csUpdatePro

Sicheres gemanagtes Patchen für Windows und MS-Produkten

Cyberangriffe machen heute leider auch vor Schulen, Krankenhäusern oder kleinen Firmen nicht mehr Halt. Deshalb ist es wichtiger denn je, alle Computer und Server regelmäßig mit Sicherheitsupdates zu versorgen – und zwar schnell und zuverlässig.
csUpdatePro hilft dabei, genau das zu tun! Computer können automatisch außerhalb der Arbeitszeiten hochgefahren, sicher aktualisiert und wieder heruntergefahren werden – ganz ohne Störungen im Alltag. 
So bleibt Ihr Netzwerk sicher!

Der Angriff auf die Ukraine hat auch große Änderungen im IT-Bereich gebracht. Angreifer, die zuvor aus ethischen Gründen Schulen und Krankenhäuser verschonten, tun dies nun nicht mehr. Die Folge ist, dass sofortiges Patchen eines Betriebssystems die Regel und nicht die Ausnahme ist.

Heute gilt „patch more, test less” und damit meint man, dass vor allem Microsoft OS-Patches am besten noch am Patch-Dienstag eingespielt werden müssen. Eine Lösung die häufig in Schulen und KMUs verwendet wurde, war WSUS. Hat leider nie befriedigend funktioniert, der Patch Stand im Netzwerk war selten höher als 80% und darüber hinaus hat Microsoft angekündigt, dass diese Server Funktionalität nicht weiter unterstützt wird.

Das Problem 

Administratoren in einem Netzwerk müssen alle Hosts schnell und „perfekt“ patchen, aber Angreifen müssen nur einen einzigen Host finden, der vulnerabel ist.

Was bei einem einzelnen/wenigen Computern kein Problem ist, ist in einem IT-Netzwerk eine wirkliche Herausforderung, weil

  • es keine Unterbrechung der normalen Arbeits-/Geschäftstätigkeit geben
  • Updates nicht während der normalen Arbeitszeiten eingespielt werden sollen. Dies gilt sowohl für Server als auch für Workstations
  • Updates müssen sicher eingespielt werden, dh es darf zu keinem Ausfall des Hosts führen. Leider sind nicht immer alle Patches von Microsoft fehlerfrei. Es gab MS-Patches, die zu Blue Screens oder kam schon mal vor, zu einem endlosen Boot führten. Bei einem fehlerhaften Patch muss wieder die ursprüngliche Ausgangsposition wieder hergestellt werden. Dies kann entweder bei virtuellen Servern durch einen Snapshot und bei Workstations und Hyper-Vs durch einen Wiederherstellungspunkt erreicht werden.
  • Kritische Updates sind zeitnah, also so schnell wie möglich, einzuspielen sind.

Die Lösung sollte nachfolgendes beinhalten:

  • Workstation sollten außerhalb der Arbeitszeit per WOL automatisch hochfahren, sicher gepatcht und abschließend wieder herunterfahren werden.
  • Server, die ja in der Regel 24/7 laufen,
    • vor dem Patchen automatische einen Prüfpunkt erstellen, die Patches einspielen, einen Neustart durchführen: Dies sollte so lange durchgeführt werden, bis alle Patches eingespielt sind.
    • die Liste der laufenden Dienste prüft 
    • abschließend automatisch die Prüfpunkte auflöst.
  • Einstellungen für eine Gruppen von Hosts, welche Art von Updates heruntergeladen und installiert werden sollen, zentral verwaltet und die installierten Updates in einem Logbuch eingetragen werden.

Mit csUpdate Pro werden alle diese Punkte, über ein zentrales Userinterface eingerichtet und verwaltet.

Die Einstellungen der Ringe sind voneinander unabhängig

csUpdate Pro verwendet für die Arbeit frei definierbare Ringe. Diesen Ringen werden dann DCs, Server, Hosts oder BYOD-Geräte zugewiesen.

