geringe Werte oder geringe Gefährdung von Ressourcen
Herabsetzen
Um die Anwendung von Veröffentlichung zu erleichtern, können verschiedene
Sicherheitsänderungen der selben Kategorie kombiniert werden. Dies ist am ehesten für die
Prioritäten 2 bis 4 zu empfehlen.
Veröffentlichungsverwaltung
Der Schwerpunkt der Veröffentlichungsverwaltung liegt auf einer Erleichterung der Einführung
von Software- und Hardwareaktualisierungen in verwalteten IT-Umgebungen. Typischerweise
umfassen diese Umgebungen eine Produktiv- und eine Testumgebung.
Der Prozess der Veröffentlichungsverwaltung umfasst folgende Schritte:

Planung der Veröffentlichung: Definieren und priorisieren aller Anforderungen für die
Veröffentlichung und Erstellen der Planungsunterlagen - inklusive eines Test-Plans, RolloutPlans und Rollback-Plans. Diese Pläne werden von allen Gruppenmitgliedern genutzt.

Entwicklung von Veröffentlichungen: Die Auswahl des Veröffentlichungsverfahrens, sowie
der Entwurf, das Erstellen und Testen des zu veröffentlichenden Paketes. Die Verfahren
sollten die Aktualisierungen effizient zur Verfügung stellen und dabei ebenso Computer
berücksichtigen, die zwischen den Basiseinrichtungen neu hinzukommen.

Akzeptanz-Test: Der Zweck des Testens ist es, die fehlerfreie Funktion des Patches zu
bestätigen. Dieser Test zielt darauf ab, zu überprüfen, wie sich das Paket in einer
Produktivumgebung verhält.

Rollout-Planung und –Vorbereitung: Die endgültigen Parameter und Vorbereitungen für
die Infrastruktur, in der die Veröffentlichung angewendet werden soll. Rollout-Vorbereitungen
erfordern die Koordination von Ressourcen sowie das Anpassen von Hard- und Software.

Anwendung der Veröffentlichung: Verteilen und Installieren der Veröffentlichung im
gesamten Unternehmen. Dies kann auf eine Pilot-Phase umfassen, um den Patch auf
wenigen Computer anzuwenden. Die dabei gemachten Erfahrungen können dann dazu
benutzt werden, eine Veröffentlichung entweder stufenweise oder in einem Stück
durchzuführen.
Hinweis: Der Fokus des Akzeptanztests sollte darauf liegen, wie gut das
Sicherheitspatch in ihrer Umgebung angewendet werden kann. Achten sie besonders
darauf, wie kompatibel er mit Standardanwendungen (line-of-business LOB) und
unabhängigen Software-Lieferanten (ISV) zusammenarbeitet und wie sich ältere
Software und Hardware verhält.
Unter Umständen ist es sinnvoll, bei diesen Tests mit den Software-Lieferanten
zusammenzuarbeiten, die zentrale Anwendungen für Sie liefern.
Erfolgsüberwachung
Der Überprüfungsprozess sollte die erfolgreiche Anwendung der Sicherheitspatches sicherstellen
und belegen, dass es dadurch zu keinen negativen Auswirkungen auf den laufenden Betrieb
kommt. Das betrifft auch die Überprüfung der Protokolle und Berichte zur Verteilung.
Hotlineanrufe und Anfragen an den Helpdesk sollten ebenfalls mit aufgenommen werden. Zuletzt
überprüfen Sie durch einen Verwundbarkeit-Untersuchungsbericht, ob die Sicherheitslücke
erfolgreich geschlossen wurde.
Dies bietet Ihnen die Gelegenheit zu überprüfen, wie der Prozess insgesamt abgelaufen ist.
Haben alle Einstellungen bezüglich Änderungseinleitung und Veröffentlichungsverwaltung
funktioniert, oder müssen diese für den nächsten Durchlauf angepasst werden?
Trotz akkuraten Planung und Tests können Probleme auftauchen. Auch wenn ein bestimmtes
Software-Update nicht deinstalliert werden kann, so sollte doch immer der Versuch unternommen
werden, eine Rollbackmöglichkeit zu definieren. Dies geschieht für den Fall, dass die
Änderungen des Sicherheitspatches nicht auf andere Weise korrigiert werden können.
Erzwingen von Sicherheitsrichtlinien
Dieser Abschnitt bietet einen grundlegenden Überblick über das Durchsetzen von
Sicherheitsrichtlinien. Dies ist die typische Reaktion auf wiederkehrende Sicherheitslücken.
Dieses Thema wird detaillierter in Teil II, Kapitel 5, Durchsetzen von Sicherheitsrichtlinien
behandelt.
Neuinstallationen, die Laborausstattung, mobile Benutzer und dezentralisierte Verwaltung können
Quellen für wiederkehrende Sicherheitslücken sein. Wiederkehrende Sicherheitslücken sind ein
erhöhtes Risiko, da Viren, Würmer und Angriffswerkzeuge diese leichte ausnutzen können.
Eine Sicherheitsrichtlinie sollte Definitionen über die Softwarestände, Software-Updates und
Einstellungen umfassen, die wirksam den Grad an tolerierbarem Risiko für ein Unternehmen
wiederspiegeln.
Computer, auf die die Sicherheitsrichtlinie nicht angewendet werden kann, sind angreifbar und
stellen somit ein inakzeptables Sicherheitsrisiko dar. Die Ergebnisse einer vorangegangenen
Sicherheitslückenanalyse können ebenfalls dazu dienen, nicht konforme Systeme zu erfassen.
So kann schnell auf diese reagiert werden.
Das Durchsetzen einer Annäherung an Richtlinien mit Hilfe von Werkzeugen und Methoden,
einschließlich der Erfassung von Computerbesitzern, zielt hauptsächlich auf die Beseitigung von
Sicherheitslücken und das Erkennen geeigneter Eskalationsstrategien ab.
Reaktionen auf sicherheitsrelevante Notfälle
Dieser Abschnitt gibt einen grundlegenden Überblick über die Möglichkeit, auf
sicherheitsrelevante Notfälle zu reagieren. Zum einen auf Notfälle, die sich bereits ereignen und
zum anderen wahrscheinliche Angriffe in der Zukunft. Dieses Thema wird detaillierter in Teil II,
Kapitel 6, Reaktionen auf sicherheitsrelevante Notfälle beschrieben.
Es gibt drei Hauptbereiche, die vor dem Eintreten eines Notfalls vorbereitet werden sollten:

Regelmäßige Überprüfungen, sowie der Gebrauch von Tools zur Eindringlingserkennung.

Schaffung eines Teams, dass auf Vorfälle nach festgelegter Vorgehensweise reagieren soll.

Vordefinierte Schritte nach einem Vorfall und eine Überprüfung der Vorgehensweise, um aus
dem Angriff zu lernen.
Überwachung und Einbruchserkennung umfasst eine Überwachung des Netzwerkumfelds.
Darüber hinaus sollten regelmäßige Überprüfungen der Dienste und Konfiguration der
verschiedenen Computer vorgenommen werden. Außerdem sollten im gesamten Unternehmen
die Ereignisanzeigen der Systeme auf bestimmte Ereignistypen hin untersucht werden. Diverse
Werkzeuge stehen für die Durchführung solcher Aufgaben bereit.
Der offizielle Notfallplan beschreibt, wie das Notfallreaktionsteam die folgenden Aufgaben
ausführt:

Wie wird der Angriff bewertet? Dies umfasst eine Analyse des Angriffs.

Wer sollte bei einem Angriff benachrichtigt werden? Die Liste sollte auch
Strafverfolgungsbehörden und staatliche Stellen umfassen.

Wie kann der Angriff eingedämmt und isoliert werden? Dies sollte alle Eventualitäten, die
eingesetzt werden können, einschließen.

Wie ist ein Angriff zu bewerten und wie soll darauf reagiert werden? Dies sollte alle
Hilfsmaßnahmen und beschleunigte Änderungen und schnellere Veröffentlichungsverwaltung
beinhalten.

Was sollte nach einem Angriff geschehen? Dieser Schritt sollte eine Beurteilung der
Auswirkungen und Wiederholen von Änderungen an der Umgebung umfassen, da eventuell
Änderungen unter Zeitdruck unvollständig oder fehlerhaft ausgeführt wurden. Darüber hinaus
sollte die Leistung der Systeme während eines Angriffes untersucht werden.
Ergebnisoptimierung
Dieser Abschnitt gibt einen grundlegenden Überblick über die Optimierung der SicherheitspatchVerwaltung. Dieses Thema wird detaillierter in Teil II, Kapitel 7, Optimierung der Ergebnisse
diskutiert.
Es ist wichtig, Fortschritte zu dokumentieren und Abläufe zu verbessern. Selbst bei einer guten
Planung zeigen sich nach einiger Zeit Möglichkeiten zur Verbesserung.
Jeder Baustein der Sicherheitspatch-Verwaltung, zum Beispiel das Einrichten, die
Änderungseinleitung einschließlich der Veröffentlichung von Sicherheitspatches, dem Erzwingen
von Sicherheitsrichtlinien und definierten Notfallreaktionsplänen, sollte überprüft werden.
Die Sicherheitspatch-Verwaltung sollte ein integraler Teil des laufenden Betriebs sein. Es gibt
sehr viele Quellen, die eine Hilfestellung bei der Überprüfung und Verbesserung dieser Vorgänge
geben. Genannt sei hier das „Microsoft Operations Framework Self-Assessment“ Tool:
http://www.microsoft.com/technet/itsolutions/tandp/opex/moftool.asp (englischsprachig).
Weitere Informationen über die Beurteilung von Betriebsprozessen finden Sie unter
http://www.microsoft.com/solutions/msm/evaluation/overview/opsassessment.asp
(englischsprachig).
4 Werkzeuge und Technologien
Dieses Kapitel hebt besonders die Technologien hervor, die von Microsoft® für die
Sicherheitspatch-Verwaltung zur Verfügung gestellt werden. Es soll als Entscheidungshilfe
dienen.
Kurzfassung: Verteilung von Software-Updates
Es gibt grundsätzlich drei unterschiedliche Möglichkeiten der Softwareverteilung bei Microsoft:
Windows® Update (WU), Software Update Services (SUS) 1.0 SP1 und Systems Management
Server (SMS) 2.0 mit dem SUS Feature Pack.
Tabelle 4.1: Kurzfassung WU, SUS und SMS.
Anwendungsbereich
Windows Update
SUS 1.0 SP1
SMS mit SUS Service
Pack
Zentralisierte Verwaltung
Unzureichend. Computer
installieren Aktualisierungen
ausgewählt durch den
Benutzer
Gut. Aktualisierungen
werden durch den
Administrator
abgenommen.
Ideal. Aktualisierungen
werden durch den
Administrator
abgenommen und
gezielt angewendet.
Zentrale Inventarisierung
Unzureichend. Keine zentrale Unzureichend. Keine
Inventarisierung oder
zentrale
Einstufung.
Inventarisierung oder
Einstufung.
Ideal. Anpassbare
zentrale
Inventarisierung für
Hard- und Software
sowie
Sicherheitslücken.
Software Abdeckung
Gut. Alle Arten von Windows Angemessen*.
Aktualisierungen. Nur
Sicherheitspatches,
Windows.
kritische
Aktualisierungen,
Aktualisierungen und
Zusammenfassungen
davon. Nur Windows.
Ideal. Verteilt jede
Software oder
Aktualisierung zu SMS
Clients.
Kosten.
keine
Lizenzgebühren
erforderlich.
Windows Betriebssysteme
Gut. Windows 98, Windows Angemessen. WindowsIdeal. Windows 95,
98 SE, Windows Millennium XP, Windows 2000 und Windows 98, Windows
Edition, Windows XP,
Windows 2003.
98 SE, Windows
Windows 2000 und Windows
Millennium Edition,
2003.
Windows NT® 4.0,
Windows XP, Windows
2000 und Windows
2003.
Berichtserstellung
Unzureichend. Keine zentrale Angemessen. Einige Ideal. Integrierte
Berichtserstattung.
zentrale Berichte durch Webseiten mit
Protokolldateien.
anpassbaren Berichten.
Architektur und Installation Leicht. Lediglich
Clientkonfiguration, keine
weitere Infrastruktur.
keine
Leicht. Einfache
Serverarchitektur:
einfache Einrichtung
von Clients.
Anspruchsvoll:
Komplexe Architektur
und Diensteinstallation.
Die Tabelle oben bietet einen einfachen Vergleich der entsprechenden Technologien und
Produkteigenschaften. Dies ist für Unternehmen von Interesse, die Sicherheitspatch-Verwaltung
automatisieren wollen.
Hinweis: Windows Update und Software Update Services 1.0 SP1 bieten lediglich
Softwareaktualisierungen für das Windows-Betriebssystem und Windows-Komponenten
(zum Beispiel Microsoft Internet Explorer, Microsoft Internet Information Server und
Microsoft Windows Media® player). Wo immer Sicherheitslücken in diesen Produkten
gefunden werden, bietet Microsoft Aktualisierungen an.
Etwa 75% aller Microsoft Sicherheitsberichte wurden zu Windows-Betriebssystemen und
Windows-Komponenten veröffentlicht. Deshalb kann man WU und SUS als
angemessene Methoden für die meisten sicherheitsrelevanten Aktualisierungen
ansehen.
In WU- und SUS-Umgebungen müssen andere Microsoft-Produkte, wie Microsoft Office
mit speziellen Aktualisierungsdiensten versorgt werden. In machen Fällen ist eine
manuelle Aktualisierung erforderlich (zum Beispiel bei Microsoft Exchange und Microsoft
SQL Server).
SMS kennt diese Beschränkung nicht und kann zur Aktualisierung aller Arten von
Software herangezogen werden.
Softwareaktualisierungen beurteilen und Berichte erstellen
WU und SUS können feststellen, ob eine Softwareaktualisierung auf einem Computer notwendig
ist. Diese Beurteilung wird jedoch nicht zentral vorgenommen; außerdem liefern sie keine
vereinheitlichten Berichte über Sicherheitslücken. In WU- und SUS-Umgebungen können der
Microsoft Baseline Security Analyzer (MBSA) und das Office Update Inventory-Werkzeug dazu
genutzt werden, eine solche zentrale Beurteilung von Sicherheitslücken durchzuführen und
einfache Berichte zu erstellen.
SMS 2.0 mit dem SUS Feature Pack beinhaltet alle Funktionen des MBSA und des Office Update
Inventory Tools und eine einfach zu bedienende Softwareaktualisierung und
Sicherheitslückenbeurteilung sowie Berichtsfunktion.
Microsoft-Produkt- und –Technologie-Wegweiser
Microsoft bietet kleinen, mittleren und großen Unternehmen verschiedene Werkzeuge und
Dienste an, um Benutzern und Administratoren die Möglichkeit zu geben ihre Computer sicher
und stabil halten.
Microsoft-Werkzeuge zur Softwareaktualisierung und zur Sicherheitslückenbeurteilung:

Microsoft Baseline Security Analyzer (MBSA): Dieses Werkzeug bietet eine Analyse und
Beurteilung von Sicherheitslücken. Außerdem werden fehlende Updates gefunden.

Office Update Inventory Tool: Diese Software bietet Analysefunktionen, die auf
unterschiedliche Computer zugreifen kann und für diese geeignete Aktualisierungen
vorschlägt.
Microsoft Dienste zur Softwareaktualisierung:

Windows Update (WU): Windows Update ist ein Dienst der Ihnen hilft, das WindowsBetriebssystem und seine Komponenten aktuell zu halten.

Office Update: Dieser Dienst arbeitet analog zu Windows Update. Auf einer Webseite bietet
Microsoft Hilfe für alle Produkte des Office-Paketes an.
Microsoft-Dienste zur Abnahme und Verteilung von Softwareaktualisierungen für Unternehmen:

Software Update Services (SUS): SUS ist eine Erweiterung des Windows Update Service,
der Unternehmen eine Wartung und Verwaltung von Aktualisierungen für alle Computer mit
Windows-Betriebssystemen im Intranet erlaubt.

Systems Management Server (SMS) 2.0 und das SUS Feature Pack: Diese Lösung
ermöglicht in Großunternehmen die Verwaltung der Änderung und Konfiguration aller
Microsoft-Systeme. Es bietet eine vollständige Softwareinventarisierung und
Verwaltungsdienste, sowie eine hochentwickelte Berichtsfunktion.
Das SUS Feature Pack bietet einen einfachen Zugang zu Softwareaktualisierungen, die
durch Windows Update, Office Update und das Microsoft Download Center verfügbar sind.
Darüber hinaus sind Analysefunktionen des MBSA und des Office Update integriert. Dies
erleichtert die Sicherheitspatch-Verwaltung in Unternehmen jeder Größe.
Werkzeuge zur Beurteilung und Softwareaktualisierung
Microsoft Baseline Security Analyzer (MBSA) 1.1.1
Der MBSA läuft unter Windows 2000, Windows XP und Windows Server 2003 und untersucht
verschiedene Computer auf allgemeine Sicherheitslücken und fehlende
Sicherheitsaktualisierungen gemäß der folgenden Tabelle.
Tabelle 4.2: MSBA 1.1.1 Analysefunktionen
Produkt
Allgemeine Sicherheitslücken
Fehlende
Sicherheitsaktualisierungen
Windows NT 4.0
Ja
Ja
Windows 2000
Ja
Ja
Windows XP
Ja
Ja
Windows Server 2003
Ja
Ja
Internet Information Server 4.0, 5.0 Ja
und 6.0
Ja
SQL Server 7.0 und SQL Server
2000
Ja
Ja
Internet Explorer 5.01 und höher
Ja
Ja
Exchange 5.5 und 2000
Ja
Windows Media Player 6.4 und
höher
Ja
Office 2000 und Office XP
Ja
*
* Beachten Sie die folgenden Informationen über MBSA 1.2 und Office
MBSA bietet eine grafische Benutzerschnittstelle um Berichte anzuzeigen; außerdem gibt es eine
skript-basierte Schnittstelle. Der MBSA lädt eine XML-Datei aus dem Microsoft Download Center.
Er stellt so sicher, dass eine aktuelle Liste aller sicherheitsrelevanten Softwareaktualisierungen
vorliegt.
Hinweis: MBSA 1.2 wird die Office Update Analysefunktionen des Office Update
Inventory Tool enthalten.
Weitere Informationen zum Microsoft Baseline Security Analyzer finden Sie unter
http://www.microsoft.com/technet/security/tools/tools/mbsahome.asp (englischsprachig).
Office Update Inventory Tool
Das Office Update Inventory Tool ermöglicht Administratoren den Status hinsichtlich Microsoft
Office 2000 und Office XP-Aktualisierungen zu überprüfen. Administratoren können dieses
Werkzeug von einem zentralen Punkt aus nutzen. Das Produkt generiert einen Bericht und stellt
die angewendeten Aktualisierungen fest. Zusätzlich wird eine Liste der verfügbaren Updates
generiert und aufgezeigt, welche Updates nur mit administrativen Rechten angewendet werden
können.
Weitere Informationen zum Office Update Inventory Tool finden Sie unter
http://www.microsoft.com/office/ork/xp/journ/OffUTool.htm (englischsprachig).
Dienste zur Installation von Softwareaktualisierungen auf Computern
Windows Update
Windows Update ist ein kostenloser Dienst, um Windows Computer mit aktuellen
Softwareaktualisierungen zu versorgen. Windows Update besteht aus drei Komponenten: Der
Windows Update Webseite, der automatischen Clientaktualisierung und dem Windows UpdateKatalog.
Windows Update Webseite
Viele Benutzer verwenden die Möglichkeiten der Windows Update-Webseite, um ihr System auf
dem aktuellen Stand zu halten. Wenn sich Benutzer mit der Windows Update-Seite verbinden,
prüft Windows, welche Softwareaktualisierungen und aktualisierten Treiber (mit dem „Designed
for Windows“ Logo) auf dem Computer angewendet werden sollten, um ihr System sicher und
stabil zu halten.
Windows Update kann Benutzer automatisch über wichtige Aktualisierungen und
Sicherheitspatches benachrichtigen. Dies geschieht durch den Automatic Updates Client, ohne
dass die Windows Update-Webseite besucht werden muss.
Automatische Clientaktualisierung
Verfügbar ab Windows 2000 SP3, Windows XP Home Edition und Windows XP Professional
bietet dieser Dienst Benachrichtigungen über empfohlene Aktualisierungen und eine
Benutzerschnittstelle zur Konfiguration an. Dadurch wird eine Möglichkeit zum automatisierten
Herunterladen und Installieren geschaffen.
Hinweis: Der Critical Update Notification (CUN) Client des Security Toolkit ist nun
überflüssig. Wenn dies nicht schon berücksichtigt wurde, aktualisieren sie Windows 2000
auf SP 3, um die aktuelle Version zu erhalten.
Windows Update-Katalog
Die Windows Update-Webseite beinhaltet einen Katalog, der die gesamten
Softwareaktualisierungen für Administratoren bereithält. Diese Installationspakete können über
die unterschiedlichsten Wege verteilt werden, bis hin zur Nutzung von SMS oder
Softwareverteilungsprodukten von Drittherstellern.
Weitere Informationen zu Windows Update finden Sie unter
http://support.microsoft.com/support/windows/update/faq (englischsprachig).
Den Windows Update Katalog finden Sie unter http://windowsupdate.microsoft.com/catalog
(englischsprachig).
Das Windows Logo-Programm und weitere Details finden Sie unter
http://www.microsoft.com/winlogo (englischsprachig).
Office Update
Das Office Update ist für Versionen von Office 2000 und höher verfügbar. Die unterstützten
Produkte umfassen Word, Outlook, PowerPoint, Access, FrontPage, Publisher, InfoPath,
OneNote, Visio, und Microsoft Project.
Office Update funktioniert analog zu Windows Update mit der Ausnahme, dass es keine
automatische Benachrichtigung für Office gibt.
Office Download Center
Wie der Windows Update-Katalog bietet das Office Download Center einen umfassenden
Überblick aller Pakete zur Softwareaktualisierung, die heruntergeladen, gespeichert und verteilt
werden können.
Weitere Informationen über Office Produkt Updates finden Sie unter
http://office.microsoft.com/productupdates/aboutproductupdates.aspx (englischsprachig).
Das Office Download Center finden Sie unter http://office.microsoft.com/downloads
(englischsprachig).
Dienste zur Verteilung von Software-Updates in Unternehmen
Software Update Services 1.0 SP1
Software Update Services (SUS) 1.0 SP1 ist eine Version von Windows Update, die speziell für
Unternehmen entworfen wurde, die jede Softwareaktualisierung vorher eingehend prüfen wollen.
SUS gestattet es Administratoren sehr schnell und leicht Sicherheitspatches und dergleichen auf
Windows-Computern anzuwenden, die Windows 2000, Windows XP Professional oder Windows
Server 2003 ausführen.
SUS umfasst folgende Funktionen:

Softwareaktualisierungen können für jeden SUS Server einzeln abgenommen werden, dies
ermöglicht Tests in speziellen Umgebungen und ebenso eine schrittweise Einführung der
Aktualisierungen im Konzern.

Softwareaktualisierungen können durch SUS verteilt werden (schont die Bandbreite der
Internetverbindung). SUS Clients können aber auch selbstständig Aktualisierungen
durchführen.

SUS kann auch Aktualisierungen auf Systemen durchführen, die keinen Internetanschluss
haben.

Die SUS Server-Architektur ist als eine einfache hierarchische Beziehung konzipiert und
kann daher auch in sehr großen Umgebungen genutzt werden – jeder SUS Server kann bis
zu 15.000 Clients versorgen.

Softwareaktualisierungen können per CD von einem SUS Server, der eine
Internetverbindung hat, auf andere SUS Server übertragen werden.
SUS Server benötigen Windows 2000 Server oder Windows Server 2003, den Internet
Information Server und den Port 80 zur Kommunikation mit den SUS Clients. Jeder SUS Server
kann so konfiguriert werden, dass er entweder manuell oder automatisch von dem
übergeordneten SUS Server die Softwareaktualisierungen erhält. SUS Clients benutzen genau
den selben Mechanismus wie beim Windows Update. Clients werden so konfiguriert, dass sie
sich mit bestimmten Servern verbinden
Hinweis: SUS bietet lediglich Sicherheitspatches, wichtige Aktualisierungen und
zusammengefasste Aktualisierungen an. Servicepacks werden möglicherweise in der
näheren Zukunft verfügbar sein. Treiberaktualisierungen sind nicht über SUS verfügbar.
Weitere Informationen
Software Update Services Fragenliste:
http://www.microsoft.com/windows2000/windowsupdate/sus/susfaq.asp (englischsprachig).
Whitepaper zum Einsatz des Software Update Dienstes:
http://www.microsoft.com/windows2000/windowsupdate/sus/susdeployment.asp
(englischsprachig).
Microsoft Solutions für Management (MSM), Patch Management Leitfaden für Software Update
Dienste (verfügbar ab August 2003):

Architekturleitfaden: http://go.microsoft.com/fwlink/?LinkId=17690 (englischsprachig).

Testleitfaden: http://go.microsoft.com/fwlink/?LinkId=17693 (englischsprachig).

Detaillierte Testfälle: http://go.microsoft.com/fwlink/?LinkId=17694 (englischsprachig).

Einsatzleitfaden: http://go.microsoft.com/fwlink/?LinkId=17691 (englischsprachig).

