{"id":256509,"date":"2021-08-09T10:57:41","date_gmt":"2021-08-09T08:57:41","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=256509"},"modified":"2024-04-28T11:17:40","modified_gmt":"2024-04-28T09:17:40","slug":"microsoft-wirbt-fr-erstklassige-monatliche-windows-update-effizienz","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/09\/microsoft-wirbt-fr-erstklassige-monatliche-windows-update-effizienz\/","title":{"rendered":"Microsoft wirbt f&uuml;r erstklassige monatliche Windows-Update-Effizienz"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/08\/09\/microsoft-wirbt-fr-erstklassige-monatliche-windows-update-effizienz\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Die zeitnahe Installation von Sicherheitsupdates ist ein Baustein, um Windows-Systeme vor den Cyber-Bedrohungen dieser Zeit zu sch\u00fctzen. Microsoft wirbt daher erneut bei seiner Kundschaft damit, eine \"erstklassige monatliche Windows-Patch-Effizienz\" umzusetzen bzw. zu erreichen. Hier w\u00fcrde man im Grund sofort nicken, wenn es leider nicht den klitzekleinen Fehler der oft unzuverl\u00e4ssigen Updates gibt, die leider wiederkehrend durch erhebliche Kollateralsch\u00e4den auffallen. Hier ein Blog-Beitrag, der die zwei unterschiedlichen Welten zwischen Microsoft Eigensicht und der Erfahrungswelt der Anwenderschaft auszuleuchten versucht.<\/p>\n<p><!--more--><\/p>\n<h2>Werbung f\u00fcr schnelle monatliche Windows-Updates<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/dd20cb8f306041ae979c265995148984\" alt=\"\" width=\"1\" height=\"1\" \/>Am sogenannten Patchday (2. Diensttag im Moment) ver\u00f6ffentlicht Microsoft seine Sicherheitsupdates f\u00fcr verschiedene Produkte, auch f\u00fcr Microsoft Windows. Und in den Wochen davor gibt es ja die optionalen Vorschau-Updates, die eigentlich zum Testen dienen, um Probleme im Vorfeld zu erkennen und bis zum Patchday durch Microsoft zu beseitigen. Weiterhin werden Updates unter Windows 10 ja automatisch installiert (Ausnahme sind verwaltete Systeme, wo Administratoren die Pakete freigeben). Eigentlich ideale Bedingungen, damit die Windows-Systeme zeitnah auf dem aktuellen Patchstand gehalten wird\u00a0 &#8211; dachte ich.<\/p>\n<p><a href=\"https:\/\/twitter.com\/bytenerd\/status\/1418001687583674372\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/AAdVzKM.png\" \/><\/a><\/p>\n<p>Der obige <a href=\"https:\/\/twitter.com\/bytenerd\/status\/1418001687583674372\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> von Gabe Frost, Principal Lead Program Manager der Media Platform Group in der Operating Systems-Division bei Microsoft, vom 22. Juli 2021, war aber an mir vorbei gegangen. Ich bin zum Wochenende erst \u00fcber <a href=\"https:\/\/twitter.com\/ariaupdated\/status\/1424077822809845760\" target=\"_blank\" rel=\"noopener\">diesen Tweet<\/a> von Microsoft Mitarbeiterin <a href=\"https:\/\/twitter.com\/ariaupdated\">@ariaupdated<\/a>, die IT-Administratoren bei der Verwaltung von Windows-Updates mit dem Windows Insider Program for Business, Windows Update for Business (WUfB) und WSUS unterst\u00fctzt, auf das Thema gesto\u00dfen. Gabe Frost hat den Techcommunity-Beitrag <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/windows-it-pro-blog\/achieving-world-class-windows-monthly-patching-efficiency\/ba-p\/2572945\" target=\"_blank\" rel=\"noopener\">Achieving world-class Windows monthly patching efficiency<\/a> (\u00fcber das Erreichen einer erstklassigen monatlichen Windows-Patching-Effizienz) ver\u00f6ffentlicht. Dort stellt er die Vorstellungen Microsofts diesbez\u00fcglich erneut vor.