Sicherer Betrieb von Windows-Systemen?

Sicherer Betrieb von Windows-Systemen

Windows Update

Einführung

  • etwas in den Zustand 'up to date' bringen; aktualisieren
  • update: change/add/delete Daten; are incremental bug fixes; updates sind frei (meistens wink
  • Synomym upgrade: changing to new version; are major revisions; upgrades sind zu bezahlen
  • Produktaktualisierung
  • Windows Update = Microsoft Update für Betriebssystem sowie weitere Microsoft-Produkte
  • Update = Patch = Software/Programm zur Korrektur/Nachbesserung/Funktionserweiterung
    (hotfix = eilige Korrektur, nicht umfassend getestet, nicht automatisch beziehbar)
  • Service Pack = Sammlung/Zusammenfassung von Patches

Technologie

  • Client-Server-Technologie
  • web-basierend (http-Protokoll)
  • Software zur Aktualisierung wird auf Server bereitgestellt, zum download
  • Client ("bedürftiger" PC) muss Patch holen/downloaden
    und installieren
  • Verantwortung liegt beim Administrator
  • Automatismen für download/Installation oder "von Hand"
  • Konfiguration am Client entscheidet über Verfahren

Charakterisierung der Update-Software

jedem Patch sind diese Informationen zugeordnet:
  • Titel/Bezeichnung
    • Security Update ...
    • Beispiele:
      "Update for Windows XP (KB942840)"
      "Cumulative Security Update for Windows Mail for Windows Vista (KB929123)"
      "Security Update for Windows Media Player 9 (KB911565)"
    • KB942840 = KB-Nummer -> KB-Artikel -> Knowledge Base-Artikel -> http://support.microsoft.com => Knowledge Base Suche
      oder direkt http://support.microsoft.com/kb/942840
  • Severity/Wichtung
    siehe auch Bewertungssystem
    • critical/kritisch - Verbreitung! (Internet-Wurm, ...) -> möglichst zeitnah installieren
    • important/hoch - Vertraulichkeit, Integrität oder Verfügbarkeit
    • moderate/mittel - eingeschränkt für Angriffe nutzbar -> siehe Beschreibung
    • low/niedrig - schwierig ausnutzbar -> siehe Beschreibung
    • unspecified/... - Update Rollups, Service Packs, Definition Updates
  • Categories/Kategorien
    Patches nur für aktuell unterstützte Systeme/Software, s.u. (lifecycle)
    • Windows XP
    • Windows XP x64 Edition
    • Windows XP 64-Bit Edition Version 2003
    • Windows Vista
    • Windows Vista Ultimate Language Packs
    • Windows Server 2003
    • Windows Server 2003, Datacenter Edition
    • Windows Server 2008
    • Windows Defender
      gegen Malware/Spyware - siehe Link-Liste
    • ...
    • Office 2003
    • Office 2007
    • Windows Internet Explorer 7 ...
  • Classification/Klassifikation
    • Critical Updates
    • Security Updates
    • Updates
    • Definition Updates
    • Service Packs
    • Update Rollups
  • Beschreibung
    verbaler Text
  • Weitere Metadaten
    • Neustart erforderlich oder nicht
    • entfernbar
    • Vorrang vor bzw. nachrangig
    • Installationsbesonderheiten (separat zu installieren)
    • Benutzereingaben/Interaktion notwendig
    • ersetzt (anderen Patch)
    • Endbenutzer-Lizenzvertrag (EULA)

Konfiguration des Windows-Update-Client (zur Automatisierung)

Alternative Patch-Installation

  • Installation von Hand initiieren -> IE: http://update.microsoft.com /windowsupdate
  • individuelles patch download und Installation - (mittlerweile nur) http://www.microsoft.com/downloads -> Suchen in "Windows Security & Update" nach der Patch-Nummer ...
    • Sprache beachten! (nur XP, W2K3) -> "Sprache ändern"/"Change language"
    • WindowsXP-KB942840-x86-ENU.exe, WindowsXP-KB942840-x86-DEU.exe (XP, W2K3)
    • Windows6.0-KB943078-x86.msu - in Vista Sprachunabhängigkeit
  • "Windows-Updates ohne Internet-Verbindung installieren"
    siehe Zeitschrift CT, Heft 23/2006, S. 202ff.

