Sicherer Betrieb von Windows-Systemen

Windows Update

Einführung

• etwas in den Zustand 'up to date' bringen; aktualisieren
• update: change/add/delete Daten; are incremental bug fixes; updates sind frei (meistens
• Synomym upgrade: changing to new version; are major revisions; upgrades sind zu bezahlen
• Produktaktualisierung
• Windows Update = Microsoft Update für Betriebssystem sowie weitere Microsoft-Produkte
• Update = Patch = Software/Programm zur Korrektur/Nachbesserung/Funktionserweiterung
  (hotfix = eilige Korrektur, nicht umfassend getestet, nicht automatisch beziehbar)
• Service Pack = Sammlung/Zusammenfassung von Patches

Technologie

• Client-Server-Technologie
• web-basierend (http-Protokoll)
• Software zur Aktualisierung wird auf Server bereitgestellt, zum download
• Client ("bedürftiger" PC) muss Patch holen/downloaden
  und installieren
• Verantwortung liegt beim Administrator
• Automatismen für download/Installation oder "von Hand"
• Konfiguration am Client entscheidet über Verfahren

Charakterisierung der Update-Software

• Titel/Bezeichnung
  • Security Update ...
  • Beispiele:
    "Update for Windows XP (KB942840)"
    "Cumulative Security Update for Windows Mail for Windows Vista (KB929123)"
    "Security Update for Windows Media Player 9 (KB911565)"
  • KB942840 = KB-Nummer -> KB-Artikel -> Knowledge Base-Artikel -> http://support.microsoft.com => Knowledge Base Suche
    oder direkt http://support.microsoft.com/kb/942840
• Severity/Wichtung
  siehe auch Bewertungssystem
  • critical/kritisch - Verbreitung! (Internet-Wurm, ...) -> möglichst zeitnah installieren
  • important/hoch - Vertraulichkeit, Integrität oder Verfügbarkeit
  • moderate/mittel - eingeschränkt für Angriffe nutzbar -> siehe Beschreibung
  • low/niedrig - schwierig ausnutzbar -> siehe Beschreibung
  • unspecified/... - Update Rollups, Service Packs, Definition Updates
• Categories/Kategorien
  Patches nur für aktuell unterstützte Systeme/Software, s.u. (lifecycle)
  • Windows XP
  • Windows XP x64 Edition
  • Windows XP 64-Bit Edition Version 2003
  • Windows Vista
  • Windows Vista Ultimate Language Packs
  • Windows Server 2003
  • Windows Server 2003, Datacenter Edition
  • Windows Server 2008
  • Windows Defender
    gegen Malware/Spyware - siehe Link-Liste
  • ...
  • Office 2003
  • Office 2007
  • Windows Internet Explorer 7 ...
• Classification/Klassifikation
  • Critical Updates
  • Security Updates
  • Updates
  • Definition Updates
  • Service Packs
  • Update Rollups
• Beschreibung
  verbaler Text
• Weitere Metadaten
  • Neustart erforderlich oder nicht
  • entfernbar
  • Vorrang vor bzw. nachrangig
  • Installationsbesonderheiten (separat zu installieren)
  • Benutzereingaben/Interaktion notwendig
  • ersetzt (anderen Patch)
  • Endbenutzer-Lizenzvertrag (EULA)

Konfiguration des Windows-Update-Client (zur Automatisierung)

• Aktivierung Windows Update
  • Aufforderung durch Windows oder
  • Start -> Systemsteuerung -> ... -> System => Automatische Updates oder
  • Start -> Systemsteuerung -> Sicherheit -> Windows Update ... oder
  • Dienst "Automatische Updates" bzw. "Windows Update" (Dienstname wuauserv) aktivieren
• Nutzung des Dienstes WUSCH
  • Server: http://windowsupdate.tu-chemnitz.de (keine übliche WWW-Seite)
  • siehe WUSCH - Windows Update Service im Campusnetz der TU Chemnitz
• Konfiguration
  (siehe http://www.tu-chemnitz.de/urz/xp/updateconf.html -> "Alternativen")
  • Beispiel WUSCH-Konfiguration
    oder
  • Richtlinien -> gpedit.msc: -> Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Windows Update
    oder
  • registry -> Aufruf regedit
    • [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
    • [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU]
    • Beispiel für Inhalt der registry
    • Beispiel für Inhalt einer reg-Datei zur Konfiguration
• nur Vista: How to update your operating system

Alternative Patch-Installation

• Installation von Hand initiieren -> IE: http://update.microsoft.com /windowsupdate
• individuelles patch download und Installation - (mittlerweile nur) http://www.microsoft.com/downloads -> Suchen in "Windows Security & Update" nach der Patch-Nummer ...
  • Sprache beachten! (nur XP, W2K3) -> "Sprache ändern"/"Change language"
  • WindowsXP-KB942840-x86-ENU.exe, WindowsXP-KB942840-x86-DEU.exe (XP, W2K3)
  • Windows6.0-KB943078-x86.msu - in Vista Sprachunabhängigkeit
• "Windows-Updates ohne Internet-Verbindung installieren"
  siehe Zeitschrift CT, Heft 23/2006, S. 202ff.

