leon123
Goto Top

Richtiges Patch Management?

Hallo zusammen,

wie macht ihr das mit dem Patch Management? Benutzt ihr spezielle Tools von Drittherstellern (ich habe mir Atera angesehen) oder lässt ihr den WSUS oder gar nur Windows Update selber für euch arbeiten?

Wir haben ca. 100 Windows PCs und 20 Windows Server.

Wir hatten bis dato WSUS im Einsatz. Aber der WSUS ist so eine Sache. Die Clients melden ja am WSUS welche Patches diese benötigen und ich gebe diese dann meist manuell für die Gruppen frei. Es dauert meist ewig bis der Client die Updates macht, oder auch nicht... Wenn er die Updates nicht macht, müssen wir manuell an die PCs und X-mal Updates suchen bis dann mal etwas passiert. Außerdem weiß ich nie, ob ich jetzt wirklich alle wichtigen Patches die auch Windows Update selber Online herunterladen würde, erwischt habe.

Wir waren auch von dem Exchange Exploit betroffen, komischerweise hat sich der Virus auf den Systemen die am WSUS angeschlossen sind verteilt. Die Systeme die Ihre Updates über das Internet holen, waren komischerweise nicht betroffen. D.h. ich habe hier vermutlich ein Patch übersehen oder der Patch war noch nicht freigegeben.

Mittlerweile hat ja Windows die Möglichkeit die Patches anderen Systemen im Netzwerk bereitzustellen, aber das ist irgendwie auch überhaupt nicht Transparent. Wir haben einen festen Proxy eingetragen, ich vermute deswegen funktioniert das überhaupt nicht. Der Proxy / Webfilter macht mir auch immer wieder Ärger wenn Microsoft seine Domains ändert, weil Windows es nicht schafft die Authentifizierung zuverlässig mitzugeben.

Das nächste Thema das mich beunruhigt sind die Server. Hier lassen wir die Updates vom Internet herunterladen und installieren diese dann ca. alle 2 Wochen manuell. Das ist natürlich extrem zeitaufwendig. Allerdings erstelle ich immer vorher einen Snapshot weil ich schiss habe, dass so ein Update einen Server zerschießt oder irgendwelche Anwendungen nicht mehr funktionieren.

Vielen Dank für Tipps und Anregungen.

Grüße
Leon

Content-ID: 667493

Url: https://administrator.de/forum/richtiges-patch-management-667493.html

Ausgedruckt am: 26.12.2024 um 13:12 Uhr

tikayevent
tikayevent 11.06.2021 um 10:18:45 Uhr
Goto Top
Das nächste Thema das mich beunruhigt sind die Server. Hier lassen wir die Updates vom Internet herunterladen und installieren diese dann ca. alle 2 Wochen manuell. Das ist natürlich extrem zeitaufwendig. Allerdings erstelle ich immer vorher einen Snapshot weil ich schiss habe, dass so ein Update einen Server zerschießt oder irgendwelche Anwendungen nicht mehr funktionieren.

Hatte ich in den letzten 15 Jahren noch nie. Wenn es hier Probleme gibt, kommen diese durch unsauber entwickelte Anwendungen, die sich an irgendeiner Bibliothek festhalten.

Wir hatten bis dato WSUS im Einsatz. Aber der WSUS ist so eine Sache. Die Clients melden ja am WSUS welche Patches diese benötigen und ich gebe diese dann meist manuell für die Gruppen frei.

Wir waren auch von dem Exchange Exploit betroffen, komischerweise hat sich der Virus auf den Systemen die am WSUS angeschlossen sind verteilt. Die Systeme die Ihre Updates über das Internet holen, waren komischerweise nicht betroffen. D.h. ich habe hier vermutlich ein Patch übersehen oder der Patch war noch nicht freigegeben.

Leg dir einfach eine automatische Genehmigungsregel an, welche Sicherheitsupdates und wichtige Updates automatisch freigibt, Damit hast du das gröbste vom Hacken, wichtig ist aber auch, dass die User entsprechend mitspielen oder du rigide durchgreifst, was die Installation angeht.
Doskias
Doskias 11.06.2021 aktualisiert um 10:47:53 Uhr
Goto Top
Moin,

ich glaube du hast ein generelles Problem mit dem WSUS. Ich kommentier das mal Abschnittsweise.
Zitat von @leon123:

Hallo zusammen,
wie macht ihr das mit dem Patch Management? Benutzt ihr spezielle Tools von Drittherstellern (ich habe mir Atera angesehen) oder lässt ihr den WSUS oder gar nur Windows Update selber für euch arbeiten?
Wir nutzen WSUS und es funktioniert sehr gut.

