Sicherer Betrieb von Windows-Systemen?

Sicherer Betrieb von Windows-Systemen

Windows Update

Einführung

  • etwas in den Zustand 'up to date' bringen; aktualisieren
  • update: change/add/delete Daten; are incremental bug fixes; updates sind frei (meistens wink
  • Synomym upgrade: changing to new version; are major revisions; upgrades sind zu bezahlen
  • Produktaktualisierung
  • Windows Update = Microsoft Update für Betriebssystem sowie weitere Microsoft-Produkte
  • Update = Patch = Software/Programm zur Korrektur/Nachbesserung/Funktionserweiterung
    (hotfix = eilige Korrektur, nicht umfassend getestet, nicht automatisch beziehbar)
  • Service Pack = Sammlung/Zusammenfassung von Patches

Technologie

  • Client-Server-Technologie
  • web-basierend (http-Protokoll)
  • Software zur Aktualisierung wird auf Server bereitgestellt, zum download
  • Client ("bedürftiger" PC) muss Patch holen/downloaden
    und installieren
  • Verantwortung liegt beim Administrator
  • Automatismen für download/Installation oder "von Hand"
  • Konfiguration am Client entscheidet über Verfahren

Charakterisierung der Update-Software

jedem Patch sind diese Informationen zugeordnet:
  • Titel/Bezeichnung
    • Security Update ...
    • Beispiele:
      "Update for Windows XP (KB942840)"
      "Cumulative Security Update for Windows Mail for Windows Vista (KB929123)"
      "Security Update for Windows Media Player 9 (KB911565)"
    • KB942840 = KB-Nummer -> KB-Artikel -> Knowledge Base-Artikel -> http://support.microsoft.com => Knowledge Base Suche
      oder direkt http://support.microsoft.com/kb/942840
  • Severity/Wichtung
    siehe auch Bewertungssystem
    • critical/kritisch - Verbreitung! (Internet-Wurm, ...) -> möglichst zeitnah installieren
    • important/hoch - Vertraulichkeit, Integrität oder Verfügbarkeit
    • moderate/mittel - eingeschränkt für Angriffe nutzbar -> siehe Beschreibung
    • low/niedrig - schwierig ausnutzbar -> siehe Beschreibung
    • unspecified/... - Update Rollups, Service Packs, Definition Updates
  • Categories/Kategorien
    Patches nur für aktuell unterstützte Systeme/Software, s.u. (lifecycle)
    • Windows XP
    • Windows XP x64 Edition
    • Windows XP 64-Bit Edition Version 2003
    • Windows Vista
    • Windows Vista Ultimate Language Packs
    • Windows Server 2003
    • Windows Server 2003, Datacenter Edition
    • Windows Server 2008
    • Windows Defender
      gegen Malware/Spyware - siehe Link-Liste
    • ...
    • Office 2003
    • Office 2007
    • Windows Internet Explorer 7 ...
  • Classification/Klassifikation
    • Critical Updates
    • Security Updates
    • Updates
    • Definition Updates
    • Service Packs
    • Update Rollups
  • Beschreibung
    verbaler Text
  • Weitere Metadaten
    • Neustart erforderlich oder nicht
    • entfernbar
    • Vorrang vor bzw. nachrangig
    • Installationsbesonderheiten (separat zu installieren)
    • Benutzereingaben/Interaktion notwendig
    • ersetzt (anderen Patch)
    • Endbenutzer-Lizenzvertrag (EULA)

Konfiguration des Windows-Update-Client (zur Automatisierung)

Alternative Patch-Installation

  • Installation von Hand initiieren -> IE: http://update.microsoft.com /windowsupdate
  • individuelles patch download und Installation - (mittlerweile nur) http://www.microsoft.com/downloads -> Suchen in "Windows Security & Update" nach der Patch-Nummer ...
    • Sprache beachten! (nur XP, W2K3) -> "Sprache ändern"/"Change language"
    • WindowsXP-KB942840-x86-ENU.exe, WindowsXP-KB942840-x86-DEU.exe (XP, W2K3)
    • Windows6.0-KB943078-x86.msu - in Vista Sprachunabhängigkeit
  • "Windows-Updates ohne Internet-Verbindung installieren"
    siehe Zeitschrift CT, Heft 23/2006, S. 202ff.