Abb.:  Einstellungen für Host eines bestimmten Rings
  • Hosts, die nicht online sind, werden per WOL hochgefahren
  • Beim Patchen muss der Administrator nicht angemeldet sein. Am nächsten Tag können die Berichte der jeweiligen Ringe eingesehen werden. Das Dashbord zeigt gleich beim Öffnen den Zustand der Ringe an.
  • Überprüfung der Dienste vor und nach dem Update
  • Ausschließen von KBs, die nicht installiert werden dürfen
  • Welche Kategorien von Updates, Patches eingespielt werden sollen. Wenn Sie in Ihrem Netzwerk CAD-Programme verwenden, dann ist i.d.R. das automatische Einspielen von Treibern keine gute Entscheidung. 
  • Unternehmensweite Updateberichte pro Ring
  • Unternehmensweite Suche nach einem bestimmten Update z. Bsp.: KB5068787 
  • Zusätzlich gibt es ein selektives, ad hock, also manuelles Patchen von ausgewählten Hosts
  • Unterstützung des IT-Support mit Hilfe des MS-Tier Modells. Für jedes Tier kann angegeben werden, welche AD-Gruppen berechtigt sind, um die Hosts in diesem Tier zu patchen
  • Updates werden Ringen durchzuführen. Bei Servern ist dies unproblematisch. Für Workstation-Ringe können Vorläufer festgelegt werden. Die Vorläufer-Hosts eines Ringes stellen sicher, dass Updates sauber durchlaufen, denn die restlichen Hosts des Ringes werden nur dann gepatcht, wenn der Vorläufer-Host einwandfrei gepatcht wurde. Damit wird sichergestellt, dass im schlimmsten Fall ein Host „nicht mehr verwendbar ist“ und der Schaden begrenzt wird.
    Denken Sie bitte daran „patch more, test less“ und so schnell als möglich patchen
Abb.:  Active Directory und Dashboard mit den definierten Ringen

Entdecke alle Sicherheits-Apps

csJEA

csJEA sorgt dafür, dass Administratoren nur dann Zugriff
auf spezielle Konten haben, wenn sie diese wirklich
brauchen – und nur für kurze Zeit. Dadurch wird das
Risiko von Cyberangriffen minimiert. Im Gegensatz zu
herkömmlichen Lösungen wie LAPS bietet csJEA ein
umfassendes Sicherheits- und Verwaltungsmodell für
geschützte IT-Umgebungen.

Mehr dazu >

csUpdate Pro

Cyberangriffe machen heute leider auch vor Schulen, Krankenhäusern oder kleinen Firmen nicht mehr Halt. Deshalb ist es wichtiger denn je, alle Computer und Server regelmäßig mit Sicherheitsupdates zu versorgen – und zwar schnell und zuverlässig.

Mehr dazu >

csMonitor

In einem großen IT-Netzwerk kann viel passieren – oft unbemerkt. Ob ein neugieriger Mitarbeiter etwas ausprobiert oder ein Hacker im Verborgenen arbeitet: Veränderungen hinterlassen Spuren. Nur – wer merkt sie rechtzeitig?

Mehr dazu >

csLoginout

Mit csLoginOut sehen Sie jederzeit, wer sich an welchem Computer angemeldet oder abgemeldet hat – egal ob aktuell oder in der Vergangenheit. Alle Daten werden zentral gespeichert, sodass Sicherheitsvorfälle schnell nachvollzogen werden können und Sie die Kontrolle über Ihr Netzwerk behalten.

Mehr dazu >

Hostshield

Windows ist flexibel – vom Gaming-PC bis zur Admin-Workstation. Doch genau diese Vielseitigkeit macht es auch anfällig. Programme können oft ohne echte Kontrolle installiert und gestartet werden – sogar direkt vom USB-Stick.

Host Shield sorgt dafür, dass auf einem Computer nur erlaubte Programme ausgeführt werden können – und blockiert alles andere. So wird verhindert, dass Schadsoftware ins Netzwerk gelangt oder gefährliche Tools unbemerkt genutzt werden.

Mehr dazu >