Goldener Mittelweg

Best Practices: Patch-Management für KMUs
Goldener Mittelweg
geschrieben von Sebastian Weber/wg, Produktmanager ACMP bei Aagon Consulting in Soest am 07.07.2011
Mindestens einmal im Monat wird es für Windows-Administratoren stressig. Denn spätestens wenn Microsoft am zweiten Dienstag seine aktuelle Patch-Kollektion herausgibt, sollte man die Mikro-Updates entsprechend ihrer Dringlichkeit irgendwie auf die PCs der Anwender bringen. Dieser Beitrag zeigt Vorgehensweisen, die sich für kleine und mittelständische Unternehmen (KMU) bewährt haben.

Seite 1 / 2

Bei dem Erscheinen eines neuen Patches steht ein Administrator grundsätzlich vor einem Dilemma: Handelt es sich um einen Sicherheits-Patch mit der Einstufung „kritisch“, sollte er diesen natürlich so schnell wie möglich auf den betroffenen Rechnern im Unternehmen installieren. Doch gleichzeitig birgt jeder Patch die Gefahr, dass er i- auch wenn dies selten vorkommen – mehr Schaden anrichtet, als er nutzt. Denn wenn ein Rechner nach dem Patchen beispielsweise aufgrund unvorhergesehener Inkompatibilitäten nicht mehr startet, ist dem Anwender wenig gedient. Daher empfehlen Leitfäden wie ITIL, Patches nach Möglichkeit vor dem Rollout zunächst zu testen. Allerdings ist es für KMU utopisch, alle ITIL-Prozesse in ihrer vollen Breite und Tiefe umzusetzen. Hier ist der goldene Mittelweg zwischen empfohlenen Vorgehensweisen und pragmatischem Handeln gefragt. WSUS-Einsatz Um überhaupt kontrollieren zu können, welche Patches auf die Rechner der Anwender gelangen, sollte jeder Administrator eines Windows-Netzes unbedingt die Windows Server Update Services (WSUS) 3.0 installieren. Dort lässt sich festlegen, wann welche Patches von Microsoft für die Nutzer zum Update freigeben sind. Verzichtet ein Unternehmen auf den Einsatz der WSUS, erhalten die Anwender schlimmstenfalls gar keine Patches, etwa wenn sie Installationsdialoge einfach wegklicken. Als nächstes empfiehlt es sich, eine Liste von Anwendungen zu erstellen, die für das eigene Unternehmen geschäftskritisch sind. Der Administrator sollte dann regelmäßig von sich aus prüfen, ob es für diese Applikationen Updates, Patches oder Service-Packs gibt. Hier können Newsletter oder RSS-Feeds der jeweiligen Hersteller die Holschuld etwas erleichtern. Das Betriebssystem der Arbeitsplatz-PCs ist dabei immer eine unternehmenskritische Anwendung, aber auch Treiber können unternehmenskritisch sein, zum Beispiel der Grafikkartentreiber für CAD. Wenn möglich, vorher testen Nach Möglichkeit sollte die IT-Abteilung alle Patches zunächst auf einem oder mehreren für das Unternehmen typischen Systemen testen. Geht dies bei besonders kritischen Patches aus Zeitgründen nicht, empfiehlt sich zumindest ein abteilungsweiser Rollout, um den potenziellen Schaden gering zu halten. Weniger kritische Patches können Administratoren sammeln und zu Installationspaketen zusammenfassen. Diese Pakete lassen sich dann in Ruhe testen, wenn gerade Zeit zur Verfügung steht. Anschließend kann WSUS oder das Client-Management-System die Pakete in der Nacht an die Clients verteilen. Patches für Nicht-Microsoft-Anwendungen sollten IT-Verantwortliche nach Möglichkeit mit der Softwareverteilung einer Client-Management-Lösung ausbringen.

Seite 1 / 2



Noch keine Bewertungen vorhanden

Relevante Themen (bei Interesse bitte anklicken):