Betriebsleitfaden: http://go.microsoft.com/fwlink/?LinkId=17692 (englischsprachig).
Systems Management Server (SMS) 2.0 und das SUS Feature Pack
Mit dem Systems Management Server (SMS) 2.0 und dem SUS Feature Pack können
Administratoren leicht Sicherheitsaktualisierungen in ihrem Unternehmen verwalten. SMS war
immer in der Lage, alle Arten von Software zu verteilen, mit dem SUS Feature Pack kommen
jedoch wichtige Sicherheitsfunktionen hinzu.
SMS beinhaltet eine umfassende Inventarisierung, sowie Analysefunktionen für Sicherheitslücken
und Beurteilung von Sicherheitsaktualisierungen. Außerdem enthält es webbasierte Berichte, um
die Konformität und Ergebnisse der Installation zu dokumentieren.
Das SUS Feature Pack für SMS 2.0 wurde entworfen, um schnell und effektiv Sicherheitspatches
beurteilen und anwenden zu können. Dies umfasst Windows, Office und andere Produkte, die
durch MBSA untersucht werden. Das SUS Feature Pack enthält die folgenden neuen Werkzeuge
für SMS:

Security Update Inventory Tool

Microsoft Office Inventory Tool

Distribute Software Updates Assisten

Web Reports Add-in
Security Update Inventory Tool
Das Security Update Inventory Tool baut auf der SMS Inventarisierung und seinen Fähigkeiten
auf. Es nutzt die Funktionalität des MBSA, um jeden Client auf Sicherheitsaktualisierungen zu
untersuchen. Die resultierenden Daten liegen in der SMS Inventarisierung vor und bieten einen
vollständigen Überblick mit Hilfe von webbasierten Berichten.
Microsoft Office Inventory Tool for Updates
Das Microsoft Office Inventory Tool for Updates nutzt das vorhandene Microsoft Office Inventory
Tool, um automatisierte, fortwährende Analysen der SMS Clients durchzuführen. Diese Daten
werden konvertiert und der SMS Inventarisierung hinzugefügt. Sie können über webbasierte
Berichte abgerufen werden.
Distribute Software Updates Assistent
Der Distribute Software Updates Assistent vergleicht verfügbare Updates mit den Inventardaten
der Client Computer, um fehlende Updates zu bestimmen. Nur die notwendigen Updates werden
installiert, wohingegen redundante oder nicht notwendige Updates ausgefiltert oder auf später
verschoben werden können. Damit wird die Systembelastung möglichst gering gehalten.
Der Distribute Software Updates Assistent hat die folgenden Eigenschaften:

Der Aktualisierungsstatus aller Clients wird der Inventarliste hinzugefügt, basierend auf der
Grundlage neuer Informationen der Sicherheitsaktualisierungen.

Überprüfung und Autorisierung von Aktualisierungen die als fehlend erkannt werden.

Pakete und Ankündigungen werden für jede Aktualisierung oder jede Gruppe von
Aktualisierungen angepasst.

Ankündigungen werden an alle Computer weitergeleitet, die SMS Funktionen unterstützten.

Benachrichtigungen im Stil von Windows Update und sinnvolle Funktionen, wie etwa das
Verhindern des Schließens von Anwendungen wenn die Daten noch nicht gespeichert
wurden, stehen zur Verfügung.

Planungsfunktionen, die es Benutzern erlauben, ihre Anwendungen ordnungsgemäß zu
schließen oder Aktualisierungen zeitlich zu verschieben und die Auswahl, dass System nicht
neu zu starten.
Web Reports Add-in für Softwareaktualisierungen
Das Web Reports Add-in bietet eine Verwaltung von Berichten zu Patchlösungen. Diese
Inventarinformationen können webbasiert eingesehen werden. Die vorkonfigurierten Berichte sind
über das Web Reports Add-in verfügbar für:

Individuelle Aktualisierungen und Gruppen von Aktualisierungen.

Individuelle Computer oder Gruppen von Computern.

Alle Aktualisierungen oder alle Computer im Unternehmen.

Patches nach Betriebssystem aufgelistet.

Erkennungsrate für spezielle Aktualisierungen.

Anwendbare Aktualisierungen nach Kategorie.
Angepasste Inventarberichte sowie Sammlungen können ebenso angelegt werden.
Weitere Informationen
SMS Software Update Services Feature Pack Überblick:
http://www.microsoft.com/smserver/evaluation/overview/featurepacks/fpfaq.asp
(englischsprachig).
SMS Software Update Services Deployment Einsatzleitfaden (verfügbar ab August 2003):
http://go.microsoft.com/fwlink/?LinkId=17452 (englischsprachig).
Systems Management Server Web Seite:
http://www.microsoft.com/smserver (englischsprachig).
Wie das SMS Software Update Services Feature Pack arbeitet:
http://www.microsoft.com/smserver/techinfo/administration/20/using/suspackhowto.asp
(englischsprachig).
Software Update Management die das SMS 2.0 Software Update Services Feature Pack nutzt:
http://www.microsoft.com/technet/prodtechnol/sms/deploy/confeat/smsfpdep.asp
(englischsprachig).
Microsoft Solutions for Management (MSM) Patch Management Guides for Systems
Management Server (SMS) (verfügbar ab August 2003):

Architekturleitfaden: http://go.microsoft.com/fwlink/?LinkId=17684 (englischsprachig).

Testleitfaden: http://go.microsoft.com/fwlink/?LinkId=17687 (englischsprachig).

Detaillierte Testfälle: http://go.microsoft.com/fwlink/?LinkId=17688 (englischsprachig).

Einsatzleitfaden: http://go.microsoft.com/fwlink/?LinkId=17686 (englischsprachig).

Betriebsleitfaden: http://go.microsoft.com/fwlink/?LinkId=17689 (englischsprachig).
Anhang A
Drittanbieter-Werkzeuge und Ressourcen
Dieser Anhang zeigt einige Dritthersteller-Werkzeuge, die mit der Sicherheitspatch-Verwaltung in
Verbindung stehen. Einige Werkzeuge werden nicht aufgeführt, zum Beispiel Anti-VirenProgramme, sowie Programme zur Datenbanksicherheit, Verschlüsselung und Internet- und
Netzwerksicherheit (einschließlich Firewalls). Dazu gehören auch Werkzeuge für
Unternehmensinfrastrukturen, zur Sicherung und Verwaltung von Unternehmensnetzwerken.
Diese Kategorien werden auf unsere Webseite im Windows-Katalog für Software angeboten:
http://www.microsoft.com/windows/catalog/default.aspx?subid=22&xslt=software
(englischsprachig).
Die folgenden Kategorien werden hier aufgeführt:

Patchverwaltung

Systeme zur Erkennung von Eindringlingen

Kriminaltechnische Untersuchungen

Port Scanning- und Auflistungswerkzeug
Hinweis: Die folgende Produktauflistung ist nicht vollständig und stellt keine Empfehlung
von Microsoft dar.
Patchverwaltung
Tabelle A.1: Dritthersteller-Produkte zur Patchverwaltung
Produkt
Firma
Webseite
BigFix Patch Manager
BigFix
www.bigfix.com
by-Control für Windows
BindView
www.bindview.com
Ecora PatchLite und Ecora Patch
Manager
Ecora
www.ecora.com
Service Pack Manager
Gravity Storm Software
www.securitybastion.com
RealSecure Vulnerability
Assessment
Internet Security Systems
www.iss.net
PatchLink Update 4.0
PatchLink
www.patchlink.com
HFNetChkLt und
Shavlik
www.shavlik.com
St. Bernard Software
www.stbernard.com
HTNetChkPro
UpdateEXPERT
Hinweis: Viele Werkzeuge für die Verwaltung und Verteilung von Software in
Unternehmen können Softwareaktualisierungen anpassen. Diese Werkzeuge werden im
Windows-Katalog für Software aufgeführt und werden hier nicht genannt.
Software für die Sicherheit
Die folgende Tabelle führt einige Produkte auf, die für die Einbruchserkennung,
kriminaltechnische Untersuchungen, Port Scanning und Auflistungen sind.
Tabelle A.2: Dritthersteller-Produkte für die Sicherheit
Produkt
Firma
NMap für Windows
Web Seite
www.nmapwin.org
Captus IPS
Captus Networks
www.captusnetworks.com
PureSecure
Demarc Security
www.demarc.com
Superscan und Scanline
Foundstone
www.foundstone.com
LANguard Network Scanner
GFI
www.gfi.com
EnCase Enterprise und EnCase
Forensic
Guidance Software
www.guideancesoftware.com
RealSecure Intrusion Protection
Internet Security Systems
www.iss.net
Teil II
Phasenmodel der
Sicherheitspatch-Verwaltung
1 Einführung
Überblick über das Phasenmodell einer Sicherheitspatch-Verwaltung
Abbildung 1.1
Überblick über das Phasenmodell der Sicherheitspatch-Verwaltung
Das Phasenmodell einer Sicherheitspatch-Verwaltung setzte sich aus mehreren Aktivitäten
zusammen. Diese finden bei Bedarf, regelmäßig oder unregelmäßig statt. Diese Aktivitäten
werden in diesem Teil des Handbuches detailliert besprochen. Sie erhalten Informationen zu
Prozessen, Techniken, Werkzeugen und Vorlagen, die Ihnen bei der Einrichtung einer effektiven
Sicherheitspatch-Verwaltung helfen.
Anmerkung: Mit diesem Handbuch haben Sie eine Excel-Tabelle mit dem Namen
Sicherheitspatch-Verwaltung - Aufgabenliste.xls erhalten. In dieser finden Sie eine
Schnellübersicht über alle Aufgaben, die im Rahmen einer Sicherheitspatch-Verwaltung
auftreten können. Zusätzliche finden Sie die Prozessdiagramme dieses Handbuches in
der Datei Beispiel-Prozessdiagramme.vsd.
Unregelmäßige Aktivitäten
Einrichtung
Diese Aktivitäten sind erforderlich, um eine reibungslose und effiziente SicherheitspatchVerwaltung zu garantieren. Sie umfassen unter anderem:

Bestandslisten aufbauen und eine grundlegende Umgebung aufbauen.

Sicherheitsalarme und andere Informationsquellen abonnieren.

Eine Sicherheitsberichterstattung etablieren.

Die Patchverwaltungs-Infrastruktur konfigurieren und pflegen.
Die Einrichtung wird typischerweise durchgeführt, wenn sich in Ihrer Umgebung Änderungen,
zum Beispiel durch neue Hardware oder Software, ergeben. (Die Wartung wird regelmäßig
durchgeführt. So wird sichergestellt, dass die Patchverwaltungs-Infrastruktur sicher und
zuverlässig bleibt). Die Einrichtung wird in Teil II, Kapitel 2, Einrichtung, besprochen.
Ergebnisoptimierung
Die Optimierung der Ergebnisse ist ein unregelmäßiger Prozess, bei dem die Ergebnisse der
Patchverwaltung nach einer Operativen- oder Sicherheitsbeurteilung betrachtet werden. Die
Ergebnisse einer Beurteilung umfassen idealerweise:

Eine Zusammenfassung der aktuellen Leistung der Patchverwaltung.

Eine Prioritätsliste der möglichen Optimierungsmöglichkeiten.
Eine Optimierung sollte typischerweise vierteljährlich (Schnellbeurteilung) und jährlich (strenge
Beurteilung) durchgeführt werden. Sie wird in Teil II, Kapitel 7, Ergebnisoptimierung besprochen.
Permanente Aktivitäten
Änderungseinleitung
Eine Änderungseinleitung wird typischerweise täglich oder wöchentlich durchgeführt. Sie setzt
sich aus den folgenden Aktivitäten zusammen:

Eine regelmäßige Abfrage von Webseiten, Sicherheitsbenachrichtigungen und
Sicherheitsberichten, um über neue Software-Updates und Sicherheitsprobleme informiert zu
bleiben.

Die Relevanz der Updates und Sicherheitsprobleme für Ihre Umgebung beurteilen.

Neue Software-Updates herunterladen und isolieren.
Die Änderungseinleitung wird in Teil II, Kapitel 3, Änderungseinleitung, besprochen.
Aktivitäten bei Bedarf
Die folgenden Aktivitäten sind typische Reaktionen auf das Auftreten von Sicherheitsproblemen
oder neuen Software-Updates.
Veröffentlichung
Normalerweise wird bei der Entdeckung eines Sicherheitsproblems ein Sicherheitspatch oder
eine Gegenmaßnahme veröffentlicht. Der Prozess einer Veröffentlichung umfasst:

Änderungsverwaltung – Das Sicherheitsproblem vollständig verstehen, Änderungen
kategorisieren und Änderungen priorisieren, Einverständnis für das Umsetzen der Änderung
in der Produktionsumgebung erlangen.

Veröffentlichungsverwaltung – Planen, Entwicklung, Testen und Bereitstellen der Änderung
in der Produktionsumgebung.

Erfolgsüberwachung: dieser Schritt kann unter anderem die Wiederherstellung umfassen,
wenn diese zum Beispiel aufgrund von nicht vorhergesehenen Auswirkungen auf den
Geschäftsablauf erforderlich wird.
Die Veröffentlichung wird in Teil II, Kapitel 4, Veröffentlichung besprochen.
Sicherheitsrichtlinien durchsetzen
Die wenigsten IT-Umgebungen sind 100% zentralisiert. Daher ist eine ständige Einhaltung der
Sicherheitsrichtlinien nicht gewährleistet. Bei jeder nicht verwalteten Änderung in einer
Produktionsumgebung besteht das Risiko, dass neue Sicherheitslücken entstehen oder alte
Sicherheitsprobleme wieder auftauchen. Bereits beseitigte Sicherheitslücken können zum
Beispiel durch die Installation neuer Computer, mobile Benutzer, administrative Benutzer, eine
dezentrale Administration oder eine undisziplinierte Änderungs- und Veröffentlichungsverwaltung
entstehen. Erneut auftretende Sicherheitslücken sollten als Standardvorfälle behandelt werden.
Das Durchsetzten von Sicherheitsrichtlinien wird in Teil II, Kapitel 5, Sicherheitsrichtlinien
durchsetzten besprochen.
Reaktion auf sicherheitsrelevante Notfälle
Dieses Kapitel (Teil II, Kapitel 6, Reaktion auf sicherheitsrelevante Notfälle) beschreibt, wie Sie
sich auf einen Notfall durch die Ausnutzung einer Sicherheitslücke vorbereiten können..
Veröffentlichung
Nicht sicherheitsrelevante Software-Updates werden von diesem Handbuch nicht explizit
abgedeckt. Ihre Bereitstellung unterscheidet sich allerdings nicht wesentlich von der
Bereitstellung von Sicherheits-Updates. Diese wird in Teil II, Kapitel 4, Veröffentlichung
beschrieben.
Sicherheitspatch-Verwaltung und Risikoverwaltung
Die Sicherheitspatch-Verwaltung ist der Prozess der Anwendung von Software-Updates und
entsprechender Gegenmaßnahmen, um das Risiko eines zukünftigen Angriffs über eine
Sicherheitslücke zu entschärfen. Nach dieser Definition ist eine Sicherheitspatch-Verwaltung
auch gleichzeitig eine Risikoverwaltung.
Daher können viele Techniken der Risikoverwaltung auch auf die Sicherheitspatch-Verwaltung
angewandt werden. Einige Beispiel sind:

Eskalationsstrategien und -zeiträume bei der Durchsetzung einer Sicherheitsrichtlinie sind
eine Strategie zur Risikominimierung.

Eine proaktive Vorbereitung auf Sicherheits-Notfälle ist ein Beispiel für eine
Eventualitätsplanung.
In diesem Handbuch erhalten Sie keine tiefergehenden Informationen zum grundsätzlichen
Verfahren der Risikoverwaltung, da sie sich ausschließlich auf die Elemente der
Sicherheitspatch-Verwaltung konzentriert. Es ist allerdings nützlich, die Beziehungen zwischen
Risikoverwaltung und Sicherheitspatch-Verwaltung zu kennen.
Anmerkung: Weitere Informationen zur Risikoverwaltung finden Sie unter den folgenden
Quellen:
Risikoverwaltung verstehen (englischsprachig):
http://www.microsoft.com/technet/security/prodtech/windows/secwin2k/03secrsk.asp
(englischsprachig).
Microsoft® Operations Framework Risikomodell:
http://www.microsoft.com/technet/itsolutions/tandp/opex/mofrl/mofrisk.asp (englischsprachig).
Einführung in verschiedene Techniken
In Kapitel 2, Einrichtung und Kapitel 4, Veröffentlichung von Teil II gibt es am Ende jeweils einen
Abschnitt über verschiedene Techniken. Dort finden Sie Beschreibungen und verschiedene
Informationsquellen zu unterschiedlichen Techniken. Diese beziehen sich oft auf die Verwendung
von verschiedenen Softwaretechnologien, oder auf Werkzeugen und Vorlagen, die Ihnen mit
diesem Handbuch zur Verfügung gestellt wurden.
Auch wenn Sie zur Patchbeurteilung oder -verteilung Werkzeuge von Drittanbietern verwenden,
finden Sie möglicherweise Techniken, die für Ihre Umgebung nützlich sind.
Jeder Techniken-Abschnitt beginnt mit einer Tabelle, die die entsprechenden Techniken des
Kapitels zusammenfasst. Sie beschreibt, welcher Microsoft-Patchverteilungs-Infrastruktur die
jeweilige Technik entspricht: Microsoft Windows® Update (WU), Software Update Services (SUS)
oder Systems Management Server (SMS).
Zu den einzelnen Techniken erhalten Sie dann die folgenden Informationen:
Umgebung
Die Microsoft Patchverteilungs-Infrastruktur, für die diese Techniken geeignet sind
(WU, SUS oder SMS).
Zweck
Eine Beschreibung der Aufgabe, bei der Sie diese Technik einsetzten können.
Voraussetzungen
Eine Liste von Werkzeugen und Ressourcen, die Sie zur Durchführung der Technik
benötigen.
Einsatzbereich
Der Einsatzbereich, für den die Technik geeignet ist.
Die in diesem Handbuch beschriebenen Techniken sind nicht umfassend. Einige Organisationen
müssen, abhängig von den bereits im Einsatz befindlichen Verwaltungslösungen, möglicherweise
mehr Arbeit investieren.
Es wird zum Beispiel davon ausgegangen, dass größere Organisationen eine Lösung zur Pflege
von Computer-Bestandslisten einsetzen. Die in diesem Handbuch beschriebenen WU- und SUSTechniken helfen Ihnen dabei, eine grundsätzliche Bestandsliste in kleinen bis mittleren
Umgebungen aufzubauen. Sie können jedoch keine Verwaltungslösung - wie zum Beispiel SMS ersetzten.
Anmerkung: Bevor Sie die Techniken und Werkzeuge dieses Handbuches in einer
Produktionsumgebung einsetzen, sollten Sie deren Auswirkungen getestet und vollständig
verstanden haben.
2 Einrichtung
Zusammenfassung
Die folgenden Abschnitte beschreiben die kritischen Einrichtungsaktivitäten, die für eine
erfolgreiche Implementierung einer Patchverwaltung erforderlich sind. Diese Aktivitäten umfassen
die Grundkonfiguration von Clients, das Erstellen von Basissystemen, die Abonnierung von
Sicherheitsalarmen und die Implementierung von Verfahren für Sicherheitsscans,
Einbruchserkennung und Berichterstellungen.
Abbildung 3.1
Einrichtung
Techniken zur Umsetzung diese Aktivitäten werden am Ende dieses Kapitels beschrieben.
Konfiguration und Pflege der Infrastruktur
Unabhängig von der Größe einer Organisation sollten automatisierte Werkzeuge verwendet
werden, damit Administratoren über verfügbare Updates benachrichtigt werden. Diese sollten
auch die Installation der Patches abdecken.
Als erstes sollten Sie sicherstellen, dass die Patchverwaltungs-Infrastruktur korrekt konfiguriert
und dokumentiert ist. Danach treffen Sie die entsprechenden Vorkehrungen, damit die
konfigurierten Clients diese Infrastruktur korrekt nutzen.
Anmerkung: Sie können die Einstellung für die Clients für automatische Updates (AU)
Ihrer Umgebung über einige unterschiedliche Methoden konfigurieren.
Weitere Informationen zu den Möglichkeiten der Clientkonfiguration finden Sie im Dokument How
to Configure Automatic Updates by Using Group Policy or Registry Settings unter
http://support.microsoft.com/?kbid=328010 (englischsprachig).
Ein einfaches Verfahren zur Remotekonfiguration der AU-Clients finden Sie im Abschnitt
Techniken am Ende dieses Kapitels.
Basiseinrichtung
Eine Basiseinrichtung ist die Konfiguration eines Produktes oder Systems zu einem speziellen
Zeitpunkt. Eine Anwendungs-Basiseinrichtung beispielsweise ermöglicht es Ihnen, die
Anwendung in einen bestimmten Zustand neu einzurichten. Es kann notwendig sein, eine
Basiseinrichtung für unterschiedliche Anwendungen, Hardwarehersteller oder Computertypen zu
erstellen. Eine Basiseinrichtung für HP-Server, die unter Microsoft Windows® 2000 ausgeführt
werden, kann zum Beispiel von der für Dell-Server abweichen.
Eine Basiseinrichtung erfordert erst einmal eine Erstellung und Pflege einer Bestandsliste aller
Computer und Dienste Ihrer Umgebung. Patches werden in Organisationen oftmals inkonsistent
verteilt. Es gibt keine oder wenig Dokumentation, warum diese Patches verteilt werden, oder
warum die Patches gerade auf die entsprechenden Computer verteilt werden.
Um Basiseinrichtungen erstellen zu können, müssen Sie mindestens über die folgenden
Informationen zu Ihrer Umgebung verfügen:

Betriebssysteme – welche Betriebssysteme werden in welchen Versionen in Ihrer Umgebung
eingesetzt?

Software – welche Programme werden in welchen Versionen eingesetzt?

Patches – welche Servicepacks, Software-Updates und Konfigurationsänderungen (z. B.
Registrierungsänderungen) gibt es?

Kontaktinformationen – wie können Einzelpersonen oder Gruppen kontaktiert werden, die für
die Wartung der einzelnen Systeme verantwortlich sind?

Gegenmaßnahmen – welche Gegenmaßnahmen wurden für welche Sicherheitsprobleme
umgesetzt?