Kontrolle / Überwachung

  • Wie sehe ich, ob ein bestimmter Patch installiert ist?
    Start -> Systemsteuerung -> Software => "Updates anzeigen" aktivieren (XP, 2003)
    Start -> Systemsteuerung -> Sicherheit -> Installierte Updates anzeigen (Vista)
  • Ereignisanzeige in
    Start -> Verwaltung -> Ereignisanzeige oder
    Start -> System und Wartung -> Verwaltung -> Ereignisprotokolle anzeigen
    • IDs zwischen 17 und 22
      • 17 - Updates downloaded und für Installation bereit -> Administrator
      • 18 - ... Installation zu Datum/Uhrzeit
      • 19 - Installation vollständig
      • 20 - Fehler bei Installation
      • 21 - installiert -> restart notwendig
      • 22 - installiert, PC wird in ... Minuten restartet
    • oder Quelle "Windows Update Agent" -> Sortieren
  • allgemeines logfile
    • C:\Windows\WindowsUpdate.log
  • Patch-spezifisches logfile
    • C:\Windows\KB nnnnnn .log
  • registry -> Ausführen regedit
  • Microsoft Baseline Analyzer

Tipps

  • Wann gibt es einen neuen Patch?
  • Was soll der Patch tun?
    • siehe detaillierte Beschreibung vom Hersteller
    • siehe KB-Artikel
    • siehe DFN-CERT
  • Auswirkungen eines Patches vorher abschätzen
    • Ersetzen/Ändern von Komponenten?
    • Änderung der Windows-Konfiguration (registry, Richtlinien (policy), firewall, ...)
    • Testen, Informationen, DFN-CERT
  • Möglichst schnelles Einspielen
    • entsprechend Wichtigkeit
    • von Hand (download, Installation)
    • oder Intervall verkürzen -> Konfiguration (Achtung: Dienst neu starten)
    • oder Dienst stoppen; nächste detection-Zeit löschen; Dienst starten
  • Zyklus/Zeiten für Windows Update verändern, entsprechend
    • Arbeitsweise - läuft PC 24h?
    • Installation mittags oder beim shutdown oder nach dem Booten?

Spezielles

Patch beseitigen/deinstallieren

  • nicht für alle Patches möglich
  • Start -> Systemsteuerung -> Software ... oder
    c:\WINDOWS\$NtUninstallKB907371-V2$\spuninst\spuninst.exe
    in Vista: Start -> Systemsteuerung -> Sicherhiet -> Installierte Updates anzeigen ... Markieren/Entfernen

Vista

  • BITS - Hintergrundübertragungsdienst (nutzt Pausen)
  • "Restart Manager"
    • Patch-Untersuchung
      • Kern/System betreffende Patches (erfordern reboot) werden zur "Patch-Installationszeit" installiert
      • andere - wenn betroffene Komponente in Nutzung -> Anfrage, dann Sicherung des aktuellen Zustands, Patch-Installation, Wiederherstellung des Vor-Patch-Zustands -> Weiterarbeit
  • neues Patchdatei-Format - Suffix .msu
    • Windows-Update-Installationsprogramm (Microsoft Update Standalone Package)
    • automatische Installation oder
    • Installation mit Kommando wusa.exe
      • wusa /quiet ... - "stilles" Installieren
      • wusa /restart ... - kein reboot

HTTPS

Links, Literatur

TUCaktuell

  • Ki generiertes Bild

    Offen für Argumente geht in die zweite Runde

    Online-Debattenformat der Juniorprofessur Soziologie der TU Chemnitz thematisiert am 10. September 2025 die Rolle der Solarenergie im Zuge der Energiewende …

  • Gruppe vieler Menschen

    Let's run #TUCgether!

    Zum Jubiläum des Chemnitzer Firmenlaufs gingen 266 Laufbegeisterte für die TU Chemnitz an den Start …

  • Menschen stehen vor einer Leinwand

    Erfolgreiche Summer School an der TU Chemnitz

    Professur Medienpsychologie und die Hochschulallianz Across begrüßten zur Summer School „How much science is in science fiction?“ medienbegeisterte Nachwuchswissenschaftlerinnen und -wissenschaftler aus neun verschiedenen Ländern …

  • Menschen stehen vor einem Haus

    Als Azubi an die Uni? Ja, klar!

    Kanzler der TU Chemnitz begrüßte neue Auszubildende und gratulierte Absolventinnen und Absolventen zum erfolgreichen Berufsabschluss – TU Chemnitz bildet aktuell in zehn Berufen aus …