Mit der Erweiterung der IT-Umgebung des Unternehmens und der zunehmenden Anzahl an Computerarbeitsplätzen steigt auch die Anzahl der Aufgaben, die von IT-Administratoren ausgeführt werden. In der heutigen Welt besteht einer der wichtigsten Aspekte zur Gewährleistung der Geschäftskontinuität darin, die korrekte Verteilung von Updates sicherzustellen. Um den Erwartungen hinsichtlich der Verteilung von Updates gerecht zu werden, stellt uns Microsoft den Windows Server Update Service zur Verfügung.
Regelmäßige Aktualisierungen der IT-Systeme sorgen für mehr Sicherheit im Unternehmen. Natürlich gibt es Updates, die nach der Installation zu Fehlern führen, aber generell hat ein Update der Software mehr Vorteile als Nachteile. Hauptsächlich, weil Patches erstellt werden, um in der Anwendung gefundene Probleme zu beheben. Wenn ein Softwarehersteller einen besonders kritischen Patch veröffentlicht, bedeutet dies, dass die Nichtinstallation dieses Patches Ihren Computer gefährden kann.
Ein gutes Beispiel aus dem Jahr 2021 ist das Auffinden einer Microsoft Exchange-Schwachstelle. Diese Schwachstellen haben einen hohen Schweregrad und sind leicht auszunutzen. Tatsächlich wurden vier Schwachstellen mit Signaturen gemeldet:
- CVE-2021-26855 Sicherheitslücke durch serverseitige Anforderungsfälschung (SSRF). Durch Ausnutzung der SSRF-Schwachstelle ist es möglich, nicht autorisierte Befehle auszuführen, um Daten aus der Anwendung zu extrahieren. CVE-2021-26857 – wird von Angreifern verwendet, um Code unter dem „System“-Konto auf dem angegriffenen Exchange-Server auszuführen.
- CVE-2021-26858 und CVE-2021-27065 – zwei weitere Zero-Day-Schwachstellen, die es einem Angreifer ermöglichen, Dateien auf einen beliebigen Teil des Servers zu schreiben.
Erneut wurden Microsoft Exchange-Server angegriffen, auf denen keine Updates zur Behebung der oben genannten Schwachstellen installiert waren. Die Angreifer installierten die Dearcry- Ransomware , eine Malware, die Dateien verschlüsselt und ein Lösegeld für die Entschlüsselung erzwingt.
Windows Server Update Services (abgekürzt WSUS ) ist ein lokales Update-Repository sowie ein Kontroll- und Überwachungszentrum. Der Dienst ist in Serverversionen von Microsoft Windows Server-Systemen als eine der installierbaren Rollen verfügbar. Die grundlegende Aufgabe des Pakets besteht darin, Updates von offiziellen Windows Update-Quellen herunterzuladen und diese dann nach Genehmigung durch den Administrator an Arbeitsstationen im Netzwerk bereitzustellen. Von der zentralen Verwaltungskonsole aus kann der Administrator entscheiden, welche Patches für welche Gerätegruppe installiert werden sollen. Bei Aktualisierungen, die Fehler verursachen können, kann der Administrator diese ablehnen oder ihre Implementierung verzögern. Alle im lokalen Repository ausgeführten Vorgänge werden protokolliert. Dadurch können wir Berichte über den Status der auf Computern installierten Updates erstellen. WSUS fungiert als lokaler Update-Speicher, von dem ordnungsgemäß konfigurierte Workstations Updates direkt von unserem Server herunterladen, ohne die Internetverbindung zu belasten.
Die Verwendung des WSUS-Updateservers bietet unserer Organisation mehrere Vorteile.
Es schützt uns vor ungeplanten Ausfällen im Betrieb von IT-Systemen, indem es das Betriebssystem während der Geschäftszeiten aktualisiert. Durch eine entsprechende Konfiguration des Update-Zeitplans kann die Installation von Patches während der Arbeit der Benutzer verhindert werden.
Wenn keine automatische Update-Akzeptanzregel festgelegt wurde, muss der WSUS-Administrator jedes Update für die ausgewählte Gruppe akzeptieren. Dies gibt ihm die Möglichkeit, das Update vor der produktiven Implementierung an einer ausgewählten Testgruppe zu testen und die Implementierung des Updates zu planen.
Installieren der WSUS-Rolle auf Windows Server 2019.