Kontrolle / Überwachung

• Wie sehe ich, ob ein bestimmter Patch installiert ist?
  Start -> Systemsteuerung -> Software => "Updates anzeigen" aktivieren (XP, 2003)
  Start -> Systemsteuerung -> Sicherheit -> Installierte Updates anzeigen (Vista)
• Ereignisanzeige in
  Start -> Verwaltung -> Ereignisanzeige oder
  Start -> System und Wartung -> Verwaltung -> Ereignisprotokolle anzeigen
  • IDs zwischen 17 und 22
    • 17 - Updates downloaded und für Installation bereit -> Administrator
    • 18 - ... Installation zu Datum/Uhrzeit
    • 19 - Installation vollständig
    • 20 - Fehler bei Installation
    • 21 - installiert -> restart notwendig
    • 22 - installiert, PC wird in ... Minuten restartet
  • oder Quelle "Windows Update Agent" -> Sortieren
• allgemeines logfile
  • C:\Windows\WindowsUpdate.log
• Patch-spezifisches logfile
  • C:\Windows\KB nnnnnn .log
• registry -> Ausführen regedit
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
  • Beispiel für registry-Inhalt bei aktivem Windows Update
• Microsoft Baseline Analyzer
  • MS-tool, extra download / Installation
  • Identifizierung bekannter fehlerhafter Sicherheitskonfigurationen
  • http://www.microsoft.com/germany/technet/sicherheit/tools/mbsa.mspx
    (mit Lizenzüberprüfung verknüpft)
  • Protokolle in C:\Dokument und Einstellungen\Administrator\SecurityScans

Tipps

• Wann gibt es einen neuen Patch?
  • "patch day" - zweiter Dienstag im Monat
    und außer der Reihe
  • Abonnieren des Microsoft-Sicherheitsbenachrichtigungsdienstes
  • DFN-CERT
  • Heise, BSI, ...
• Was soll der Patch tun?
  • siehe detaillierte Beschreibung vom Hersteller
  • siehe KB-Artikel
  • siehe DFN-CERT
• Auswirkungen eines Patches vorher abschätzen
  • Ersetzen/Ändern von Komponenten?
  • Änderung der Windows-Konfiguration (registry, Richtlinien (policy), firewall, ...)
  • Testen, Informationen, DFN-CERT
• Möglichst schnelles Einspielen
  • entsprechend Wichtigkeit
  • von Hand (download, Installation)
  • oder Intervall verkürzen -> Konfiguration (Achtung: Dienst neu starten)
  • oder Dienst stoppen; nächste detection-Zeit löschen; Dienst starten
• Zyklus/Zeiten für Windows Update verändern, entsprechend
  • Arbeitsweise - läuft PC 24h?
  • Installation mittags oder beim shutdown oder nach dem Booten?

Spezielles

Patch beseitigen/deinstallieren

• nicht für alle Patches möglich
• Start -> Systemsteuerung -> Software ... oder
  c:\WINDOWS\$NtUninstallKB907371-V2$\spuninst\spuninst.exe
  in Vista: Start -> Systemsteuerung -> Sicherhiet -> Installierte Updates anzeigen ... Markieren/Entfernen

Vista

• BITS - Hintergrundübertragungsdienst (nutzt Pausen)
• "Restart Manager"
  • Patch-Untersuchung
    • Kern/System betreffende Patches (erfordern reboot) werden zur "Patch-Installationszeit" installiert
    • andere - wenn betroffene Komponente in Nutzung -> Anfrage, dann Sicherung des aktuellen Zustands, Patch-Installation, Wiederherstellung des Vor-Patch-Zustands -> Weiterarbeit
• neues Patchdatei-Format - Suffix .msu
  • Windows-Update-Installationsprogramm (Microsoft Update Standalone Package)
  • automatische Installation oder
  • Installation mit Kommando wusa.exe
    • wusa /quiet ... - "stilles" Installieren
    • wusa /restart ... - kein reboot

HTTPS

• HyperText Transfer Protocol Secure
• analog http, zusätzlich SSL zur zur Verschlüsselung und zur Authentifizierung der Kommunikation zwischen Webserver und Klienten
• hier lediglich eineindeutige Zuordnung Klient - Server relevant
• https://windowsupdate.tu-chemnitz.de (VPN notwendig)
• Schlüsselverifizierung durch Aufruf im Browser und Verifizierung des Zertifikats gegenüber Zertifizierungsstelle des Universitätsrechenzentrums der TU Chemnitz (TUC/URZ-CA)

Links, Literatur

• MS Security Bulletins
• WUSCH
• Support-Lifecycle Index
• life cycle service packs
• Malware
• Spyware
• c't, 23/2006, Seite 202: Selfmade Service Pack - Windows-Updates ohne Internet-Verbindung installieren
• c't-Archiv, 22/2007, Seite 212: Patch-Konserven - Selbstgeschnürte Service Packs für Windows und Office