Wir haben ca. 100 Windows PCs und 20 Windows Server.
Ungefähr meine Umgebung

Wir hatten bis dato WSUS im Einsatz. Aber der WSUS ist so eine Sache. Die Clients melden ja am WSUS welche Patches diese benötigen und ich gebe diese dann meist manuell für die Gruppen frei. Es dauert meist ewig bis der Client die Updates macht, oder auch nicht... Wenn er die Updates nicht macht, müssen wir manuell an die PCs und X-mal Updates suchen bis dann mal etwas passiert. Außerdem weiß ich nie, ob ich jetzt wirklich alle wichtigen Patches die auch Windows Update selber Online herunterladen würde, erwischt habe.
Klingt für mich danach als wäre eure GPO für die Updateinstallation falsch/ungünstig konfiguriert. Falsch in dem Sinne, dass sie nicht deinen Erwartungen entspricht. unsere Clients suchen jeden Tag um 10 Uhr nach neuen Updates vom WSUS und installieren diese direkt bzw. beim herunterfahren. Das funktioniert (mit Ausnahme einiger Windows 8 Rechner) gut. Bei einigen Windows 8 Rechner wollen Updates manchmal noch eine Bestätigung einer Nutzungslizenz. So zum Beispiel beim Wechsel auf Edge Chromium. Das war auf Windows 10 automatisch kein Problem.
Wer welche Updates hat kannst du im WSUS auch nachschauen. Wenn die GPO richtig konfiguriert ist, melden die Clients ihren Updatestand (egal woher die Updates kommen) an den WSUS und du kannst sehen, bei wem was fehlt.

Wir waren auch von dem Exchange Exploit betroffen, komischerweise hat sich der Virus auf den Systemen die am WSUS angeschlossen sind verteilt. Die Systeme die Ihre Updates über das Internet holen, waren komischerweise nicht betroffen. D.h. ich habe hier vermutlich ein Patch übersehen oder der Patch war noch nicht freigegeben.
Das ist möglich, dass etwas nicht freigegeben war. Es kann auch Zufall sein, dass nicht alle System betroffen waren. Beachte aber bitte: Auch wenn du den Exchange-Server via WSUS mit Updates versorgst, veröffentlicht MS alle 3 Monate ein CU für den Exchange Server. CUs werden nicht über den WSUS installiert und benötigen eine manuelle Installation. Diese kannst du auch per Skript durchführen, aber über den WSUS werden keine CUs durchgeführt. Der Hafnium-Exploit war auf dem Exchange 2016 im WSUS erst ab CU 18 oder CU 19 gefixed. Mit einem CU 18 oder älter, hat dein WSUS zwar den Patch runtergeladen aber nicht an den Exchange installiert, da die CU-Version inkompatibel war.

Mittlerweile hat ja Windows die Möglichkeit die Patches anderen Systemen im Netzwerk bereitzustellen, aber das ist irgendwie auch überhaupt nicht Transparent. Wir haben einen festen Proxy eingetragen, ich vermute deswegen funktioniert das überhaupt nicht. Der Proxy / Webfilter macht mir auch immer wieder Ärger wenn Microsoft seine Domains ändert, weil Windows es nicht schafft die Authentifizierung zuverlässig mitzugeben.
Nein das hat mit dem Proxy nichts zu tun. Wenn du Windows 10 Rechnern untereinander das Update-Verteilen erlaubst, dann brauchen Sie keinen Proxy nach außen, da sie ja nur erstmal intern fragen. Nach Extern nutzen Sie nur den Windows Update Service und der Funktioniert ja. Wo du aber recht hast ist, dass das nicht transparent ist. Es ist nirgends einsehbar, wie lange ein Rechner seine Setup-Datei für Windows 10 für andere Clients bereitstellt. Vielleicht Tage, vielleicht Wochen. Und dann muss der Client ja auch an sein. Selbst ein Client der immer an ist, bringt dir nicht viel, wenn das Update nur 2 tage im Netzwerk zur Verfügung steht. Darauf sollte man sich nicht verlassen, daher lieber WSUS ordentlich nutzen und die Konfigurationsprobleme beheben.