Um die WSUS-Rolle zu installieren, gehen Sie folgendermaßen vor:
- Melden Sie sich beim Windows 2019-Server an, auf dem Sie die WSUS-Serverrolle installieren möchten, mit einem Konto, das Mitglied der Gruppe „Lokale Administratoren“ ist.
- Wählen Sie im Server-Manager „Verwalten“ aus und fügen Sie dann Rollen und Funktionen hinzu.
- Klicken Sie auf der Seite „Bevor Sie beginnen“ auf „Weiter“.
- Wählen Sie auf der Seite „Installationstyp auswählen“ die Option „Rollenbasierte oder funktionsbasierte Installation“ aus und klicken Sie dann auf „Weiter“.
Überprüfen Sie auf der Seite „Serverauswahl“ den Servernamen und klicken Sie auf „Weiter“.
Wählen Sie im Assistenten zum Hinzufügen von Rollen und Funktionen die Rolle „Windows Server Update Services“ aus. Windows Server enthält auch Rollen, die für die Ausführung von WSUS erforderlich sind.
Lassen Sie in diesem Fall alles so wie es ist und klicken Sie auf Weiter.
Wählen Sie unter Windows Server Update Services die Option Weiter aus.
Wählen Sie in diesem Schritt den Datenbankverbindungsmodus aus. Die Standardauswahl ist Windows Internal Database. Diese Datenbank wird zusammen mit der WSUS-Installation installiert. Die zweite Option, die Sie verwenden können, ist MS SQL, das auf einem anderen Server installiert ist. Zukünftig ist ein Wechsel von WID zu MS SQL möglich. Klicken Sie nach Auswahl der ausgewählten Optionen auf Weiter.
Im nächsten Schritt müssen Sie einen Speicherort für die Updates auswählen. Es wird empfohlen, einen anderen Speicherort als Laufwerk C zu wählen, da die Größe des Ordners mit der Anzahl der gespeicherten Updates zunehmen kann und Nicht-Systempartitionen einfacher zu erweitern sind.
Klicken Sie unter „Webserverrolle (IIS)“ auf „Weiter“.
Die Rollen des Webservers (ISS) werden automatisch ausgewählt. Lassen Sie alles unverändert und klicken Sie auf Weiter.
Bestätigen Sie die WSUS-Installation, indem Sie auf Installieren klicken.
Klicken Sie im letzten Schritt der Installation auf Schließen.
WSUS-Konfiguration in Windows Server 2019
Nach der Installation von WSUS können Sie es mit dem WSUS-Setup-Assistenten konfigurieren. Melden Sie sich dazu am Server an, auf dem WSUS installiert ist. Wählen Sie dann im Startmenü Windows-Verwaltungstools und Windows Server Update Service aus.
Wenn Sie es zum ersten Mal ausführen, wird der folgende Bildschirm angezeigt. Akzeptieren oder ändern Sie den Speicherort für das Update und klicken Sie dann auf Ausführen.
Sobald der Nachinstallationsprozess abgeschlossen ist, klicken Sie auf Schließen.
Die Seite „Bevor Sie beginnen“ wird geöffnet. Klicken Sie auf „Weiter“.
Deaktivieren Sie dann „Ja, ich möchte am Microsoft Update Improvement Program teilnehmen“, wenn Sie nicht am Programm teilnehmen möchten.
In diesem Konfigurationsschritt müssen Sie den übergeordneten Server auswählen. Es gibt zwei Optionen:
- Von Microsoft Update synchronisieren – Wenn Sie diese Option auswählen, werden Updates von Microsoft Update heruntergeladen.
- Von einem anderen Windows Server Update Services-Server synchronisieren – wählen Sie diese Option, wenn der konfigurierte Server Updates von einem vorhandenen WSUS-Server herunterladen soll. Geben Sie den Servernamen und die Portnummer an (Standard 8530). Wenn Sie sich für die Verwendung von SSL beim Synchronisieren von Updates entscheiden, stellen Sie sicher, dass der übergeordnete WSUS-Server ebenfalls für die Unterstützung verschlüsselter Kommunikation konfiguriert ist.
Wählen Sie „Mit Microsoft Update synchronisieren“, da dies der einzige WSUS-Server ist. Klicken Sie dann auf Weiter.
Wenn in der Netzwerkumgebung ein Proxyserver vorhanden ist, aktivieren Sie die Option „Beim Synchronisieren einen Proxyserver verwenden“ und geben Sie die für den Proxyserver geeigneten Anmeldeinformationen ein. Klicken Sie dann auf Weiter.
