:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/23/9d238490894591cb945d1780b486d622/0113765261.jpeg "Schnelle oder aber komplexe Cloud Migrationen sorgen für mehr Konfigurationsfehler und damit für potenziell mehr Sicherheitslücken. (Bild: dmshpak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Video-Tipp: WSUS (Teil 2) WSUS-Tipps zu Optimierung, Troubleshooting und Scripting
Sobald die WSUS-Serverrolle installiert und eingerichtet ist, müssen in der Verwaltungskonsole einige Einrichtungen vorgenommen werden. Sind auch diese abgeschlossen, sind häufig noch Optimierungen und Fehlerbehebungen notwendig. Die wichtigsten Tipps und Schritte zeigen wir in diesem Video-Tipp.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Im ersten Teil der WSUS-Serie haben wir gezeigt, wie man die Windows Server Update Services (WSUS) installiert und welche Optionen bei der Ersteinrichtung besonders wichtig sind. Sobald WSUS installiert, die Synchronisierung eingerichtet, und die Gruppenrichtlinien für die Anbindung der Clients konfiguriert sind, geht es an die Optimierung, die Fehlerbehebung und an die Verwaltung der Umgebung. Hier sind zum Beispiel auch Skripte und Tools für die Befehlszeile hilfreich. Wir sind bereits im Artikel zur Einführung in WSUS auf die verschiedenen Möglichkeiten eingegangen.
Einrichtung nach der Installation der Serverrolle
Nachdem die Serverrolle für den WSUS-Dienst installiert wurde, sollte der erste Blick in die WSUS-Konsole und hier in den Bereich „Optionen“ gehen. Hier lassen sich verschiedene Aufgaben durchführen, um WSUS in Betrieb zu nehmen, aber auch um Fehler zu finden sowie die Rolle zu optimieren (siehe Bild 1).
Nach der Installation der Windows Server Update Services (WSUS) geht es an die Optimierung, Fehlerbehebung und die Verwaltung der Umgebung. Die wichtigsten Schritte zeigen wir in diesem Video-Tipp und in der Bildergalerie.
:quality(80)/images.vogel.de/vogelonline/bdb/1368200/1368286/original.jpg "In den Optionen kann WSUS umfassend angepasst werden. Hier stehen auch Assistenten für Bereinigung des Servers zur Verfügung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1368200/1368287/original.jpg "WSUS verfügt über einen Assistenten, mit dem die Serverrolle flexibel eingerichtet werden kann.")
:quality(80)/images.vogel.de/vogelonline/bdb/1368200/1368288/original.jpg "WSUS kann sich direkt bei Microsoft synchronisieren, aber auch von anderen WSUS-Servern.")
:quality(80)/images.vogel.de/vogelonline/bdb/1368200/1368289/original.jpg "WSUS muss sich einmal synchronisieren, damit eine Liste der aktuell unterstützten Produkte heruntergeladen werden kann.")
Bevor Clientcomputer per Gruppenrichtlinie an WSUS angebunden werden, sollte sichergestellt sein, dass die Serverrolle nicht eingestellt ist. Hier ist vor allem wichtig festzulegen, welche Updates und welche Microsoft-Produkte unterstützt werden sollen. Im ersten Schritt hilft hier der Link „Assistent für die WSUS-Konfiguration“ unter „Optionen“ (siehe Bild 2). Über einen Assistenten wird hier zunächst festgelegt von wo der WSUS-Server seine Updates beziehen soll, und ob die Internetverbindung über einen Proxy-Server stattfindet (siehe Bild 3). Außerdem kann über den Assistenten auch gleich die erfolgreiche Verbindung zum Internet getestet werden (siehe Bild 4).
Sprachen und zu aktualisierende Produkte auswählen
Im Rahmen der Einrichtung durch den Assistenten wird außerdem festgelegt, welche Sprachen unterstützt werden. Hier sollten nur die Sprachen ausgewählt werden, die auch auf den Clientrechnern genutzt werden, die von WSUS mit Patches versorgt werden. Arbeiten Unternehmen mit deutschen Clients, aber englischen Servern, müssen hier die beiden Sprachen „Deutsch“ und „Englisch“ ausgewählt werden.
Der nächste Schritt des Assistenten besteht darin, dass festgelegt wird, für welche Produkte der Server Updates beziehen soll. Auch hier sollte nur die Produkte ausgewählt werden, die tatsächlich im Unternehmen eingesetzt werden (siehe Bild 5). Anschließend wird festgelegt welche Kategorien der Patches zur Verfügung gestellt werden sollen. Dabei kann es sich um „Sicherheitsupdates“, „Updates“, „Wichtige Updates“ und „Treiber“ handeln. Hier ist es ebenfalls wichtig genau zu planen, was gebraucht wird. Eine zu große Auswahl bläht die Umgebung auf und belastet grundlos die Internetleitung. Werden zu wenig Produkte ausgewählt, sind die angebundenen Client-Computer und Server ungeschützt (siehe Bild 6).