Kontrolle / Überwachung

  • Wie sehe ich, ob ein bestimmter Patch installiert ist?
    Start -> Systemsteuerung -> Software => "Updates anzeigen" aktivieren (XP, 2003)
    Start -> Systemsteuerung -> Sicherheit -> Installierte Updates anzeigen (Vista)
  • Ereignisanzeige in
    Start -> Verwaltung -> Ereignisanzeige oder
    Start -> System und Wartung -> Verwaltung -> Ereignisprotokolle anzeigen
    • IDs zwischen 17 und 22
      • 17 - Updates downloaded und für Installation bereit -> Administrator
      • 18 - ... Installation zu Datum/Uhrzeit
      • 19 - Installation vollständig
      • 20 - Fehler bei Installation
      • 21 - installiert -> restart notwendig
      • 22 - installiert, PC wird in ... Minuten restartet
    • oder Quelle "Windows Update Agent" -> Sortieren
  • allgemeines logfile
    • C:\Windows\WindowsUpdate.log
  • Patch-spezifisches logfile
    • C:\Windows\KB nnnnnn .log
  • registry -> Ausführen regedit
  • Microsoft Baseline Analyzer

Tipps

  • Wann gibt es einen neuen Patch?
  • Was soll der Patch tun?
    • siehe detaillierte Beschreibung vom Hersteller
    • siehe KB-Artikel
    • siehe DFN-CERT
  • Auswirkungen eines Patches vorher abschätzen
    • Ersetzen/Ändern von Komponenten?
    • Änderung der Windows-Konfiguration (registry, Richtlinien (policy), firewall, ...)
    • Testen, Informationen, DFN-CERT
  • Möglichst schnelles Einspielen
    • entsprechend Wichtigkeit
    • von Hand (download, Installation)
    • oder Intervall verkürzen -> Konfiguration (Achtung: Dienst neu starten)
    • oder Dienst stoppen; nächste detection-Zeit löschen; Dienst starten
  • Zyklus/Zeiten für Windows Update verändern, entsprechend
    • Arbeitsweise - läuft PC 24h?
    • Installation mittags oder beim shutdown oder nach dem Booten?

Spezielles

Patch beseitigen/deinstallieren

  • nicht für alle Patches möglich
  • Start -> Systemsteuerung -> Software ... oder
    c:\WINDOWS\$NtUninstallKB907371-V2$\spuninst\spuninst.exe
    in Vista: Start -> Systemsteuerung -> Sicherhiet -> Installierte Updates anzeigen ... Markieren/Entfernen

Vista

  • BITS - Hintergrundübertragungsdienst (nutzt Pausen)
  • "Restart Manager"
    • Patch-Untersuchung
      • Kern/System betreffende Patches (erfordern reboot) werden zur "Patch-Installationszeit" installiert
      • andere - wenn betroffene Komponente in Nutzung -> Anfrage, dann Sicherung des aktuellen Zustands, Patch-Installation, Wiederherstellung des Vor-Patch-Zustands -> Weiterarbeit
  • neues Patchdatei-Format - Suffix .msu
    • Windows-Update-Installationsprogramm (Microsoft Update Standalone Package)
    • automatische Installation oder
    • Installation mit Kommando wusa.exe
      • wusa /quiet ... - "stilles" Installieren
      • wusa /restart ... - kein reboot

HTTPS

Links, Literatur

TUCaktuell

  • Ein alter Mann sitzt in einem Sessel.

    Jüdische Kultur und Erinnerung im transnationalen Kontext

    Philosophische Fakultät der TU Chemnitz lädt im Sommersemester 2026 gemeinsam mit dem Staatlichen Museum für Archäologie Chemnitz zu einer Ringvorlesung ein …

  • Porträt eines Mannes

    Schichtungen im Moment des Hörens

    Konzertsymposium „Schichtungen: Chemnitz, Berlin, Wien. In memoriam Peter Ablinger“ bringt vom 21. bis zum 22. Mai 2026 internationale Komponisten und Interpreten, Installationen, Konzeptkunst und wissenschaftliche Perspektiven an die TU Chemnitz und in die Kunstsammlungen Chemnitz …

  • Eine Europa-Tischflagge steht vor einem Globus.

    Diskutieren über Europa

    Professur Europäische Integration mit dem Schwerpunkt Europäische Verwaltung der TU Chemnitz unterstützt am 11. Mai 2026 öffentliche Podiumsdiskussion – Interessierte können sich für die Veranstaltung bis zum 4. Mai anmelden …

  • Fünf Bücher liegen auf einem grünen Sofa.

    Literatur ins Gespräch bringen

    27. Literarisches Quintett verspricht am 5. Mai 2026 wieder bereichernde Analysen, Bücher-Tipps und gute Unterhaltung – langjährige Bibliotheksdirektorin Angela Malz agiert letztmalig auf der Bühne …