<\/p>\n<p>Der Beitrag richtet sich an die Verantwortlichen f\u00fcr das Patchmanagement in Unternehmen. Gleich zu Beginn des Techcommunity-Beitrags fragt er rhetorisch, ob die Leser \"den richtigen Ansatz\" haben, um einen erstklassigen Schutz f\u00fcr die von Ihnen betreuten Ger\u00e4te zu erreichen? F\u00fcr Microsofts Management liegt der Schl\u00fcssel zum Schutz der Ger\u00e4te einer Umgebung vor den heutigen Bedrohungen darin, sie so schnell wie m\u00f6glich zu patchen. Jeden zweiten Dienstag im Monat &#8211; auch bekannt als Update Tuesday, Patch Tuesday oder \"B\"-Release &#8211; ver\u00f6ffentlicht Microsoft ja Sicherheitsupdates f\u00fcr alle Windows-Endger\u00e4te. Diese Updates versorgen sowohl Privatanwender als auch IT-Administratoren mit den notwendigen Sicherheitsupdates, um ihre Ger\u00e4te zu sch\u00fctzen, bevor ungepatchte Sicherheitsl\u00fccken m\u00f6glicherweise ausgenutzt werden k\u00f6nnen.<\/p>\n<h3>Es wird zu langsam gepatcht<\/h3>\n<p>Im Artikel beschreibt Frost Microsofts Erfahrungen, die man bei der intensiven Zusammenarbeit mit Kunden gemacht habe. Unternehmen h\u00e4tten ihre Ergebnisse drastisch verbessern k\u00f6nnen, indem sie eine \"Cloud-Kadenz\"-Mentalit\u00e4t einf\u00fchrten und ihren Ansatz f\u00fcr die monatliche Wartung ver\u00e4nderten. Unter \"Cloud-Kadenz\" versteht Microsoft die Optimierung der \u00dcberpr\u00fcfungs- und Genehmigungsprozesse, um Ger\u00e4te schnell mit Sicherheits-Updates zu versorgen, bevor b\u00f6swillige Akteure Schwachstellen ausnutzen. Dieser Ansatz werde immer wichtiger, da Unternehmen auf die Herausforderungen der Remote-Arbeit und der Gesch\u00e4ftskontinuit\u00e4t im Allgemeinen reagieren und sich anpassen. Im Blog-Beitrag hat Frost dann drei Update-Ans\u00e4tze definiert, um deren Ergebnisse der monatlichen Update-Akzeptanz zu vergleichen:<\/p>\n<ul>\n<li><strong>Ger\u00e4te \u00fcber Microsoft Update verwaltet<\/strong>: Dies sind Ger\u00e4te, die mit dem Windows Update-Dienst verbunden sind, aber keine konfigurierten Verwaltungsrichtlinien haben, die Updates regeln. Die Updates werden also vom Windows Update-Dienst verwaltet. Bei der Mehrheit handelt es sich um Verbraucherger\u00e4te, von denen viele nach einem unregelm\u00e4\u00dfigen Zeitplan verwendet werden, oft offline sind und nur schwer aktualisiert werden k\u00f6nnen.<\/li>\n<li><strong>Kommerzielle Ger\u00e4te, die selbst verwaltet werden und bei denen der Update-Prozess nicht ver\u00e4ndert wird.<\/strong> Diese Ger\u00e4te werden aktiv von IT-Administratoren verwaltet, die eine Vor-Ort-Infrastruktur verwenden. In der Regel basiert diese auf Windows Server Update Services (WSUS), aber die Update-Richtlinien sind nicht gem\u00e4\u00df den Best Practices von Microsoft f\u00fcr eine \"Cloud-Kadenz\"-Mentalit\u00e4t konfiguriert.<\/li>\n<li><strong>Kommerzielle Cloud-verwaltete oder selbstverwaltete Ger\u00e4te mit Update-Prozess-Transformation.<\/strong> Diese Ger\u00e4te werden aktiv von IT-Administratoren mit Microsoft Endpoint Configuration Manager oder Microsoft Intune (unterst\u00fctzt durch Windows Update for Business) verwaltet, wobei die Update-Richtlinien gem\u00e4\u00df den Best Practices von Microsoft f\u00fcr eine \"Cloud-Kadenz\" konfiguriert sind.<\/li>\n<\/ul>\n<p>Aus den Telemetriedaten von zehn\u00a0 Millionen Ger\u00e4ten wurde\u00a0 die durchschnittliche Update-Akzeptanzrate in diesen drei Segmenten von Dezember 2020 bis Februar 2021 untersucht. Die nachfolgende Tabelle zeigt die Ergebnisse.