:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Video-Tipp: WSUS (Teil 1) WSUS-Grundlagen für Admins
Die Installation von Windows-Updates oder Patches für Microsoft-Produkte möchten Administratoren selten ganz dem Anwendern überlassen. Will man die Updates effizient, zur passenden Zeit und ohne extreme Auslastung der eigenen Internetleitung im Netzwerk verteilen, kommt man um Windows Server Update Services (WSUS) nicht herum. Im ersten Teil der WSUS-Video-Tipp-Serie zeigen wir die wichtigsten Grundlagen für Installation und Einsatz von WSUS.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
WSUS wird als Serverrolle installiert. Nach der Installation erfolgt die Verwaltung über eine interne Managementkonsole oder der PowerShell. Die einzelnen Clientcomputer, also Server und Computer werden über Gruppenrichtlinien angebunden. Auf dem WSUS-Server wird festgelegt welche Updates auf dem Server zur Verfügung stehen sollen. Die Clientrechner verbinden sich mit WSUS und laden die Updates entsprechen der Einstellungen herunter, die in den Gruppenrichtlinien gesetzt wurden.
Wie man die Windows Server Update Services (WSUS) installiert und welche Optionen bei der Ersteinrichtung besonders wichtig sind, zeigen wir im Video-Tipp und in der Bildergalerie.
:quality(80)/images.vogel.de/vogelonline/bdb/1361100/1361172/original.jpg "WSUS wird mit einer eigenen Verwaltungskonsole konfiguriert und überwacht.")
:quality(80)/images.vogel.de/vogelonline/bdb/1361100/1361173/original.jpg "In den Einstellungen wird festgelegt welche Patches über WSUS verteilt werden sollen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1361100/1361174/original.jpg "Über den Synchronisierungszeitplan wird gesteuert, wann WSUS Updates bei Microsoft herunterladen soll.")
:quality(80)/images.vogel.de/vogelonline/bdb/1361100/1361175/original.jpg "WSUS kann Updates auch bei anderen WSUS-Servern herunterladen.")
WSUS installieren und einrichten
Bei WSUS handelt es sich um eine Serverrolle, die zum Beispiel über Windows Server 2012 R2 und Windows Server 2016 installiert werden kann. Nach der Installation übernimmt der Server noch keinerlei Aufgaben. Zuerst muss der Server konfiguriert werden. Damit die Updates im Netzwerk verteilt werden, müssen die Clients so konfiguriert werden, dass diese Updates nicht mehr aus dem Internet herunterladen, sondern beim WSUS-Server. Der Server selbst ist also der passive Teil der Infrastruktur. Er verteilt die Updates nicht, sondern stellt die Updates den Clients zur Verfügung, die diese vom Server per HTTP oder HTTPS herunterlädt.
WSUS anpassen
Nach der Installation wird die Verwaltungskonsole aufgerufen. Über den Bereich „Optionen“ stehen die wichtigsten Einstellungen zur Verfügung. Bei „Produkte und Klassifizierungen“ wird festgelegt, welche Updates heruntergeladen werden sollen.
Damit Windows 10-Upgrades über WSUS bereitgestellt werden können, muss bei „Produkte und Klassifizierungen“ auch die Option „Upgrades“ auf der Registerkarte „Klassifizierungen“ aktiviert sein. Auf der Registerkarte „Produkte“ sollten die verschiedenen Windows 10-Optionen aktiviert werden. Wichtig ist hier auch die Option „Windows 10 Anniversary Update and Later Servicing Drivers“.
Zeitplan festlegen
Wenn festgelegt wurde, was WSUS herunterladen sollen, und welche Versionen der Produkte unterstützt werden sollen sowie die dazugehörigen Sprachen, muss als nächstes der Zeitplan definiert werden, zu dem die Updates heruntergeladen werden sollen. Die Optionen dazu stehen im Bereich „Optionen\Synchronisierungszeitplan“ zur Verfügung. Hier kann festgelegt werden, dass die Aktualisierungen regelmäßig durchgeführt werden, oder manuell gestartet werden müssen.