Bestand – welche Hardware und Software mit welchem Wert ist vorhanden?
Anmerkung: Es wird dringend empfohlen, diese Bestandsinformationen für alle
Personen verfügbar zu halten, die mit dem Patchverwaltungs-Prozess beschäftigt sind,
und sicherzustellen dass sie auf dem aktuellsten Stand gehalten werden.
Operative Basiseinrichtungen umfassen die gesamte Software, die für die unterschiedlichen
Computertypen für einen sicheren Betrieb erforderlich ist. Dies schließt sowohl das
Betriebssystem, als auch alle Anwendungen und alle erforderlichen Software-Updates mit ein.
Die Kategorien der Basiseinrichtungen unterschieden sich zum Beispiel in der Anzahl der
Computer einer Kategorie, in der verwendeten Software und den Kosten eines Aktualisierung
einer Basiseinrichtung voneinander. Wenn sich die Komponenten einer Basiseinrichtung deutlich
ändern, sollten Sie eine neue Basiseinrichtung definieren.
Nachdem Sie die Bestandsliste erstellt haben, definieren Sie die erforderlichen
Basiseinrichtungen, um Ihre Umgebung bestmöglich abdecken
Anmerkung: Damit neue Computer schnell und sicher in Ihre bestehende Umgebung
implementiert werden könne, stellen Sie sicher, dass die erstellten Basiseinrichtungen in
den Bereitstellungsvorgang neuer Computer in Ihrer Umgebung eingebunden werden
(zum Beispiel unbeaufsichtigte Installation, Remote Installation Services [RIS] oder
Installations-Images).
In diesem Kapitel werden Techniken beschrieben, mit denen Basiseinrichtungen für
Umgebungen, in denen Microsoft Windows Update (WU), Microsoft Software Updates Services
(SUS) und mit Microsoft Systems Management Server (SMS) verwendet werden. Sie finden
diese im Abschnitt Techniken am Ende des Kapitels.
Microsoft Produkt-Support-Richtlinie
Microsoft erstellt nur für unterstützte Produkte Sicherheitsupdates. Damit die Verfügbarkeit von
neuen Sicherheitsupdates sichergestellt ist, sollten die Software-Basiseinrichtungen nur
unterstützte Produkte mit aktuellen Servicepacks umfassen. Weitere Informationen darüber,
welche Versionen von Microsoft- Produkten im Moment unterstützt werden, finden Sie unter
http://support.microsoft.com/default.aspx?scid=fh;[LN];lifecycle (englischsprachig).
Sicherheitspatches werden zwischen den einzelnen Servicepacks veröffentlicht. Aktualisieren Sie
Ihre Basiseinrichtungen mit diesem Sicherheitspatch so schnell wie möglich. Damit reduzieren
Sie die Zahl an Servicepatches, die Sie nach der Einrichtung eines neuen Computers installieren
müssen. Weitere Informationen zu Servicepacks finden Sie unter
http://www.microsoft.com/technet/columns/security/essays/srvpatch.asp (englischsprachig).
Bestandskategorisierung und Wertbestimmung
Sie können die Computer Ihrer Umgebung, basierend auf deren Funktion und ihren direkten
Auswirkungen auf den geschäftlichen Ablauf, kategorisieren. Dies hilft Ihnen dabei festzulegen,
welche Updates relevant sind und in welcher Reihenfolge diese angewandt werden sollten.
Mit den entsprechenden Kategorien können Sie Ihre Umgebung effizienter überwachen und
Inventarisieren. Jedes Security Bulletin muss sorgfältig bewertet werden, um den Schweregrad
der Sicherheitslücke für Ihre Umgebung zu ermitteln. Nicht jedes Update muss jedoch auch
tatsächlich bereitgestellt werden.
Computerkategorien helfen Ihnen bei der Erkennung des Umfangs eines
Sicherheitsproblems
In der folgenden Tabelle finden Sie einige allgemeine Computerkategorien, basierend auf den
von diesen Computern zur Verfügung gestellten Diensten und ihren Rollen:
Tabelle 2.1: Allgemeine Computerkategorien und Rollenkategorien
Verzeichnisdienste
Domänencontroller
Infrastrukturserver
DNS Server, WINS Server, DHCP Server, Dateiserver, Druck-Server
Messaging Server
Exchange Server
Database Server
SQL Server
Webserver
Internet IIS Server, Intranet IIS Server
Anwendungsserver
Terminaldienste Anwendungsserver
Softwareverteilungsserver
RIS Server, SMS Server
Clientcomputer für Endbenutzer Notebooks, Arbeitsstationen, Tablet PCs, Kiosk-Rechner
Unabhängig von der Zahl der in Ihrer Umgebung vorhanden Computer kann eine
Bestandskategorisierung bei der Entwicklung passender Teststrategien genauso hilfreich sein,
wie bei der Etablierung der entsprechenden Bereitstellungsverfahren.
Eine Bestandsbeurteilung hilft Ihnen bei der Priorisierung der PatchBereitstellung
Wenn Ihre Computer gründlich kategorisiert sind, können Sie leichter feststellen, welche
Computer in Ihrer Umgebung eine kritische Funktion ausfüllen. Verwenden Sie die Kategorien,
um festzulegen, welche Computer als erstes mit einem neuen Sicherheitspatch versorgt werden.
Eine schwierige Aufgabe kann es sein festzustellen, welche Sicherheitspatches für eigenständige
Computer und Computer, die keiner Domäne angehören, erforderlich sind. Wenn Sie nicht über
lokale administrative Rechte auf diesem Computer verfügen, kann es schwierig sein,
Informationen über diese zu sammeln. Der Microsoft Baseline Security Analyser (MBSA)
sammelt die IP-Adressen aller Computer, die er nicht prüfen kann (eben wegen dieser fehlenden
administrativen Rechte). Sie können diese Computer dann zum Beispiel mit einem Portscanner
prüfen, um festzustellen, welche Dienste von ihnen angeboten werden.
Anmerkung: Eine Beispielliste einige Portscanner finden Sie in Teil I, Anhang A,
Drittanbieter Werkzeuge und Ressourcen. Informationen zu Standardports finden Sie
unter
http://www.microsoft.com/windows2000/techinfo/reskit/samplechapters/cnfc/cnfc_por_si
mw.asp (englischsprachig).
Bedenken Sie, dass bei Computern, die IPSec-Filter oder Firewalls verwenden, bei einem
Portscan unvollständige Ergebnisse entstehen können. Weitere Informationen zur Konfiguration
von IPSec-Filtern um ein Scannen aus vertrauenswürdigen Quellen zu gestatten, finden Sie im
Windows Server 2003- Sicherheitshandbuch unter http://go.microsoft.com/fwlink/?LinkId=14845
(englischsprachig).
Häufig ist es notwendig, Richtlinien und Verfahren zur Handhabung von nicht verwalteten
Computer zu entwickeln. Diese könnten zum Beispiel festlegen, was Administratoren durchführen
müssen, um sicherzustellen, dass diese Computer korrekt aktualisiert werden, oder was die
Netzwerkbetreuung machen soll, wenn einer dieser Computer zu einer Gefahr für den Rest des
Netzwerkes wird. Ein gebräuchliches Verfahren ist es zum Beispiel, dass die Administratoren
regelmäßig MBSA-Scans durchführen und deren Ergebnisse auf einem internen FTP-Server
ablegen. Durch deren Analyse kann dann festgestellt werden, ob diese Computer weitere
Patches benötigen. Die Netzwerkbetreuung kann dazu autorisiert werden, diese Computer bei
einer Gefährdung des Netzwerkes von Netz zu nehmen.
Abonnements
Die Abonnierung der entsprechenden Benachrichtigungen ist für eine Pflege und Aktualisierung
der etablierten Basiseinrichtungen und eine effiziente Patchverwaltung essentiell.
Das Microsoft Security Response Center (MSRC) kümmert sich um Sicherheitsprobleme, die
Microsoft direkt mitgeteilt werden und um Probleme, die in den unterschiedlichsten öffentlichen
Sicherheits-Newsgroups veröffentlicht werden. Die von Microsoft veröffentlichten Security
Bulletins enthalten eine Zusammenfassung des Sicherheitsproblems und der von diesem
betroffenen Produkte. Außerdem erhalten Sie detaillierte technische Beschreibungen der
Sicherheitslücken, Updates und Verfahren zu deren Beseitigung. Security Bulletins werden
Mittwochs zwischen 10 und 11 Uhr (PST – Pacific Standard Time – 9 Stunden vor deutscher Zeit)
veröffentlicht. Es sei denn, Microsoft entscheidet, dass eine frühere Veröffentlichung erforderlich
ist.
Sie erhalten alle Security Bulletins und weitere Information zu Sicherheit von Microsoft Produkten
unter http://www.microsoft.com/technet/security (englischsprachig). Dort können Sie alle
Sicherheitspachtes und die letzten zwei Servicepacks für alle im Moment unterstützten Produkte
herunterladen.
E-Mail-Benachrichtigungen für technische Benutzer und mittlere bis große
Unternehmen
Microsoft bietet seinen Kunden über das TechNet einen kostenlosen E-MailBenachrichtigungsdienst an - den Microsoft Security Notification Service. Er wendet sich an
professionelle IT-Anwender und bietet tiefergehende technische Informationen. Weitere
Informationen zu Abonnierung des Microsoft Security Notification Service finden Sie unter
http://www.microsoft.com/technet/security/bulletin/notify.asp (englischsprachig).
E-Mail-Benachrichtigungen für Heimanwender und kleine Unternehmen
Microsoft Security Update ist ein kostenloser E-Mail-Warndienst, der es kleinen Unternehmen
einfacher macht, über die aktuellsten Sicherheitsupdates informiert zu bleiben. Wenn Microsoft
ein Update herausgibt, erhalten alle Abonnenten eine E-Mail, die eine nicht-technische Erklärung
des Sicherheitsproblems enthält. Sie informiert die Kunden darüber, welche Produkte betroffen
sind und enthält einen Link zu entsprechenden Sicherheitswebseiten.
Sie können das Microsoft Security Update unter
http://register.microsoft.com/subscription/subscribeme.asp?id=166 (englischsprachig)
abonnieren.
Anmerkung: Zur Abonnierung ist ein Microsoft-Passport-Konto erforderlich.
Virenwarnungen
Microsoft hat sich mit Network Associates und Trend Micro kürzlich in der Virus Information
Alliance (VIA) zusammengeschlossen, um den Kunden verlässlich und rechtzeitig Informationen
zu neu entdeckten Viren zukommen zu lassen. Informationen zu diesem Zusammenschluss
finden Sie unter http://www.microsoft.com/technet/security/virus/via.asp (englischsprachig).
Die Virenwarnungen des Product Support Services (PSS) Security Response-Teams finden Sie
unter http://www.microsoft.com/technet/security/virus/alerts/default.asp (englischsprachig).
Benachrichtigungen von Drittanbietern: CERT
Das CERT Coordination Center (CERT/CC) ist eine staatliche Organisation, die Informationen
darüber veröffentlicht, wie Sie Ihr System gegen Angriffe schützen können, wie Sie auf aktuelle
Angriffe reagieren können und wie Sie sich auf zukünftige Probleme vorbereiten. Das CERT
bietet Schulungen an und veröffentlicht Sicherheitswarnungen. Weitere Informationen finden Sie
auf der CERT Webseite unter http://www.cert.org/ (englischsprachig).
Sicherheitsberichte
Die Implementierung einer effektiven Patchverwaltung erfordert es, dass Ihre Umgebung ständig
auf Sicherheitslücken geprüft wird. Im Idealfall sollte es Mechanismen geben, die dies
automatisch durchführen.
In diesem Kapitel werden Techniken beschrieben, die zur Erstellung von Sicherheitsberichten in
WU-, SUS- und SMS-Umgebungen verwendet werden können. Sie finden diese am Ende des
Kapitels.
Scannen nach Sicherheitslücken
Besonders in großen Umgebungen kann es sehr zeitaufwändig sein, bei einem neuen Security
Bulletin die gesamte Umgebung zu scannen, um festzustellen für welche Computer dieses
erforderlich ist.
Ein Sicherheitsproblem bedroht oft nur bestimmte Server Ihrer Umgebung, oder die
Sicherheitslücke bezieht sich nur auf bestimmte Dienste. Wenn Sie eine Kategorisierung
durchgeführt haben, können Sie diese Scans deutlich schneller durchführen. Damit
beschleunigen Sie auch die Patchverteilung.
Viren- und Einbruchserkennung
Obwohl das Thema nicht von diesem Dokument abgedeckt wird, ist eine Virenerkennung ein
kritischer Faktor für die Gesamtsicherheit Ihrer Umgebung.
Sie sollten alle Computer Ihrer Umgebung darauf prüfen, wie diese durch einen Virenscanner
eines Drittanbieters am besten geschützt werden können.
Die meisten Verfahren und Werkzeuge zur Einbruchserkennung arbeiten mit der Annahme, dass
sich die Aktivitäten eines Eindringlings von denen eines normalen Benutzers unterscheiden. Sie
prüfen Protokolldateien und suchen nach Mustern, die auf ungewöhnliche Aktivitäten hinweisen.
Auch wenn solche Werkzeuge Sie oft erst informieren, wenn ein Angriff bereits stattgefunden hat,
können Sie ihnen dabei helfen, zukünftige Angriffe zu vermeiden.
Der Microsoft Internet Security and Acceleration (ISA) Server umfasst Features, die Ihnen bei
einer Einbruchserkennung helfen können. Weitere Informationen hierzu finden Sie unter
http://www.microsoft.com/technet/prodtechnol/isa/proddocs/isadocs/CMT_IntrusionIntro.asp
(englischsprachig).
Anmerkung: Weitere Information zu anderen Virenscannern und Werkzeugen zur
Einbruchserkennung finden Sie in Teil I, Anhang A, Drittanbieter Werkzeuge und Ressourcen.
Eine Sicherheitslücke melden
Microsoft erhält häufig von vielen Personen auf der ganzen Welt Hinweise auf Sicherheitslücken.
Diese werden in den veröffentlichten Security Bulletins erwähnt. Die entsprechende MicrosoftRichtlinie können Sie unter https://www.microsoft.com/technet/security/bulletin/policy.asp
(englischsprachig) einsehen.
Wenn Sie eine Sicherheitslücke entdecken, steht Ihnen ein Web-Formular zur Verfügung, über
das Sie diese Sicherheitslücke an Microsoft weitergeben können. Ein Mitarbeiter des MicrosoftSupportteams setzt sich dann mit Ihnen in Verbindung, um mehr über die potentielle
Sicherheitslücke zu erfahren. Sie finden das Formular unter
https://www.microsoft.com/technet/security/bulletin/alertus.asp (englischsprachig).
Einrichtungs-Techniken
Zusammenfassung
Technik
WU
SUS
Ja
Ja
Ja
Ja
SMS
Konfigurationstechniken
Den AU-Client über REG.exe remote konfigurieren
Techniken für Basiseinrichtungen
Computer und Sicherheitslücken mit dem MBSA
prüfen
SMS Hardware- und Software-Inventar
Ja
Anwendungen über SMS-Abfragen finden
Ja
Techniken für Sicherheitsberichte
Einen Sicherheits-Scanbericht mit dem MBSA
erstellen
Ja
Ja
Einen Sicherheits-Scanbericht mit dem SMS Web
Reporting Tool erstellen
Ja
Einen Sicherheits-Scanbericht mit dem SMS Distribute
Software Updates-Assistenten erstellen
Ja
Konfigurationstechniken
AU-Clients remote mit REG.exe konfigurieren
Umgebung
WU, SUS
Zweck
Die AU-Clients remote zu konfigurieren
Voraussetzungen
Administrativer Zugriff auf die Client-Computer; Resource Kit Tools.
Einsatzbereich
Kleine und mittlere Umgebungen
Sie können das REG.exe verwenden, um die Registrierung eines Computers über das Netzwerk
zu bearbeiten. In der Textdatei AURegConfig.cmd.txt, die Sie mit diesem Handbuch erhalten
haben, finden Sie einige Beispielbefehle für die auf einem Remotecomputer notwendigen
Konfigurationsänderungen. Bevor Sie die Datei verwenden können, müssen Sie diese in
AURegConfig.cmd umbenennen und mit einen Texteditor die gewünschten
Konfigurationsparameter anpassen. Bevor Sie dies durchführen, lesen Sie die Anweisungen in
der Datei.
Um die Datei auszuführen öffnen Sie eine Eingabeaufforderung, wechseln Sie zum Ordner, in
dem sich die Datei AURegConfig.cmd befindet und führen den folgenden Befehl aus:
AURegConfig.cmd computername
Auf dem angegebenen Computer werden die Registrierungsänderungen durchgeführt, und der
AU-Client wird entsprechend konfiguriert.
Anmerkung: Eine genaue Beschreibung der Registrierungseinstellungen des AU-Clients
finden Sie unter
http://www.microsoft.com/windows2000/windowsupdate/sus/susdeployment.asp
(englischsprachig).
Basiseinrichtungs-Techniken
Mit dem MBSA Computer auf Sicherheitslücken scannen
Umgebung
WU, SUS
Zweck
Computerinformationen über den MBSA erlangen
Voraussetzungen
Ein Computer mit einer Standardinstallation des MBSA und administrativem Zugriff
auf die zu prüfenden Computer
Einsatzbereich
Kleine und mittlere Umgebungen
MBSA kann sowohl grafisch als auch auf der Kommandozeile administriert werden. Ferner
besteht die Möglichkeit, lokale und entfernte Windowssysteme zu scannen. Der MBSA läuft auf
den Betriebssystemen Windows 2000 und Windows XP und kann eine Vielzahl von
Informationen über die Systeme eines Netzwerkes anzeigen. Dazu gehören darüber
Informationen, welche Rechner sich in einem Netzwerk befinden, die installierten Produkte auf
den einzelnen Rechnern und die anwendbaren Sicherheitspatches oder Servicepacks für jedes
erkannte Produkt.
Die Datei MBSAScan.wsf.txt, die diesem Handbuch beigelegt ist, benutzt MBSA, um Ihr
Netzwerk zu scannen. Die generierte Testdatei trennt die einzelnen Werte durch Tabstopps.
Diese Outputtextdatei kann dazu benutzt werden, zu bestimmen, welche speziellen Produkte auf
den gescannten Computern installiert sind. Mit dieser Datei können die Details über fehlende
Sicherheitspatches und Servicepacks für jedes Produkt einfach dargestellt werden.
Wenn Sie die Datei benutzen wollen, kopieren Sie diese auf Ihren Computer und benennen Sie
sie in MBSAScan.wsf um. Zum Ausführen der Datei öffnen Sie die Kommandozeile und wechseln
in den Order, in dem sich die Datei MBSAScan.wsf befindet. Benutzen Sie dann eines der
folgenden Kommandos, je nachdem, welche Art von Scan Sie durchführen möchten:

Um einen Scan auf den lokalen Computer durchzuführen: Cscript.exe MBSAScan.wsf

Um mehrere Computer zu scannen: CScript.exe MBSAScan.wsf –hf servers.txt
Hinweis: Damit Sie mehrere Computer scannen, erstellen Sie eine Datei servers.txt, in
der alle Namen der zu überprüfenden Computer mit Namen aufgeführt sind. Die Datei
sollte sich im gleichen Ordner wie die Datei MBSAScan.wsf befinden.

Wenn Sie alle Computer in der Windows-Domäne mit dem Namen CORPDOMAIN scannen
wollen: CScript.exe MBSAScan.wsf –d corpdomain

Weitere Informationen zum Gebrauch des MBSAScan.wsf Skripts können Sie über diesen
Aufruf bekommen: CScript.exe MBSAScan.wsf -?
Die Outputdatei, die durch MBSAScan.wsf erstellt wird, hat ein spezielles Namensformat, dass
den Zeitpunkt des Scans wiedergibt. Die Form dieses Namens lautet JJJJMMTT_SSMMSS
(Jahr, Monat, Tag _ Stunde, Minute, Sekunde). Dieses Namensschema ermöglicht Ihnen die
Scans mehrfach durchzuführen, ohne die Daten aus den vorherigen Durchläufen zu verlieren.
Die Outputdatei wird im gleichen Ordner abgelegt wie das Skript.
Die Outputdatei kann dann in eine Datenbank Ihrer Wahl importiert werden, um weitere
Auswertungen durchführen zu können. Über eine Abfrage der Datenbank können dann die
Informationen über einzelne Computer jederzeit abgefragt werden. Sie können die Daten
natürlich auch in eine Microsoft Excel-Datei importieren und mit der Sortier- oder Filterfunktion
von Excel die Daten durchsuchen und analysieren. Zum Zweck der Basiseinrichtung können Sie
durch die Analyse der Daten eine Übersicht über das Inventar bekommen. Dies umfasst
Informationen über die eingesetzten Betriebssystemvarianten und Microsoft Internet ExplorerVersionen. Außerdem können Sie erkennen, bei wie vielen Computern bestimmte Servicepacks
noch fehlen.
Hinweis: Dieses Skript geht davon aus, dass MBSA im Standardpfad, auf dem
Computer, der die MBSAScan.wsf Datei ausführt, installiert ist (C:\Programme\Microsoft
Baseline Security Analyser).Der Scanprozess kann zeitlich zwischen einigen Minuten
und mehreren Stunden variieren, je nach Anzahl der Faktoren und Computer, die
überprüft werden sollen. Auch die Bandbreite spielt hier eine größere Rolle. Die
Inventarinformationen, die dieses Skript zur Verfügung stellt, erstrecken sich allerdings
nur auf die durch MBSA unterstützte Produkte. Eine komplette Liste der Produkte, die
durch MBSA unterstützt werden, finden Sie in Tabelle 4.2. MSBA Analysefunktionen im
Teil I, Kapitel 4 Werkzeuge und Technologien.
SMS Hardware und Software Inventory
Umgebung
SMS
Zweck
Konfigurieren und warten der Komponenten aus dem SMS Software- und Hardware
Inventory.
Voraussetzungen
Einen funktionierenden SMS-Standort mit SMS Clients.
Einsatzbereich
Software und Hardware Inventarisierung für jede Umgebung.
Der Microsoft Systems Management Server stellt einen robusten Prozess für das Scannen von
Clients hinsichtlich der Hard- und Softwareausstattung zur Verfügung. Damit Patches
inventarisiert werden können, müssen Sie sowohl Hardware- und Software Inventory für den
SMS Standort aktivieren.
Hardware Inventory
Das SMS Hardware Inventory benutzt die Datei Sms_def.mof, um vom Windows Management
Instrumentation (WMI) Repository und der Registrierung der zu überprüfenden Computer
Informationen zu bekommen.
Software Inventory
Das SMS Software Inventory liest während des Scans die verschlüsselten Header von Dateien,
um damit Informationen über Anwendungen zu erhalten. Die Information, die das SMS Software
Inventory zurückgibt, ist die gleiche Information, die Sie beim Rechtsklick auf eine Datei unter
Eigenschaften auf der Registerkarte Allgemein sehen können.
SMS Software und Hardware Inventory Scan
Der SMS Server führt gleich nach der Installation eines SMS Clients einen Software und
Hardware Inventory Scan durch, damit der SMS Client komplett und erfolgreich alles installieren
kann. Sowohl der Hardware- als auch der Software-Scannprozess sind konfigurierbar, um die
Häufigkeit der durchgeführten Scans beeinflussen zu können. Viele Firmen führen einen
Hardware-Scan einmal im Monat durch, während der Software-Scan einmal pro Woche
durchgeführt wird. Die Hardware der Computer ändert sich generell weniger häufig als die
Softwareausstattung. Die Softwareausstattung kann sich schneller ändern, speziell, wenn die
Benutzter das Recht eingeräumt bekommen, Updates selbstständig durchführen zu können.
Der SMS Server sammelt Software- und Hardware-Inventory-Informationen und speichert diese
in einer zentralen SQL Server-Datenbank. Die Benutzer, die Zugriff auf diese Datenbank haben,
können die Daten durchsuchen, Abfragen durchführen, Berichte erstellen, sowie Gruppierungen
von Computern vornehmen, die bestimmten Suchkriterien entsprechen. Die Gruppierungen
(Sammlungen) dienen dem Zweck, spezielle Computer für die Softwareverteilung und die
Ausbringung von Updates zu erkennen und die fehlenden Pakete einzuspielen.
Bei der Installation eines SMS Servers mit dem SUS Feature Pack werden in der Datei
Sms_def.mof zusätzliche Einträge hinzugefügt, die es dem SMS Hardware Inventory Prozess
ermöglichen, Registrierungseinträge von gescannten Computern auszulesen. Update- und
Patchinformationen werden bei der Installation in der Registrierung abgelegt. Die gleiche
Information können Sie in der Systemsteuerung unter Software, dann Programme ändern
oder entfernen nachlesen. Daten, die in diesem Programme ändern oder entfernen
inventarisiert sind, werden in der SQL Server-Datenbank gespeichert, damit sie bestimmen
können, welche Computer bereits geupdatet sind und welche nicht.
Hinweis: Wenn Sie neue Patches und Updates einspielen wollen, sollten Sie über einen
geänderten Zeitplan für die Scans nachdenken, bevor der Rollout beginnt. Die Verteilung
wird erfolgreicher verlaufen, wenn die Inventardaten der Computer auf dem neusten
Stand sind. Vor einem großflächigen Ausbringen eines kritischen Updates sollte der
Zeitplan für die Inventarisierung so gewählt werden, dass für alle Computer noch die
Daten vor der Aktualisierung vorhanden sind. Das Distribute Software Update Tool
überprüft die Computer, um sicher zu stellen, dass keine Patches ein zweites Mal
angewendet werden, nachdem die Computer neu gestartet wurden.
Um ein Inventory so zu konfigurieren, dass es nur bei Gebrauch gestartet wird, sollte der SMS
Server Administrator eine verpflichtende Ankündigung einstellen, damit auf dem Client ein
Hardware- und Software Inventory läuft. Die Ankündigung kann zusätzlich noch den Einsatz des
Security Update Inventory Tools oder des Office Update Inventory Tools erfordern. Diese beiden
Tools werden mit dem SMS Software Update Services Feature Pack mitgeliefert und dienen dazu
Computer zu identifizieren, auf denen noch spezielle Patches installiert werden müssen. Sie
können auch die Clients zwingen ein Hardware und Software Inventory durchzuführen. Sie
erreichen dies durch folgende Methoden:
1. Erstellen Sie ein Paket, dass die Cliutils.exe aus dem Resource Kit enthält.
2. Führen Sie die folgenden zwei Befehle aus:

cliutils.exe /START “hardware inventory agent”

cliutils.exe /START “software inventory agent”
3. Erstellen Sie zwei Ankündigungen, berücksichtigen Sie jede Programmzeile. Kündigen Sie
dies für alle Clients an, so dass es so schnell wie möglich mit administrativen Berechtigungen
ausgeführt wird. Dabei spielt es keine Rolle, ob die Benutzter angemeldet sind oder nicht.
4. Überprüfen Sie, ob die Ankündigung erfolgreich durchgeführt wurde.
5. Überprüfen Sie das Datum und die Zeit des letzten Hardware- und Software InventoryDurchlaufs auf den Testclients.
Hinweis: Sollte Ihr SMS-Standort Probleme beim Hardware and Software Inventory
machen, die auf Kapazitätsengpässe zurückzuführen sind, werden kürzere
Inventarisierungsintervalle nicht empfohlen.
Grundlegende Ressourcenverfolgung
Genaues und aktuelles Wissen über die eingesetzten Systeme in einer Umgebung sind
elementar, um einen sauber funktionierenden Patch-Management-Prozess zu unterhalten. Das
SMS Hardware Inventory sammelt spezifische Hardwareinformationen standardmäßig. Dazu
gehören Informationen über die Laufwerke eines Computers, Videokarteneigenschaften und
Arbeitsspeichergröße. Diese Liste kann erweitert werden, damit auch Informationen über die
installierten Softwarepatches und andere Informationen, die wichtig sind für den Management
Prozess, mit aufgenommen werden.
Das Hardware Inventory sollte täglich für Data Center Server durchgeführt werden. Für alle
anderen Computer sollte ein wöchentlicher Turnus ausreichend sein. Bei kritischen Updates
sollten sie vorher noch mal alle Informationen zur Hardware sammeln. Dabei sollten Sie das
Sammeln so einstellen, dass keine Erstellung eines SMS Standortprotokolls stattfindet.
Die Sms_def.mof Datei definiert, welche Hardwareeigenschaften der Clients während eines
Hardware Inventory’s gesammelt werden. Die Datei finden Sie im Ordner
SMS\inboxes\clifiles.src\hinv auf jedem Standortserver.
Effektives Patchmanagement erfordert genaues Wissen darüber, welche Software in Ihrer
Umgebung installiert ist. Das SMS Software Inventory sammelt Informationen über jede .exeDatei auf dem Clientcomputer. Zusätzliche Arbeit wird nötig, wenn die Daten analysiert werden
müssen, um den Umfang der installierten Software festzustellen. Generell sollte das Software
Inventory einmal pro Woche ausgeführt werden. Ihre speziellen Ansprüche können allerdings
auch von dieser Empfehlung abweichen.
Finden von Anwendungen durch SMS-Abfragen
Umgebung
SMS
Zweck
Automatisches Verändern der empfangenen SMS-Daten mit Hilfe der SMS WMI
Query Language (WQL).
Voraussetzungen
Einen SMS-Standort, SMS Clients und eine existierende SMS-Inventory-Datenbank.
Einsatzbereich
SMS kann in jeder Unternehmensgröße eingesetzt werden.
Abfragen sind der Schlüssel, um die Daten des SMS Servers zu verwerten. Durch
Abfrageantworten können die riesigen Datenmengen extrapoliert werden und zur Erkenntnis
führen, welche Computer geupdatet werden müssen. Die Abfragen in diesem Abschnitt stellen
Beispiele dar, wie die Abfragesprache benutzt werden kann. Die Abfragen können direkt einzelne
Patches betreffen, indem Gruppen (Sammlungen) von Computern angesprochen oder
Ankündigungen benutzt werden
Es gibt mehrere SMS Abfragebeispiele, die Sie im Ordner Werkzeuge und Vorlagen dieses
Handbuchs finden:

All Systems Running a Prompted Service SMS Query.txt - Die in dieser Datei abgelegte
SMS-Abfrage fragt nach einem Dienst auf den zu inventarisierenden Computern. Wenn Sie
danach gefragt werden, über welchen Dienst Sie Informationen haben wollen, können Sie
zum Beispiel W3SVC eingeben, um die Einstellungen des Webdienstes abzufragen.

All Systems with IIS Installed SMS Query.txt - Diese Abfrage listet auf, welche Computer den
Internet Information Server (IIS) installiert haben.

All Windows 2000 Professional Workstations SMS Query.txt - Dient dazu, eine Liste aller
Windows 2000 Professional-Arbeitsstationen in Ihrer Umgebung zusammenzustellen.

All Windows 2000 Servers SMS Query.txt - Diese Abfrage zeigt die Liste aller Windows 2000
Server, die vom SMS Server inventarisiert wurden.

Last Inventory Scan SMS Query.txt - Diese SMS Abfrage erfordert als Eingabe ein Datum
und wird dann die Zeit anzeigen, bei der das letzte Mal eine Inventarisierung stattfand. Wie
bereits oben erwähnt, sollten Sie immer vor und nach kritischen Updates eine
Inventarisierung durchführen.