<\/p>\n<table>\n<tbody>\n<tr style=\"background-color: #0066cc;\">\n<td width=\"377\"><span style=\"color: #ffffff;\">Device segment<\/span><\/td>\n<td width=\"114\"><span style=\"color: #ffffff;\">T+14 days<\/span><\/td>\n<td width=\"102\"><span style=\"color: #ffffff;\">T+28 days<\/span><\/td>\n<\/tr>\n<tr>\n<td width=\"377\">Microsoft Update managed<\/td>\n<td width=\"114\">73.2%<\/td>\n<td width=\"102\">78.8%<\/td>\n<\/tr>\n<tr>\n<td width=\"377\">Commercial self-managed, with no update process transformation<\/td>\n<td width=\"114\">55.0%<\/td>\n<td width=\"102\">80.0%<\/td>\n<\/tr>\n<tr>\n<td width=\"377\">Commercial cloud-managed or self-managed with update process transformation<\/td>\n<td width=\"114\">92.5%<\/td>\n<td width=\"102\">93.6%<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Nur die Systeme, die eine Update-Verwaltungspolitik verwenden, die Microsofts Vorstellungen von einer \"Cloud-Kadenz\" entsprechen, sind nach 14 Tagen zu 92,5% und nach 28 Tagen zu 93,6% auf dem aktuellen Patchstand. Die Tabelle hebt die schlechte Patchrate der selbst verwalteten Ger\u00e4te hervor, deren Sicherheitsupdate-Installationsrate erst nach 14 Tagen bei mageren 55 % liegt. Selbst \u00fcber Windows Update verwaltete Ger\u00e4te stehen mit 73,2 % noch besser da.<\/p>\n<h3>Cloud-Kadenz: Schnellstm\u00f6glich patchen<\/h3>\n<p>Auf Basis dieser Auswertung geht Frost der Frage nach, wie erreichen Unternehmen ein schnelle Update-Installation im 14-Tage-Zeitfenster von mehr als 90 % bei kommerziellen, \u00fcber die Cloud verwalteten Ger\u00e4ten? Der Artikel gibt dann Ratschl\u00e4ge, wie die erreichen kann:<\/p>\n<ul>\n<li>Erstens sich grundlegend auf die \"Cloud-Kadenz\" verpflichten. Unter der \"Cloud-Kadenz\"-Mentalit\u00e4t versteht Microsoft die Optimierung der \u00dcberpr\u00fcfungs- und Genehmigungsprozesse f\u00fcr die Installation von Sicherheitsupdates.<\/li>\n<li>Zweitens die oft missverstandenen Richtlinien beseitigen, die scheinbar das Update-Verhalten optimieren, in Wirklichkeit aber die Update-Maschinerie verlangsamen.<\/li>\n<\/ul>\n<p>Um Administratoren bei den Bem\u00fchungen zu unterst\u00fctzen, die Updategeschwindigkeit in Unternehmen zu erh\u00f6hen, hat Microsoft die Windows 10 Update Baseline ver\u00f6ffentlicht, die empfohlene Konfigurationen und Tuning-Anleitungen enth\u00e4lt, um die Installation von Ger\u00e4teupdates in k\u00fcrzester Zeit zu maximieren. Im Artikel l\u00e4sst sich Frost dann noch aus, wie wichtig es sei, Updates schnell zu testen und dann freizugeben und was man machen k\u00f6nne, um die zeitnahe Freigabe zu erreichen.<\/p>\n<h2>Kollision mit der Praxis?<\/h2>\n<p>An dieser Stelle m\u00f6chte ich einen Break machen &#8211; bei Interesse lest ihr die Ausf\u00fchrungen des Microsoft-Mitarbeiters in Ruhe durch. Mich interessiert, wie das Ganze aus der Praxis beurteilt wird. Ich gehe davon aus, dass kein Administrator b\u00f6swillig die Updates zur Installation blockiert. In diesem Zusammenhang ergeben sich aus meinem Blickwinkel aber einige Fragen bzw. Gesichtspunkte, die im Microsoft Universum ausgeblendet bleiben.<\/p>\n<ul>\n<li><strong>Problem 1: Update-Qualit\u00e4t;<\/strong> Es gibt zwar im Blog die \"wir haben keine Probleme\"-R\u00fcckmeldung von Beratern und Administratoren (meist aus gr\u00f6\u00dferen Organisationen). Mag ich nicht von der Hand weisen. Es gibt aber auch die Fraktion der Administratoren und Nutzer, die nur noch von Update-Problemen genervt sind, jeden Monat vor dem Patchday zittern und oft die Update-Installation wegen gravierender Probleme aussetzen m\u00fcssen. Das l\u00e4uft der obigen shiney happy Update-Weltanschauung doch arg entgegen. Und leider muss auch festgestellt werden, dass Microsoft es wiederholt nicht schafft, gemeldete Schwachstellen mit dem ersten Patch wirksam zu schlie\u00dfen. Da wird oft \u00fcber Wochen nachgebessert.