Best Practices: Patch-Management für KMUsLanLine 07-2011 (Online)Der goldene MittelwegMindestens einmal im Monat wird es für Windows-Administratoren stressig. Denn spätestens wenn Microsoft am zweiten Dienstag seine aktuelle Patch-Kollektion herausgibt, sollten die Mikro-Updates entsprechend ihrer Dringlichkeit irgendwie auf die PCs der eigenen Anwender gebracht werden. Eine Auswahl von Vorgehensweisen, die sich gerade für kleine und mittelständische Unternehmen bewährt haben, zeigt dieser Beitrag. Bei dem Erscheinen eines neuen Patches steht ein Administrator grundsätzlich vor einem Dilemma: Handelt es sich um einen Sicherheits-Patch mit der Einstufung "kritisch", sollte dieser natürlich so schnell wie möglich auf den betroffenen Rechnern im Unternehmen installiert werden. Doch gleichzeitig birgt jeder Patch die Gefahr, dass er in seltenen Fällen mehr Schaden anrichtet als er nutzt. Denn wenn ein Rechner nach dem Patchen beispielsweise auf Grund von unvorhergesehenen Inkompatibilitäten nicht mehr startet, ist dem Anwender wenig gedient. Daher empfehlen auch Leitfäden wie ITIL, Patches nach Möglichkeit vor dem Rollout zunächst zu testen. Allerdings ist es gerade für kleine und mittelständische Unternehmen utopisch, alle ITIL-Prozesse für das Patch-Management in ihrer vollen Breite und Tiefe umzusetzen. Hier ist der goldene Mittelweg zwischen empfohlenen Vorgehensweisen und pragmatischem Handeln gefragt. WSUS-Server von Microsoft einsetzenUm überhaupt kontrollieren zu können, welche Patches auf die Rechner der Anwender gelangen, sollten Sie unbedingt die Windows Server Update Services (WSUS) 3.0 installieren. Dort können Sie dann festlegen, wann Sie welche Patches von Microsoft für Ihre Nutzer zum Update freigeben. Nutzen Sie WSUS nicht, erhalten Ihre Anwender im schlimmsten Fall gar keine Patches, etwa wenn sie die entsprechenden Installationsdialoge einfach wegklicken. Wichtige Anwendungen identifizierenMachen Sie dann eine Liste von Anwendungen, die für Ihr Unternehmen geschäftskritisch sind. Prüfen Sie regelmäßig von sich aus, ob es für diese Applikationen Updates, Patches oder Service-Packs gibt. Hier können Newsletter oder RSS-Feeds der jeweiligen Hersteller diese Holschuld des Administrators etwas erleichtern. Das Betriebssystem Ihrer PCs ist dabei immer eine unternehmenskritische Anwendung. Denn wenn Windows nicht startet, läuft auch keine Anwendung. Treiber können ebenfalls unternehmenskritisch sein, etwa wenn nach einem Update des Grafikkartentreibers Ihre CAD-Software plötzlich den Dienst verweigert. Wenn möglich, vorher testenNach Möglichkeit sollten Sie alle Patches zunächst auf einem oder mehreren für Ihr Unternehmen typischen Systemen testen. Geht das bei besonders kritischen Patches aus Zeitgründen nicht, empfiehlt sich zumindest ein abteilungsweises Rollout, um den potentiellen Schaden gering zu halten. Sammeln und kombinierenSammeln Sie weniger kritische Patches und fassen Sie diese zu Installationspaketen zusammen. Diese können Sie in Ruhe testen, wenn Sie gerade Zeit dafür haben, und anschließend über Nacht automatisch mit dem WSUS oder Ihrem Client Management System an Ihre Clients verteilen. Patches anderer Anwendungen verteilenVerteilen Sie Patches für nicht-Microsoft-Anwendungen mit der Softwareverteilung Ihres Client Management-Systems. Verlassen Sie sich nicht auf die internen Update-Mechanismen wie beispielweise von Java oder dem Adobe Reader, sondern schalten Sie diese auf Ihren Clients nach Möglichkeit ab. Denn auch hier können Ihre Anwender die Updates dieser gutgemeinten Helferlein wegklicken. Oder sie rufen verunsichert den Helpdesk an, wenn sie nicht wissen, was die plötzlichen Meldungen über Sicherheitsrisiken bedeuten. Lieber neue Pakete packenWenn Sie die Wahl zwischen einem Patch und der Neuinstallation der gepatchten Anwendung haben, wählen Sie den zweiten Weg. Denn bei einer Erstinstallation der Anwendung beispielsweise auf neuen Rechnern ist es viel einfacher, dort das entsprechend aktuelle Software-Paket mit Ihrem Client Management System auszurollen, als ein altes Paket und eine Reihe von Patch-Paketen in genau einzuhaltender Reihenfolge. Zudem müssen Sie so nur ein Paket packen. Zeit versus RisikoZu guter Letzt: Informieren Sie Ihren Vorgesetzten rechtzeitig über die Risiken für sein Unternehmen, wenn Sie kritische Patches nicht zeitnah ausbringen können. Legen Sie dann dar, wie viel Zeit Sie pro Monat für das Patch-Management benötigen. Die Entscheidung über die Priorität des Patch-Managements innerhalb der gesamten IT-Administration ist eine Managemententscheidung. KontaktSie haben Fragen zur Aagon Consulting GmbH? Wir beantworten sie Ihnen gerne! 
Rückruf ServiceEinfach Telefonnummer und Betreff eingeben und wir melden uns umgehend bei Ihnen. zu den Produkten
Hier gelangen Sie direkt zu den Produkten
|
+49 2921 789 200
sales@aagon.com
Kontaktformular