Show All Known Software Products by Company SMS Query.txt - Diese Abfrage zeigt eine
Liste sämtlicher installierter Softwareprodukte, sortiert nach Firmenname.
Abfrageergebnisse außerhalb des SMS Servers
Es gibt kein Kommandozeilentool, das Ergebnisse der SMS-Abfragen außerhalb der SMS
Administrationskonsole anzeigen kann. Sollten Sie allerdings schnell Informationen benötigen,
obwohl Sie keinen Zugriff auf die Administrationskonsole haben, können Sie das Microsoft Visual
Basic® Scripting Edition (VBScript) zur Abfrage der SMS-Datenbank und Anzeige von
Informationen nutzen. Die Skriptdatei heißt SMS WMI.vbs.txt und liegt im Ordner Werkzeuge und
Vorlagen. Vergessen Sie nicht, die Endung .txt zu entfernen, damit das Skript ausgeführt wird.
Zur Ausführung des Skripts benötigen sie lediglich den SMS-Standortcode.
Die SMS Excel.vbs.txt Datei (entfernen Sie wieder die Endung .txt), die ebenfalls in dem Ordner
liegt, ermöglicht den Import der Abfragedaten in eine Excel-Datei. In der Excel-Datei können die
Daten dann angeschaut, gefiltert und analysiert werden. Bei der Verwendung dieser Datei
müssen Sie nur Ihre eigene SMS-Abfrage einsetzen und den Namen SMSSERVER durch den
NetBIOS Namen des SMS Servers ersetzen, sowie den SMS-Standortcode eingeben.
Identifizierung der Computertypen
Das Wissen, bei welchen Systemen es sich um Notebooks oder Desktopcomputer handelt, hilft
dabei zu bestimmen, welche Patches wo angewendet werden sollen. Ferner sind auch die
Prozeduren nach der Patchinstallation für die verschiedenen Systeme unterschiedlich.
Die Datei Identifying Computer Types MOF.txt aus dem Ordner Werkzeuge und Vorlagen kann
bei der Identifizierung der verschiedenen Computertypen in einer Umgebung benutzt werden.
Fügen Sie den Text aus dieser Datei in der Sms_def.mof Datei hinzu. Tun Sie dies auf jedem
Standortserver, auf dem das Hardware Inventory angeschaltet ist. Zum Bearbeiten wechseln Sie
auf dem Server in den Ordner \SMS\Inboxes\Clifiles.src\Hinv und verwenden einen Texteditor.
Nach erfolgreichem Test der Datei können Sie die Standard Sms_def.mof im Ordner
\SMS\Inboxes\Clifiles.src\Hinv auf dem Standortserver ersetzen. Von dort verbreitet sich diese
Datei auf alle Clients in dem Standort.
Hinweis: Sie sollten niemals die Sms_def.mof Datei des Standortservers direkt
bearbeiten. Arbeiten Sie immer mit einer Kopie, und machen Sie ein Backup der Datei.
Nachdem alle SMS Clients die Datei erfolgreich abgearbeitet haben, wird die
Win32_SystemEnclosure WMI-Klasse dem SMS-Standortserver als Teil des Hardware
Inventorys Berichte schicken. Diese Informationen werden dann im SMS Resource Explorer und
in der SMS-Administrationskonsole auftauchen. Sie können dann in Abfragen und Berichten
integriert werden.
Durch die Ausführung der SMS-Abfrage mit der geänderten Sms_def.mof Datei können
Informationen zum Computerhersteller, der Seriennummer und dem Chassistyp gesammelt
werden. Der Chassistyp enthält die Informationen über den Computertyp. Folgende Werte für den
Chassistyp sind verfügbar:
1 = Other
2 = Unknown
3 = Desktop
4 = Low Profile Desktop
5 = Pizza Box
6 = Mini Tower
7 = Tower
8 = Portable
9 = Laptop
10 = Notebook
11 = Hand Held
12 = Docking Station
13 = All in One
14 = Sub Notebook
15 = Space-Saving
16 = Lunch Box
17 = Main System Chassis
18 = Expansion Chassis
19 = SubChassis
20 = Bus Expansion Chassis
21 = Peripheral Chassis
22 = Storage Chassis
23 = Rack Mount Chassis
24 = Sealed-Case PC
Internet Explorer-Inventarisierung
Im Internet Explorer tauchen seit 2000 einige sicherheitskritische Verwundbarkeiten auf. Deshalb
ist es wichtig, den Internet Explorer immer mit den entsprechenden Patches auszustatten. Die
Inventarisierung des Internet Explorers ist notwendig, da die verschiedenen Versionen des
Browsers jeweils eigene Lücken aufweisen. Die Inventarisierung des Internet Explorers umfasst
etwas mehr als die reine Information über die Iexplorer.exe-Datei, die durch die
Standardinventarisierung durchgeführt wird. Es ist vielmehr wichtig, auch die
Registrierungsschlüssel der Clientcomputer in das SMS Inventory aufzunehmen. In den
Registrierungsschlüsseln werden die Informationen über die Version, den Servicesack-Stand und
die installierten Hotfixe abgelegt. Damit das SMS Inventory auch Registrierungsschlüssel mit
aufnimmt, müssen Sie die Datei Sms_def.mof ändern. Damit der SMS Server auf die
Clientregistrierung zugreifen kann, benötigen Sie den Inhalt aus der Datei Registry Provider
MOF.txt aus dem Ordner Werkzeuge und Vorlagen. Welche Informationen Sie aus der
Clientregistrierung auslesen wollen, müssen Sie natürlich auch angeben.
Mehr Informationen über die Implementierung des WMI Registry Providers im Zusammenspiel
mit der Datei Sms_def.mof finden Sie im Internet unter:
http://www.microsoft.com/smserver/techinfo/administration/20/using/extenddefmof.asp
(englischsprachig).
Internet Explorer Code
Der Inhalt der Datei Internet Explorer Inventory MOF.txt, die auch im Ordner Werkzeuge und
Vorlagen beiliegt, muss in die Sms_def.mof Datei kopiert werden. Stellen Sie sicher, dass der
Text dem Abschnitt zum Registry Provider folgt. Durch diese Codestücke werden die aktuellen
Internet Explorer-Informationen des Clients inventarisiert.
Sicherheitsberichtstechniken
Erstellung von Untersuchungsberichten zur Verwundbarkeit mit MBSA
Umgebung
WU, SUS
Zweck
Bestimmung, wie viele Computer in Bezug auf einen speziellen Angriff verwundbar
sind.
Voraussetzungen
Ein Computer mit installiertem MBSA in seinem Standardstandort und
administrativen Zugriff auf den zu scannenden Computer.
Einsatzbereich
Kleine und mittlere Umgebungen
MBSA kann sowohl grafisch als auch auf der Kommandozeile administriert werden. Ferner
besteht die Möglichkeit, lokale und entfernte Windowssysteme zu scannen. Der MBSA läuft auf
den Betriebssystemen Windows 2000 und Windows XP und kann eine Vielzahl von
Informationen über die Systeme eines Netzwerkes anzeigen. Dazu gehören Informationen, wie
zum Beispiel welche Rechner sich in einem Netzwerk befinden, die installierten Produkte auf den
einzelnen Rechnern und die anwendbaren Sicherheitspatches oder Servicepacks für jedes
erkannte Produkt.
Die Datei MBSAScan.wsf.txt, die diesem Handbuch beigelegt ist, benutzt MBSA, um Ihr
Netzwerk zu scannen. Die generierte Testdatei trennt die einzelnen Werte durch Tabstopps.
Diese Outputtextdatei kann dazu benutzt werden, zu bestimmen, welche speziellen Produkte auf
den gescannten Computern installiert sind. Mit dieser Datei können die Details über fehlende
Sicherheitspatches und Servicepacks für jedes Produkt einfach dargestellt werden.
Wenn Sie die Datei benutzen wollen, kopieren Sie diese auf Ihren Computer und benennen Sie
sie in MBSAScan.wsf um. Zum Ausführen der Datei öffnen Sie die Kommandozeile und wechseln
in den Ordner, in dem sich die Datei MBSAScan.wsf befindet. Benutzen Sie dann eines der
folgenden Kommandos, je nachdem welche Art von Scan Sie durchführen möchten:
Um einen Scan auf dem lokalen Computer durchzuführen:
Cscript.exe MBSAScan.wsf
Um mehrere Computer zu scannen:
CScript.exe MBSAScan.wsf –hf servers.txt
Hinweis: Damit Sie mehrere Computer scannen, erstellen Sie eine Datei servers.txt, in
der alle Namen der zu überprüfenden Computer mit Namen aufgeführt sind. Die Datei
sollte sich im gleichen Ordner wie die Datei MBSAScan.wsf befinden.
Wenn Sie alle Computer in der Windows-Domäne mit dem Namen CORPDOMAIN scannen
wollen:
CScript.exe MBSAScan.wsf –d corpdomain
Weitere Information zum Gebrauch des MBSAScan.wsf-Skripts können Sie über diesen Aufruf
bekommen:
CScript.exe MBSAScan.wsf -?
Die Outputdatei, die durch MBSAScan.wsf erstellt wird, hat ein spezielles Namensformat, dass
den Zeitpunkt des Scans wiedergibt. Die Form dieses Namens lautet JJJJMMTT_SSMMSS
(Jahr, Monat, Tag _ Stunde, Minute, Sekunde). Dieses Namensschema ermöglicht Ihnen die
Scans mehrfach durchzuführen, ohne die Daten aus den vorherigen Durchläufen zu verlieren.
Die Outputdatei wird im gleichen Ordner abgelegt wie das Skript.
Die Outputdatei kann dann in eine Datenbank Ihrer Wahl importiert werden, um weitere
Auswertungen durchführen zu können. Über eine Abfrage der Datenbank können dann die
Informationen über einzelne Computer jederzeit abgefragt werden. Sie können die Daten
natürlich auch in eine Microsoft Excel-Datei importieren und mit der Sortier- oder Filterfunktion
von Excel die Daten durchsuchen und analysieren. Zum Zweck der Basiseinrichtung können sie
durch die Analyse der Daten eine Übersicht über das Inventar bekommen. Dies umfasst
Informationen über die eingesetzten Betriebssystemvarianten und Microsoft Internet ExplorerVersionen. Außerdem können Sie erkennen, bei wie vielen Computern bestimmte Servicepacks
noch fehlen.
Hinweis: Dieses Skript geht davon aus, dass MBSA im Standardpfad, auf dem
Computer, der die MBSAScan.wsf Datei ausführt, installiert ist (C:\Programme\Microsoft
Baseline Security Analyser). Der Scanprozess kann zeitlich zwischen einigen Minuten
und mehreren Stunden variieren, je nach Anzahl der Faktoren und Computer, die
überprüft werden sollen. Auch die Bandbreite spielt hier eine größere Rolle. Die
Inventarinformationen, die dieses Skript zur Verfügung stellt, erstrecken sich allerdings
nur auf die durch MBSA unterstützte Produkte. Eine komplette Liste der Produkte, die
durch MBSA unterstützt werden, finden Sie in Tabelle 4.2. MSBA Analysefunktionen im
Teil I, Kapitel 4, Werkzeuge und Technologien.
Erstellung eines Untersuchungsberichts zur Verwundbarkeit mit dem SMS Web Reporting
Tool
Umgebung
SMS
Zweck
Bestimmung, wie viele Computer in Bezug auf einen speziellen Angriff verwundbar
sind.
Voraussetzungen
Einen sauber funktionierenden SMS-Standort und Inventarisierungsprozess, sowie
ein auf dem IIS Server installiertes Web Reporting Tool.
Einsatzbereich
Kann in jeder Unternehmensgröße eingesetzt werden.
Nachdem Sie das SUS Feature Pack zusammen mit dem Web Reporting Tool installiert haben,
wird der SMS Server automatisch Berichte über das Inventory der installierte Patches
durchführen. Das Web Reporting Tool liefert Bestandsberichte, die in der nachfolgenden Tabelle
dargestellt sind und die die Verbreitung der Verwundbarkeit bestimmen helfen.
Tabelle 1.2: Patch-Management-Berichte für das Web Reporting Tool
Bericht
Beschreibung
Installed software updates for a Specific Machine Benutzen Sie diesen Bericht, um eine Liste der
installierten Software-Updates eines Computers zu
erhalten.
Count of installed Software Updates by type
Benutzen Sie diesen Bericht, um eine Liste der
unternehmensweiten Anzahl der installierten SoftwareUpdates sortiert nach Typ zu bekommen.
Installation rate for a specific software update
Benutzen Sie diesen Bericht, um eine Liste der
unternehmensweiten Information über die Rate der
Installationen eines Software-Updates zu erhalten.
Installed software updates for a specific product Benutzen Sie diesen Bericht, um eine Liste der
unternehmensweiten installierten Software-Updates für
ein spezielles Produkt zu generieren.
Machines with a specific software update
installed
Benutzen Sie diesen Bericht, um eine Liste der
unternehmensweiten Computer, die spezielle SoftwareUpdates installiert haben zu erstellen
Machines with any software update installed
Benutzen Sie diesen Bericht, um eine Liste der
unternehmensweiten Computer, die irgendein SoftwareUpdate installiert haben, anzufertigen.
Applicable software updates for a specific
machine
Benutzen Sie den Bericht, um eine Liste aller
anwendbaren Software-Updates für spezielle Computer
zu erstellen.
Count of applicable software updates by type
Dieser Bericht dient dazu eine unternehmensweite
Anzahl der anwendbaren Software-Updates sortiert
nach Typ anzuzeigen.
Detection rate for a specific software update
Dieser Bericht dient dazu eine unternehmensweite
Anzahl aller anwendbaren Software-Updates für ein
spezielles Produkt zu erstellen.
Applicable software updates for a specific
product
Benutzen Sie diesen Bericht, wenn Sie eine Liste aller
Computer im Unternehmen erstellen wollen, für die
spezielle Software-Updates anwendbar sind.
Count of applicable software updates by type
Benutzen Sie diesen Bericht, wenn Sie eine Liste aller
Computer im Unternehmen erstellen wollen, für die
überhaupt ein Software-Updates zur Verfügung steht.
Detection rate for a specific software update
Dieser Bericht wird verwendet, um unternehmensweit
den Status für alle Software-Updates sowohl autorisiert
als nicht autorisiert wiederzugeben.
Applicable software updates for a specific
product
Dieser Bericht wird verwendet, um unternehmensweit
den Status für alle autorisierten Software-Updates
anzugeben.
Machines where a specific software update is
applicable
Dieser Bericht wird verwendet eine unternehmensweite
Liste der autorisierten Software-Updates, inklusive
Standort, Computer und Installationsstatus jedes
einzelnen anzuzeigen.
Machines where any software update is
applicable
Benutzen Sie diesen Bericht, um unternehmensweit die
Computer anzuzeigen, die entsprechend der
eingegebenen Anzahl Software-Updates anwenden
müssen (Anzahl größer oder gleich der eingegebenen
Zahl).
Einsatz des SMS Distribute Software Updates Wizards für Verwundbarkeitsscanns
Umgebung
SMS
Zweck
Verwendung des Distribute Software Updates Wizards, um Informationen über die
Verwundbarkeit einer Umgebung bestimmen zu können.
Voraussetzungen
Ein im Einsatz befindlicher SMS-Standort mit installiertem SUS Feature Pack , sowie
einen funktionierenden Software- und Hardware-Inventory-Prozess.
Einsatzbereich
SMS kann in jeder Unternehmensgröße eingesetzt werden.
Sollten verschiedene Zeitpläne für verschiedene Computer benötigt werden, können mehrfache
Ankündigungen für verschiedenen Sammlungen eingerichtet werden. Dies kann auch für das
gleiche Paket oder das gleiche Programm mehrfach geschehen. Sollte ein
Wiederholungsintervall für den Patch-Installationsagenten auf täglich eingestellt sein, aber ein
kritisches Patch sofort verteilt werden müssen, benötigen Sie eine einmalige verpflichtende
Zuordnung zu einer Ankündigung, die sofort durchlaufen werden sollte. Wenn die
Ankündigungsänderungen den Client-Zugriffspunkt erreicht haben, werden die nächsten
Ankündigungen auf dem Client den Patch Installation Agent starten und das neue Patch
einspielen.
Wenn der Distribute Software Updates Assistant nicht verwendet wird, aber Patches durch
angepasste Pakete und Sammlung verteilt werden, verwenden Sie eine einzelne Ankündigung.
Setzen Sie dazu die erstellten Sammlungen aus dem Abschnitt Bereitstellungsgruppe wählen ein.
Sollten Sie einen Rollout durchführen, der nur auf einer Abfrage/Sammlung beruht, sollten Sie
nach Abschluss der ersten Phase die Abfrage so ändern, dass die Clients auch in der nächsten
Phase berücksichtigt werden. Die Sammlung wird entweder manuell aktualisiert oder zu einem
festgelegten Zeitplan, je nach dem, ob das Patch-Installationsprogramm der neuen Clientgruppe
automatisch angekündigt wurde oder nicht.
Für Hotfixe gilt: Die SMS-Abfragen werden benutzt, um die Ziel Sammlungen basierend auf den
Inventardaten abzugleichen und festzustellen wo ein Patch fehlt. Das bedeutet:

Wenn ein Computers ein Patch installiert, wird dieser neu inventarisiert. Gleichzeitig wird
dieser Computer aus der Sammlung herausfallen, wenn die Sammlung aktualisiert wird, weil
Abfragedefinitionen nicht länger zutreffend sind.
Das Wiederholungsintervall solch einer Ankündigung sollte sorgfältig ausgewählt werden weil:

Clients, die eine Veröffentlichung erfolgreich angewendet haben, werden in der Ziel
Sammlung verbleiben, bis ein neues Inventory erstellt wurde. Dies kann durch das
Installationsprogramm selbst gestartet werden. Eine andere Möglichkeit ist ein Inventory,
dass durch den SMS Server aktualisiert wurde und die Sammlung neu bewertet. Deshalb ist
es möglich, dass ein Programm ein zweites Mal angewendet wird, obwohl der erste
Durchlauf schon erfolgreich war. Aus diesem Grund sollte das Programm vorher prüfen, ob
ein Patch oder mehrere Patches nicht bereits installiert sind.

Wiederholte Ausführung eines Programms, dass aufgrund anderer Fehler immer wieder
abbricht, kann die Benutzer nerven.

Wiederholte Ausführung einer Installation erzeugt zusätzliche Client- und Netzwerklast.

Das Intervall sollte allerdings auch nicht zu groß sein, speziell wenn ein Patch dringend sofort
eingespielt werden soll.
Es gibt Situationen, in denen ein kritisches Patch sofort eingespielt werden sollte. Meist wird dies
unter Zeitdruck und mit kurzer Testphase durchgeführt. Die Abfragen und die Sammlungen
sollten immer auf eine minimale Anzahl von Clients eingeschränkt werden, ohne jedoch zu
vergessen, welche Clients jeweils ein Update benötigen.
SMS-Server-Umgebungen, die nur aus einem SMS-Standort bestehen, bieten die schnellste Art
ein kritisches Patch einzuspielen. Nachdem das Paket in dem Standort erstellt wurde, kann es
gleich ohne Zeitverlust auf die Ziel Sammlung übertragen werden. Die Ankündigung wird sofort
ausgeführt, wenn ein Server das nächste Mal die neuen Ankündigungen prüft.
3 Änderungseinleitung
Zusammenfassung
Die Änderungseinleitung setzt sich aus drei Hauptkomponenten zusammen:

Identifikation – Feststellen, ob ein Patch für Ihre Umgebung erforderlich ist und ob für
diesen eine gültige Quelle vorhanden ist.

Relevanz – Feststellen, ob ein Patch für die IT-Infrastruktur Ihrer Organisation von
Bedeutung ist.

Quarantäne – Isolierung aller Dateien, die mit einem Patch in Zusammenhang stehen,
während diese auf Viren oder schädlichen Programmcode geprüft werden.
Die folgende Abbildung veranschaulicht die Änderungseinleitung:
Abbildung 2.1
Änderungseinleitung
Identifikation
Eine saubere Überwachung und Analyse Ihrer Umgebung und eine Prüfung der Quellen und
Inhalte von Security Bulletins ist für Ihre Patchverwaltung essentiell.
Scanberichte zur Sicherheitslücken
Um potentielle Sicherheitslücken zu erkennen, sollten Sie die Berichte der in Ihrer Umgebung
durchgeführten Sicherheitsscans proaktiv analysieren. Berichte zu den unterschiedlichen
Computerkategorien Ihrer Umgebung helfen Ihnen dabei auf Sicherheitsprobleme schnell zu
reagieren.
Der Microsoft® Baseline Security Analyzer (MBSA) ist ein nützliches Werkzeug für Microsoft
Windows® Update (WU) und Microsoft Software Update Services (SUS) Umgebungen. Er leistet
beim Scannen nach Sicherheitslücken gute Dienste. Im Microsoft Systems Management Server
(SMS) mit SUS Feature Pack ist er bereits enthalten.
Microsoft Security Bulletins
E-Mail-Benachrichtigungen enthalten genaue Informationen zu den jeweils behandelten
Sicherheitslücken. Sie sollten diese genausten lesen. Zusätzlich rufen Sie bitte auf der MicrosoftSicherheitswebseite unter http://www.microsoft.com/technet/security/default.asp
(englischsprachig) die aktuellsten Informationen zu den Security Bulletins ab.
Folgenden Sie bei der Durchsicht von E-Mail-Benachrichtigungen den folgenden Richtlinien. So
stellen Sie sicher, das Sie über das aktuellste Security Bulletin verfügen:

Installieren Sie niemals ausführbare Dateien, die Sie als Anhang einer E-Mail erhalten.

Klicken Sie in einer E-Mail-Benachrichtigung nicht auf Links. Kopieren Sie diese stattdessen,
und fügen Sie sie im Adressfeld des Browsers ein.

Lesen Sie die Security Bulletins auf der Microsoft-Webseite. Wenn Sie keine Möglichkeit
haben auf das Internet zuzugreifen, prüfen Sie die PGP-Signatur, mit der jedes Security
Bulletin signiert ist. So können Sie sicherstellen, dass dies authentisch ist.
Den Microsoft Security Response Center (MSRC) Security Bulletin Schlüssel können Sie auf
folgender Webseite herunterladen: http://www.microsoft.com/technet/security/MSRC.asc
(englischsprachig).
Weitere Informationen zur Prüfung von digitalen Signaturen finden Sie unter:
http://www.microsoft.com/technet/security/bulletin/notify.asp (englischsprachig).
Es gibt eine Vielzahl von E-Mail-Hoaxes (Falschmeldungen zu Viren, Würmern und
Sicherheitsproblemen), die angeblich von Microsoft stammen. Wenn Sie ein Microsoft Security
Bulletin erhalten, gehen Sie sicher, dass dies auch von Microsoft stammt. Prüfen Sie alle Links
auf Software-Updates über die Security Bulletin Search Tool Webseite unter:
http://www.microsoft.com/technet/security/current.asp (englischsprachig).
Weitere Informationen zu Hoaxes finden Sie im Dokument Information on Bogus Microsoft
Security Bulletin E-Mails unter: http://www.microsoft.com/technet/security/news/patch_hoax.asp
(englischsprachig).
Anmerkung: Microsoft versendet Software niemals als E-Mail-Anhang. Die
entsprechenden Richtlinien können Sie unter
http://www.microsoft.com/technet/security/policy/swdist.asp (englischsprachig) einsehen.
Ein Microsoft Security Bulletin lesen
Die Informationen in Security Bulletins sind in Abschnitte aufgeteilt. Dies hilft Ihnen festzustellen,
wie kritisch die beschriebenen Sicherheitslücken für Ihre Umgebung sind. Obwohl Sie natürlich
alle Informationen eines Security Bulletins lesen sollten, schenken Sie den folgenden Bereichen
besondere Beachtung:

Zusammenfassung – Lesen Sie diesen Abschnitt als erstes. Er stellt Ihnen die folgenden
Informationen zur Verfügung:

Technische Details – Dieser Abschnitt bietet eine tiefergehende technische Beschreibung
der Sicherheitslücke. Er umreißt außerdem die Auswirkungen auf die betroffenen Produkte.

Knowledge Base Artikel – Verweist auf den im Titel des Security Bulletin angegebenen
Knowledge Base Artikel. Dort erhalten Sie zusätzliche Informationen.
Die Zusammenfassung ermöglicht Ihnen eine schnelle Einschätzung der potentiellen
Auswirkungen, die eine Sicherheitslücke auf Ihre Umgebung hat. So können Sie feststellen, ob
Sie das Security Bulletin tiefergehend studieren müssen.
Bewertungssystem für den maximalen Schweregrad
Das Microsoft Security Response Center (MSRC) hat ein Bewertungssystem entwickelt. So
können Sie schnell feststellen, wie wichtig ein Update für Ihre Organisation ist. Das
Bewertungssystem richtet sich nach den möglichen Auswirkungen des Sicherheitsproblems. Die
folgenden Bewertungen sind möglich:

Kritisch – Über diese Sicherheitslücke könnte sich ein Internetwurm ohne Aktion des
Benutzers ausbreiten.

Wichtig – Ein solche Sicherheitslücke könnte zur Verlust von Vertraulichkeit, Integrität oder
Verfügbarkeit von Daten des Benutzers oder von Ressourcen führen.

Durchschnittlich – Eine Sicherheitslücke, die durch unterschiedliche Faktoren (zum Beispiel
eine Standardkonfiguration oder eine Überwachung) entschärft wird.

