PatchworkSicherheitsupdates: Zehnkampf für IT-Administratoren

Ordnungsmerkmale

erschienen in: <kes> 2003^#4, Seite 26

Autor: Von Thomas Obert, Walldorf

Zusammenfassung: Alle Nase lang gibt es neue Sicherheitslücken und Patches, die sie beheben. Dann müssen Sicherheits-Administratoren schnell handeln: sichten, Relevanz und Risiko einordnen, aufspielen. Allein Microsoft hat im vergangenen Jahr über 70 Security Bulletins herausgegeben... Ohne Tools zum Patch-Management droht Chaos – praktischerweise hat Microsoft für verschiedene Szenarien kostenlose Programme im Angebot.

Fehlerfreie Software wird wohl auf ewig ein Wunschtraum bleiben. Die Relität: Der administrative Aufwand, um allein die Menge der bekannt gewordenen und behobenen Fehler auf ein erträgliches und sicherheitstechnisch vertretbares Maß zu beschränken, ist immens. Mehr als 35 Millionen Zeilen Code alleine in Windows 2000 lassen das Ausmaß des Problems erahnen, aber auch die Komplexität anderer Software sorgt für reichlich Arbeit. Nach Erkenntnissen des CERT/CC hat sich die Anzahl entdeckter Schwachstellen in den letzten zwei Jahren jeweils mehr als verdoppelt – gleichermaßen steigt die Zahl der veröffentlichten Sicherheits-Patches durch die Softwarehersteller.

Komplexe IT-Umgebungen im Unternehmen bedeuten heute den Einsatz von meist weit über 50 unterschiedlichen Softwareprodukten. Allein die schiere Masse der Patches ist kaum zu überblicken. Zu allem Überfluss treten zudem auch häufig gegenseitige Abhängigkeiten und Unverträglichkeiten auf: Spielt man ein Sicherheitsupdate für Software A ein, so ist es durchaus möglich, dass die davon abhängige Software B nicht mehr vollständig funktioniert...

Ohne ein effizientes und tool-gestütztes Change Management ist der Lage praktisch nicht mehr Herr zu werden – zumal häufig auch noch hohe Verfügbarkeitsanforderungen an die IT-Systeme bestehen, womöglich sogar durch Service Level Agreements (SLA) gegenüber Kunden garantiert. Schlüsselaspekte für ein erfolgreiches Sicherheitsmanagement in solch schwierigen Umgebungen sind die Wahrung des Überblicks und die Automatisierung großer Mengen von Sicherheitsupdates auf große Mengen von Systemen. Die Patches sind dabei zunächst in Risikoklassen zu kategorisieren: Nur Updates mit den höchsten Prioritäten sollten umgehend verteilt werden, Patches gegen mittlere oder niedrige Risiken kann man hingegen sammeln, packen und regelmäßig, beispielsweise monatlich, aufspielen.

Windows-Wartung

Für Microsoft-beherrschte Umgebungen, die heute in fast jedem Unternehmen dominant sind, gibt es besonders häufig Sicherheitsupdates. Immerhin bietet Microsoft für Windows & Co. selbst verschiedene Lösungsansätze [1]. Der unter Windows 2000, XP und 2003 (.net) standardmäßig installierte Software Update Service (SUS, [2]) spiegelt dazu allerdings eine anwenderorientierte Umgebung wider: Einmal aktiviert prüft der Dienst regelmäßig, ob neue Updates bei Microsoft oder auf einem speziellen SUS-Server innerhalb des Unternehmens zum Download zur Verfügung stehen. Ist dies der Fall, so wird der Anwender informiert. Es bleibt jedoch in seiner Verantwortung, ob er Patches installiert oder nicht.

Client-Pflege

Im Unternehmen müssen die IT-Abteilungen jedoch eine weit reichende Kontrolle über Betriebssystem und Softwarekonfiguration der Endgeräte anstreben. Auch die Mitarbeiter erwarten zurecht, sich nicht um regelmäßige Wartungstätigkeiten wie Versionsabgleich, Backup, Virenschutz und eben Softwareupdates kümmern zu müssen – auch wenn sich die Verantwortung für den ordentlichen Betrieb ihrer Geräte nicht komplett an die IT-Abteilung übertragen lässt.