Upstream-Server in WSUS nutzen
Setzen Unternehmen mehrere WSUS-Server ein, können diese in den Optionen so konfiguriert werden, dass ein WSUS-Server seine Updates nicht aus dem Internet herunterlädt, sondern bei einem anderen WSUS-Server. Die Einstellungen dazu befinden Sie in den Optionen bei „Updatequelle und Proxyserver“. Im Fenster wird der Servername eingegeben sowie der Port, über den WSUS zur Verfügung steht. Auf dem übergeordneten Server erscheinen die untergeordneten Server im Bereich „Downstreamserver“. Im Rahmen der Einrichtung des untergeordneten Servers kann auch festgelegt werden, dass die Einstellungen vom untergeordneten Server repliziert werden.
Wie man die Windows Server Update Services (WSUS) installiert und welche Optionen bei der Ersteinrichtung besonders wichtig sind, zeigen wir im Video-Tipp und in der Bildergalerie.
WSUS-Grundeinrichtung über Gruppenrichtlinien
Damit WSUS Updates im Netzwerk zur Verfügung stellen kann, müssen Gruppenrichtlinien festgelegt werden, mit denen die Clients so konfiguriert werden, dass sie Updates direkt bei WSUS herunterladen, nicht bei Microsoft aus dem Internet. Die Konfiguration der automatischen Updates in den Gruppenrichtlinien werden in der Gruppenrichtlinienverwaltung unter „Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Windows Update“ vorgenommen.
Generell bietet es sich an verschiedene Gruppenrichtlinien zu erstellen. Dadurch lassen sich die verschiedenen WSUS-Einstellungen an die gewünschten Computer verteilen. Arbeitsstationen lassen sich zum Beispiel so konfigurieren, dass diese automatisch Aktualisierungen vom WSUS herunterladen und installieren. Server laden Updates herunter, installieren aber nicht automatisch.
Die erste Option ist Internen Pfad für den Microsoft Updatedienst angeben. Diese Option muss aktiviert werden. Da WSUS eine Webapplikation ist, muss der Servernamen mit einer HTTP-Adresse angegeben werden: http://<Servername>:<Port>. Der Port ist auf der Startseite der Verwaltungskonsole zu sehen.
Die zweite wichtige Option ist das Update-Verhalten, das über „Automatische Updates konfigurieren“ festgelegt wird. Dabei stehen hauptsächlich folgende Möglichkeiten zur Verfügung:
- Vor Herunterladen und Installation benachrichtigen: Mit dieser Option benachrichtigt Windows vor dem Download und vor der Installation der Updates.
- Autom. Herunterladen, aber vor Installation benachrichtigen: Mit dieser Option führt der Client automatisch den Download der Updates durch, eine Installation findet aber nicht automatisch statt. Diese Einstellung ist ideal für Server.
- Autom. Herunterladen und laut Zeitplan installieren: Mit dieser Installation lädt der Client automatisch mit Updates herunter und installiert diese auch automatisch. Die Einstellung wird normalerweise für die Aktualisierung von Arbeitsstationen verwendet.
- Lokalen Administrator ermöglichen, Einstellung auszuwählen: Mit dieser Option können Administratoren die Einstellungen auf dem jeweiligen Server manuell vornehmen. Die Updates werden aber direkt beim WSUS-Server heruntergeladen.
Clients in der WSUS-Konsole verwalten
Wenn die Clientcomputer angebunden sind, erscheinen sie nach einiger Zeit in der WSUS-Konsole. Hier können auch Gruppen erstellt werden. Für verschiedene Gruppen können auch unterschiedliche Patches freigegeben werden. Über den Menüpunkt Computer sind in der WSUS-Verwaltungskonsole bei Nicht zugewiesene Computer alle angebundenen Rechner zu sehen. Wenn alle Computer zugewiesen sind, können im Assistenten zum Genehmigen von Patches festgelegt werden, auf welchen Computergruppen die Updates freigegeben werden.
Um diese Einstellungen über Gruppenrichtlinien zu steuern, wird zu „Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows-Update“ navigiert. Über die Einstellung „Clientseitige Zuordnung aktivieren“ kann festgelegt werden zu welcher Computergruppe ein Computer zugeordnet werden soll, wenn er an WSUS angebunden wird.
Updates genehmigen und bereitstellen
Erst wenn ein Administrator einen Patch genehmigt, installiert Windows diesen Patch auf Computern, da WSUS diesen erst dann freigibt. In der WSUS-Verwaltungskonsole wird dazu auf „Updates/Alle Updates“ geklickt. Über das Kontextmenü von Updates können diese zur Installation genehmigt werden.
