Der Angriff auf die Ukraine hat auch große Änderungen im IT-Bereich gebracht. Viele Angreifer hatten zuvor bezüglich Schulen, Krankenhäuser noch ethische Regeln, dass diese nicht angegriffen werden!
Dies ist leider Schnee von gestern! War man früher beim Patchen eines OS eher vorsichtig, weil in Ausnahmefällen dies ein Problem verursachen konnte, so hat sich dies doch sehr geändert.

Heute gilt „patch more, test less” und damit meint man, dass vor allem Microsoft OS-Patches am besten noch am Patch-Dienstag eingespielt werden müssen. Eine Lösung die häufig in Schulen und KMUs verwendet wurde, war WSUS. Hat leider nie befriedigend funktioniert, der Patchstand im Netzwerk war selten höher als 80% und darüber hinaus hat Microsoft angekündigt, dass diese Server Funktionalität aufgekündigt ist, also nicht weiter unterstützt wird.

Es ist ungerecht! Administratoren in einem Netzwerk müssen alle Hosts schnell und „perfekt“ patchen, aber Angreifen müssen nur einen einzigen Host finden, der einen alten Patchstand hat und vulnerabel ist.

Patchen ist wichtig! Was bei einem Host kein Problem ist, ist in einem IT-Netzwerk einer Organisation eine wirkliche Herausforderung, weil

• es keine Unterbrechung der normalen Arbeits-/Geschäftstätigkeit geben
• Updates nicht während der normalen Arbeitszeiten eingespielt werden sollen
• Updates müssen sicher eingespielt werden. Leider sind nicht immer alle Patches von Microsoft fehlerfrei. Es gab MS-Patches, die zu Blue Screens oder kam schon mal vor, zu einem endlosen Boot führten
• Kritische Updates sind zeitnah, also so schnell wie möglich, einzuspielen sind.

Wirklich toll wäre, wenn

• Workstation außerhalb der Arbeitszeit per WOL automatisch hochfahren, sicher patchen und wieder herunterfahren
• Server, die ja in der Regel 24/7 laufen und virtualisiert sind, vor dem Patchen automatische einen Prüfpunkt erstellen, die Patches einspielen, evt. Einen Neustart durchführen, bis alle Patches eingespielt sind, die Liste der laufenden Dienste prüft und abschließend automatisch die Prüfpunkte auflöst.
• Einstellungen für Gruppen von Hosts, welche Art von Updates heruntergeladen und installiert werden sollen, zentral verwaltet und die installierten Updates in einem Logbuch eingetragen werden.

Mit csUpdate Pro werden alle diese Punkte, über ein zentrales Userinterface eingerichtet und verwaltet.

• csUpdate Pro verwendet für die Arbeit frei definierbare Ringe. Diesen Ringen werden dann DCs, Server, Hosts oder BYOD-Geräte zugewiesen.
• Die Einstellung der Ringe ist voneinander unabhängig

• Hosts, die nicht online sind, werden per WOL hochgefahren
• Hosts, die nicht online sind, werden per WOL hochgefahren
• Damit ist ein übersichtliches, automatisches, sicheres Patchen nach Plan möglich. Später können die Berichte der Ringe eingesehen werden.
  Es gibt ein selektives, ad hock, also manuelles Patchen von ausgewählten Hosts
• Überprüfung der Dienste vor und nach dem Update
• Ausschließen von KBs, die nicht installiert werden dürfen
• Welche Kategorien von Updates, Patches eingespielt werden sollen
• Unternehmensweite Updateberichte oder die Suche nach eingespielten KBs über das gesamte AD
• Unterstützung des IT-Support mit Hilfe des MS-Tier Modells
• Updates werden Ringen durchzuführen. Bei Servern ist dies unproblematisch. Für Workstation-Ringe können Vorläufer festgelegt werden. Die Prepatch-Hosts eines Ringes stellen sicher, dass Updates sauber durchlaufen, denn die restlichen Hosts des Ringes werden nur dann gepatcht, wenn der Prepatch-Host einwandfrei gepatcht wurde. Damit wird sichergestellt, dass im schlimmsten Fall ein Host „nicht mehr verwendbar ist“ und der Schaden begrenzt wird. Denken Sie bitte daran „patch more, test less“ ist der Slogan in diesen Tagen

Um BYOD-Geräte nicht zu vernachlässigen können auch Notebooks, die nicht Teil der Domäne sind, in das Patch-Management von csUpdate Pro aufgenommen werden