WSUS

9 Tipps für den richtigen Umgang mit Windows-Updates

Samstag den 08.09.2012 um 07:12 Uhr

von Hans-Christian Dirscherl

Windows-Updates im Unternehmen sollten einer zentralen Strategie unterliegen.
Vergrößern Windows-Updates im Unternehmen sollten einer zentralen Strategie unterliegen.
© (c) iStockphoto.com / asbe
Das Aufspielen von Updates für Microsoft Windows sollte in Unternehmen nicht jedem Anwender eigenverantwortlich überlassen bleiben. Stattdessen ist eine einheitliche Strategie gefordert. Die folgenden neun Tipps sind ein Leitfaden für Windows-Updates.
Wer PCs, Notebooks und Server mit einem Windows-Betriebssystem einsetzt, kennt zwangsweise auch die Windows-Updates, die Microsoft regelmäßig veröffentlicht. Was viele Unternehmen dabei vielleicht nicht kennen, ist eine einheitliche Strategie, mit den oft sicherheitsrelevanten Aktualisierungen umzugehen. Die folgenden neun Tipps aus der täglichen Consulting-Praxis des deutschen IT-Unternehmens Aagon Consulting mit Hauptsitz in Soest geben Denkanstöße und können kleine wie große Unternehmen bei der Entwicklung einer ganzheitlichen Update-Strategie unterstützen.

Direkte Updates oder über WSUS

Wer seine PC-Arbeitsplätze und Windows-Server regelmäßig mit den aktuellen Updates von Microsoft versorgen möchte, hat dazu mehrere Möglichkeiten. Die zwei in der Praxis am häufigsten genutzten Wege sind der direkte Download der Updates von Microsoft-Servern auf den jeweiligen Rechner oder der Einsatz der Windows Server Update Services (WSUS). Bei den WSUS handelt es sich um einen kostenlosen Dienst für den Windows Server 2003 und 2008. Vereinfacht gesagt, lädt dieser alle gewünschten Updates von Microsoft-Servern auf ein lokales System herunter und stellt die Aktualisierungen anschließend über das LAN den lokalen Clients und Servern zur Verfügung. Der Einsatz eines WSUS-Servers führt unter anderem dazu, dass Updates für beispielsweise 100 Unternehmens-PCs nur ein einziges Mal über das Internet von Microsoft heruntergeladen werden müssen. Neben der Bandbreitenersparnis ist ein weiterer Vorteil der WSUS, dass nicht alle Updates automatisch an alle Clients im Unternehmen verteilt werden, sondern ein WSUS-Administrator diese selektiv freigeben kann. Wer einen WSUS-Server betreibt und dort alle Updates automatisch freigibt, verzichtet auf diese durchaus sinnvolle Kontrollmöglichkeit.

Ab wann der Einsatz eines WSUS-Servers sinnvoll ist, lässt sich am einfachsten an zwei Kriterien festmachen: Ist in einem Unternehmen bereits mindestens ein Windows-Server vorhanden und gibt es einen dafür zuständigen Administrator, so kann bereits hier der Einsatz eines WSUS-Servers sinnvoll sein. Auch wer mehr als 20 PCs mit Windows in seinem Unternehmen betreibt, sollte über einen WSUS-Einsatz nachdenken. Denn ab dieser Client-Zahl macht sich die Ersparnis an Bandbreite schon deutlich bemerkbar.

Konfiguration über Gruppenrichtlinien

Sind auf den Windows-Arbeitsplätzen automatische Updates über Microsoft oder einen lokalen WSUS-Server konfiguriert, kann der Administrator dort über Gruppenrichtlinien (GPO – Group Policy Objects) festlegen, wie die Arbeitsplatzrechner damit umgehen sollen. So lässt sich beispielsweise festlegen, ob der jeweilige Benutzer über neue Updates informiert wird oder ob Aktualisierungen still und leise im Hintergrund heruntergeladen werden. Ebenso kann der Administrator lokale Änderungen an den Einstellungen für den Umgang mit Windows-Updates erlauben oder verhindern. Hier empfiehlt es sich auf alle Fälle, Änderungen der Einstellungen für Windows-Updates durch Benutzer zu unterbinden. Ob Anwender über neue Updates unterrichtet werden sollen oder nicht, ist hingegen eher Geschmacksache. Eine gute Übersicht über alle Konfigurationsmöglichkeiten für Windows-Updates per GPO bietet auch die Seite www.gruppenrichtlinien.de.

Erst testen, dann verteilen

Manche Updates schaden in der Praxis mehr als sie nutzen. Im besten Fall bringt ein defektes Update nur einen lästigen Bug mit sich. Im schlimmsten Fall verhindert es die korrekte Funktion des kompletten Arbeitsplatzes - beispielsweise durch einen fehlerhaften Treiber für eine Netzwerkkarte. Um sich vor Beeinträchtigungen durch fehlerhafte Updates zu schützen, sollten Unternehmen alle Aktualisierungen daher zunächst nur an eine kleine aber möglichst repräsentative Testgruppe verteilen. Dies können etwa die Rechner der Administratoren selbst oder eine Gruppe von Power-Usern im Unternehmen sein. Laufen deren Rechner nach dem Update ein bis zwei Wochen lang ohne Probleme, kann auch der Rest des Unternehmens die Aktualisierungen erhalten. Achtung: Auch ein einfaches Update eines Webbrowsers sollte im Idealfall zunächst getestet werden - besonders dann, wenn unternehmenskritische webbasierte Anwendungen zum Einsatz kommen. Voraussetzung für die kontrollierte Verteilung von Windows-Updates ist der Einsatz eines WSUS-Servers oder eines Clientmanagement-Systems, das mit dem lokalen Windows-Update-Dienst auf den PCs zusammenarbeitet.

Wer hat was wann erhalten

Gerade bei Updates, die erst nach einiger Zeit Probleme mit einer wichtigen Anwendung verursachen, kann es sinnvoll sein, diese kontrolliert wieder von den betroffenen Arbeitsplätzen zu entfernen. Hierzu muss man jedoch wissen, welcher PC ein bestimmtes Update bereits erhalten hat und welcher nicht. Der WSUS-Server kann hier nicht wirklich weiterhelfen. Soll die Entfernung von Updates weitgehend automatisiert geschehen, ist wiederum der Einsatz eines Clientmanagement-Systems notwendig. Hier kann ein Administrator beispielsweise komfortabel in seiner zentralen Konsole alle Rechner selektieren, die ein bestimmtes Update erhalten haben. Mit einem Mausklick wird dieses dann automatisch von allen PCs wieder entfernt.

Bringschuld statt Holschuld

Windows-Updates mit und ohne WSUS arbeiten zumindest zum Teil reaktiv. Das heißt, dass die Clients selber bei Microsoft oder den WSUS nach neuen Updates fragen müssen. Tun sie dies aus welchem Grund auch immer nicht, erhalten sie auch keine Aktualisierungen. Ist das Windows-Update in ein unternehmensweites Clientmanagement integriert, so erhält der Administrator dadurch zusätzlich die Möglichkeit, aktiv die Installation bestimmter Patches zu erzwingen. Dazu selektiert er nach einer Inventarisierung zunächst alle Rechner, die ein bestimmtes Update noch nicht besitzen und löst dann über den Agenten des Clientmanagement-Systems dort eine Suche nach aktuellen Windows-Updates aus.

Samstag den 08.09.2012 um 07:12 Uhr

von Hans-Christian Dirscherl

Kommentieren Kommentare zu diesem Artikel (0)
1525743