Zeitplan definieren und Einrichtung abschließen
Der nächste Schritt besteht darin, dass über den Assistenten der Zeitplan für die Synchronisierung festgelegt wird. Zu dem hier festgelegten Zeitraum lädt WSUS die Updates herunter, die zuvor ausgewählt wurden (siehe Bild 7). Sobald der Assistent seine Arbeit abgeschlossen hat, sollte eine erste Synchronisierung durchgeführt werden.
Der Vorgang ist auf der Startseite der WSUS-Konsole zu sehen, wenn auf den Servernamen geklickt wird. Erst wenn hier eine erfolgreiche Synchronisierung durchgeführt worden ist und Patches zur Verfügung stehen, ist WSUS einsatzbereit. Danach können Clientcomputer an den Server angebunden werden. Die Einrichtung dazu ist im Artikel zum Einstieg in WSUS zu finden.
Nach der Installation der Windows Server Update Services (WSUS) geht es an die Optimierung, Fehlerbehebung und die Verwaltung der Umgebung. Die wichtigsten Schritte zeigen wir in diesem Video-Tipp und in der Bildergalerie.
Angebundene Clients überprüfen
Wichtig ist, dass die Clientcomputer zunächst im Menüpunkt „Computer\Alle Computer\Nicht zugewiesene Computer“ zu finden sind. Erst dann stehen die Patches auf dem WSUS-Server für die Clientcomputer zur Verfügung (siehe Bild 8).
Nach der Konfiguration der Gruppenrichtlinie kann es einige Zeit dauern, bis die Arbeitsstationen und Server mit WSUS verbunden sind und in der Administrationsoberfläche des WSUS erscheinen.
Auf den angebundenen Rechnern kann in der Eingabeaufforderung durch Eingabe des Befehls „wuauclt /detectnow“ eine Verbindung zum WSUS erzwungen werden (siehe Bild 9). Ist der Client noch nicht erfolgreich angebunden, kann in der Befehlszeile durch das Abrufen der entsprechenden Gruppenrichtlinie mit „gpupdate /force“ die Anbindung erfolgen. Anschließend kann die Anbindung mit „Wuauclt.exe /reportnow /detectnow“ überprüft werden.
Auch auf dem WSUS-Server kann die Anbindung überprüft werden. Dazu wird in der PowerShell der Befehl „get-wsuscomputer“ eingegeben (siehe Bild 10). Die WSUS-Server selbst werden mit „get-wsusserver“ angezeigt.
:quality(80)/images.vogel.de/vogelonline/bdb/1361100/1361181/original.jpg "Wie man die Windows Server Update Services (WSUS) installiert und welche Optionen bei der Ersteinrichtung besonders wichtig sind, zeigen wir in diesem Video-Tipp. (ileezhun - stock.adobe.com)")
Video-Tipp: WSUS (Teil 1)
WSUS-Grundlagen für Admins
Berichte mit WSUS abrufen - Installation abschließen
Ab 24 Stunden nach der Freigabe von Patches kann in den Berichten zum WSUS überprüft werden, ob die Updates auf den Computern korrekt bereitgestellt wurden. Damit das funktioniert, muss auf dem Server noch die Erweiterung „Microsoft Report Viewer Redistributable 2012“ installiert sein. Zusätzlich muss auf dem Server noch CLR-Types für SQL Server 2012 installiert werden . Danach steht die Berichtefunktion zur Verfügung über den Menüpunkt „Berichte“ zur Verfügung.
SSL nutzen
In produktiven Umgebungen sollte auf SSL gesetzt werden. Dazu wird in der IIS-Verwaltung auf dem Server zunächst SSL für die WSUS-Seite aktiviert. Hier wird vorgegangen, wie bei allen anderen Webseiten. Außerdem muss für folgende Verzeichnisse ebenfalls SSL aktiviert und als erforderlich konfiguriert werden:
ApiRemoting30ClientWebServiceDssAuthWebServiceServerSyncWebServiceSimpleAuthWebServiceNach der Umstellung muss noch die WSUS-Konsole angepasst werden. Dazu wird in der Befehlszeile aus dem Verzeichnis „C:\Programme\Update Services\Tools“ der Befehl „wsusutil ConfigureSSL <Name des Zertifikats>“ eingegeben. Anschließend muss die Serververbindung zum Server neu aufgebaut werden. Hier kann SSL als Verbindungsprotokoll aktiviert werden. Wichtig ist an dieser Stelle auch, dass in den Gruppenrichtlinien die SSL-Verbindung hinterlegt werden muss.