Die unternehmensspezifischen Anforderungen zur automatischen Softwareverteilung hat Microsoft mit seinem Systems Management Server (SMS) adressiert. Mit SMS lassen sich individuelle Softwarepakete zentral schnüren und dann regelbasiert per Netzwerk auf die Endgeräte verteilen. Überdies kann SMS Inventarlisten der installierten Software von allen angeschlossenen Endgeräten erstellen. Unternehmensspezifische Informationen bei der Verteilung von Softwarepaketen können ebenso realisiert werden wie unterschiedliche Kontrollstufen durch den Administrator. Damit mithilfe von SMS sicherheitskritische Updates optimal verteilt werden können [3], stellt Microsoft kostenlos das Software Update Services Feature Pack für SMS [4] zur Verfügung (Passport-Registrierung erforderlich).

Es empfiehlt sich, nur bei regelmäßigen Versionsupdates dem Mitarbeiter – ähnlich wie bei SUS – die Entscheidung zu überlassen, ob die Installation des neuen Softwarepakets direkt oder zu einem späteren Zeitpunkt erfolgen soll. Bei sicherheitskritischen Updates steht der Schutz des Unternehmensnetzes vor den individuellen Bedürfnissen einzelner Anwender, auch wenn dies zu Problemen und Unmut führen kann. In solchen Fällen sollte die Installation des Sicherheitsupdates nicht durch manuellen Eingriff des Anwenders unterbrochen werden können. Im Regelfall erlebt dieser während eines Patch-Vorgangs nur verzögerte Antwortzeiten, ein Arbeiten bleibt üblicherweise aber möglich. Unschön ist allerdings, dass die meisten Sicherheitsupdates erst funktionieren, nachdem das System einen Neustart durchgeführt hat.

Server-Sicherung

SMS ist sehr flexibel, skalierbar auch für große Netze und bietet einen hohen Grad an Automatisierung für Administratoren. SMS hat seine Stärken aber ganz klar beim Verteilen von Software im Endgeräteumfeld. Im Serverumfeld herrscht meist der bedienerarme Betrieb von wichtigen Anwendungen vor, die einem besonders strengen Change Management zu unterwerfen sind. Da derzeit wöchentlich im Schnitt zwei bis drei Sicherheitsupdates veröffentlicht werden, die meist auch Serversysteme betreffen, ist das ein aufwändiges Unterfangen. Hierzu sind etliche Produkte auf dem Markt. In der Praxis des Autors hat sich beispielsweise UpdateExpert der Softwarefirma St. Bernhard bewährt [5]. Es ist speziell auf die Thematik der häufigen Sicherheitsupdates für Microsoft-Betriebssysteme und betriebssystemnahe Komponenten zurechtgeschneidert. Ein zentrales Monitoring ermöglicht es jederzeit den aktuellen Stand der Verteilung zu ermitteln.

Während SUS, SMS und UpdateExpert sich hervorragend in mittleren und großen Unternehmensnetzen einsetzen lassen, empfiehlt sich für kleinere Netze oder spezielle Fälle der Microsoft Baseline Security Analyzer (MBSA), der über Microsofts Internetauftritt kostenlos verfügbar ist [6]. MBSA V1.1 ersetzt den Network Security Hotfix Checker (Hfnetchk.exe) und stellt dessen sämtliche Befehlszeilenparameter in seiner befehlszeilenorientierten Variante zur Verfügung. Überdies gibt es den MBSA aber auch in einer Version mit grafischer Bedienoberfläche.

Dieses Tool führt von zentraler Stelle auf Windows-Systemen einen Scan nach häufigen Fehlkonfigurationen der Systemsicherheit durch und erstellt für jeden geprüften Computer einen eigenen Sicherheitsbericht. MBSA läuft unter Windows 2000 und XP und kann Rechner mit Windows NT 4.0, 2000 und XP nach Sicherheitslücken scannen. Der MBSA sucht dort nach Fehlkonfigurationen von Microsoft Windows, Internet Information Server (IIS), SQL Server, Internet Explorer (IE) und Microsoft Office. Der MBSA sucht auch fehlende Sicherheitsupdates für diese Produkte sowie für den Windows Media Player (WMP), Exchange Server und Exchange 2000 Server.

Fazit

Erst durch die Berichtsfunktionen von Tools zum automatischen Softwareupdate ist es möglich, den Überblick über den Versionsstand von Clients und Servern in Bezug auf Sicherheitsupdates zu bewahren. Da die Komplexität von Softwarelösungen in Zukunft weiter steigen wird, ist keine Entschärfung der Patch-Problematik in Sicht.

Thomas Obert (CISSP) ist Information Security Manager bei der SAP AG.

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2003^#4, Seite 26