Automatisch Patchen und auf Nummer Sicher gehen

Sicherheit ist in aller Munde und kein Luxusthema. Viele Firmen kämpfen täglich darum, ihre IT Systeme vor Angriffen zu schützen, um Schaden durch Datenklau oder Systemausfällen zu vermeiden. Für einen zuverlässigen Schutz sind aber Betriebssysteme, die auf dem aktuellsten Stand sind mindestens genauso wichtig, wie ein guter Virenschutz.

In vielen Firmen werden unzählige unterschiedliche Server Systeme aufgesetzt und genutzt. Oft kommt hier aufgrund der Anforderungen oder Präferenzen als Betriebssystem Microsoft Windows zum Einsatz. Aber wie jedes Betriebssystem muss auch dieses ständig aktualisiert werden, damit neue Sicherheitslücken geschlossen werden und die Server vor unberechtigten Zugriff oder gar Datenklau geschützt sind. Das Einspielen der Updates ist dabei kein großes Problem. Microsoft hat hierfür ein sehr leistungsstarkes Produkt mit welchem genau definiert werden kann, welche Updates zu welchem Zeitpunkt auf welche Systeme verteilt und wann diese neu gestartet werden sollen: den Microsoft System Center Configuration Manager (SCCM). Damit Updates für Windows wirklich greifen können, müssen die Systeme oft neu gestartet werden.

Microsoft System Center Configuration Manager - Über Software Update Groups können Updates an definierte Syteme verteilt werden
Microsoft System Center Configuration Manager – Über Software Update Groups können Updates an definierte Syteme verteilt werden

Herausforderungen beim Patchen

Hier aber beginnt die Sache schwierig zu werden. Viele Systeme erfüllen natürlich eine wichtige Funktion im Unternehmen und müssen meistens rund um die Uhr verfügbar sein. Auch gibt es oft komplexe Abhängigkeiten zwischen unterschiedlichen Systemen. Hier müssen nach einem Neustart entsprechende Prüfungen vorgenommen werden, damit der IT Service nach einer Aktualisierung von Windows auch wieder komplett zur Verfügung stehen kann.

Die Entscheidung, wann ein System problemlos bzw. entsprechend überwacht neu gestartet werden kann, kann jedoch nicht der IT Mitarbeiter entscheiden, welcher für die Aktualisierung von Windows Betriebssystemen verantwortlich ist.

Hierdurch sind dann komplexe Abstimmungsrunden notwendig, um zu bestimmen, welche Systeme wann mit Updates versorgt werden können und ob Neustarts automatisch erfolgen sollen oder manuell durchgeführt werden müssen.

Microsoft System Center Configuration Manager - Mit Wartungsfenstern kann genau definiert werden, wann Updates auf ein System eingespielt werden
Microsoft System Center Configuration Manager – Mit Wartungsfenstern kann genau definiert werden, wann Updates auf ein System eingespielt werden

Alles nur eine Frage der Zeit!

Nur ca. 1/3 aller Firmen in Deutschland hat das Patchen von Windows Server Systemen wirklich im Griff und aktualisiert diese regelmäßig. Ein weiteres Drittel schafft dies nur sporadisch und auch nicht durchgehend für alle Systeme. Jetzt fehlt natürlich noch das letzte Drittel und hier wird es wirklich kritisch. Es gibt viel zu viele Firmen, welche Windows Systeme seit der Installation exakt 0-mal aktualisiert haben. Aus Sicherheitsperspektive eine Katastrophe und tickende Zeitbombe.

Patch Management der neuen Generation: Axians myOperations

Wie kann man diese Situation verbessern? Und das mit einem überschaubaren Aufwand? Nun, zunächst ist es wichtig, die Verantwortung für die Aktualisierung der Systeme auf die zu übertragen, die auch wirklich entscheiden können, wann Ausfälle vertretbar sind. Dazu muss natürlich erstmal klar sein, wer für ein System tatsächlich fachlich verantwortlich ist und im Idealfall eine Vertretung, falls der primäre Ansprechpartner mal nicht verfügbar ist.

Weiterhin ist es wichtig für den gesamten Update Prozess Transparenz zu schaffen. Der Verantwortliche für ein System muss erkennen können, welchen Status es hat, also ob z.B. noch wichtige Updates ausstehen, damit er entsprechend Wartungsfenster einplanen kann.

myOperations Patch Management - Übersicht über alle zugewiesenen Systeme
myOperations Patch Management – Übersicht über alle zugewiesenen Systeme

Fachabteilungen mit einbeziehen

Der Systemverantwortliche soll die Möglichkeit haben, die notwendigen Einstellungen für die Aktualisierung seiner Systeme selbst vornehmen zu können. Dazu gehören neben der Kategorie oder Wave (z.B. Entwicklung, Integration und Produktion) wie ein System aktualisiert wird (manuell, automatisch ohne Reboot oder automatisch mit Reboot) natürlich auch die Einstellung, wann dies erfolgen kann und soll. Dazu kommt noch eine aktive Email Benachrichtigung immer dann, wenn ein Update Prozess startet, also wenn wieder neue Aktualisierungen auf die Systeme eingespielt werden sollen.

Entlastung der IT-Abteilung – Patch Status – Gesund!

Wenn all diese Faktoren für den Systemverantwortlichen verfügbar sind, ist beständiges und konsequentes Aktualisieren von Windows Server Systemen plötzlich kein großes Problem mehr.

Und für die System Administratoren, welche für das Rollout der Windows Updates zuständig sind, gibt es obendrein noch eine übersichtliche Auswertung, wie der aktuelle Stand über alle Systeme ist.

Bei einem unserem Kunden hat dies unter den Server Verantwortlichen sogar zu einem kleinen Wettbewerb geführt, welcher die wenigsten „roten“ Systeme hat.

myOperations Patch Management - Charts zum aktuellen Patch Status aller Systeme
myOperations Patch Management – Charts zum aktuellen Patch Status aller Systeme

Resümee

Das Argument, das Patchen von Servern sei aufwändig und komplex, ist nicht mehr haltbar. Das zeigen Lösungen wie Axians myOperations Patch Management. Mithilfe dieser Patch-Management-Software können sogar „Laien-Administratoren“ in den Fachabteilungen Anwendungen auf Servern auf den neuesten Stand bringen. Das entlastet die IT-Abteilung und stellt sicher, dass Patches nur dann installiert werden, wenn dies mit den Arbeitsprozessen vereinbar ist.

Diesen Beitrag kommentieren

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.