Alle weiteren Teile dieser Video-Tipp-Serie zu Windows Server Update Services (WSUS) finden Sie schnell und einfach über die untenstehende Bildergalerie.
:quality(80)/images.vogel.de/vogelonline/bdb/1400200/1400269/original.jpg "In dieser Video-Tipp-Serie zu WSUS geben wir Tipps zur Installation, zu Optimierungen, Fehlerbehebungen und zur Update-Verteilung. Mit den Pfeiltasten (← / →) oder den Schaltflächen oben können Sie durch die Sammlung navigieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1400200/1400270/original.jpg "<p style=\"line-height: 1.5\"><big>WSUS Video-Tipp - Teil 1</big><br> <a href=\"https://www.security-insider.de/wsus-grundlagen-fuer-admins-a-691109/\" target=\"_blank\" style=\"color:white\"><big><big><strong>WSUS-Grundlagen für Admins</strong></big></big></a><br> Die Installation von Windows-Updates oder Patches für Microsoft-Produkte möchten Administratoren selten ganz dem Anwendern überlassen. Will man die Updates effizient, zur passenden Zeit und ohne extreme Auslastung der eigenen Internetleitung im Netzwerk verteilen, kommt man um Windows Server Update Services (WSUS) nicht herum. Im ersten Teil der WSUS-Video-Tipp-Serie zeigen wir die wichtigsten Grundlagen für Installation und Einsatz von WSUS. <a href=\"https://www.security-insider.de/wsus-grundlagen-fuer-admins-a-691109/\" target=\"_blank\">>>> Zum Artikel <<<</a></p>")
:quality(80)/images.vogel.de/vogelonline/bdb/1400200/1400271/original.jpg "<p style=\"line-height: 1.5\"><big>WSUS Video-Tipp - Teil 2</big><br> <a href=\"https://www.security-insider.de/wsus-tipps-zu-optimierung-troubleshooting-und-scripting-a-695862/\" target=\"_blank\" style=\"color:white\"><big><big><strong>WSUS-Tipps zu Optimierung, Troubleshooting und Scripting</strong></big></big></a><br> Sobald die WSUS-Serverrolle installiert und eingerichtet ist, müssen in der Verwaltungskonsole einige Einrichtungen vorgenommen werden. Sind auch diese abgeschlossen, sind häufig noch Optimierungen und Fehlerbehebungen notwendig. Die wichtigsten Tipps und Schritte zeigen wir im zweiten Teil der WSUS-Video-Tipp-Serie. <a href=\"https://www.security-insider.de/wsus-tipps-zu-optimierung-troubleshooting-und-scripting-a-695862/\" target=\"_blank\">>>> Zum Artikel <<<</a></p>")
:quality(80)/images.vogel.de/vogelonline/bdb/1400200/1400272/original.jpg "<p style=\"line-height: 1.5\"><big>WSUS Video-Tipp - Teil 3</big><br> <a href=\"https://www.security-insider.de/wsus-tipps-zur-verwaltung-und-freigabe-von-updates-a-703207/\" target=\"_blank\" style=\"color:white\"><big><big><strong>WSUS-Tipps zur Verwaltung und Freigabe von Updates</strong></big></big></a><br> WSUS kann Aktualisierungen für Microsoft-Produkte herunterladen, lokal speichern und an die angebundenen Server und Arbeitsstationen weitergeben, ohne dass dafür zusätzliche Downloads stattfinden müssen. Im dritten Teil der WSUS-Video-Tipp-Serie zeigen wir, wie Admins die Verteilung und Freigabe der Updates auch zentral vom Server aus steuern können. <a href=\"https://www.security-insider.de/wsus-tipps-zur-verwaltung-und-freigabe-von-updates-a-703207/\" target=\"_blank\">>>> Zum Artikel <<<</a></p>")
(ID:45195645)
:quality(80)/images.vogel.de/vogelonline/bdb/1964600/1964605/original.jpg "Admins können mit Windows 11 Pro/Enterprise Updates über Gruppenrichtlinien steuern. Dazu ist kein Active Directory notwendig. (Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/c2/6ec2d20bdbdabec3078fcaf1e80975f2/0112936548.jpeg "Mit kostenlosen Tools wie Windows Update Mini Tool und Co bekommen Admins mehr Kontrolle über Updates in Windows. (Bild: Miha Creative - stock.adobe.com)")