1. Informationen einsammeln
Das Einsammeln von Informationen ist der erste Schritt, um Patchmanagement zu betreiben.
Neben dem Wissen, welche Anwendungen im Unternehmen betrieben werden, muss entsprechend dazu ständig
ermittelt werden, ob Sicherheitslücken zu den verwendeten Anwendungen bekannt geworden sind.
Diese Informationen und entsprechende Patches finden sich in der Regel auf den Herstellerseiten.
Für Sicherheitslücken in Microsoft-Produkten und entsprechende Patches empfiehlt es sich die
Security Bulletins von Microsoft
im Auge zu behalten. Im Grunde genommen sollte man sich eher noch über die Mailinglist von Microsoft über
neuste Sicherheitsgegebenheiten informieren lassen.
Tatsächlich aber finden viele spezialisierte Sicherheitsdienstleister vor allen anderen die Sicherheitslücken
in den verschiedensten Anwendungen. Webseiten die solche Informationen zur Verfügung stellen, finden sich
in der Linkliste des Navigatorangebots von ParaMind.
2. Kategorisierung der Patches
Computertyp | Bewertung / Kategorie |
Schwerwiegend |
Mittelschwere |
Gering |
Internet Server |
Websitefehler, Denial-of-Service oder Verweigerung des Vollzugriffs |
Schwierig zu nutzende, ungewöhnliche Konfiguration oder vorübergehende Auswirkungen |
Eingeschränkte Auswirkungen, wie z. B. Veröffentlichung von Skripts |
Interne Server |
Erhöhte Privilegien, Datenveröffentlichung oder -änderung. Überwachung schwierig |
Datenveröffentlichung, Datenänderung oder Denial-of- Service mit Möglichkeit der Überwachung |
Ungezielter oder unvollständiger Daten-diebstahl, ungezielte oder unvollständige Daten-änderung, eingeschränkter Denial-of-Service |
Clientsysteme |
Ausführen von beliebigem Code ohne Benutzeraktion, Remoteausweitung von Berechtigungen |
Lokale Ausweitung von Berechtigungen; ungezielte Datenveröffentlichung oder ungezielter Denial-of-Service; Ausnutzung von Benutzeraktionen |
Eingeschränkter oder unvollständiger Daten-diebstahl, eingeschränkte oder unvollständige Daten-änderung, feindliche Websiteangriffe |
3. Beurteilung der Patches
- Lesen der Dokumentation. Bevor ein Service Pack, Hotfix oder Sicherheitspatch angewendet wird, sollten alle relevanten Dokumentationen gelesen werden. Der Prüfvorgang ist wichtig, damit vermieden wird, dass bei der Bewertung des Updates wichtige und relevante Punkte übersehen werden.
- Überprüfen der Patchkategorie. Es ist möglich, dass bei weiterer Beurteilung des Patches die jeweilige Kategorie geändert werden muss. Dies wirkt sich ggf. auf Aspekte der Tests aus.
- Ist das Update relevant und löst es ein ausstehendes Problem?
- Führt die Anwendung des Updates zu anderen Problemen, die negative Auswirkungen auf das Produktionssystem haben?
- Ist das Update mit Abhängigkeiten verbunden? (Müssen für das Update z. B. bestimmte Features aktiviert bzw. deaktiviert werden?)
- Müssen vor dem Bereitstellen des Updates bestimme Aktionen ausführt werden?
4. Prüfen der System-Umgebung in Bezug auf fehlende Patches
Während eines laufenden Prozesses muss sichergestellt werden, dass die Server in Bezug auf Patches auf
dem aktuellsten Stand sind. In einigen Fällen wird ein neuer Patch veröffentlicht, der auf allen Servern
installieren müssen. In anderen Fällen wird ein neuer Server online geschaltet, und es müssen darauf die
entsprechenden Patches installiert werden. Es müssen zunächst alle Server analysiert werden, um
sicherzustellen, dass sie über alle erforderlichen Patches verfügen.
- Microsoft Baseline Security Analyzer
Dies ist eine Anwendung, die auf der TechNet-Website runtergeladen und mit der sichergestellt werden kann,
dass Windows 2000- und Windows XP-basierte Systeme sicher und auf dem neuesten Stand sind. Der Baseline
Security Analyzer scannt mindestens ein System und gibt einen Bericht z. B. über die folgenden Probleme
zurück: fehlende Sicherheitspatches, unsichere Kennwörter, Internet Explorer- und Outlook
Express-Sicherheitseinstellungen und Office-Makroschutzeinstellungen. Die Anwendung enthält Informationen
zum vorliegenden Sicherheitsproblem und zur Behebung des Problems sowie Hyperlinks zu zusätzlichen
Informationen.
Ob Hotfixes installiert wurden, lässt sich am einfachsten in der Registrierung unter dem Schlüssel
HKLM\Software\Microsoft\Windows Nt\Currentversion\hotfix prüfen. Jeder neu installierte Hotfix verfügt
normalerweise über einen Schlüssel mit einem Namen beginnend mit Q, der dem Knowledge Base-Artikel zu diesem
Hotfix entspricht. Bei einigen älteren Hotfixes und bei Hotfixes für einige Anwendungen ist dies jedoch nicht
der Fall.
Es gibt kostenlose Tools von Microsoft, mit denen diese Informationen ermittelt werden können, wie z. B.:
- Qfecheck.exe /v. Gibt die Version des Service Packs und die installierten Hotfixes an. Qfecheck gibt zudem an, ob der Patch ordnungsgemäß installiert wurde.
- Hotfix.exe -l. Zeigt die installierten Hotfixes an
5. Funktions- und Integrationstests
Wie für jede Software, so gilt auf für Patches, dass sie nicht immer in jeder Umgebung optimal funktionieren.
Im Idealfall sollten Sie alle Patches umfassend testen werden, bevor diese in einer Produktiv-Umgebung
eingespielt werden. Viele Sicherheitspatches müssen jedoch schnell installiert werden, um möglicherweise
schwerwiegende Probleme zu beheben. In vielen Fällen wird das jeweilige Testverfahren ein Kompromiss sein
zwischen der Notwendigkeit, ein Sicherheitsproblem zu lösen, und der Notwendigkeit, sicherzustellen, dass der
Patch in der vorliegenden Netzwerk-Umgebung stabil ist.
Nachdem Patches installiert wurden, muss sichergestellt, dass der Server weiterhin ordnungsgemäß ausgeführt
werden kann. Es kann auch nützlich sein, das Ereignisprotokoll und den Systemmonitor auf unerwartete
Ergebnisse hin zu überprüfen. Alle wichtigen Serverfunktionen sind zu testen und es muss sicher gestellt
werden, dass alle Funktionen ordnungsgemäß ausgeführt werden können. Wie lang der Server zur Überprüfung
aller Funktionen ausführt werden soll, hängt davon ab, wie hoch in Bezug auf die jeweilige Schwachstelle das
Risiko auf dem Server sein darf. Wenn Probleme auftreten, sollten, diese Probleme dokumentiert werden.