Das nächste Thema das mich beunruhigt sind die Server. Hier lassen wir die Updates vom Internet herunterladen und installieren diese dann ca. alle 2 Wochen manuell. Das ist natürlich extrem zeitaufwendig. Allerdings erstelle ich immer vorher einen Snapshot weil ich schiss habe, dass so ein Update einen Server zerschießt oder irgendwelche Anwendungen nicht mehr funktionieren.
Auch hier klingt es für mich danach, dass die Server keine WSUS-Konfiguration per GPO bekommen. Unsere Server bekommen ihre Updates problemlos vom WSUS. Ich kann den Server zwar zwingen Updates im Internet zu suchen und manchmal findet er da auch welche, die im WSUS noch nicht freigegeben sind, aber die normale Suche, die täglich ausgeführt wird, läuft bei uns ausschließlich gegen den WSUS. Wobei ausschließlich hier mit Vorsicht zu verwenden ist. Es gibt durchaus einige Server, die bewusst direkt das Internet fragen und am WSUS vorbei gehen, aber die die den WSUS nutzen sollen holen sich nicht ungewollt die Infos aus dem Internet.

Vielen Dank für Tipps und Anregungen.
Poste doch mal hier einen Screenshot deiner WSUS-Konfiguration und deiner Zuordnung der betroffenen Geräte im AD.

Grüße
Leon
Gruß
Doskias

Nachtrag: Beachte aber folgende. Office 2019 und Office 365 werden zwar vom WSUS heruntergeladen und bereitgestellt. Damit diese Programme aber via WSUS ihre Updates bekommen benötigst du den Microsoft Endpoint Configuration Manager. Ohne diese ruft Office weiterhin die Updates aus dem Internet ab, Bei O365 gibt es noch die Möglichkeit das Setup/Update über eine Netzwerkfreigabe zu steuern. Auch hier wieder in Verbindung mit einer GPO.
GarfieldBonn
GarfieldBonn 11.06.2021 aktualisiert um 13:05:26 Uhr
Goto Top
Hi,

für die Server nutzen wir WSUS, für die Clients Zenworks. O365 wird über Netzwerkfreigabe gesteuert.

Lan Sweeper ist auch ganz gut

Gruss
kh

Edit: 350 Clients / Server
tech-flare
tech-flare 11.06.2021 um 13:00:32 Uhr
Goto Top
Wir nutzen für ca 800 Geräte (Server / Clients) Matrix42
Doskias
Doskias 11.06.2021 um 19:50:18 Uhr
Goto Top
Noch ein Hinweis:

Du darfst natürlich nicht vergessen, das zu einem richtigen Patch-Management weitaus mehr als die Windows-Updates gehören. Stichwort Adobe-Updates und/oder Firmware-Updates. das gehört auch zu einem richtigen Patchmanagement
148656
148656 11.06.2021 um 20:15:39 Uhr
Goto Top
Huhu Leon,

die Frage ist nicht einfach zu beantworten.
Jeder Firma macht es anders, jedoch gibt es ein paar gemeinsame Nenner.

Eine Liste von Anbietern zur Softwareverteilung findest du unter anderem hier.

Gruß
C.C.
C.R.S.
C.R.S. 11.06.2021 um 22:10:11 Uhr
Goto Top
Hallo Leon,

wenn der Cloud-Zugriff akzeptabel ist, würde ich für die Server Azure Update Management nehmen. Ggf. dann Intune für die Clients.
Azure Update Management ist sehr billig, läuft recht zuverlässig und bietet eine bessere Steuerung und Überwachung des Update-Prozesses. Die Einsparung der Datenübertragung fällt allerdings weg.
Wobei ich mit WSUS eigentlich nie schwerwiegende Probleme hatte. Es ist halt hinsichtlich der Features ein totes Produkt und bedarf einiger (Datenbank-)Pflege. Für Remote-Clients ist es nicht ideal, geht aber in einem Umfeld, das hinreichende VPN-Kontakt erzwingt.

Grüße
Richard