Schwächen von Windows Server Update Services (WSUS), die Sie vielleicht nicht kennen

Windows Server Update Services (WSUS) soll automatisch Schwachstellen in Windows flicken. Diese Sicherheit kann trügerisch sein, weiß unser Experte.

Ich war bei IT-Sicherheit schon immer ein Freund der Philosophie „benutze, was du schon hast“. Allerdings heißt...

das nicht, dass im Umkehrschluss immer die eingebauten oder kostenlosen Technologien optimal sind. Die Windows Server Update Services (WSUS) von Microsoft bilden hier keine Ausnahme. Fast bei jeder internen Sicherheitsbewertung, an der ich beteiligt bin, finde ich mindestens eine Handvoll und oft noch viel mehr Workstations, bei denen entscheidende Patches fehlen. Dabei tun Auditoren, Aufseher und Malware-Schreiber ohnehin schon alles, um IT-Administratoren das Leben schwer zu machen – fehlende Patches sind da das Letzte, was Sie noch gebrauchen können.

Man muss kein Super-Hacker sein, um solche Schwachstellen auf Desktops aufzudecken. Dafür reichen schon einfache Scanner wie QualysGuard oder GFI LanGuard. Oft finde ich fehlende Patches in Windows XP, die es schon seit 2002 gibt und selbst aktuelle Windows-7-Patches sind häufig nicht eingespielt. Gleichzeitig aber meldet WSUS, dass alles auf dem neuesten Stand sei. Was ist da los?

Noch beunruhigender ist die mangelhafte Fähigkeit von WSUS, auch Software von Drittanbietern wie Adobe, Java und andere zu flicken. Eine Erweiterung dafür ist verfügbar, wird aber kaum genutzt. Laut dem Security Intelligence Report 2011 von Microsoft machen Java-Exploits 33 bis 50 Prozent aller Sicherheitslücken aus.

Eine einfache Lösung für dieses grundsätzliche Problem kann darin bestehen, in ein externes Tool für Patch-Management zu investieren, das auch mit Applikationen von Drittanbietern zurechtkommt. Wenn Sie ein knappes Budget haben, ist für Sie vielleicht das Open-Source-Werkzeug Local Update Publisher interessant, das mit WSUS integriert ist. Wichtig ist in jedem Fall, Patches für fremde Software nicht zu vergessen.

Noch habe ich nicht ganz verstanden, warum WSUS fälschlich berichtet, dass mit den Windows-Patches alles in Ordnung sei. Es könnte damit zusammenhängen, dass manche Patch-Installationen scheitern, was Windows dann nicht an WSUS weitermeldet. Vielleicht haben Administratoren, Anbieter oder Nutzer auch bestimmte Patches wieder deinstalliert, und auch diese Änderung ist bei WSUS nicht angekommen. So oder so: Falls Sie WSUS verwenden, können Sie fast sicher davon ausgehen, dass dieses Problem in Ihrem Netzwerk jetzt gerade besteht. Es gibt nur eine Methode, um das genau festzustellen: Sie müssen auf jedem Desktop einen Schwachstellen-Scanner laufen lassen. Im Idealfall sollten Sie den ersten Durchlauf mit Authentifizierung vornehmen, damit sich das Werkzeug anmelden kann, um wirklich alle Lücken zu finden.

Zentralisiertes Management, Steuerung und Einblicke sind für Sicherheit entscheidend. WSUS ist in dieser Hinsicht durchaus eine Hilfe, doch keine vollständige Lösung. Bei Sicherheit sind oft die einfachen Sachen entscheidend. Wie Microsoft in seinem Security Intelligence Report erklärt, ist fast die Hälfte aller Malware-Infektionen darauf zurückzuführen, dass eine Person eine falsche Entscheidung getroffen hat. Sie sollten Ihren Nutzern die Voraussetzungen geben, dass ihnen so etwas nicht passiert. Ein fragiler und nicht bewährter Patching-Prozess, der das Ausnutzen von Gutgläubigkeit erleichtert, ist in Wirklichkeit kein Problem auf Nutzer-Seite. Stattdessen ist er als Versagen von IT-Abteilungen anzusehen, die nicht die richtigen Sicherheitswerkzeuge zum Schutz ihrer Desktops einsetzen.

Kennen Sie Ihre Umgebung – einschließlich möglicher Lücken bei der Desktop-Sicherheit! Selbst wenn WSUS also meldet, dass alles in Ordnung ist, müssen Sie das verifizieren. Diese Update-Schwäche von Windows ist überall zu finden, was nicht sein müsste. Kümmern Sie sich deshalb noch heute um Lücken in Ihrem Patch-Management für Desktops und schließen Sie sie konsequent. Anschließend können Sie sich wieder um größere und wichtigere Dinge kümmern.

Artikel wurde zuletzt im Januar 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Windows-Server

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close