Klicken Sie auf der Seite „Mit Upstream-Server verbinden“ auf „Verbindung herstellen“.
Sobald der Verbindungsvorgang abgeschlossen ist, klicken Sie auf Weiter.
Wählen Sie im Abschnitt „Sprachen auswählen“ die Update-Sprachen aus, die auf dem WSUS-Server gespeichert werden sollen. Um Platz zu sparen, wird empfohlen, nur die Sprachen auszuwählen, die in Ihrer Organisation verwendet werden, und auf Weiter zu klicken.
Wählen Sie im nächsten Abschnitt die Produkte aus, für die Updates auf dem Update-Server vorgehalten werden sollen. Wählen Sie Weiter.
Wählen Sie dann die Arten von Updates aus, die der Update-Server speichern soll. Nachdem Sie die Updates ausgewählt haben, an denen Sie interessiert sind, klicken Sie auf Weiter.
Auf der Seite „Synchronisierungszeitplan festlegen“ können Sie auswählen, wie die Synchronisierung erfolgen soll: manuell oder automatisch. Wenn Sie „Manuell synchronisieren“ auswählen, müssen Sie die Konsolensynchronisierung jedes Mal aktivieren. Die Option, eine manuelle Synchronisierung zu erzwingen, wird in einer Produktionsumgebung nicht empfohlen.
Wenn Sie „Automatisch synchronisieren“ auswählen, erfolgt die Synchronisierung automatisch in bestimmten Intervallen. Sie können die Anzahl der täglichen Synchronisierungen aus der Dropdown-Liste auswählen. Klicken Sie nach Auswahl der entsprechenden Option auf Weiter.
Aktivieren Sie die Option „Erste Synchronisierung beginnen“ und klicken Sie auf „Weiter“.
Klicken Sie im letzten Bildschirm auf Fertig stellen.
Der nächste Schritt nach der Installation und Konfiguration von WSUS besteht darin, die Computer in der Organisation für die Zusammenarbeit mit dem Update-Server vorzubereiten.
Sie verwenden Gruppenrichtlinien, um die Update-Quelle in Ihrer Active Directory-Umgebung zu bestimmen. Melden Sie sich dazu am Domänencontroller an, wählen Sie im Menü „Windows-Verwaltung“ und dann „Gruppenrichtlinienverwaltung“.
Öffnen Sie eine vorhandene Gruppenrichtlinie oder erstellen Sie eine neue. Gehen Sie in der Gruppenregel zu Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Windows Update. Wählen Sie „Automatische Updates konfigurieren“ aus, wählen Sie dann „Aktivieren“ aus und legen Sie fest, wie Updates bereitgestellt und wann sie installiert werden.
Eine weitere wichtige Sache, die Sie konfigurieren sollten, ist die Angabe des Speicherorts des Microsoft-Intranet-Aktualisierungsdienstes. Die Idee hinter dieser Gruppenrichtlinie besteht darin, Computer über die Existenz eines Intranet-Update-Servers zu informieren. Wenn diese Einstellung nicht konfiguriert ist, wissen Computer nichts über die lokale Patch-Quelle. Bei Verwendung einer verschlüsselten Verbindung tragen Sie am Ende den Port 8531 ein.
Wenn Sie die WSUS-Konsole starten, werden zwei Standardcomputergruppen angezeigt: „Alle Computer“ und „Nicht zugewiesene Computer“. Bevor Sie Updates in Ihrer Organisation implementieren, lohnt es sich, diese an einer ausgewählten Gruppe zu testen. Erstellen Sie dazu eine Testgruppe. Erweitern Sie den Namen des WSUS-Servers und dann Computer. Klicken Sie mit der rechten Maustaste auf „Alle Computer“ und wählen Sie „Computergruppe hinzufügen“ aus dem Dropdown-Menü. Geben Sie einen Namen für die Testgruppe ein und klicken Sie auf Hinzufügen.
Nachdem Sie auf die Gruppe „Alle Computer“ geklickt haben, sollten Sie alle Computer sehen, die eine Verbindung zum Update-Server hergestellt haben. Wählen Sie die ausgewählten Computer aus, klicken Sie mit der rechten Maustaste darauf und wählen Sie dann im Dropdown-Menü die Option „Mitgliedschaft ändern“ aus.
Wählen Sie im Fenster „Computergruppenmitgliedschaft festlegen“ die neu erstellte Gruppe aus und klicken Sie auf „OK“.
Sie sollten die übertragenen Computer in der neu erstellten Gruppe sehen.
