Microsoft hat einen Leitfaden (Anleitung, Handbuch) veröffentlicht für den korrekten Einsatz und die Planung von Windows Updates.
Dieser umfangreich Leitfaden mit 100 Seiten Umfang wurde als Hilfe für IT-Profis entwickelt um Microsofts Security Release-Informationen, Prozesse, Kommunikation und Tools besser verstehen und verwenden zu können. In diesem Handbuch befindet sich ein verständliches Glossar der Fachbegriffe, eine Übersicht über den Microsoft Security Bulletin Prozess und eine Schritt-für-Schritt Überprüfung des Microsoft Security Updates.
Dieser Leitfaden ist nach 5 Stufen des Sicherheits-Updates Prozesses gegliedert.
Stufen:
- Erhalten der Microsoft Security Release Informationen
- Risikobewertung
- Evaluierung der Schadensminderung
- Standard oder dringender Update und Bereitstellungs Zeitrahmen
- Systeme überwachen und Beobachten. Jeder Abschnitt beschreibt den Zweck und das Ziel der jeweiligen Stufe sowie die zu erwartenden Ergebnisse nach Erreichen bzw. Abschluss der Stufe.
Hier nachfolgend eine umfangreiche Liste der einzelnen 5 Stufen:
Stufe1:
Der Umgang mit Sicherheitslücken
Terminologie im Rahmen von Microsoft-Sicherheitsupdates
Microsoft Softwareupdates
Sicherheitsupdaterichtlinie für Nicht-Originalsoftware
Microsoft-Lösungen zum Verwalten von Sicherheitsupdates
Auf Microsoft Update und Automatische Updates basierender Updateprozess
Auf Windows Server Update Services (WSUS) basierender Updateprozess
Auf Microsoft System Center Configuration Manager basierender Updateprozess
Der Prozess der Sicherheitsupdateveröffentlichungen bei Microsoft
Microsoft-Mitteilungen zu Sicherheitsveröffentlichungen
Vorhersagbarer Prozess zur Veröffentlichung von Sicherheitsupdates
Betrügerische E-Mails, die vermeintlich Microsoft-Sicherheitsupdates ankündigen
Das Risikomanagement-Framework
Stufe 1: Mitteilungen zu Microsoft Sicherheitsupdates
Mitteilungen zu Microsoft-Sicherheitsveröffentlichungen
Empfang von Mitteilungen zu Microsoft-Sicherheitsveröffentlichungen
Stufe 2:
Beurteilung der Risiken
Beurteilungen im Rahmen des Risikomanagement-Frameworks
Die Relevanz der Schwachstelle feststellen
Informationen über Schwachstellen sammeln
Das Schwachstellenrisiko beurteilen
Das System der Bewertung des Schweregrades bei Microsoft
Ressourcen für die Risikobewertung
Beispiel: Einsatz von Microsoft-Informationen zur Risikobewertung
Überlegungen zur Updatebereitstellung
Stufe 3:
Beurteilung der eindämmenden Maßnahmen
Eine praktikable, kurzfristige Sicherheitsregulierung
Stufe 4:
Normaler oder dringender Zeitrahmen für die Updatebereitstellung
Der Leitfaden Bereitstellung von Microsoft Windows Server Update Services
Zwei Zeitpläne zur Updatebereitstellung
Normaler Updateprozess
Bereitstellung planen
Beispiel: Die Bereitstellung des Sicherheitsupdates planen
Feststellen, ob das Sicherheitsupdate als Download bereitsteht
Die erforderlichen Updatedateien beschaffen
Das Updatepaket erstellen
Das Updatepaket testen
Die Testumgebung
Pilotbereitstellung
Die Schritte im Testprozess
Das Updatepaket auf den vorgesehenen Systemen bereitstellen
Eine Änderungsanforderung anstoßen
Mitteilung des Rollout-Zeitplans an die Organisation
Das Update installieren
Dringender Paketverteilungsprozess
Updatepakete erstellen
Pakete testen
Pakete bereitstellen
Stufe 5:
Überwachung der Systeme
Erfolgreiche Bereitstellung des Updates
Bestätigen der Updateinstallation
Deinstallieren von Sicherheitsupdates
Überprüfen nach der Implementierung
Entfernen von kurzfristigen Schadensbegrenzungen
Überwachung
Wichtige und geringfügige Revisionen von Security Bulletins und Sicherheitsempfehlungen
Die ständige Bedrohung durch Malware
Download
Diagramm des Microsoft-Sicherheitsupdateveröffentlichungs- und Verteilungsprozesses
Glossar und Begriffserklärungen
Aktive Software-Sicherheitsmaßnahmen
Auswirkungen
Binärdateien
Defense-in-Depth
Denial-of-Service
Eskalieren der Privilegien
Exploitcode
Feature Pack
Hotfixe
Kritisches Updates
Nicht sicherheitsrelevantes Update
Optionale Updates
Service Packs
Update-Rollup
Windows Update Agent (WUA)
Ich bin zwar kein IT-Profi – aber auch nich ganz doof. Und da oben sollte zumindest stehen: ob das a) was kostet und wenn ja b) wieviel. Soviel Info sollte schon sein.