Gering – Eine Sicherheitslücke, die nur extrem schwer auszunutzen ist, oder deren
Auswirkungen minimal sind.
Anmerkung: Weitere Information zum Bewertungssystem finden Sie unter
http://www.microsoft.com/technet/security/policy/rating.asp (englischsprachig).
Relevanz
Im IT-Bereich werden Softwareupdates permanent und in großer Zahl veröffentlicht. Sie stammen
aus einer Vielzahl von unterschiedlichen Quellen und werden für die verschiedensten Zwecke
entwickelt. Prüfen Sie Patches sorgfältig. Gehen Sie nicht automatisch davon aus, dass diese auf
Ihre Umgebung angewandt werden müssen. Um die Effektivität der Patchverwaltung zu erhalten,
sollten Sie die Patches sorgfältig nach deren Relevanz bewerten.
Nicht jeder Sicherheitspatch, den Microsoft veröffentlicht, ist für Ihre Umgebung von Relevanz.
Wenn Sie nur die relevanten Patches in Ihrer Umgebung bereitstellen, verringern Sie den
Aufwand, mit dem Sie Ihre Umgebung aktuell und sicher halten.
Anmerkung: Eine Bewertung der Relevanz von Technologie-spezifischen Patches kann
eine echte Herausforderung darstellen. Es kann sehr schwer sein festzustellen, ob ein
Software-Update für bestimmte Computer Ihrer Umgebung relevant ist. In diesem
Zusammenhang ist es wichtig, eine genaue Inventarisierung Ihrer Umgebung
durchzuführen.
Quarantäne
Nachdem Sie festgestellt haben, dass ein Patch für Ihre Umgebung relevant ist, besteht der
nächste Schritt darin, die entsprechenden Dateien herunterzuladen. In wenigen Fällen reicht es
zwar aus, die Registrierung oder Einstellung zu ändern, normalerweise müssen Sie jedoch eine
oder mehrere Dateien herunterladen. Während Sie diese Dateien prüfen (zum Beispiel die
Signatur), sollten Sie sie von Ihrem Produktions-Netzwerk isolieren.
Anmerkung: Im Microsoft Download Center, über Windows Update (und den WindowsUpdate- Katalog), über SUS und den SMS mit SUS Feature Pack erhalten Sie
ausschließlich authentifizierte Software-Updates. Wenn Sie Microsoft Software Updates
über andere Wege erhalten, prüfen Sie deren digitale Signatur.
Die Erstinstallation und die Tests von Sicherheitspatches sollten auf Computern durchgeführt
werden, die von Produktions-Netzwerk isoliert sind. Idealerweise sollte diese QuarantäneUmgebung durch ein separates Team innerhalb der Organisation erstellt werden.
Die folgenden Abschnitte beschreiben einige Wege, über die Sie Software-Updates für eine
Installation über alternative Verteilungsmechanismen herunterladen können.
Updates vom Microsoft Download Center herunterladen
Um Software-Updates vom Download Center herunterzuladen:
1. Rufen Sie das Microsoft Download Center unter http://www.microsoft.com/downloads
(englischsprachig) auf.
2. Im Feld Schlüsselworte geben Sie die Nummer des Knowledge-Base (KB)-Artikels des
Software-Updates ein. Möglicherweise müssen Sie vor die Nummer KB oder Q
schreiben.
3. Klicken Sie auf das Ihrem Betriebssystem oder Ihrer Anwendung entsprechenden
Update.
4. Lesen Sie die zum Software-Update zur Verfügung gestellten Informationen.
5. Wenn notwendig, wählen Sie auf der rechten Seite die gewünschte Sprache und klicken
auf Go.
6. Klicken Sie auf den Link zum Herunterladen oder folgenden Sie den Anweisungen auf
der Webseite.
Anmerkung: Wenn Sie Software-Updates über www.microsoft.com herunterladen,
geben Sie die URL immer direkt per Hand im Browser ein.
Updates über den Windows-Update-Katalog herunterladen
Sie können über die folgenden Wege auf die Windows-Update-Webseite zugreifen:

Über den Internet Explorer. Klicken Sie im Menü auf Extras und dann auf Windows Update

Über Windows. Klicken Sie auf Start, Alle Programme und auf Windows Update.

Direkt über die URL der Windows-Update-Webseite: http://windowsupdate.microsoft.com
Anmerkung: Damit Windows Update korrekt arbeitet, müssen Sie die
Sicherheitseinstellung der Internet-Zone auf Mittel oder geringer setzen.
Um den Windows Update Katalog anzuzeigen, müssen Sie diesen zur Auswahlliste auf der
Windows Update Seite hinzufügen. Klicken Sie auf der Windows-Update-Webseite auf Windows
Update anpassen und aktivieren dann das Kontrollkästchen Verknüpfung für Update-Katalog
unter ‚Siehe auch’ anzeigen.
Anmerkung: Der Windows Update Katalog führt die Sicherheitspatches im Moment in
den Kategorien Kritische Updates und Servicepacks auf.
Updates vom Office Download Center herunterladen
Um ein Software-Update über das Office Download Center herunterzuladen:
1. Rufen Sie das Microsoft Office Download Center und
http://office.microsoft.com/Downloads auf.
2. Wählen Sie ein Produkt und dessen Version aus. Aktivieren Sie das Kontrollkästchen
Updates.
3. Klicken Sie auf Updateliste.
4. Klicken Sie beim gesuchten Update auf Jetzt herunterladen.
4 Veröffentlichung
Zusammenfassung
Das Veröffentlichungsverfahren für Sicherheitspatches besteht aus drei Hauptkomponenten:

Änderungsverwaltung – Zeigt einen Satz von Prozeduren die dazu geeignet sind, die
Anzahl der notwendigen Änderungen in Ihrer Umgebung zu vermindern. Außerdem wird
sichergestellt, dass durch die Änderungen keine Ausfälle in Ihrem Netzwerk hervorgerufen
werden.

Veröffentlichungsverwaltung – Bietet Schritte für die Planung, den Test und die
Ausbringung von Patches in der Produktivumgebung. Es wird dabei berücksichtigt, die
Verfügbarkeit und Integrität der vorhandenen Dienste sicherzustellen.

Erfolgsüberwachung – Besteht aus den notwendigen Schritten, um den Erfolg der PatchBereitstellung zu bestimmen. Zusätzlich werden Überlegungen zum Stoppen und
Wiederherstellen der Bereitstellung bei Misserfolg erläutert.
Die folgende Grafik zeigt den gesamten Veröffentlichungsprozess:
Abbildung 4.1
Veröffentlichungsprozess der Sicherheitspatch-Verwaltung
Änderungsverwaltung
In der Patchverwaltung stellt eine Änderungen einen Zusatz zu bestehender Software (z. B. ein
Software-Update) dar. Änderungen können temporär oder dauerhaft sein. Temporäre
Änderungen, wie zum Beispiel Gegenmaßnahmen, können als permanente Änderung
implementiert werden. Alle Änderungen, egal ob temporär oder permanent, sollten durch den
Änderungsverwaltungsprozess erfasst werden.
Sobald die Security Bulletins herausgegeben und die entsprechenden Patches für die
Verwendung freigegeben wurden, ist es wichtig in Ihrer Umgebung zu bestimmen, welche
Systeme am meisten von dieser Verwundbarkeit betroffen sind. Außerdem sollte auch klar sein,
welche Systeme unternehmenskritischen Charakter haben, damit der reibungslose Betrieb
aufrechterhalten wird. Die Information der Bestandskategorisierung wird dabei helfen, die
Systeme zu erkennen, die am schnellsten geupdatet werden müssen. Ein sauber definierter
Änderungsverwaltungsprozess wird eine beschleunigte Anwendung der Patches auf den
entsprechenden Computern zur Folge haben.
In den Werkzeugen und im Vorlagenordner, der diesem Handbuch beigelegt ist, findet sich auch
eine Datei Formular für Änderungsanforderung.doc. Diese Beispieldatei stellt eine Hilfestellung
für die Einrichtung eines Änderungsverwaltungsprozesses dar. Identifizierung und Organisation
der wichtigsten Informationen bezüglich der Sicherheitspatches können damit erleichtert werden.
Anmerkung: Die Patch-Änderungsverwaltung ist nur ein Teil des
Änderungsverwaltungsprozesses. Die Änderungen in jedem Bereich Ihres Netzwerks
sollten immer mit dem gleichen Änderungsverwaltungsprozess gekoppelt sein. Wie Sie
die Änderungsverwaltung am besten einsetzen können finden Sie unter:
http://www.microsoft.com/technet/ittasks/maintain/pracserv.asp (englischsprachig).
Risikobestimmung
Bevor Sie ein Security Patch einspielen, sollte abgewägt werden zwischen dem Risiko der
Verwundbarkeit und dem Risiko der dafür notwendigen Änderungen. Die Anwendung eines
Sicherheitspatches erfordert manchmal einen Computerneustart, so dass der Zeitplan für die
Anwendung des Patches außerhalb der normalen Bürozeiten liegen muss. Denkbar ist auch eine
Sammlung von Patches zu bestimmten Zeiten, damit weniger Neustarts und Ausfälle
hervorgerufen werden.
Die folgende Liste zeigt ein paar Denkanstöße, die Ihnen helfen werden die Risiken des
Einsatzes der Sicherheitspatches sauber zu bestimmen:

Bestimmung der Auswirkung der einzelnen Verwundbarkeiten in Ihrem Netzwerk.
Viele Security Bulletins sind mit Patches verknüpft, die nur auf wenigen Computern
angewendet werden müssen. Sollte die Bedrohung durch die Verwundbarkeit gering
sein, kann die Ausbringung des Patches erst während der nächsten routinemäßigen
Wartung erfolgen.

Priorisieren der Veröffentlichungen basierend auf der Bestandsbewertung:
Überlegungen zu Computern, die elementar wichtige Dienste für Ihre Umgebung zur
Verfügung stellen. Seien Sie sich bewusst, wie viel Ausfallzeit welchen Einfluss auf Ihre
Umgebung hat.

Einfluss auf die Netzwerkinfrastruktur. Der Einsatz eines großen Patches auf vielen
Computern gleichzeitig kann zu einer Abnahme der Netzwerkleistung führen. Dies kann
die ordnungsgemäße Nutzung des gesamten Netzwerkes negativ beeinflussen. Sehen
Sie sich sämtliche Dokumentation zu Software-Updates durch und behalten Sie die
Anzahl der Computer und die Größe des Patches, das angewendet werden soll im Auge.

Bestimmung des Einflusses der Computerausfallzeiten. Bedenken Sie die
Ausfallzeiten die entstehen können, wenn der Computer nach Anwendung des Patches
nicht mehr richtig funktioniert. Sie sollten unbedingt vergleichen und bestimmen, wie die
Risiken der zeitlichen Verschiebung des Patcheinsatzes und die Risiken eines Ausfalls
einzuordnen sind.
Anmerkung: Selbst der kleinste Fehler kann zur Lähmung eines ganzen Netzwerks
führen. Das Verständnis der Risiken einer Änderungen ist ein unablässiger Teil für den
Prozess der Änderungsverwaltung. Einen detaillierten Überblick über die
Risikobestimmung und die empfohlenen Vorgehensweisen finden Sie unter:
http://www.microsoft.com/technet/itsolutions/tandp/opex/mofrl/mofrisk.asp
(englischsprachig).
Klassifikation
Klassifikation ist der Schritt der Änderungsverwaltung, bei dem Sie die Priorität der
Veröffentlichungen und der damit einhergehenden Zeitpläne einordnen. Die nachfolgende
Tabelle gibt einige Hilfestellungen, um die Priorität von Sicherheitsveröffentlichungen zu
bestimmen.
Tabelle 4.1: Empfehlungen zum Zeitrahmen beim Einsatz von
Sicherheitsveröffentlichungen
Priorität
Empfohlener Zeitrahmen
Empfohlener minimaler
Zeitrahmen
1
Innerhalb von 24 Stunden
Innerhalb von 2 Wochen
2
Innerhalb eines Monats
Innerhalb von 2 Monaten
3
Abhängig von der Verfügbarkeit. Setzen Sie ein
Setzen Sie innerhalb der
Servicepack oder ein Update innerhalb der nächsten nächsten 6 Monate ein
4 Monate ein, um die Verwundbarkeit zu eliminieren. Software-Update ein.
4
Abhängig von der Verfügbarkeit. Setzen Sie ein
Servicepack oder ein Update innerhalb des
nächsten Jahres ein, um die Verwundbarkeit zu
eliminieren.
Setzen Sie innerhalb des
nächsten Jahres ein SoftwareUpdate ein. Sie können sich
auch gegen den Einsatz
entscheiden.
Das Microsoft® Security Response Center (MSRC) bewertet die Verwundbarkeit in einem
Security Bulletin bei der Veröffentlichung. Dadurch wird es den Kunden einfacher gemacht, eine
Entscheidung über die einzusetzenden Patches zu treffen - je nach Risiko und Dringlichkeit. Die
durch das MSRC definierte Priorität und die daraus resultierende Dringlichkeit des Einsatzes
sollte mit in die Überlegungen einfließen.
Einen einfachen Mechanismus um die Priorität für Ihre Umgebung bestimmen zu können,
erreichen Sie durch die Einordnung in die beiden nachfolgenden Tabellen 4.2 und 4.3. Tabelle
4.2 gibt die Einschätzung der MSRC-definierten Schweregrade an, während Tabelle 4.3 die
Aspekte Ihrer Umgebung beinhaltet.
Tabelle 4.2: Bestimmung der Priorität
MSRC-Schweregrad der Verwundbarkeit
Priorität
Kritisch
1
Wichtig
2
Moderat
3
Niedrig
4
Tabelle 4.3: Faktoren, die Einfluss auf die Veröffentlichungspriorität haben können
Mögliche Umgebungs- / Organisationsfaktoren
Anpassung der
Priorität
Hoher Wert oder starkes Ausgesetztsein der betroffenen Systeme
Erhöhen
Systeme, die schon immer Ziel von Angriffen waren.
Erhöhen
Mildernde Faktoren, wie z.B. Gegenmaßnahmen, die die Gefahr einschränken
Erniedrigen
Geringer Wert oder geringes Ausgesetztsein der betroffenen Systeme
Erniedrigen
Um den Einfluss der Ressourcen, die mit der Veröffentlichungsverwaltung beschäftigt sind, zu
verringern, können mehrere Änderungen der gleichen Kategorie in einer einzelnen
Veröffentlichung zusammengefasst werden. Dies eignet sich besonders für die Prioritäten 2 bis 4
aus der Tabelle 4.1.
Typische Gegenmaßnahmen
Eine Mehrzahl der Patches benötigen einen Neustart der Zielcomputer, damit die Installation
abgeschlossen werden kann und um den Computer zu schützen. Sollten Sie ein Patch nicht
sofort anwenden können, weil Sie ein Update nur innerhalb der vorgesehenen
Wartungszeitfenster durchführen können, gehen Sie dazu über, geeignete Gegenmaßnahmen zu
implementieren. Diese Gegenmaßnahmen werden dann bis zur Anwendung des Patches den
Computer effektiv schützen. Es gibt immer viele Dinge zu beachten, wenn Software-Updates die
in der Organisation ausgebracht werden.
Das Security Bulletin sollte zusätzliche Gegenmaßnahmen enthalten, die vor zukünftigen
Angriffen abschrecken, bis das Software-Update angewendet wird. Das Security Bulletin auf der
Microsoft-Webseite gibt dazu weitere Informationen zu Verwundbarkeiten, technische Details und
FAQs (häufig gestellte Fragen). Sie können diese Empfehlungen benutzen, um einen
Gegenmaßnahmenplan zu erstellen und damit die Zeit überbrücken, bis ein Software-Update
verteilt ist.
Anmerkung: Werfen Sie beispielsweise einen Blick auf das Microsoft Security Bulletin
MS03-010: http://www.microsoft.com/technet/security/bulletin/MS03-010.asp
(englischsprachig). Im Abschnitt über die technischen Details von MS03-010 finden Sie
zusätzliche Informationen darüber, wie die Verwundbarkeit des Remote Procedure Calls
(RPC) auf Port 135 ausgenutzt wird. Wenn Sie weiterlesen zum Abschnitt FAQ, finden
Sie die Empfehlung als Gegenmaßnahme ein Abblocken von Kommunikation auf Port
135 einzurichten. Das Abblocken von bestimmten Netzwerkports und das Abschalten
unbenutzter Dienste sind einige Gegenmaßnahmen die - wenn eingerichtet - Ihren
Computer schützen können.
Mehr Informationen über Gegenmaßnahmen zur Absicherung von Computern erhalten Sie unter
http://go.microsoft.com/fwlink/?LinkId=15159
Anmerkung: Gegenmaßnahmen sind kein Ersatz für Software-Updates. Stattdessen
sind Gegenmaßnahmen dazu gedacht Ihre Umgebung abzusichern, während ein
Software-Update ausgebracht wird. Somit sollte das Hauptziel der Absicherung Ihrer
Umgebung immer der Einsatz von Software-Updates sein.
Veröffentlichungsverwaltung
Veröffentlichungsverwaltung ist der Prozess der Planung, des Tests und der Ausführung von
Änderungen in Ihrer Umgebung. Das Ziel ist sicherzustellen, dass alle Änderungen erfolgreich in
der Produktivumgebung eingesetzt werden, ohne den Betriebsablauf nennenswert zu
unterbrechen. Der folgende Abschnitt beschreibt die Dinge, die während der einzelnen Phasen
zu beachten und zu bedenken sind. Die Patch-Bereitstellung wird damit zu einem definierten, gut
funktionierenden Prozess.
Planen der Veröffentlichung
Während der Veröffentlichungsplanungsphase müssen Sie, je nach dem wie kritisch die
Veröffentlichung für Ihre Umgebung ist, die Veröffentlichungsdetails definieren. Die effektive
Planung der Veröffentlichung umfasst folgende Festlegungen:

Die Reichweite der Veröffentlichung: Welche Computer benötigen ein SoftwareUpdate? Sind die Bestandsinformationen der Umgebung aktuell? Genaue Bestimmung
der Computer, die ein Update benötigen, trägt dazu bei, die Bereitstellung so effektiv wie
möglich zu gestalten.

Die Reihenfolge der Veröffentlichungen für mehrere Software-Updates. Welche
Abhängigkeiten haben die nötigen Updates? Welche Systeme benötigen einen Neustart?
Können mehrere Updates miteinander kombiniert werden? Die Antworten auf diese
Fragen helfen, den Einfluss von Ausfallzeiten und nicht notwendigen Neustarts zu
minimieren.

Wiederherstellung Überlegungen. Kann die Veröffentlichung deinstalliert werden? Ist
die notwendige Vorsorge getroffen worden, falls der Computer nach dem Einspielen
eines Patches nicht mehr reagiert? Existiert eine Sicherung und funktioniert deren
Wiederherstellung? Das Verständnis der notwendigen Schritte, um den Computer wieder
in den Ursprungszustand zurückzuversetzen falls etwas schief geht, ist ein wichtiger
Aspekt der Veröffentlichungsverwaltung.

Zeitplan für die Veröffentlichung: Muss die Veröffentlichung sofort angewendet
werden? Kann sie stufenweise in der Produktivumgebung eingeführt werden?
Normalerweise werden nicht alle Computer in Ihrer Umgebung sofort ein Update
benötigen. Auch hier werden die Antworten auf die Fragen dabei helfen, unnötige
Ausfallzeiten zu verhindern.

Definieren Sie die Anforderungen für die Benutzerschulung und die notwendigen
Kommunikationswege: Worüber sollen die Benutzer informiert werden? Wann soll das
geschehen? Information über den Schweregrad, die Dringlichkeit und die potenziellen
negativen Effekte sollte dabei helfen, diese zu verhindern. Stellen Sie sicher, dass die
Benutzer die Wichtigkeit der Veröffentlichung verstehen. Benutzen Sie mehrere Arten,
die Benutzer über Software-Updates zu informieren.
Veröffentlichungsentwicklung
Mit einem im Einsatz befindlichen Veröffentlichungsplan können Sie Ihren Aufwand zur
Identifizierung und der Verwendung von Patches in der Produktivumgebung steuern. Der
Veröffentlichungsmechanismus besteht immer aus Prozessen, Werkzeugen und Technologien,
die für die Bereitstellung der Veröffentlichung benötigt werden. Während des Prozesses wählen
Sie das Design, die Entwicklung, sowie Tests zum Veröffentlichungsmechanismus aus, um das
Ergebnis der Bereitstellung zu testen.
Der Veröffentlichungsmechanismus den Sie ausgewählt haben, kann durch die vorherige
Klassifizierung maßgeblich beeinflusst werden. Veröffentlichungen, die schnell angewendet
werden müssen, können einen mehrfachen Einsatz des Veröffentlichungsmechanismus
notwendig machen. Die nachfolgenden Überlegungen zu Veröffentlichungen sollen Ihnen dabei
helfen, einen sauberen Veröffentlichungsmechanismus zu wählen. Der Mechanismus, für den Sie
sich entscheiden, sollte folgendes sicherstellen:

Schnelle Bereitstellung über die langsamsten Verbindungen Ihrer Umgebung.

Ferninstallation, ohne dass ein Benutzereingriff notwendig ist.

So eingestellt, dass Benutzer vor dem Neustart ihre Arbeiten noch abspeichern können.

Nur auf Computern installieren, die das Patch benötigen.

Zeichnen Sie genügend Details auf, so dass Sie nach der Bereitstellung deren Erfolg
oder Fehlschlag feststellen können.
Anmerkung: Lesen Sie die Knowledge Base (KB)-Artikel zu Software-Updates
sorgfältig. Sollte ein Software-Update nicht deinstalliert werden können, achten Sie auf
geeignete Vorsorge für den Notfall. Dies kann auch eine Neuinstallation des Rechners
und der Anwendungen bedeuten.
Verstehen der Software-Update-Pakete
Die verschiedenen Software-Updates von Microsoft werden mit verschiedenen Installern
ausgeliefert, um die speziellen Erfordernisse der einzelnen Produkte zu berücksichtigen.
Verschiedene Installer besitzen verschiedene Kommandozeilenparameter und Möglichkeiten. Die
nachfolgenden Ressourcen beschreiben, wie die verschiedenen Software-Updates benannt
werden.
Anmerkung: Microsoft arbeitet daran, standardisierte Kommandozeilen-Parameter für
alle Software-Update Pakete einzusetzen. Versichern Sie sich, ob die KommandozeilenSchalter, die in dem Software-Update Knowledgebase Artikel genannt werden, nicht
schon diese Neuerungen eingebaut haben. Viele der nachfolgenden Verweise benutzen
den Ausdruck Hotfix, um jede Art von Software-Update zu kennzeichnen, die nicht Teil
eines Servicepacks sind. Der Begriff Hotfix wird mittlerweile dazu benutzt, einen nicht
öffentlichen Fix zu bezeichnen. Der Begriff wird in den nachfolgenden Verweisen aber
nicht immer in diesem Sinne verwendet.
Windows NT 4.0
Software-Updates für Microsoft Windows NT® 4.0 und Microsoft Windows® 2000 SP3 und früher
wurden mit einem Installer mit dem Namen Hotfix.exe gepackt.
Wie Hotfixes mit der HOTFIX.EXE installiert und entfernt werden, beschriebt diese Quelle:
http://support.microsoft.com/?kbid=184305 (englischsprachig).
Informationen zu Hotfix Paketen, die keine Debug-Symboldateien enthalten, finden Sie hier:
http://support.microsoft.com/?kbid=814411 (englischsprachig).
Windows 2000, Windows XP und Windows Server 2003
Software-Updates für Windows 2000 SP4 und später, Windows XP und Windows Server 2003
wurden mit dem Installer Update.exe gepackt. Die Update.exe ist eine neue Version des
Hotfix.exe Installers.
Neues Namensschema für Microsoft Windows Hotfix Pakete:
http://support.microsoft.com/?kbid=816915 (englischsprachig).
Hotfix.exe Programmbeschreibung und Kommandozeilen-Schalter:
http://support.microsoft.com/?kbid=262841 (englischsprachig).
Wie mehrere Windows Updates oder Hotfixes mit nur einem Reboot installiert werden:
http://support.microsoft.com/?kbid=296861 (englischsprachig).
Wie Microsoft Virtual Machine Updates ohne Neustart auf Ihrem Computer installiert werden:
http://support.microsoft.com/?kbid=304930 (englischsprachig).
Internet Explorer
Software-Updates für den Microsoft Internet Explorer werden mit dem Installer IExpress.exe
gepackt.
Allgemeingültige Kommandozeilen-Schalter für selbstinstallierende Update-Dateien:
http://support.microsoft.com/?kbid=197147 (englischsprachig).
Office 2000 und Office XP
Software-Updates für Microsoft Office 2000 und XP werden mit dem Installer Ohotfix.exe
gepackt. Ohotfix.exe ruft MSP-Dateien (Windows Installer Patch) auf und benutzt dabei den
Windows Installer, damit Software-Updates installiert werden.
Neues Namensschema für Microsoft Office Hotfix-Pakete:
http://support.microsoft.com/?kbid=816916 (englischsprachig).
Microsoft Office XP Patch-Bereitstellung Whitepaper:
http://support.microsoft.com/?kbid=330043 (englischsprachig).
Installation der Client Update Dateien mit OHotFix:
http://www.microsoft.com/office/ork/xp/journ/ohotfix.htm (englischsprachig).
Liste der OhotFix-Installationsfehler:
http://support.microsoft.com/?kbid=324246 (englischsprachig).
Exchange Server
Software-Updates für den Microsoft Exchange 5.0 und Exchange 5.5 (auf Windows NT 4.0)
werden mit dem SMS-Installer gepackt. Software-Updates für Exchange 2000 nutzen
Update.exe, außer für die Servicepacks. Diese verwenden einen speziellen Installer.
Neues Namensschema für die Exchange Server Hotfix-Pakete:
http://support.microsoft.com/?kbid=817903 (englischsprachig).
Exchange 2000 Server nach Servicepack 3 Hotfix-Kommandozeilen-Schalter:
http://support.microsoft.com/?kbid=331646 (englischsprachig).
SQL Server 7.0 und SQL Server 2000
Software-Updates für den Microsoft SQL Server™ benutzen eine Vielzahl von Installern in
Abhängigkeit der Updatetypen, der Plattform und der SQL-Serverversionen.
SQL Server Hotfix Installer:
http://support.microsoft.com/?kbid=330391 (englischsprachig).
Visual Studio
Microsoft Visual Studio® 6.0 verwendet IExpress als Software-Update Installer. Visual Studio
.NET nutzt den Windows Installer 2.0 mit einem wrapper für Software-Update Pakete.
Namensschema für Microsoft Visual Studio .NET, das .NET Framework und Visual J#
Redistributable Hotfix Pakete:
http://support.microsoft.com/?kbid=822464 (englischsprachig).
Akzeptanztest
Der Zweck dieses Tests ist, zu bestätigen, dass die Veröffentlichung korrekt in Ihrer Umgebung
arbeitet. Der Akzeptanztest erlaubt, den geschäftlich Verantwortlichen zu bestimmen, ob Ihr
Einsatzplan und der Veröffentlichungsmechanismus in einer Testumgebung zusammenarbeiten.
Außerdem sollte der Akzeptanztest demonstrieren, dass Ihr Einsatzplan keine negativen
Einflüsse auf die Produktionsumgebung hat. In einigen Fällen ist die Einrichtung einer
Pilotumgebung mit wenigen Benutzern notwendig, damit der Akzeptanztest das notwendige
Vertrauen für ein unternehmensweites Rollout schaffen kann.
Anmerkung: Umfangreiche Akzeptanztests können in Umgebungen mit Computern, die
nicht die gleiche Installation aufweisen, schwer durchzuführen sein. Oft ist es nicht
möglich, die Computerkonfiguration Ihrer Umgebung exakt nachzustellen. In diesem Fall
fokussieren Sie sich darauf, dass eine komplette Datensicherung existiert und die
Wiederherstellung wie geplant ausgeführt werden kann.
Damit die Veröffentlichung keinen negativen Einfluss auf die Produktionsumgebung hat, testen
Sie alles in einer Testumgebung. Diese sollte so strukturiert sein, dass neue Computer, die noch
unter der verwendeten Basiseinrichtung konfiguriert wurden, aufgenommen werden können.
Damit sollte es beispielsweise möglich sein, neue Computer ohne Patches durch den
Veröffentlichungsmechanismus mit allen notwendigen Patches auszustatten.
Anmerkung: Um den Akzeptanztest-Prozess zu beschleunigen, können Sie
Newsgroups nach Informationen über Security Bulletins und Software-Updates
durchsuchen. Dies sollten Sie auch tun, wenn Sie selbst keine Tests in Ihrer Umgebung
durchführen können. Auf Newsgroups zur Sicherheit können Sie mit Ihrem NewsgroupReader (z.B. Microsoft Outlook® Express) zugreifen. Tragen Sie entweder den
Newsserver ein oder rufen Sie die Adresse news://msnews.microsoft.com auf, und filtern
Sie die Liste der verfügbaren Newsgroups, die das Wort „Sicherheit“ enthalten. Andere
Benutzer schreiben Ihre Erfahrungen mit Software-Updates auf und schicken sie an
diese Newsgroups.
Sie können natürlich auch die Microsoft-Sicherheitswebseite besuchen, um das neuste
Security Bulletin und aktuelle Sicherheitsschlagzeilen zu erhalten. Die Internetadresse
lautet http://www.microsoft.com/technet/security/default.asp. Security-BulletinAktualisierungen und andere Themen, die Ihren Akzeptanztest-Prozess beeinflussen,
werden auf dieser Seite veröffentlicht.
Rollout-Planung und -Vorbereitung
Die Produktivumgebung benötigt eine spezielle Vorbereitung für jede neue Veröffentlichung. Die
Aufgaben und Aktivitäten, die für die Vorbereitung des Rollouts notwendig sind, hängen von der
Veröffentlichung und dem Veröffentlichungsmechanismus ab. Allgemeine Aufgaben beinhalten
die Weitergabe von Informationen über die Veröffentlichung an alle am
Veröffentlichungsmechanismus beteiligten Personen. Dies umfasst die Benutzer, den
technischen Support sowie die Hotlinebetreuer.
Bei der Vorbereitung des Rollouts ist es notwendig vorher die Benutzer und das SupportPersonal über den Einsatzplan zu informieren. Stellen Sie auch sicher, dass die
Wiederherstellungsvorgänge vorher klar sind. Die Methoden für die Deinstallation der Patches
variieren zwischen vollständiger Deinstallation oder manuellen Deinstallationsschritten bis hin zu
keiner Deinstallationsroutine. Ein definierter Wiederherstellungsplan sollte immer vorhanden sein,
falls der Erfolg der Installation nicht wie in der Testumgebung eintritt.
Bereitstellung von Veröffentlichungen
Der Prozess einer Veröffentlichung in der Produktivumgebung hängt vom Typ der
Veröffentlichung ab. Dabei spielt der ausgewählte Veröffentlichungsmechanismus eine weitere
wichtige Rolle. In allen Fällen jedoch muss die Testumgebung mit der Produktivumgebung
synchronisiert werden. Beachten Sie den Fortschritt der Bereitstellung, um alles nachvollziehen
und überwachen zu können. Am besten sollten Software-Updates phasenbasiert veröffentlicht
werden. Bei der folgenden phasenbasierten Bereitstellung können Sie den Einfluss von Fehlern
und negativen Effekten der Patchverteilung minimieren.
Änderungsüberprüfung
Während Sie die Sicherheitspatches in Ihrer Umgebung ausbringen, müssen Sie überwachen, ob
die Patches auch erfolgreich angewendet wurden. Die nachfolgenden Abschnitte erläutern einige
der notwendigen Schritte auf dem Weg zur erfolgreichen Patchinstallation. Überlegungen für den
Stopp der Bereitstellung oder für die Deinstallation werden ebenfalls behandelt.
Bestätigung
Die nachfolgenden Aktionen werden Ihnen dabei helfen, die erfolgreiche Bereitstellung von
Patches in Ihrer Umgebung zu bestätigen:

