Aufmerksame Leserinnen und Leser unseres Blogs erinnern sich sicher noch an unseren Beitrag zum großen Microsoft-Patch-Day im Juli, als Microsoft ganze 130- zum Teil gravierende- Sicherheitslücken gestopft hat. Von diesen 130 Patches sind im Sommer fünf als kritisch eingestuft worden, wohingegen es in diesem Oktober sogar ganze 13 kritische Sicherheitslücken sind, die behoben werden sollen.
Unter diesen vorgenannten 13 kritischen Punkten befinden sich auch während des aktuellen Microsoft-Patch-Days wieder drei sogenannte Zero-Day-Exploits. Dies sind bereits öffentlich bekannt gewordene Sicherheitslücken, für die es bislang noch keine Softwarelösungen seitens des Herstellers gab. Häufig stellen daher diese Zero-Day-Exploits ganz besonders verwundbare Einfallstore für Angreifer dar. Daher gilt es, in diesen Fällen ganz besonders schnell und entschlossen zu handeln und die erforderlichen Updates ohne Zögern durchzuführen.
Um die Notwendigkeit dieses Handelns hinreichend zu begründen und inhaltlich näher zu beleuchten, wollen wir noch einmal die Bedeutsamkeit der Patches herausstellen:
Patches dienen dazu, Softwarefehler zu beheben und neu identifizierte Sicherheitslücken zu schließen. Laut dem Cybersicherheitsbericht von 2020 von RiskBased Security wurden im Jahr 2020 mehr als 23.000 Schwachstellen neu gemeldet. Patches helfen Unternehmen dabei, sich gegen diese ständig wachsende Anzahl von Bedrohungen zu wappnen und ihre Systeme stabil und sicher zu halten.
Ohne Patches könnten Sicherheitslücken in der Software von Kriminellen ausgenutzt werden, um Zugang zu sensiblen Daten zu erlangen oder Systeme zu kompromittieren.
Eine Vernachlässigung der Patch-Pflege kann gravierende Auswirkungen haben. Ein Bericht von Ponemon Institute aus dem Jahr 2019 zeigte, dass 60% der Datenverletzungen auf nicht gepatchte bekannte Schwachstellen zurückzuführen waren, für die bereits ein Patch verfügbar war. Für Unternehmen und Administratoren kann dies zu Datenverlusten, Betriebsausfällen und Reputationsschäden führen. Es ist daher unabdingbar, das Aufspielen von Patches als fortlaufende Aufgabe im IT-Betrieb zu betrachten.
Hier können Sie eine vollständige Liste aller Oktober-Patches einsehen und zusätzliche Informationen erhalten und diese nach Wichtigkeit bzw. Schweregrad filtern. Für Administratoren ist an dieser Stelle möglicherweise auch interessant, entsprechende Gruppenrichtlinien zu setzen, die unter Umständen eine Ausnutzung von Zero-Day-Exploits im Unternehmen verhindern können. So ließe sich vermeiden, dass Trojaner etwa Nutzer dazu auffordern, eine Aktion zu bestätigen, was dann als Einfallstor genutzt werden kann.
Da wir gerade von Gruppenrichtlinien sprechen - wie kann ich Updates steuern?
Windows Updates können in Unternehmensumgebungen mithilfe von Gruppenrichtlinien (Group Policy Objects, GPOs) gesteuert werden. Dies ermöglicht es Administratoren, Updates zentral zu verwalten und bestimmte Einstellungen für eine Gruppe von Computern festzulegen.
Hier sind die Schritte, um Windows Updates über Gruppenrichtlinien zu steuern:
1. Gruppenrichtlinien-Editor öffnen:
- Drücken Sie `Win + R`, geben Sie `gpedit.msc` ein und drücken Sie Enter. Dies öffnet den lokalen Gruppenrichtlinien-Editor. Wenn Sie dies in einer Domäne tun möchten, verwenden Sie den Gruppenrichtlinien-Management-Editor auf einem Domänencontroller oder einem Computer mit den entsprechenden Remote-Server-Verwaltungstools.
2. Navigieren Sie zu den Windows Update-Einstellungen:
- Im Gruppenrichtlinien-Editor navigieren Sie zu: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Update.
3. Konfigurieren Sie die gewünschten Einstellungen:
- Hier finden Sie eine Vielzahl von Einstellungen, die Sie konfigurieren können, z. B.:
- "Automatische Updates konfigurieren": Hier können Sie festlegen, wie und wann Updates installiert werden sollen.
- "Keine automatischen Neustarts mit angemeldeten Benutzern für geplante automatische Update-Installationen": Dies verhindert, dass der Computer automatisch neu startet, wenn ein Benutzer angemeldet ist.
- "Zielgruppenmitgliedschaft angeben": Ermöglicht die Zuweisung von Computern zu einer bestimmten Update-Zielgruppe.
- Und viele andere Einstellungen.
4. Richtlinie anwenden:
- Wenn Sie die Einstellungen in einer Domänen-GPO konfigurieren, stellen Sie sicher, dass die GPO auf die richtige Organisationseinheit (OU) angewendet wird, die die Computer enthält, die Sie verwalten möchten.
- Wenn Sie die lokalen Gruppenrichtlinien verwenden, werden die Änderungen auf den lokalen Computer angewendet.
5. Richtlinien aktualisieren:
- Um sicherzustellen, dass die neuen Richtlinieneinstellungen sofort angewendet werden, können Sie die Gruppenrichtlinien manuell aktualisieren. Öffnen Sie eine Eingabeaufforderung oder PowerShell und führen Sie den Befehl `gpupdate /force` aus.
6. Überwachung und Berichterstattung:
- Es ist auch ratsam, die Anwendung der Updates und die Einhaltung der Richtlinien regelmäßig zu überprüfen. Tools wie WSUS (Windows Server Update Services) oder SCCM (System Center Configuration Manager) bieten erweiterte Möglichkeiten zur Verwaltung und Berichterstattung von Windows Updates.
Denken Sie daran, dass das Ändern von Gruppenrichtlinien weitreichende Auswirkungen auf die Funktionsweise von Computern in Ihrer Umgebung haben kann. Es ist immer eine gute Idee, Änderungen zuerst in einer Testumgebung zu testen, bevor sie in einer Produktionsumgebung angewendet werden.
Wir nutzen hier entsprechende Sicherheits- und Patchtools, die es uns erlauben, über 20.000 betreute Computer innerhalb weniger Stunden komplett zu patchen. Anschließend bekommen wir dann Berichte, die sichtbar machen, wo welche Patches installiert wurden und ob die Installation erfolgreich war.
Bleiben Sie sicher!
Und sollten Sie sich unsicher fühlen oder Unterstützung benötigen, so kontaktieren Sie uns jederzeit gerne!