Alle weiteren Teile dieser Video-Tipp-Serie zu Windows Server Update Services (WSUS) finden Sie schnell und einfach über die untenstehende Bildergalerie.
:quality(80)/images.vogel.de/vogelonline/bdb/1400200/1400269/original.jpg "In dieser Video-Tipp-Serie zu WSUS geben wir Tipps zur Installation, zu Optimierungen, Fehlerbehebungen und zur Update-Verteilung. Mit den Pfeiltasten (← / →) oder den Schaltflächen oben können Sie durch die Sammlung navigieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1400200/1400270/original.jpg "<p style=\"line-height: 1.5\"><big>WSUS Video-Tipp - Teil 1</big><br> <a href=\"https://www.security-insider.de/wsus-grundlagen-fuer-admins-a-691109/\" target=\"_blank\" style=\"color:white\"><big><big><strong>WSUS-Grundlagen für Admins</strong></big></big></a><br> Die Installation von Windows-Updates oder Patches für Microsoft-Produkte möchten Administratoren selten ganz dem Anwendern überlassen. Will man die Updates effizient, zur passenden Zeit und ohne extreme Auslastung der eigenen Internetleitung im Netzwerk verteilen, kommt man um Windows Server Update Services (WSUS) nicht herum. Im ersten Teil der WSUS-Video-Tipp-Serie zeigen wir die wichtigsten Grundlagen für Installation und Einsatz von WSUS. <a href=\"https://www.security-insider.de/wsus-grundlagen-fuer-admins-a-691109/\" target=\"_blank\">>>> Zum Artikel <<<</a></p>")
:quality(80)/images.vogel.de/vogelonline/bdb/1400200/1400271/original.jpg "<p style=\"line-height: 1.5\"><big>WSUS Video-Tipp - Teil 2</big><br> <a href=\"https://www.security-insider.de/wsus-tipps-zu-optimierung-troubleshooting-und-scripting-a-695862/\" target=\"_blank\" style=\"color:white\"><big><big><strong>WSUS-Tipps zu Optimierung, Troubleshooting und Scripting</strong></big></big></a><br> Sobald die WSUS-Serverrolle installiert und eingerichtet ist, müssen in der Verwaltungskonsole einige Einrichtungen vorgenommen werden. Sind auch diese abgeschlossen, sind häufig noch Optimierungen und Fehlerbehebungen notwendig. Die wichtigsten Tipps und Schritte zeigen wir im zweiten Teil der WSUS-Video-Tipp-Serie. <a href=\"https://www.security-insider.de/wsus-tipps-zu-optimierung-troubleshooting-und-scripting-a-695862/\" target=\"_blank\">>>> Zum Artikel <<<</a></p>")
:quality(80)/images.vogel.de/vogelonline/bdb/1400200/1400272/original.jpg "<p style=\"line-height: 1.5\"><big>WSUS Video-Tipp - Teil 3</big><br> <a href=\"https://www.security-insider.de/wsus-tipps-zur-verwaltung-und-freigabe-von-updates-a-703207/\" target=\"_blank\" style=\"color:white\"><big><big><strong>WSUS-Tipps zur Verwaltung und Freigabe von Updates</strong></big></big></a><br> WSUS kann Aktualisierungen für Microsoft-Produkte herunterladen, lokal speichern und an die angebundenen Server und Arbeitsstationen weitergeben, ohne dass dafür zusätzliche Downloads stattfinden müssen. Im dritten Teil der WSUS-Video-Tipp-Serie zeigen wir, wie Admins die Verteilung und Freigabe der Updates auch zentral vom Server aus steuern können. <a href=\"https://www.security-insider.de/wsus-tipps-zur-verwaltung-und-freigabe-von-updates-a-703207/\" target=\"_blank\">>>> Zum Artikel <<<</a></p>")
(ID:45167081)
:quality(80)/images.vogel.de/vogelonline/bdb/1964600/1964605/original.jpg "Admins können mit Windows 11 Pro/Enterprise Updates über Gruppenrichtlinien steuern. Dazu ist kein Active Directory notwendig. (Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")