Benutzen Sie Ihre Untersuchungsberichte zur Verwundbarkeit, um die
Bereitstellung der Software-Updates, die erkannt werden, zu überwachen.
Analysierende Scans Ihrer Umgebung nach der Bereitstellung bestätigen, dass
bestimmte Software-Updates nun vorhanden sind. Sie müssen bestimmen, wann ein
erneuter Veröffentlichungsverwaltungs-Prozess am besten durchgeführt werden soll.

Überwachen der Computergesundheit. Die beste Vorgehensweise ist, eine Gruppe
von Computern zu überwachen und nach Inkonsistenzen abzuklopfen, die negativen
Einfluss auf die Benutzer haben können. Beziehen Sie die Ereignisanzeige und das
Systemprotokoll in die Betrachtung über die erfolgreiche Patch-Bereitstellung mit ein.
Dort auftauchende Fehlermeldungen können einen Hinweis auf Probleme und deren
Lösung geben.

Überwachen Sie die Anrufe an der Hotline. Achten Sie auf neu auftretende Muster bei
den Benutzeranrufen. Allgemeine Beschwerden und Systemabstürze können durch den
Einsatz eines Sicherheitspatches hervorgerufen werden.
Wiederherstellung
Bei jeder Patch-Bereitstellung müssen Sie einen Wiederherstellungsplan aufstellen. Die
wichtigsten Hauptsschritte der Wiederherstellung und des erneuten Patcheinsatzes umfassen:

Anhalten der momentanen Bereitstellung. Identifizieren Sie alle notwendigen Schritte, die
für die Deaktivierung des Veröffentlichungsmechanismus in Ihrer Umgebung nötig sind.

Identifizieren und lösen Sie alle Probleme der Patch-Bereitstellung. Bestimmen Sie
weshalb die Patch-Bereitstellung fehlschlägt. Die Reihenfolge, wie die Patches
angewendet werden, der benutzte Veröffentlichungsmechanismus und die Makel in
einem Patch selbst sind mögliche Gründe für den Fehlschlag.

Deinstallieren Sie Patches, falls notwendig. Patches, die Instabilitäten in Ihrer
Produktivumgebung hervorrufen, sollten - falls möglich - entfernt werden.

Reaktivieren Sie den Veröffentlichungsmechanismus. Nach der Lösung der
Probleme reaktivieren Sie den entsprechenden Veröffentlichungsmechanismus, damit
die Patches erneut angewendet werden.
Aufgrund der verschiedenen im Einsatz befindlichen Installer-Technologien für die
Patchinstallation können nicht alle Sicherheitspatches deinstalliert werden. Security Bulletins
werden immer die Information enthalten, ob ein Patch deinstalliert werden kann oder nicht. Weil
es nicht immer möglich ist die Computer auf einen früheren Stand zurückzubringen, beachten Sie
vorher die Details, wenn Sie ein Patch, das nicht deinstalliert werden kann, installieren.
Sollte eine einfache Deinstallation für das Sicherheitspatch nicht zur Verfügung stehen, stellen
Sie sicher, dass eine Übergangslösung vorhanden ist. Nur für den Fall, dass Patch-Bereitstellung
zum Computerausfall führt. Denkbare Lösungen sind Ersatzcomputer oder eine Datensicherung,
die schnell zurückgespielt werden kann.
Überprüfung nach der Implementierung
Die Überprüfung nach der Implementierung sollte typischerweise innerhalb von einer bis vier
Wochen nach der Bereitstellung durchgeführt werden. Dabei sollte auch nach möglichen
Verbesserungen in der Sicherheitspatch-Verwaltung gesucht werden. Die typische Agenda für
die Überprüfung beinhaltet:

Diskussion über die geplanten und die aktuellen Ergebnisse.

Diskussion der Risiken, die mit der Veröffentlichung in Zusammenhang stehen.

Diskussion über die gemachten Erfahrungen.
Nach der Überprüfung gibt es verschiedene mögliche Nachfolgeschritte, wie zum Beispiel
notwendige Änderungen und eine Verteilung von Erfahrungsbereichten an alle Beteiligten.
Techniken der Sicherheitsveröffentlichungen
Zusammenfassung
Liste der Sicherheitsveröffentlichungstechniken
WU
SUS
SMS
Techniken zur Veröffentlichungsverwaltung
Phasenbasierte Bereitstellung mit SUS
Phasenbasierte Bereitstellung mit SMS
Techniken für die Änderungsüberprüfung
Ja
Ja
Bestätigung der SUS- und WU-Bereitstellung
Ja
Bestätigung der SMS-Bereitstellung
Ja
Techniken zur Veröffentlichungsverwaltung
Die nachstehenden Techniken werden Ihnen bei der Implementierung einer schrittweisen
Einführung der Software-Updates helfen.
Phasenbasierte Bereitstellung mit SUS
Umgebung
SUS
Zweck
Um die Veröffentlichung von Patches kontrollieren zu können, führen Sie diese in
Teilbereichen Ihrer Umgebung schrittweise ein.
Voraussetzungen
Eine SUS-Infrastruktur, die aus mehreren Servern besteht.
Einsatzbereich
Diese Technik kann in jede Art von Umgebung eingesetzt werden.
Sollte Ihre SUS-Umgebung aus mehreren Servern bestehen, können Sie einen schrittweisen
Rollout durchführen. Dabei werden die verschiedenen SUS-Server nach und nach zum Einsatz
kommen. Führen Sie das genehmigte Update zuerst vom übergeordneten SUS-Server aus.
Nachdem die Clients des Servers erfolgreich geupdatet wurden, können Sie die genehmigte Liste
an die untergeordneten SUS-Server übertragen. Damit leiten Sie die nächste Phase des Rollouts
ein. Sie können zum Beispiel alle Windows XP Clients in Hamburg aktualisieren. Nach
erfolgreichem Ablauf werden dann alle Clients in Leipzig aktualisiert. In diesem Beispiel ist der
SUS-Server in Leipzig ein untergeordneter Server des Hamburger SUS-Servers. Aufgrund der
genehmigten Updates des Hamburger SUS-Servers werden die Clients beginnen das Patch
herunterzuladen und zu installieren. Nachdem die Bereitstellung in Hamburg fertig ist und keine
negativen Auswirkungen auf die Produktivumgebung festzustellen sind, können Sie den Leipziger
SUS-Server zur Synchronisation seiner Freigabeliste mit dem Hamburger SUS-Server
auffordern. Sobald die Freigabeliste erfolgreich abgeglichen wurde, werden alle Clients, die durch
den Leipziger Server versorgt werden, sich updaten.
Standardmäßig sind die SUS-Server so eingestellt, dass sie sich direkt mit dem Microsoft
Windows Update Servern synchronisieren. Somit müssen auf jedem Server die Updates
genehmigt werden. Damit der administrative Aufwand bei dieser schrittweisen Einführung
vermindert werden kann, können Sie SUS-Server-Beziehungen definieren, die angemessene
Update-Genehmigungen Ihrer Umgebung gewährleisten. Mehr Informationen finden Sie in dem
Software Update Services (SUS) Whitepaper: Synchronizing Content With Another Server unter
http://www.microsoft.com/windows2000/windowsupdate/sus/susdeployment.asp
(englischsprachig).
Anmerkung: Eine andere Technik der phasenbasierten Bereitstellung beinhaltet den
Installationszeitplan des Automatische-Updates-Clients, der für die einzelnen
Clientgruppen unterschiedlich eingestellt sein kann.
Phasenbasierte Bereitstellung mit SMS
Umgebung
SMS
Zweck
Um die Veröffentlichung von Patches kontrollieren zu können, führen Sie diese in
Teilbereichen Ihrer Umgebung schrittweise ein.
Voraussetzungen
Eine funktionierende SMS-Hierarchie.
Einsatzbereich
Diese Technik kann in jeder Art von Umgebung eingesetzt werden.
In Abhängigkeit der Größe Ihrer SMS-Hierarchie können Sie Sammlungen basierend auf
bekannten Subnetzen einrichten. So können Sie Software auf einen Teil der Computer verteilen.
Diese schrittweise Vorgehensweise erlaubt eine bessere Überprüfung der Verteilung. Wenn Sie
eine phasenbasierte Bereitstellung einsetzen wollen, gehen Sie so vor:

Wird pro Subnetz verteilt? Nach Betriebssystem? Sortiert nach Microsoft Active Directory®
Standort- oder Containereinteilung? Nach Abteilung?

Erstellen Sie Sammlungen basierend auf den SMS-Abfragen, die SMS-Verwaltete Clients
sortieren. Sie können beispielsweise SMS-Sammlungen erstellen, die nach Servern,
Arbeitsstationen in Organisationseinheiten, SMS-Standorten oder Active Directory
Standorten sortiert werden.

Erstellen Sie ein Paket.

Erstellen Sie eine Ankündigung.

Ordnen Sie die Ankündigung der ersten Sammlung zu. Nachdem die Bereitstellung in der
ersten Gruppe erfolgreich verlief, ordnen Sie es der zweiten Sammlung zu. Wiederholen Sie
den Schritt mit weiteren Sammlungen.
Techniken der Änderungsüberprüfung
Nachfolgende Techniken werden Ihnen dabei helfen, den Fortschritt und die Wiederherstellung
einer Software-Update Bereitstellung zu überwachen.
Bestätigung der SUS- und WU-Bereitstellung
Umgebung
WU, SUS
Zweck
Bestimmung, ob die Computer Ihrer Umgebung Patches mittels SUS oder WU
erfolgreich angewendet haben.
Voraussetzungen
MBSA-Verwundbarkeitsscans müssen eingerichtet sein, wie in Teil II, Kapitel 2,
Einrichtung beschrieben.
Einsatzbereich
Überprüfen Sie in großen Umgebungen nur die Ereignisanzeige der kritischen
Computer.
Analyse der Verwundbarkeitsscans, der Ereignisanzeige und der Registrierung
Die folgenden Schritte werden Ihnen dabei helfen die erfolgreiche Bereitstellung der SoftwareUpdates zu bestätigen:

Verwenden Sie MBSA zur Überprüfung der Bereitstellung aller Software-Updates,
die erkannt werden können. Führen Sie einen MBSA-Scan Ihrer Umgebung nach der
Patch-Bereitstellung durch, damit der MBSA-Bericht diesen Patch nicht mehr als fehlend
anzeigt. Überlegen Sie, wie Updates auf Computern eingespielt werden für den Fall,
dass Patches nicht wie erwartet auf Computern angewendet werden. In vielen Fällen
können Sie darauf warten, bis sich die Computer wieder mit dem SUS-Server
synchronisieren. Ist ein Patch allerdings sicherheitskritisch, oder muss es aus anderen
Gründen sofort angewendet werden, sollten Sie zu drastischeren Maßnahmen greifen.

Überprüfen Sie die Registrierung des Computers. Viele Software-Updates schreiben
ihre Informationen an folgende Stelle in die Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates
Die Update-Information wird nach Produkt angeordnet und schließt mit ein, wer das
Update installiert hat, sowie die Installationszeit und Deinstallationskommandos (falls
anwendbar).

Überprüfen Sie die Ereignisanzeige auf Automatische-Updates-Clients (AUClients), die mit SUS Fehlern zusammenhängen. Die Gesamtliste der möglichen
Ereignisse für den AU-Client finden Sie unter
http://www.microsoft.com/windows2000/windowsupdate/sus/susdeployment.asp
(englischsprachig).

Sehen Sie die IIS-Server-Protokolldateien auf dem SUS-Server durch. Überprüfen
Sie die HTTP-Meldungen (z.B. "HTTP 404 – File not Found") für jeden Eintrag, damit
Downloadfehler erkannt werden.

Suchen Sie auf kritischen Computern in der Datei "Windows update.log" nach
Fehlern. Diese Datei enthält die Aufzeichnung aller Aktionen, die durch den AU-Client
ausgeführt wurden. Die Datei finden Sie im Basissystemordner auf jedem Client (z.B.
C:\Windows).

Bestätigen Sie den Status des AU-Clients in der Registrierung. Der AUState-Wert
zeigt, ob die Installation eines Patches immer noch unerledigt ist. Der Registrierungswert
ist unter diesem Pfad abgelegt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpd
ate\Auto Update
Der Wert für den AUState muss auf 2 gesetzt werden, damit ein Client nach neuen
genehmigten Updates Ausschau hält. Ist der AUState auf 5 gesetzt, wird der Client die
ausstehenden Installationen heruntergeladener Updates durchführen und keine neue
Erkennung durchführen, bis die Updates alle installiert sind. Der Client wird dann diesen
AUState nach der kompletten Installation auf 2 zurücksetzen.

Achten Sie auf Systeminstabilitäten. Eine gute Möglichkeit der Überprüfung ist danach
zu schauen, ob Systemausfälle auftreten. Auch die gemeldeten Probleme an der Hotline
sollten Sie im Auge behalten, da auch allgemeine Probleme mit der Installation eines
Patches in Verbindung stehen können.

Überprüfung der Deinstallationsordner. Die Deinstallationsinformation vieler Patches
wird in einem versteckten Ordner unterhalb des Systemordners abgelegt (z.B.
C:\Windows\$NtUninstallQ331320$). Die Anwesenheit eines solchen Ordners ist ein
guter Indikator dafür, dass ein Patch installiert wurde.
IIS-Berichte konfigurieren
Automatische-Updates-Clients (AU-Clients) können so eingerichtet werden, dass sie
Statusinformationen an den SUS-Server oder einen IIS 5.0 Server mit angeschalteter
Protokollierung zurückgeben. Die AU-Client-Statusinformation werden in den Rohdaten der
Protokolldateien abgelegt. Wie die Informationen interpretiert werden können, und wie Sie die IISProtokollierung optimal für die AU-Clients einrichten sehen Sie unter
http://www.microsoft.com/windows2000/windowsupdate/sus/susdeployment.asp
(englischsprachig).
Der AU-Client berichtet seinen Status beim angegebenen Server in diesen Fällen:

Bei Updates oder ausstehenden Updates

Nach Updates

Bei der Erkennung

Nach der Erkennung

Nach dem Herunterladen

Nach der Installation
Die Durchsicht der Protokolldateien ermöglicht Ihnen eine akkurate und effiziente Überwachung
der Installation eines Sicherheitspatches in Ihrer Umgebung.
Anmerkung: SUSserver.com stellt ein Werkzeug zur Erstellung von Berichten zur
Verfügung, mit dem Sie einen Bericht basierend auf den IIS-Protokolldateien des SUSServers erstellen können. Mehr Informationen erhalten Sie unter:
http://www.susserver.com/Software/SUSreporting/ (englischsprachig). SUSserver.com ist
nicht an Microsoft angegliedert bzw. wird nicht von Microsoft unterstützt.
Deinstallation eines Updates
Sollten Sie ein Sicherheitspatch deinstallieren wollen, so können Sie das häufig über die
Systemsteuerung entfernen. Die Deinstallation eines Patches ist eine einfache Aufgabe in den
meisten Umgebungen. Es ist ferner häufig möglich ein Patch durch das
Deinstallationskommando zu entfernen. Der Aufruf könnte zum Beispiel so aussehen:
C:\WINNT\$NtUninstallQ331953$\spuninst\spuninst.exe
Die Deinstallationskommandos können Sie natürlich auch in einem Loginskript oder Startskript für
Computer in einer Gruppenrichtlinie des Active Directorys einsetzen.
Anmerkung: Dieses spezielle Kommando wird das Patch, dass mit dem Security Bulletin
MS03-010 verbunden ist, deinstallieren. Die Knowledge Base Artikelnummer, welche die
speziellen Informationen enthält, findet sich auch im Namen des Deinstallationsordners.
Das vorhergehende Beispiel bezieht sich somit auf den KB-Artikel 331953.
Bestätigung der SMS-Bereitstellung
Umgebung
SMS
Zweck
Bestimmung, ob die Computer Ihrer Umgebung Patches mittels SMS erfolgreich
angewendet haben.
Voraussetzungen
Funktionierende Softwareverteilung. Installiertes Web Reporting Tool auf einem IISServer.
Einsatzbereich
Diese Technik kann in jeder Art von Umgebung eingesetzt werden. Der Systems
Management Server bietet die nachfolgenden Methoden für die Erfolgs- bzw.
Fehlerüberprüfung der Patch-Bereitstellung.
Der Systems Management Server bietet die nachfolgenden Methoden für die Erfolgs- bzw.
Fehlerüberprüfung der Patch-Bereitstellung:

Ankündigungsstatus in der SMS-Administrationskonsole

Berichterstattung

Statusanzeige für Ankündigungen

SMS-Protokolldateien
SMS-Administrationskonsole Ankündigungsstatus
In der SMS-Administratorkonsole beinhaltet der Ankündigungsstatus eine
Statuszusammenfassung für jede Ankündigung, die durch den SMS-Server verteilt wurde.
Zusätzlich gibt es eine Zusammenfassung der Ankündigungsstatistiken über alle Standorte der
Hierarchie. Diese Informationen erlaubt ihnen den Patch-Bereitstellungsprozess zu überwachen.
Der Status schließt verschiedene Konsolenpunkte ein, die den Status der Softwareverteilung
anzeigen:

Zusammenfassung des Paketstatus

Zusammenfassung des Ankündigungsstatus

Detaillierte Paketinformationen

Detaillierte Ankündigungsinformationen
Web Reporting Tool
Das Microsoft Web Reporting Tool wird mit dem SUS Feature Pack für SMS-Server ausgeliefert.
Installiert als eine IIS Website, ermöglicht das Web Reporting Tool eine webbasierte, grafische
Ansicht der SMS-Daten. Sie können sich die Berichte zum Software-Update des Web Reporting
Tools dann direkt ansehen. Zu finden sind die Berichte innerhalb des Web Reporting Tools im
Untermenü Software Updates. Sie können dabei auf mehrere vorgefertigte Berichte zugreifen.
Zusätzlich dazu ist es auch möglich SQL-Server-Ansichten zu benutzen, um benutzerdefinierte
Berichte anzufertigen. Mehr Informationen über das Web Reporting Tool finden Sie im Internet im
Microsoft WebCast Microsoft Systems Management Server Reporting using the SMS Web
Reporting Tool unter http://support.microsoft.com/?kbid=325071 (englischsprachig).
Ankündigungs-Statusanzeige
Sie können die Ankündigungs-Statusanzeige verwenden um einen umfassenden
Statusbericht einer Ankündigung auf einem SMS-Client oder in einer Sammlung
zu erhalten.
Die Ankündigungs-Statusanzeige:

Zeigt den Status einer angegebenen Ankündigung auf allen Clients an, die diese erhalten
sollten.

Zeigt auf, welche Clients die Ankündigung noch nicht erhalten haben. (Beachten Sie
dabei, dass es schwierig ist einzuschätzen, ob die Clients die Ankündigung erhalten
haben, da der Client die Statusmeldung erst senden muss).

Zeigt Statistiken, wie zum Beispiel der prozentuale Anteil der Clients, die erfolgreich eine
Ankündigung angewendet haben. Es sind auch noch andere Statistiken verfügbar.

Verarbeitet Situationen, in denen die Ankündigung an Sammlungen und alle UnterSammlungen verschickt werden soll. In diesem Fall werden rekursive Abfragen
eingesetzt, um die Gesamtzahl der Clients in einer Sammlung zu bestimmen.

Für eine angegebene Sammlung werden die Statusinformationen aller Ankündigungen,
die die Computer erhalten sollen, angezeigt. Der Status ist nicht beschränkt auf die
Ankündigungen der Sammlung, sondern umfasst auch die Ankündigungen, die für jede
Sammlung, zu denen diese Clients gehören, erstellt wurde.

Zeigt die Rohdaten als Text, die von den Statusmeldungen erzeugt werden. Ferner wird
der Text aller WMI-Klassen, die mit der Statusmeldung in Verbindung stehen, angezeigt.

Sie können den Status ausdrucken und speichern.