Nachdem Sie die Windows10-Testgruppe erstellt haben, müssen Sie die Updates genehmigen, die Sie bereitstellen möchten. Starten Sie die WSUS-Verwaltungskonsole und klicken Sie dann auf Updates und Alle Updates. Wählen Sie im Abschnitt „Alle Updates“ die Updates aus, die Sie für die Testgruppe genehmigen möchten, und klicken Sie mit der rechten Maustaste auf die ausgewählten Updates. Wählen Sie Genehmigen aus.
Klicken Sie im Fenster „Updates genehmigen“ der Windows 10-Testgruppe mit der rechten Maustaste, wählen Sie „Zur Installation genehmigt“ aus und klicken Sie dann auf „OK“.
Nachdem Sie auf „OK“ geklickt haben, wird das Fenster „Genehmigungsfortschritt“ angezeigt, das den Fortschritt der Update-Genehmigungsaufgaben anzeigt. Sobald der Genehmigungsprozess abgeschlossen ist, klicken Sie auf Schließen.
Die Genehmigung von Updates kann auch automatisch erfolgen. Zu diesem Zweck sollten Sie eine automatische Genehmigungsregel in den Windows Server Update Services konfigurieren. Starten Sie die Verwaltungskonsole, erweitern Sie dann den WSUS-Server und wählen Sie Optionen aus. Wählen Sie unter „Optionen“ die Option „Automatische Genehmigungen“ aus. Im Fenster sehen Sie eine Standardregel für die automatische Genehmigung, die Sie bearbeiten und verwenden können. Erstellen Sie hier neue Regeln für die automatische Genehmigung von Updates. Klicken Sie auf Neue Regel.
Aktivieren Sie das Kontrollkästchen Wenn sich ein Update in einer bestimmten Klassifizierung befindet, wählen Sie die Update-Klassifizierung aus und weisen Sie dann eine Regel für die ausgewählte Gruppe zu. Legen Sie abschließend eine Frist für die Genehmigung des Updates fest und geben Sie einen Namen für die Regel an.
Nachdem Sie die Regel erstellt haben, müssen Sie sie ausführen. Aktivieren Sie das Kontrollkästchen auf der linken Seite der ausgewählten Regel und klicken Sie auf Regel ausführen.
Der letzte Abschnitt, der in diesem Artikel behandelt wird, sind WSUS-Berichte. Wählen Sie in der Konsole „WSUS-Berichte“ aus und klicken Sie dann auf den gewünschten Bericht, um den Implementierungsstatus, die Synchronisierungsberichte und die Computerberichte zu aktualisieren.
Im Rahmen wiederkehrender Verwaltungsaufgaben sollten Sie regelmäßig den Status der Synchronisierung mit Microsoft-Servern überprüfen. Sie müssen Updates überprüfen, die eine Administratorgenehmigung erfordern, und den Server von Updates bereinigen, die nicht mehr benötigt werden. Der Einsatz eines Update-Servers bringt einen enormen Vorteil in Form eines erhöhten störungsfreien Betriebs auf Firmenrechnern. Eine gute Planung des Update-Zeitplans verhindert die ungeplante Installation von Updates während der Arbeit des Benutzers. Durch die Verteilung der Patches durch den Update-Server wird die Belastung der Internetverbindung deutlich reduziert. Der Administrator kann Updates für ausgewählte Gruppen effektiv genehmigen und deren Status auf Arbeitscomputern steuern. Alle Administratoraktivitäten werden in der WSUS-Verwaltungskonsole aufgezeichnet, wodurch Sie verschiedene Arten von Berichten erstellen können: Aktualisierungsberichte, Computerberichte, Synchronisierungsberichte. Sie erleichtern die Verwaltung Ihrer Update-Umgebung.
Mit dem im Artikel beschriebenen Verfahren können Sie einen Update-Server in Ihrer Organisation bereitstellen. Weitere Einzelheiten finden Sie in der Dokumentation von Microsoft unter:
Sie benötigen Unterstützung im Bereich IT-Services ? Support Online ist ein Outsourcing-Unternehmen, das moderne technologische Lösungen im Bereich IT-Dienstleistungen anbietet. Wir beginnen unsere Zusammenarbeit mit einem IT-Audit und schlagen dann die besten Lösungen für Ihr Unternehmen vor. Zögern Sie nicht und überlassen Sie uns die Betreuung der IT-Umgebung und Datensicherheit in Ihrem Unternehmen.
Mateusz Kierczyński
IT-Administrator bei Support Online
