Patchverwaltung im Windows-Netz: WSUS 3.0 perfekt einrichten

Microsoft steckt immer wieder Prügel für die Sicherheitslücken in seiner Software ein. Oft zu Recht, manchmal allerdings gibt es längst Patches für die Fehler in Programmen und Betriebssystemen, die Benutzer installieren sie nur nicht. Wenn Hacker dann die vorhandenen Löcher ausnutzen, wird gern mit dem Finger auf den großen bösen Riesen in Redmond gezeigt.

Sicher, es wäre schöner, wenn es keine Fehler in der Software geben würde. Doch kein Programmierer brüstet sich mit fehlerfreier Software, auch Microsoft nicht. Zumindest legt der Betriebssystemgigant seit einiger Zeit deutlich mehr Wert auf Sicherheit als früher. Verschiedene Initiativen zeigen, dass zumindest versucht wird, etwas zu bewegen. Windows Update ist eine Komponente davon. Mit diesem webbasierten Dienst kann der Benutzer alle Patches, Fixes und Updates automatisch auf seinen PC installieren lassen – wenn er denn freigeschaltet ist. Auf vielen Computern bleiben die Warnhinweise von Windows Update – das kleine blaue Weltkügelchen oder das gelbe, warnende Schildsymbol – unbeachtet. Das mag mit Unkenntnis zu tun haben, oder auch mit dem dumpfen Unbehagen vor der Firma Microsoft, die möglicherweise irgendwelche Daten durch den Updatedienst aberntet und ungefragt Software auf den eigenen PC schiebt. Auf der Kehrseite bleiben dann ungepatchte Sicherheitslücken und Systeme, die für Angreifer leichte Beute sind.

WSUS als zentrale Instanz

Mit den Windows Server Update Services (WSUS) bekommt man als Anwender mehr Kontrolle über die Patches und macht den Vorgang viel effizienter. Denn während Windows Update alle Dateien für jeden PC separat herunterlädt, dient der WSUS-Server als zentrale Verteilungsinstanz. Zudem kann der Admin alle Patches, Updates und Fixes vor der Installation blockieren und analysieren. Bei Microsoft ist der erste Dienstag im Monat Patch-Tag – der so genannte „Patch Tuesday“. Manchmal erscheinen schon kurz darauf Patches für die Patches, weil es in der Praxis doch noch Probleme mit einem der Updates gab. Wer zumindest einen oder zwei Tage mit der Verteilung der Dateien an die Clients wartet, spart sich oft dieses Hickhack.

WSUS ist der Nachfolger von SUS, dem Software Update Service. Als immer mehr Produkte und Kategorien in die Patchverwaltung aufgenommen wurden, änderte Microsoft den Namen in WSUS und gab dem Tool auch deutlich mehr Funktionalität mit. Fortan konnten Reports über den Patchzustand der Computer im Netz zusammengestellt werden. Wer Gruppenrichtlinien für die Einstellungen am Client nutzte, hatte nun anstelle der vier Basisparameter ein Dutzend Einstellmöglichkeiten.

WSUS 2.0 war seit 2005 im Einsatz, seit Mai 2007 gibt es mit WSUS 3.0 einen noch leistungsfähigeren Nachfolger. Leider langt WSUS 3.0 bei den Anforderungen deutlich kräftiger hin. Die WSUS-Engine benötigt das aktuellste Serverbetriebssystem, verlangt also Windows Server 2003 mit SP1 oder neuer als Installationsbasis. Windows Server 2008 (ehemals Longhorn) wird ebenfalls unterstützt. Die Verwaltung kann allerdings über XP und Vista erfolgen.

Die Installation auf einer Small-Business-Version (SBS) von Windows Server 2003 funktioniert mit Einschränkungen. Das Problem ist die Standardbelegung des Internet-Information-Servers. Bei SBS ist er nach der Installation mit Sharepoint und einer SBS-Defaultseite konfiguriert. WSUS versucht ebenfalls, seine Managementoberfläche auf die Defaultseite zu legen. Das gibt Konflikte und führt zu Fehlermeldungen. Auf dem WSUS-Wiki gibt es eine detaillierte Anleitung, wie es trotzdem funktioniert.

Natürlich bedeutet WSUS Aufwand: Hardware, Installation, Kontrolle – dazu ist nicht jeder bereit, schon gar nicht im Privatbereich. Doch WSUS erleichtert den Umgang mit Patches wirklich nachhaltig – schon ab drei Computern ist die Software eine Überlegung wert. In einer Zeit, da Vmware und Virtual Server kostenlos verfügbar sind, muss es nicht einmal eine eigene Serverbox sein: Eine VM auf einem ausreichend leistungsfähigen Computer tut es auch.