Rawpixel.com - Fotolia

Windows Updates per WSUS vereinfachen

Mit Hilfe von WSUS (Windows Server Update Services) können Administratoren das Ausrollen von Windows Updates zentral verwalten.

Systeme aktuell zu halten, gehört zweifelsohne zu den Herausforderungen für System-Administratoren. Da gilt es gerade im Hinblick auf Windows-Updates einiges sicherzustellen: die Patches müssen für produktive Systeme freigegeben werden, selbstverständlich ordnungsgemäß funktionieren, kompatibel mit der bereits vorhandenen Software sein und nicht zuletzt in die Gesamtkonfiguration des Unternehmens passen. Und gerade das mit dem Funktionieren und der Kompatibilität war bei einzelnen Windows-Updates immer mal wieder problematisch.

Ein zentrales Tool, das sich um die Windows-Updates kümmert, kann angesichts der schieren Anzahl an Patches dafür sorgen, dass sich der Admin-Alltag etwas effizienter gestalten lässt und sich negative Seiteneffekte von Updates begrenzen lassen.

Windows-Update-Probleme sind kritische Probleme

Häufig werden Windows-Updates ohne jeglichen vorhergehenden Test eingespielt. Da werden am Patch Day beziehungsweise Udpate Tuesday erst einmal automatisch die Updates installiert. Im Zweifel gilt es Probleme und Fehler, die durch diese Updates verursacht werden, im Nachhinein aufzuspüren. Treten diese Probleme erst einmal auf, darf sich der Admin auch noch mit der Abarbeitung und Beantwortung entsprechender Help-Desk-Tickets beschäftigen.

Zudem läuft Windows Update lokal auf jedem einzelnen System der Endanwender. Serienmäßig kümmert sich Windows Udpate um Aktualisierungen für das Betriebssystem, in der erweiterten Form sind auch Updates für Microsoft Office und Co. mit von der Partie. Da dies lokal von statten geht, gilt es auch die einzelnen Systeme zu überwachen, inwieweit, welche Updates wirklich eingespielt wurden. Diese lokale Windows-Update-Strategie ist ein zeitraubender und fehleranfälliger Ansatz. Ein einzelner Server oder Rechner, der beim Update-Prozess übersehen oder dieser nicht erfolgreich ist, kann weitreichende Folgen haben. Ein unterschiedlicher Status in Sachen Windows-Updates kann schnell zu erheblichen Sicherheitslücken führen und so auch gegen Compliance-Vorgaben verstoßen. Eine etwaige Fehlersuche kann dann zusätzlichen Zeitaufwand und Kosten verursachen.

Abhilfe per Windows Server Update Services (WSUS)

Mit den bewährten Windows Server Udpate Services oder kurz WSUS können Admins Windows-Updates zentral verwalten. Viele typische Probleme mit den Updates für die Windows-Betriebssysteme lassen sich so vermeiden. So können Unternehmen einen WSUS-Server bereitstellen, der sich zentral um die Aktualisierungen kümmert. In größeren Firmen können mehrere WSUS-Server zum Einsatz kommen, um das Datenaufkommen zu verteilen. Die WSUS-Server halten zentral alle Updates von Microsoft. Ohne Konfiguration diesbezüglich oder Freigabe durch den Admin landen diese aber nicht auf den Endbenutzer-Systemen und produktiven Servern.

Der Einsatz von WSUS erlaubt es Administratoren, einzelne Updates zu testen, bevor diese an die Nutzer ausgerollt werden. Dadurch lässt sich der Unbill vermeiden, im Zweifel ein Update zurückziehen zu müssen. Die richtige WSUS-Konfiguration stellt außerdem sicher, dass wirklich alle genehmigten Aktualisierungen auch an die entsprechenden Systeme ausgerollt werden. So kann man einen unterschiedlichen Patch-Status vermeiden.

WSUS ist bereits seit vielen Jahren verfügbar. Im Windows Server 2016 ist WSUS als Serverrolle integriert. WSUS findet Unterstützung durch PowerShell-Cmdlets, so dass Administratoren viele WSUS-Aufgaben per PowerShell-Skript automatisieren können.

Als Serverrolle lässt sich WSUS einfach über die Server Manager Console ausrollen oder auch wieder entfernen. Es ist zudem in Sachen Sicherheit eine SHA256-Hashfunktion integriert. Unter Windows Server 2016 ist WSUS in der Lage, Clients und Server hinsichtlich der Updates unterschiedlich zu behandeln. Der Windows Update Agent bezieht seine Updates eigenständig von den WSUS-Servern – anders als beim traditionellen Windows Update.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Windows-Sicherheit: Beim Patchen Flash und Co. berücksichtigen.

Wieviel Zeitaufwand ist fürs Patchen und Updaten gerechtfertigt?

Automatisiertes Patching: Was Unternehmen dabei beachten sollten.

Windows-Security: Einfache Sicherheitslücken beseitigen.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close