Der Status kann in andere Anwendungen kopiert werden.
Die Ankündigungs-Statusanzeige ist Teil des Systems Management Server 2.0 Servicepack
Support Tools: http://www.microsoft.com/smserver/downloads/20/tools/spsupport
(englischsprachig).
SMS-Protokolldateien
Zusätzlich zum Durchsehen der Informationen der Standortdienste können Sie sowohl auf dem
Client als auch auf dem Server die Protokolldateien durchforsten. Beide Informationsquellen
stellen eine umfassende Möglichkeit dar, auftretende Probleme zu verstehen.
Mehr Informationen über den SMS-Server und die Clientprotokolldateien finden Sie in der SMSServer Produktdokumentation unter
http://www.microsoft.com/technet/prodtechnol/sms/proddocs/smsadm/appendixes/smsadad.asp
(englischsprachig).
Anmerkung: Die Standardgröße der SMS-Client Protokolldateien ist 100 KB. Wenn Sie
die Protokolldatei vergrößern wollen, ändern Sie den Registrierungsschlüssel unter
HKEY_LOCAL_MACHINE\Software\Microsoft\SMS\Client\Configuration\Client Properties
Schlüsselname: Log File Size for Debugging
Datentyp: DWORD
Wert: 400 (hexadezimal) für die Maximalgröße (1MB) der Protokolldatei
Der SMS-Client Agent Angekündigte Programme verwendet Statusnachrichten mit den Nummern
von 10000 bis 10021. Sie können diese Statusnachrichtennummern dazu verwenden den
Softwareverteilungsprozess zu überwachen. Sie können auch Ihre eigenen Statusabfragen
erstellen. Die mitgelieferten Statusabfragen des SMS-Servers basieren auf diesen NachrichtenIDs.
Die vollständige Liste der SMS-Statusnachrichten finden Sie unter
http://www.microsoft.com/technet/prodtechnol/sms/reskit/sms2res/part8/smc26.asp
(englischsprachig).
Wiederherstellen einer SMS-Bereitstellung
Wiederherstellen einer SMS-Server Bereitstellung
1. Stoppen Sie die Bereitstellung des aktiven Pakets.
2. Identifizieren und lösen Sie die Probleme.
3. Deinstallieren Sie das Update.
4. Das Paket erneut bereitstellen.
Schlägt die Bereitstellung fehl, müssen Sie einen Plan zum Stoppen des Rollouts haben.
Deinstallieren Sie die fehlgeschlagenen Updates und stellen sie diese erneut bereit. Der SMSServer stellt diese Möglichkeiten durch seine Methoden zur Verfügung:
Stopp der Bereitstellung eines aktiven Pakets
In der SMS-Administratorkonsole unter Pakete wählen Sie das Programm aus, das sie zeitweise
stoppen wollen. Auf der Registerkarte Erweitert wählen Sie die Option Programm auf Computern
für die es angekündigt ist deaktivieren. Dies wird die Ankündigung auch stoppen, wenn es sich
um eine verpflichtende oder mit Zeitplan versehene Ankündigung handelt.
Paket neu ankündigen
Sie können das gleiche Paket erneut versenden, indem Sie die Ankündigung nochmals auf den
Zeitplan setzen. Diese Vorgehensweise wird die Clients zwingen das Paket erneut anzuwenden,
auch wenn der Client dies bereits zuvor angewendet hat. Haben Sie eine Ankündigung gelöscht,
und müssen Sie ein Paket erneut übertragen, erstellen Sie eine neue Ankündigung und lassen
diese zeitlich zweimal ausführen. Die erste Ausführung sollte fehlschlagen, da der Client die
Paket-ID vergleicht. Im zweiten Durchlauf der Ankündigung erkennt der Client, dass die Paket-ID
neuer ist und wird das Paket anwenden.
Sie können die gleiche Ankündigung immer und immer wieder anwenden, wenn Sie einen
weiteren Zeitplan für die Anwendung der Ankündigung erstellen. Gerade für den Einsatz in einer
Testumgebung ist dieses Vorgehen eine gute Lösung, damit ein Paket erneut verschickt wird.
Somit können Patches erst umfangreich getestet werden, bevor sie in der Produktivumgebung
eingesetzt werden.
Deinstallierung eines Updates
Einige der Updates von Microsoft stellen eine Möglichkeit zur Deinstallation zur Verfügung,
andere nicht. Mit Hilfe der Informationen aus dem Security Bulletin können Sie bestimmen, auf
welche Updates was zutrifft. Um eine Deinstallation mittels SMS-Server durchzuführen, müssen
Sie nun das Deinstallationskommando kennen. Dieses wird generell in der Registrierung
abgelegt und kann durch ein SMS-Paket auch von dort ausgelesen und ausgeführt werden. Die
Verteilung des Paketes gestaltet sich genau so, wie die Verteilung von Software-Updates. Der
SMS-Server beinhaltet ein Programm namens SMS Installer. Mit diesem Programm können Sie
Pakete erstellen. Jedes Update verwendet ein eigenes Deinstallationskommando, das mit der
Knowledge Base Artikelnummer zusammenhängt. Als Beispiel für den Artikel 331953 könnte
dieses Kommando zum Einsatz kommen:
C:\WINNT\$NtUninstallQ331953$\spuninst\spuninst.exe
Die Verwendung des SMS Installers, um die Informationen zu erhalten und das
Deinstallationskommando aufzurufen ist relativ einfach. Das SMS-Installer-Skript „Script.ipfan“
aus dem Werkzeuge und Vorlagenordner zeigt wie der Prozess funktioniert. Mehr Informationen
über den SMS Installer finden Sie in der Bücherliste:
http://www.microsoft.com/smserver/techinfo/books (englischsprachig).
5 Sicherheitsrichtlinien durchsetzen
Zusammenfassung
Die Bereitstellung eines Sicherheitspatches eliminiert die mit einem Sicherheitsloch verbundenen
Risiken nicht. In vielen Organisationen gibt es eine dezentrale Administration (z. B.
unterschiedliche Gruppen mit administrativen Rechten oder Endbenutzer, die auf den eigenen
Computern administrative Rechte besitzen), keine oder nicht eingeschränkte
Installationsstandards für die Computer und nicht verwaltete Computer in der eigenen Umgebung
(z. B. Testcomputer oder „Server unterm Schreibtisch“).
Es mag für diese Arbeitsweisen gute geschäftliche Gründe geben, oder möglicherweise gibt es
auch keine ausreichende administrative Kontrolle. Auf jeden Fall ist die Kontrolle von
Sicherheitslücken eine wichtige Aufgabe, die in einem engen Zusammenhand mit der Verwaltung
der Sicherheitspatches steht, und in solchen Umgebungen werden auch nach der Bereitstellung
von Sicherheitspatches noch Sicherheitslücken auftreten. Zum Beispiel, wenn neue Computer
installiert werden oder Software installiert wird, wenn Konfigurationen geändert werden, oder weil
nicht verwaltete Computer von den Sicherheitspatches nicht erreicht werden. Wenn die
möglicherweise erneut auftretenden Sicherheitsprobleme nicht berücksichtigt werden, wird die
gesamte Verwaltung der Sicherheitspatches und die hierdurch entstehenden Kosten vollkommen
ineffektiv. Wiederkehrende Sicherheitslücken sind unter Umständen noch gefährlicher als bei
ihrem ersten Auftreten – das Risiko, dass bereits Verfahren zum Ausnutzen der Sicherheitslücke
und entsprechende Angriffstools zur Verfügung stehen, ist deutlich größer.
Anmerkung: Weitere Informationen zur Handhabung von Sicherheitsproblemen durch
die Microsoft® Operations and TechnologyGroup finden Sie im Dokument Managing
Computer Vulnerabilities at Microsoft unter
http://www.microsoft.com/technet/itsolutions/msit/security/mscomvul.asp
(englischsprachig).
Sicherheitsrichtlinien – Sicherheitsstandards
Um eine Sicherheitsrichtlinie tatsächlich durchzusetzen, muss diese an die Menschen
kommuniziert werden, die von ihr betroffen sind. Eine effektive Sicherheitsrichtlinie sollte einen
minimalen Sicherheitsstandard für die Computer festlegen. Dieser sollte zum Beispiel folgendes
umfassen:

Installationsstandards, die die unterstützten Installationsverfahren beschreiben.

Netzwerk- und Domänenstandards, die beschreiben, welche Namen und TCP/IPEinstellungen verwendet werden und welchen Domänen die Computer beitreten können.

Sicherheitsoptionen und Richtlinieneinstellungen der Betriebssysteme, inklusive einer
Verringerung der offenen Ports auf Basis der erforderlichen Dienste.

Alle Standards, welche die Verwendung des verschlüsselten Dateisystems festlegen.

Die minimal erforderlichen Servicepacks und Sicherheitspatches. Aktualisiert bei jeder
Veröffentlichung von weiteren Patches und Servicepacks.

Anforderungen an Virenscanner.

Sicherheitseinstellungen von Anwendungen, zum Beispiel der Makroschutz und
Sicherheitszonen.

Standards für administrative Konten, zum Beispiel das Umbenennen oder Deaktivieren.

Starke Passwortrichtlinien.
Sicherheitsstandards können für die einzelnen Computerkategorien voneinander abweichen (zum
Beispiel Arbeitsstationen, Server und Notebooks). Sie sollten permanent weiterentwickelt werden.
Ihre Sicherheitsstandards und Software-Basisrichtlinien sollten in enger Beziehung stehen.
Ein Verstoß gegen eine Sicherheitsrichtlinie unterstellt eine Sicherheitslücke, die beseitigt werden
sollte. Dies könnte z. B. ein Computer sein, dem verschiedenste Softwareupdates fehlen oder der
falsch konfiguriert ist oder ein Benutzer, der keine sichereren Passwörter verwendet.
Die Sicherheitsrichtlinie sollte Verfahren enthalten, die bei Verstößen angewandt werden können.
Über diese soll dann ermittelt werden, wie schwerwiegend der Vorfall ist.
Anmerkung: Der Microsoft Baseline Security Analyzer (MBSA) sucht nach fehlenden
Sicherheitsupdates und häufigen Fehlkonfigurationen im Bezug auf Sicherheit. Er prüft
nicht, ob alle Elemente der Organisations-Sicherheitsrichtlinie eingehalten werden.
Basierend auf Ihrer Sicherheitsrichtlinie können Sie den Sicherheitsbericht des MBSA um
Sicherheitsberichte durch Scripts und andere Werkzeuge erweitern.
Nachdem die Sicherheitsrichtlinie eingerichtet ist, setzen Sie die im folgenden Abschnitt
beschriebenen Strategien um. Diese beschreiben, wie Sie Sicherheitslücken und -verletzungen
über unterschiedliche Eskalationsstufen erkennen und handhaben.
Strategien zur Durchsetzung
Eine Sicherheitslücke, wie zum Beispiel ein schwaches Passwort oder ein Computer ohne einen
bestimmten Sicherheitspatch, sollte vom Administrationsteam als Standardaufgabe behandelt
werden.
Das Durchsetzen einer Sicherheitsrichtlinie kann durch eine verteilte Administration und eine
nicht zentral verwaltete Umgebung erschwert werden. Die Person oder die Gruppe, die für die
Administration und die Beseitigung von Sicherheitsproblemen zuständig ist, könnte unbekannt
oder nicht auffindbar sein. Sie könnte in einer anderen Abteilung sitzen oder nicht über die
benötigten Fähigkeiten verfügen.
Daher gibt es zur Durchsetzung von Sicherheitsrichtlinien einige notwendige und hilfreiche
Verfahren:

Sicherheitsrichtlinien und Zeitpläne zu deren Umsetzung sollten abteilungsübergreifend von
den Führungskräften unterstützt werden.

Für bestimmte Servicetechniker sollten Techniken und Werkzeuge zur Verfügung stehen, um
den Besitzer und Administrator von nicht verwalteten Computern festzustellen.

Servicetechniker sollten darin geschult werden, Verletzungen der Sicherheitsrichtlinien zu
beheben. So sind diese in der Lage, andere Benutzer bei solchen Problemen zu
unterstützen.
Anmerkung: Im TechNet-Scriptcenter stehen verschiedenste Scripts bereit, die Ihnen
helfen Informationen über einen Computer über das Netzwerk zu erlangen:

Systeminformationen abfragen:
http://www.microsoft.com/technet/scriptcenter/compmgmt/scrcm42.asp (englischsprachig).

Betriebssystemeigenschaften abfragen:
http://www.microsoft.com/technet/scriptcenter/compmgmt/scrcm40.asp (englischsprachig).

Den am Computer angemeldeten Benutzer herausfinden:
http://www.microsoft.com/technet/scriptcenter/user/scrug59.asp (englischsprachig).

Eigenschaften eines lokalen Benutzerkontos abfragen:
http://www.microsoft.com/technet/scriptcenter/user/scrug116.asp (englischsprachig).
Wenn Sie keinen administrativen Zugriff auf einen Computer haben, werden die
Informationen, die Sie abfragen können, deutlich eingeschränkt. Es gibt jedoch
Werkzeuge zum Scannen von Ports und andere Sicherheitswerkzeuge, die Ihnen auch
dann noch nützlich sein können. Weitere Informationen finden Sie in Teil I, Appendix A,
Third-Party Tools and Resources.
Zeitpläne
Die Sicherheitsrichtlinie definiert, welche Sicherheitslücken in der Umgebung vermieden werden
sollen. Sie beschreibt außerdem den Umsetzungsplan und die entsprechenden Zeitpläne.
Anhand der Eigenarten eines jeden Sicherheitsproblems, zum Beispiel dem Risiko der
Ausnutzung und den Kosten der Wiederherstellung, müssen Sie festlegen, wie aggressiv die
Reaktion sein sollte. Einige Sicherheitsprobleme sollten innerhalb von 24 bis 48 Stunden
behoben werden. Andere können möglicherweise ein bis zwei Wochen weiter bestehen. Wenn
das Sicherheitsproblem durch ein Software-Update behoben wird, können Sie zwei
unterschiedliche Ansätze verwenden:

Sie fordern den Verantwortlichen dazu auf, die Windows Update-Webseite von Microsoft
oder eine entsprechende interne Webseite zu besuchen. Dort kann diese dann die
entsprechenden Updates installieren.

Sie führe die Softwareupdates über Ihre Infrastruktur zu Patchverteilung durch.
Wenn das Sicherheitsproblem innerhalb des festgelegten Zeitraums nicht beseitig werden kann,
könnten weitere, aggressivere Verfahren einsetzen:

Das Problem innerhalb der Organisation des Verursachers eskalieren.

Das Konto deaktivieren, das zum Zugriff verwendet wird.

Den Computer physikalisch von Netzwerk trennen.
Die letzten beiden Verfahren führen meist zu einem Anruf beim Helpdesk. Dort kann das
Sicherheitsproblem dann behoben werden. Stellen Sie vor den letztgenannten Aktionen sicher,
dass Sie über die Rückendeckung von Vorgesetzten verfügen.
Anmerkung: Im TechNet Script-Center stehen Scripts zur Deaktivierung und Aktivierung
von Benutzerkonten zur Verfügung: http://www.microsoft.com/technet/scriptcenter
(englischsprachig).

Deaktivieren eines Benutzerkontos:
http://www.microsoft.com/technet/scriptcenter/user/scrug20.asp (englischsprachig).

Aktivieren eines Benutzerkontos:
http://www.microsoft.com/technet/scriptcenter/user/scrug25.asp (englischsprachig).
Ein Einführung in das Arbeiten mit Scripts finden Sie unter
http://support.microsoft.com/default.aspx?kbid=325946 (englischsprachig).
6 Reaktion auf sicherheitsrelevante Notfälle
Zusammenfassung
Auch mit den besten Patch-Verwaltungsverfahren kann Ihre Umgebung erfolgreich angegriffen
werden. Anwendungs- und Software-Updates schließen nicht alle Sicherheitslücken. Eine
Software-Sicherheitslücke könnte außerdem ausgenutzt werden, bevor ein Software-Update
verfügbar ist oder bevor die Sicherheitslücke öffentlich bekannt wird. Eine erneut auftretende
Sicherheitslücke könnte ausgenutzt werden, bevor diese geschlossen werden kann.
Sie benötigen auf jeden Fall entsprechende Notfallverfahren; Sie sollten einen NotfallReaktionsplan definieren. In diesem Kapitel werden die Kernpunkte für eine Vorbereitung auf
einen Notfall und Ideen für einen Notfall-Reaktionsplan beschrieben. Es beschreibt Maßnahmen
und Ideen, mit denen die Auswirkungen eingeschränkt werden und über die Sie in einer NotfallSituation die Kontrolle zurück erlangen.
Vorbereitungen für den Notfall – Planen von Alternativen
Bei der Vorbereitung eines Notfall-Reaktionsvorfalls gibt es drei Hauptbereiche:

Regelmäßige Überwachung, Werkzeuge zur Einbruchserkennung und entsprechende
Verfahren.

Ein eindeutiges Notfall-Reaktionsteam mit einem formellen Notfall-Reaktionsplan, inklusive
Techniken zur Isolierung und Eindämmung, die schnell für die gesamte Umgebung
durchgesetzt werden können.

Aktionen noch dem Sicherheitsvorfall und ein Nachbetrachtungsverfahren, um aus dem
Angriff zu lernen.
Die folgenden Angriffsarten sollten berücksichtigt werden:

Virus- oder Wurm-Angriffe.

DDOS-Angriffe (Distributed Denial of Service).

Nicht autorisierten Netzwerkzugriff.

Missbrauch des internen Netzwerks.
Einige weitere Verfahren, von denen Sie in der Vorbereitung auf Angriffe profitieren könnten, sind
zum Beispiel:

Pflegen Sie sichere Betriebssystem-Images, die schnell wiederhergestellt werden können.

Stellen Sie sicher, dass Ihre Organisation mit allen Techniken vertraut ist, die während eines
Angriffs erforderlich sein könnten.

Stellen Sie sicher, dass Ihre Endbenutzer mit den Sicherheitsrichtlinien vertraut sind und
diese auch einhalten.

Pflegen Sie eine priorisierte Liste aller Einrichtungen und Ressourcen, die bei einem Notfall
zuerst geschützt werden sollten.

Gehen Sie nach den in diesem Handbuch empfohlenen Verfahren zur Verwaltung von
Sicherheitspatches vor. Abonnieren Sie Sicherheits-Benachrichtigungsdienste, und scannen
Sie regelmäßig nach Sicherheitslücken. Dies wird in Teil II, Kapitel 2, Einrichtung
besprochen.

Etablieren und Pflegen Sie für alle Systeme Notfall-Wiederherstellungsinformationen.
Berücksichtigen Sie für kritische Systeme Failover-Möglichkeiten (möglichst an einem
anderen Standort) und Verfahren.

Hinterlegen Sie alle Software-Updates auf CD. Diese können Sie auch dann noch
verwenden, wenn der Internetzugang betroffen ist.
Anmerkung: Microsoft® Windows® Update bietet Ihnen einen Software-Update-Katalog
der heruntergeladen werden kann. Hierzu klicken Sie auf Start, Alle Programme und
Windows Update. Auf der Windows-Update-Webseite klicken Sie dann auf Windows
Update anpassen und aktivieren das Kontrollkästchen Verknüpfung für UpdateKatalog unter Siehe auch anzeigen.
Windows Update:
http://www.windowsupdate.com (englischsprachig).
Office Update und das Office Download Center für Office-Software-Updates:
http://office.microsoft.com/downloads/ (englischsprachig).
Angriffe durch starke Sicherheitskonfigurationen vermeiden
Zusätzlich zur Verwaltung der Sicherheitspatches gibt es mehrere Verfahren, die Ihnen bei der
Vermeidung von Angriffen helfen können. Sie können zum Beispiel die Standardkonten und gruppen umbenennen, da diese häufig angegriffen werden. Zur Sicherheit im Zusammenhang mit
Microsoft Produkten gibt es eine Vielzahl von Ressourcen:
Absichern von Windows 2000 Server:
http://go.microsoft.com/fwlink/?LinkId=14837 (englischsprachig).
Windows Server 2003 Security Guide:
http://go.microsoft.com/fwlink/?LinkId=14845 (englischsprachig).
Windows XP-Sicherheitshandbuch:
http://go.microsoft.com/fwlink/?LinkId=14839 (englischsprachig).
Bedrohungen und Gegenmaßnahmen: Sicherheitseinstellungen unter Windows Server 2003 und
Windows XP:
http://go.microsoft.com/fwlink/?LinkId=15159 (englischsprachig).
Sicherheitsoperationen für Exchange 2000 Server:
http://www.microsoft.com/technet/security/prodtech/mailexch/opsguide (englischsprachig).
Absichern von Wireless LANs:
http://go.microsoft.com/fwlink/?LinkId=14843 (englischsprachig).
Der Microsoft Internet Security and Acceleration (ISA) Server, eine multilayer UnternehmensFirewall und ein Webcache können dazu beitragen, das Netzwerk vor Viren und Würmer zu
schützen.
Weitere Informationen zu präventiven Maßnahmen finden Sie unter
http://www.microsoft.com/isaserver/techinfo/prevent (englischsprachig).
Einbruchserkennung
Einige Angriffe sind einfach zu erkennen – die E-Mail-Viren Melissa und Anna Kournikova zeigen
ihr Vorhandensein zum Beispiel deutlich an, und Code Red zeigt sich auf dem Webserver.
Andere Angriffe, wie zum Beispiel durch SQL-Slammer, zeigen keine deutlichen Anzeichen außer
einem erhöhten Netzwerkverkehr.
Es gibt im Internet eine Menge Quellen, die Ihnen bei der frühzeitigen Erkennung von
ungewöhnlichen Aktivitäten helfen:

CERT Current Activity (Bietet außerdem Checklisten und Anweisungen für Notfallverfahren):
http://www.cert.org/current/ (englischsprachig).

Internet Storm Center:
http://isc.incidents.org (englischsprachig).

Computer Incident Advisory Capability (CIAC):
http://www.ciac.org/ciac/ (englischsprachig).
Netzwerküberwachung
Damit eine Einbruchserkennung möglich ist, benötigen Sie eine Kombination von Werkzeugen
und Verfahren. Sie können zum Beispiel während der normalen Netzwerküberwachung auf die
folgenden Aktivitäten achten:

Plötzliche Steigerung des Gesamtverkehrs: Mehr Netzwerkverkehr kann durchaus normal
sein. Zum Beispiel wenn Ihre Webseite auf einer populären Nachrichtenseite erwähnt wird.
Er könnte jedoch auch ein Zeichen für ein Problem sein. Legen Sie einen Basiswert für den
Verkehr der Firewall und der Router fest. Prüfen Sie dann regelmäßig, ob diese Basiswerte
überschritten werden.

Plötzliches gehäuftes Auftreten von fehlerhaften Paketen: Einige Router sammeln
Statistiken über die gerouteten Pakete. Außerdem können Sie Netzwerkscanner zur
Erkennung von solchen Pakten verwenden.

Eine große Zahl von Paketen wird von der Firewall oder vom Router ausgefiltert:
Firewalls filtern unter anderem gefälschte Pakete. Wenn eine große Zahl solcher Pakete
auftritt, kann dies ein Zeichen dafür sein, dass ein Rechner im Netzwerk kompromittiert
wurde.
Anmerkung: Mit dem Microsoft Systems Management Server (SMS) wird ein Tool
namens Netzwerkmonitor geliefert. Mit diesem können Sie den Netzwerkverkehr
überwachen. Unter Windows 2000 steht Ihnen eine eingeschränkte Version zur
Verfügung. Weitere Informationen zum Netzwerkmonitor finden Sie unter
http://support.microsoft.com/?kbid=812953 (englischsprachig) und im Dokument Häufig
gestellte Frage zum Netzwerkmonitor unter http://support.microsoft.com/?kbid=294818
(englischsprachig).
Auch ein ISA Server bietet mehrere Möglichkeiten, die Ihnen bei der Erkennung von
Einbrüchen und der Reaktion auf diese helfen. Weitere Informationen hierzu finden Sie
unter http://www.microsoft.com/isaserver/techinfo/planning/firewallsecuritywp.asp
(englischsprachig).
Überwachungskonfiguration
Es gibt mehrere Bereiche, die Sie auf Computern und in Domänen überwachen sollten:

Nicht autorisierte Dienste: Prüfen Sie, welche Dienste auf Servern und Workstations
ausgeführt werden. Stellen Sie sicher, dass nur notwendige Dienste ausgeführt werden.
Legen Sie für die auf den Computern ausgeführten Dienste eine Basiskonfiguration fest.
Prüfen Sie diese dann regelmäßig auf Veränderungen.

Versteckte Dateien oder neue Verzeichnisse: Prüfen Sie die versteckten Dateien in den
Ordnern C:\, C:\Winnt und C:\Winnt\System32.

Neue und unbekannte Benutzerkonten: Wenn neue Benutzerkonten auftauchen,
besonders wenn die Mitglieder in privilegierten Gruppen sind, kann dies auf einen
erfolgreichen Angriff hinweisen.
Anmerkung: Im TechNet Script-Center finden Sie einige Scripts, mit denen Sie die
Dienste, Ordern und Benutzerkonten über das Netzwerk abfragen können:
Dienste abfragen:
http://www.microsoft.com/technet/scriptcenter/services/ScrSvc04.asp (englischsprachig).
Ordner auflisten:
http://www.microsoft.com/technet/scriptcenter/filefolder/ScrFF25.asp (englischsprachig).
Benutzerkonten einer NT 4.0 Domäne auflisten:
http://www.microsoft.com/technet/ScriptCenter/user/ScrUG120.asp (englischsprachig).
Ereignisprotokolle überwachen
Ereignisprotokolle sind ebenfalls eine wertvolle Informationsquelle. Prüfen Sie die Protokolle auf
die folgenden Ereignisse:

Ungeplante Neustarts von Servern: Dies kann bedeuten, dass diese kompromittiert
wurden.

Ungeplante Neustarts von Serveranwendungen

Nicht erfolgreiche Dateizugriffe: Viele Angriffe versuchen auf das Dateisystem zuzugreifen.
Wenn erfolglose Zugriffe überwacht werden, können Sie so einen Angriff erkennen.
Anmerkung: Weitere Informationen zur Überwachung unter Windows finden Sie unter
http://support.microsoft.com/?kbid=300549 (englischsprachig). Die besten Verfahren für
eine Überwachung unter Windows 2000 finden Sie unter
http://www.microsoft.com/windows2000/en/server/help/sag_SEconceptsImpAudBP.htm?i
d=420 (englischsprachig).
Sie sollten die Protokollierungsrichtlinien regelmäßig prüfen. Protokolldateien können
möglicherweise zu klein sein. Sie sollten ein Verfahren einrichten, mit dem die Protokolldateien
regelmäßig gesichert werden – und zwar bevor Daten verloren gehen. Es gibt diverse Tools, die
Ihnen bei der Arbeit mit Protokolldateien helfen:

Log Parser 2.0: Mit diesem Werkzeug können Sie über SQL-ähnliche Abfragen
Informationen aus den unterschiedlichsten Dateiformation abfragen. Sie finden das Tool
unter http://www.microsoft.com/windows2000/downloads/tools/logparser (englischsprachig).

EventCombMT: Mit diesem Tool können Sie die Ereignisprotokolle auf mehren Servern
gleichzeitig durchsuchen. Es ist im Windows Server 2003 Resource Kit enthalten. Sie finden
das Windows Server 2003 Resource Kit unter http://go.microsoft.com/fwlink/?LinkId=4544
(englischsprachig).

Kommandozeilen-Tools: Für Windows XP und Windows Server 2003 stehen Ihnen Tools
wie EventQuery.vbs und EventTriggers.exe zur Verfügung. Diese helfen Ihnen bei der
Verwaltung von Ereignissen. Sie finden die Tools unter
http://www.microsoft.com/technet/prodtechnol/winxppro/proddocs/event_commandline.asp
(englischsprachig).

Microsoft Operations Manager: Stellt Ihnen eine umfassende Ereignisverwaltung, eine
proaktive Überwachung und Trendanalysen zur Verfügung. Weitere Informationen finden Sie
unter http://www.microsoft.com/mom (englischsprachig).

Weitere Quellen: Detaillierte Erklärungen, Empfehlungen und Links zu Supportmöglichkeiten
finden Sie unter http://www.microsoft.com/technet/support/eventserrors.asp
Anmerkung: Weitere Informationen zur Überwachung und Einbruchserkennung,
inklusive der zu überwachenden Ereignis-IDs, finden Sie unter
http://www.microsoft.com/technet/security/prodtech/windows/secwin2k/09detect.asp
(englischsprachig).
Es gibt außerdem eine Vielzahl von kommerziellen Systemen zur Einbruchserkennung, die
bekannte Muster von Angriffen verwenden, um diese zu erkennen. In Teil I, Anhang A,
"Drittanbieter Tools und Ressourcen sind einige von Ihnen aufgelistet.
Notfall-Reaktionsplan
Wenn Sie es mit einem aktiven Angriff zu tun haben, gibt es Gegenmaßnahmen, mit denen Sie
dessen Auswirkungen abschwächen können.
Ein guter Reaktionsplan definiert die während eines Angriffs durchzuführenden Aktionen. Er stellt
sicher, dass alle Verantwortungsbereiche und Rollen innerhalb der Organisation bekannt sind
und dass es Auslösemechanismen für die Aktionen gibt.
Anmerkung: Weitere Informationen zu Reaktionsplänen finden Sie unter
http://www.microsoft.com/technet/security/prodtech/windows/secwin2k/10respnd.asp
(englischsprachig).
Das CERT hat ein Handbuch für Notfall-Reaktionsteams veröffentlicht:
http://www.cert.org/archive/pdf/csirt-handbook.pdf (englischsprachig).
Beispieldokumente zur Behandlung von Notfällen finden Sie unter
http://www.sans.org/score/ (englischsprachig).
Bewertung
Der erste Schritt in einem Notfall-Reaktionsszenario ist die Identifizierung und die Definition des
Notfalls. Wenn Sie sich in einer Notfallsituation befinden, erfordert der Angriff Ihre sofortige
Aufmerksamkeit. Wie verwundbar sind Ihre Systeme? Damit Sie sich um die wertvollsten
Ressourcen zuerst kümmern können, müssen diese schleunigst mit Prioritäten versehen werden.
Wenn Sie feststellen, dass ein Angriff durchgeführt wird, sollen Sie folgende Aktionen
vornehmen:

Identifizieren Sie die Art des Angriffs: Handelt es sich um einen DdoS-(Distributed Denial
of Service) Angriff oder einen Angriff, der sich nur auf Sie bezieht? Versucht jemand Ihr
Netzwerk komplett zu schädigen oder nur in einzelne Computer einzubrechen?

Finden Sie die Quelle des Angriffs: Verwenden Sie die Firewall- und
Überwachungsprotokolle, um festzustellen, wo der Angriff herkommt. So finden Sie heraus,
ob er von einem kompromittierten Host in Ihrem Netzwerk oder von einem externen Host
gestartet wurde.
Benachrichtigung und Eskalation
Eine saubere Kommunikation ist eine kritische Komponente bei der Reaktion auf einen Angriff.
Legen Sie exakt fest, wer über den Angriff informiert werden muss. Verbreiten Sie diese
Informationen während eines Angriffs nicht einfach in der gesamten Organisation. Beschränken
Sie die Informationen auf die Personen, die diese benötigen.
Wenn es sich um einen Virus oder einen Wurm handelt, kann jedoch ausnahmsweise eine
unternehmensweite Kommunikation erforderlich sein. Bedenken Sie jedoch, dass die zur
Kommunikation verwendete Technologie ebenfalls vom Angriff betroffen sein könnte – für diesen
Fall sollten Sie über einen Ausweichplan verfügen.
Die Kommunikation sollte informativ und kurz gefasst sein, so dass Panikreaktionen vermieden
werden. Das Notfall-Reaktionsteam sollte im Zentrum der Kommunikation stehen.
Kontaktieren Sie die Hersteller
Wenn ein Microsoft Produkt von einem Angriff betroffen ist, benachrichtigen Sie den Microsoft
Product Support Services unter http://support.microsoft.com/default.aspx?LN=DE&x=10&y=13
(englischsprachig). Dort erhalten Sie Support zu Viren- und Sicherheitspatches.
Wenn Sie einen Microsoft Premier Support-Vertrag abgeschlossen haben, sprechen Sie Ihren
Betreuer bei Microsoft an. Bei Microsoft stehen Ihnen Sicherheitsexperten zur Verfügung, die
Ihnen bei der Reaktion auf einen Sicherheits-Notfall helfen.
Strafverfolgung
Ein Einbruch kann eine Straftat darstellen. Berücksichtigen Sie mögliche externe Stellen (z. B.
Regierungsorganisationen, Strafverfolgungsbehörden etc.), die benachrichtigt werden müssen.
Rechtsbeistand einholen
Möglicherweise kann es erforderlich sein, für eine spätere strafrechtliche Verfolgung einen
Rechtsanwalt hinzuzuziehen. In diesem Fall sollten Sie alle geschäftlichen Auswirkungen
(Schäden) festhalten und mögliche Beweise sichern. Solche Beweise sind zum Beispiel:

Sicherheitskopien aller Protokolle auf einen Medium, von dem nur gelesen werden kann.

Snapshots der aktuellen Systemstati (Dienste, offenen Ports, Benutzerkonten,
Speicherbelegung usw.) und Images aller betroffenen Platten. Werkzeuge hierzu finden Sie
in Teil I, Anhang A, Drittanbieter Tools und Ressourcen.

Wenn die Beweissicherung schwierig ist, und Sie einen Ausweichcomputer zur Verfügung
haben, versuchen Sie nicht den betroffenen Computer zu reparieren oder zu verändern.
Nehmen Sie diesen außer Betrieb und verwenden Sie den Ausweichcomputer.
Isolieren und Eingrenzen
In vielen Umgebungen spielt eine hohe Verfügbarkeit eine wichtige Rolle. Wenn Computer
während eines Angriffs jedoch weiterhin zugreifbar bleiben, kann dies zu weiteren Schäden
führen. Wägen Sie die Auswirkungen des Angriffs genau gegen eine mögliche Gegenmaßnahme
ab.
Angriffe, die sensible Daten veröffentlichen, zerstören oder manipulieren, können es erforderlich
machen, die entsprechenden Computer vom Netz zu nehmen. Weniger aggressive Angriffe, zum
Beispiel einige DoS-Angriffe, erfordern keine solch schwerwiegenden Maßnahmen. In den
meisten Fällen reicht es aus, die Quelle des Angriffs von Netzwerk zu trennen.
Wenn Sie extreme Maßnahmen mit geschäftlichen Auswirkungen durchführen müssen, sollten
Sie diese ausführlichst dokumentieren. So können sie nach dem Angriff wieder sauber entfernt
werden. Die folgenden Aktionen können Sie zur Isolierung eines Angriffs durchführen:

Zugangspunkte deaktivieren: Stellen Sie fest, welchen Zugang der Angreifer verwendet.
Implementieren Sie Gegenmaßnahmen (zum Beispiel das Deaktivieren von Modems, VPNs
und RAS-Server herunterfahren, die Firewall oder den Router neu konfigurieren oder
Netzwerkgeräte physikalisch von Netzwerk trennen.

Vertrauliche, sensible oder proprietäre Daten schützen: Als Teil der NotfallReaktionsplanung sollten Sie genau definieren, welche Ressourcen sensible Informationen
enthalten. Abhängig von der Art des Angriffs könnte es sinnvoll sein, diese Ressourcen
herunterzufahren.

Software vor dem Angriff schützen: Schützen Sie Ihr System vor einer Veränderung oder
Beschädigung der Systemdateien, da dies zu kostenintensiven Ausfallzeiten führen könnte.

Den Angriff blockieren: Wenn der Angriff oder der Angriffsversuch von außen kommt,
blockieren Sie den Zugriff auf Ihr Netzwerk von dieser IP-Adresse oder über spezielle Ports.
Bedenken Sie, dass ein Angriff nicht zwingend über nur eine IP-Adresse oder einen Port
stattfinden muss.
Wenn Sie Opfer eines DDoS-Angriffs werden, könnten Sie Ihre Gegenmaßnahmen mit Ihrem ISP
koordinieren. Außerdem gibt es einige Komponenten, die Sie während eines Angriffs deaktivieren
oder ausschalten können:

Quellcomputer des Angriffs entfernen: Wenn Sie feststellen, dass Computer
kompromittiert wurden und für einen Angriff verwendet werden, dann sollten Sie diese von
Netzwerk trennen.

Dateifreigaben: Setzen Sie die Berechtigungen für die Dateifreigaben auf Nur-Lesen.

VPNs und RAS: Schützen Sie die Remotebenutzer vor dem Angriff, indem Sie diese daran
hindern, sich mit dem Netzwerk zu verbinden.

Internetverbindung: Trennen Sie die Verbindungen nach außen.

Interne Verbindungen: Trennen Sie die Verbindungen zu anderen Zweigstellen oder
Niederlassungen.

Dienste und Anwendungen anhalten: Sicherheitslücken sind oft von Diensten abhängig.

Ports blockieren: Angriffe sind meist von bestimmten Ports abhängig.

Passwörter von Konten mit umfangreichen Rechten ändern: Viele Angriffe versuchen die
Passwörter von bestimmen Konten zu erraten. Dies können zum Beispiel das Administratoroder das Gastkonto sein.
Anmerkung: Weitere Informationen zur Blockierung von Ports über IPSec und zur
Absicherung von Servern finden Sie unter
http://www.microsoft.com/technet/itsolutions/network/maintain/security/ipsecld.asp
(englischsprachig).
Scripts, über die Sie Dienste über das Netzwerk anhalten und starten können finden Sie
unter http://www.microsoft.com/technet/scriptcenter/services (englischsprachig).
Scripts, über die Sie Passwörter über das Netzwerk ändern können finden Sie unter
http://www.microsoft.com/technet/scriptcenter/user (englischsprachig).
Analyse und Reaktion
Damit Sie nach einem Angriff in der Lage sind alle Systeme wiederherzustellen, müssen Sie
feststellen, wie stark Ihre Umgebung kompromittiert wurde:

Stellen Sie die Art des Angriffs fest. Sie kann von Ihren ursprünglichen Annahmen
abweichen.

Stellen Sie den Ausgangspunkt des Angriffs fest.

Versuchen Sie eine Signatur des Angriffs zu erstellen. Mit ihr können Sie feststellen, ob
weitere Computer angegriffen wurden.

Stellen Sie das Ziel des Angriffs fest. War er speziell gegen Ihre Organisation gerichtet? Ging
es um bestimmte Informationen oder war es ein zufälliger Angriff.

Stellen Sie fest, welche Computer kompromittiert wurden.

Stellen Sie fest, auf welche Dateien zugegriffen wurde.
Wiederherstellung
Wenn Sie einen Computer nach einem Angriff wiederherstellen müssen, sollten Sie diesen
komplett neu installieren. Berücksichtigen Sie hierbei Ihre Basiskonfiguration. Stellen Sie sicher,
dass Sie alle lokalen Passwörter ändern. Außerdem sollten Sie alle administrativen Passwörter
und die der Dienstkonten der gesamten Umgebung ändern.
Anmerkung: Das CERT stellt eine Liste der erforderlichen Schritte zur
Wiederherstellung kompromittierter Systeme zur Verfügung. Sie finden diese Liste unter
http://www.cert.org/tech_tips/root_compromise.html (englischsprachig).
Beschleunigte Veröffentlichungsverwaltung
Wenn Sie als Reaktion auf einen Angriff Probleme in Ihrer Umgebung beheben, verwenden Sie
Ihre aktuellen Prozesse zur Veröffentlichungsverwaltung. Führen Sie jedoch nur die Schritte aus,
die für eine schnelle und effektive Reaktion auf den Angriff notwendig sind.
Berücksichtigen sie alle Ressourcen des Unternehmens. Während des Angriffs waren
möglicherweise nicht alle Ressourcen mit dem Netzwerk verbunden – hierbei kann es sich zum
Beispiel um Remotebenutzer handeln. Wenn Sie eine beschleunigte Bereitstellung von
Sicherheitspatches durchführen, müssen Sie diese möglicherweise neu durchführen, wenn diese
Ressourcen wieder mit dem Netzwerk verbunden sind. Werkzeuge und Technologien zur
Bereitstellung von Sicherheits-Updates werden in Teil II, Kapitel 4, Sicherheitsveröffentlichungen
besprochen.
Berücksichtigen Sie als letzte Lösung, wenn sich ein Angriff zum Beispiel auf Netzwerkdienste
auswirkt, eine manuelle Verteilung der Software-Updates.
Überwachung und Deeskalation
Nachdem Sie ein Update in der Produktivumgebung installiert haben, überwachen Sie die
Computer und das Netzwerk. Eine Deeskalation bedeutet die Rückkehr zum normalen
Geschäftsbetrieb.
Aktivitäten nach dem Vorfall und Nachbetrachtung
Nachdem der Sicherheitsvorfall behoben wurde, gibt es einige Aktivitäten, die Sie durchführen
müssen:

Erstellen Sie eine Änderungsanforderung nach den Prozessen Ihrer Organisation.

Stellen Sie sicher, dass die ausgenutzten Sicherheitslücken mit in die Sicherheitsscans und
Sicherheitsrichtlinien aufgenommen werden.

Stellen Sie den Gesamtschaden und die Kosten fest – und zwar sowohl die Kosten durch
Ausfallzeiten als auch die Wiederherstellungskosten.

Prüfen Sie die Handhabung des Sicherheitsvorfalls durch Ihre Organisation. So können Sie
Ihren Notfall-Reaktionsplan verbessern.
7 Ergebnisoptimierung
Messverfahren und Verbesserungen
Nachdem Sie den Prozess der Sicherheitspatch-Verwaltung etabliert haben, verbessern Sie
deren Effektivität. Auch mit einer genauen Planung kann es durchaus noch Verbesserungen des
Prozesses geben. Es gibt drei primäre Bereiche in der Sicherheitspatch-Verwaltung die Sie
verbessern können:

Verbessung der Sicherheitsveröffentlichungen

Verbesserung der Durchsetzung von Sicherheitsrichtlinien

Verbesserung der Notfall-Reaktionspläne
Verbesserung der Reaktionszeiten bei Sicherheitsveröffentlichungen
Im Bereitstellungsprozess von Sicherheitsveröffentlichungen gibt es mehrere Punkte, die Sie
beobachten können.
Anmerkung: Zusätzlich zu den Verbesserungen in den Zeitabläufen sollten Sie auch
Qualitätsverbesserungen berücksichtigen.
Die folgende Liste zeigt mehrere Zeitpunkte im Prozess einer Sicherheitsverwaltung, die Sie
beobachten sollten:

Ta = Entdeckung einer Sicherheitslücke. Erstes öffentliches Auftreten einer Sicherheitslücke.

Tb = Bulletin zu einem neuen sicherheitsbezogenen Software-Update und entsprechenden
Gegenmaßnahmen.

Tc = Änderungsanfrage freigegeben.

Td = Bereitstellung von Software-Update bestätigt.

Te = Angriffsmöglichkeit für die Sicherheitslücke entwickelt (ein tatsächlicher oder
potentieller Angriff).
Anmerkung: Normalerweise gilt Ta = Tb, die Entdeckung einer Sicherheitslücke passiert
zum gleichen Zeitpunkt an dem ein Software-Update zur Verfügung steht.
Abbildung 7.1
Beispiel Zeitplan
Die Zeitplanungen die Sie in den folgenden Abschnitten finden geben Ihnen einen Einblick in das,
was in der Sicherheitspatch-Verwaltung möglich ist und was nicht. Kalkulieren Sie den Zeitplan
für jedes Sicherheitsloch, und ermitteln Sie für die einzelnen Zeitabschnitt einen Durchschnitt.
Zusätzliche zu zeitlichen Verbesserungen, sollten Sie auch Qualitätsverbesserungen in der
Sicherheitspatch-Verwaltung berücksichtigen.
Verfügbarkeit von Software-Update vor dem Angriff, Te-Tb
Dieser Zeitraum stellt den typischen Ablauf eines Bulletins, Software Update und den
entsprechenden Gegenmaßnahmen die Verfügbar sind (T b) bevor die Sicherheitslücke
ausgenutzt wird(Te).
Es ist wichtig festzustellen, wie schnell Sicherheitslücken von Viren und anderen Angriff
ausgenutzt werden. Dieser Zeitraum unterliegt nicht der Kontrolle Ihrer Organisation. Er kann sich
jedoch auf die internen Zeitabläufe auswirken.
Anmerkung: Beispiele für diesen Zeitraum finden Sie in Tabelle 1.7 in Teil I, Kapitel 1.
"Sicherer" Zeitraum vor einem Angriff, Te-Td
Bei diesem Zeitraum geht von der Verfügbarkeit des Updates (T d) bis zur Ausnutzung der
Sicherheitslücke (Te). Sie sollten versuchen, diesen Zeitraum auf lange Sicht zu vergrößern.
Wenn der Wert negativ ist, haben Sie Probleme mit Ihrer Patchverwaltung – Sie arbeiten
entweder reaktiv, oder warten darauf das Probleme auftreten.
Anmerkung: Sicherheitslücken können aus vielen Gründen wieder auftreten. Im
folgenden Abschnitt finden Sie Informationen zu einer Verbesserung der Durchsetzung
von Sicherheitsrichtlinien.
Zeitraum mit offener Sicherheitslücke, Td-Ta
Dieser Zeitraum liegt zwischen Erkennung einer Sicherheitslücke (T a) und der Bereitstellung
eines Software-Updates (Td). Diesen Zeitraum sollten Sie langfristig verringern.
Zeitraum der Veröffentlichungsverwaltung: Td-Tc
Diese Auflistung zeigt Ihnen, wie lange eine Organisation für die verschiedenen Aktivitäten bei
einer Veröffentlichungsverwaltung benötigt.
Um die Veröffentlichungsverwaltung zu verbessern, berücksichtigen Sie die folgenden Bereiche:

Veröffentlichungsplanung: Soll das Formular zur Änderungsanforderung weitere
Informationen umfassen die bei der Planung hilfreich sein könnten?

Veröffentlichungsentwicklung: Gibt es Tools oder Fähigkeiten in Ihrer Organisation die
hierbei hilfreich wären?

Akzeptanztest: Gibt es Werkzeuge die den Testzeitraum verkürzen könnten? Ist die
Testumgebung korrekt eingerichtet und verwaltet?

Rollout-Planung und Vorbereitung: Haben Sie genügend Informationen über Ihre
Organisation um eine effiziente Patchverwaltung durchzuführen? Gibt es weitere
Informationen die Sie regelmäßig überprüfen können?

Bereitstellung: Verwenden Sie Tools die Ihnen bei der Bereitstellung helfen, oder handelt es
sich weitgehend um einen manuellen Prozess?

Änderungsüberprüfung: Gibt es ausreichend Berichte und Informationen über den Erfolg
oder den Fehlschlag eines Updates?
Änderungseinleitung und Verwaltungszeitraum, Tc-Tb
Dieser Zeitraum zeigt, wie viele Zeit Ihre Organisation für die Änderungseinleitung und den
Verwaltungsprozess aufwendet.
Um die Änderungsverwaltung zu verbessern sollten Sie die folgenden Bereiche berücksichtigen:

Änderungseinleitung: Wie lange dauert es von der Entdeckung einer Sicherheitslücke bis
zu Verfügbarkeit eines entsprechenden Sicherheitspatches?

Änderungsklassifizierung: Ist es einfach die Priorität einer Sicherheitsveröffentlichung
festzulegen? Stehen die benötigten Inventar- und Konfigurationsinformationen zur
Verfügung?

Änderungsfreigabe: Wie schnell werden Änderungen freigegeben? Trifft sich das
Freigabeteam häufig genug?
Verbessung der Durchsetzung von Sicherheitsrichtlinien
Auch wenn Sicherheitslücken beseitigt wurden, können diese wieder auftreten. Die Installation
von neuen Computenr und eine verteilte Administration können zum erneuten Auftreten führen.
Berücksichtigen Sie die Sicherheits-Scanberichte und erstellen Sie bei jedem erneuten Auftreten
einer Sicherheitslücke einen Sicherheitsvorfall. Wenn Sicherheitslücken erneut auftreten, ist dies
normalerweise ein Hinweis auf ein administratives Problem oder ein Problem mit der
Sicherheitsrichtlinie. Um solche Probleme zu beheben, berücksichtigen Sie die folgenden Punkte:

Basis-Images der Computer erstellen: Werden die Images bei der Installation von neuen
Computern verwendet? Werden die Images mit den neusten Sicherheitspatches aktualisiert?

Dezentrale Administration: Wie viele Gruppen installieren in Ihrer Organisation Computer?
Gehen diese alle nach den gleichen Sicherheitsrichtlinien und Vorgaben vor?

Administrativer Zugriff: Wie viele Personen Ihrer Organisation haben die administrativen
Rechte zur Installation von Software? Gib es Endbenutzer mit administrativen Rechten?

Häufige Quellen für Sicherheitsprobleme: Werden Sicherheitsprobleme von einer
bestimmten Abteilung oder einem bestimmten Typ von Computern verursacht?
Sie können die Zahl von wiederholt auftretenden Sicherheitslücken möglicherweise deutlich
durch eine Änderung der Richtlinien und Verfahren im Bezug auf die Computeradministration
verringern.
Notfall-Reaktionspläne verbessern
Im Idealfall müssen die Notfall-Reaktionspläne einer Organisation nie in einer tatsächlichen
Angriffsituation umgesetzt werden. Sollte es dennoch notwendig werden auf einen Angriff zu
reagieren, bedenken Sie, dass es sich um eine hervorragende Möglichkeit handelt aus dieser
Erfahrung zu lernen. Nach einem solchen Vorfall sollten Sie mit den Verantwortlichen eine
Nachbetrachtung durchführen. Alternativ können Sie Ihre Notfall-Reaktionspläne intern oder
durch einen Drittanbieter überprüfen lassen. Außerdem können Sie Einbruchstest zur Erkennung
von Schwachstellen durchführen.
Überprüfung der Notfall-Reaktion
Wenn Sie die Leistung Ihrer Organisation bei der Handhabung von Angriffen beurteilen,
versuchen eine Testumgebung zu erstellen, in der Sie Sich darauf konzentrieren können die
Leistung der Prozesse und Verfahren zu verbessern. Hierbei sollten Sie die folgenden Bereiche
berücksichtigen:

Zeitplan des Sicherheitsvorfalls: Was passierte wann? Ohne eine genaue Übersicht
darüber, was passiert ist, ist es schwierig ein Ereignis zu betrachten.

Erfolgsfaktoren: Was hat funktioniert? Welche Aspekte des Verfahrens funktionieren?

Bereiche, die Verbessert werden müssen: Was hat nicht funktioniert? Was hat nicht wie
erwartet funktioniert?

Änderungsvorschläge: Was soll geändert werden? Wie sind Sie auf einen zukünftigen
Angriff besser vorbereitet? Wer ist für die Änderung verantwortlich?
Im Idealfall sollte die Überprüfung zwischen vier Stunden und zwei Tagen dauern. Führen Sie die
Überprüfung nicht sofort nach einem Angriff durch – warten Sie stattdessen ein paar Tage.
Berücksichtigen Sie bei der Überprüfung der Notfall-Reaktion die folgenden Elemente:

Was muss zur Verhinderung von Zukünftigen Angriffen unternommen werden?

Wie wird ein Angriff erkannt? Wie wird der Rest der Organisation über die Situation
informiert? Wie erhält jede Gruppe die von ihr benötigten Informationen?

Welche zusätzlichen Ausweichpläne sollten für zukünftige Angriffe vorbereitet werden?

Ist jeder Gruppe die eigene Rolle und die eigene Verantwortung während eines Angriffs klar?
Wie sollen die einzelnen Gruppen zusammenarbeiten?

Wie können Sie effektiv und umfassend kommunizieren? Berücksichtigen Sie, dass einige
Kommunikationskanäle betroffen sein könnten.

Wie werden die Endbenutzer bei einem Ereignis informiert? Wie werden sie vor einem
Ereignis vorbereitet?

Könnte Sich jemand durch die Verwirrung während eines Angriffs zunutze machen und sich
erweiterte Rechte verschaffen? Wie könnte dies vermieden werden?
Teilen Sie den Ergebnissen der Überprüfung Prioritäten zu. Stellen Sie sicher, dass jeweils
Verantwortliche und Fristen zugeordnet sind.
Tätigkeitsbeurteilung
Eine schnelle Selbstbeurteilung für Ihre Organisation finden Sie unter
http://www.microsoft.com/technet/itsolutions/tandp/opex/moftool.asp (englischsprachig).
Consultingdienste für diesen Bereich und weitere Informationen hierzu finden Sie unter
http://www.microsoft.com/solutions/msm/evaluation/overview/opsassessment.asp
(englischsprachig).
Sicherheitsbeurteilung
Eine Sicherheitsbeurteilung soll Sicherheitsfachleuten bei der Entwicklung einer
Sicherheitsstrategie unterstützen. Diese soll die Verfügbarkeit, Integrität und Vertraulichkeit der
Daten eine Organisation sichern. Eine typische Sicherheitsbeurteilung umfasst eine
Organisationsbeurteilung, eine Ressourcenbewertung, eine Bedrohungsidentifizierung, eine
Beurteilung der Sicherheitsprobleme und eine Sicherheits-Risikobestimmung. Eine
Sicherheitsbeurteilung kann auf Organisationsebene oder für einen Teil der Umgebung
durchgeführt werden.
Weitere Informationen die Ihnen bei einer Sicherheitsbewertung helfen finden Sie unter
http://www.microsoft.com/technet/security/prodtech/windows/secwin2k/03secrsk.asp
(englischsprachig).
Über das Microsoft Gold Certified Partner Program for Security Solutions finden Sie Firmen die
über Erfahrungen mit Sicherheitstechnologien und Sicherheitsbewertungen verfügen. Weitere
Informationen zu diesem Programm finden Sie unter
http://members.microsoft.com/partner/partnering/programs/securitysolutions/default.aspx
(englischsprachig).