<\/li>\n<li><strong>Problem 2: Wir haben ja sonst nix zu tun;<\/strong> Der obige Microsoft-Ansatz basiert auf der Vorstellung, dass die Administratoren die Zeit und das Wissen haben, Vorschau-Updates monatlich auf Herz-und-Nieren zu testen, um dann das Rollout zeitnah freizugeben. Es mag Administratoren in gr\u00f6\u00dferen Organisationen geben, die nur f\u00fcr Windows-Updates verantwortlich sind und gen\u00fcgend Zeit sowie Erfahrung zum Testen haben. Mein Eindruck ist aber, dass es ein gro\u00dfer Anteil an Administratoren in Firmenumgebungen gibt, die schlicht nicht die Zeit f\u00fcr gr\u00f6\u00dfere Tests haben und der Update-Installation hinterherhecheln. Einzige Strategie, um halbwegs durchzukommen, ist: Updates etwas verz\u00f6gern, schauen, ob es Kollateralsch\u00e4den gibt bzw. in Blogs wie hier gemeldet werden und erst dann zu installieren. Wird ein Massenhack \u00fcber eine geschlossene Schwachstelle bekannt, gilt es schnell zu handeln und zu patchen.<\/li>\n<li><strong>Problem 3: Wir baggern im falschen Loch;<\/strong> Der Tenor des Microsoft-Artikels &#8211; und h\u00e4ufig auch der Empfehlung \"der Wissenden\" ist \"sofort updaten, um 0-days oder frisch gefixte Schwachstellen zu schlie\u00dfen\". Ohne Problem 1 und 2 w\u00fcrde ich das sofort unterschreiben. Und Ja, der Hafnium-Exchange-Hack im Fr\u00fchjahr 2021 belegt dies scheinbar (in Wahrheit war es ein 0-day, der vor der Freigabe des Sicherheitsupdates bereits ausgenutzt wurde). Aber ist das wirklich unser Problem, oder baggern wir im falschen Loch?<\/li>\n<\/ul>\n<p>Zu Problem 3: Manchmal ist ein Blick auf die Statistik hilfreich, um herauszufinden, welche Schwachstellen bei Angriffen ausgenutzt werden. Zuerst ein Blick auf den 133 seitigen <a href=\"https:\/\/www.rand.org\/content\/dam\/rand\/pubs\/research_reports\/RR1700\/RR1751\/RAND_RR1751.pdf\" target=\"_blank\" rel=\"noopener\">Rand-Report zum Thema Lebensdauer einer 0-day-Schwachstelle<\/a>, der folgendes zeigt.<\/p>\n<ul>\n<li>Exploits und die ihnen zugrundeliegenden Schwachstellen haben eine recht hohe durchschnittliche \"Lebenserwartung\" von 6,9 Jahren.<\/li>\n<li>Bei einem bestimmten Bestand an Zero-Day-Schwachstellen werden nach einem Jahr etwa 5,7 Prozent von einer externen Stelle entdeckt.<\/li>\n<\/ul>\n<p>Dieses Risiko wird man schlicht nicht mit \"noch schnellerem Patchen\" eliminieren k\u00f6nnen, denn 0-day hei\u00dft, die Schwachstelle ist \u00f6ffentlich bekannt, aber es gibt keinen Patch daf\u00fcr. Beim Hafnium-Hack wurde das ausgenutzt. Der RAND-Report f\u00fchrt aus, dass Angreifer 0-Days nutzen, um Unternehmen und Ziele anzugreifen, die sich gewissenhaft um Patches k\u00fcmmern. Diejenigen, die nicht so sorgf\u00e4ltig im Patchmanagement sind, k\u00f6nnen \u00fcber Schwachstellen angegriffen werden, f\u00fcr die es zwar Patches gibt, die aber noch nicht angewendet wurden. 0-Day-Schwachstellen sind bei manchen Cyberoperationen (von Kriminellen, Milit\u00e4rs oder<br \/>\nRegierungen) n\u00fctzlich. Aber f\u00fcr Massenangriffe gibt es einen gr\u00f6\u00dferen und vermutlich lukrativeren Bereich, der ungepatchte Schwachstellen in Systemen betrifft.<\/p>\n<p>Ich hatte vor Wochen mal einen Artikel gesehen, der aufzeigte, dass das Gro\u00df der Angriffe altbekannte Schwachstellen ausnutzt, f\u00fcr die Updates l\u00e4ngst bereitstehen. Leider habe ich die Quelle vergessen. Bei der Recherche habe ich aber den Comparitech-Beitrag <a href=\"https:\/\/www.comparitech.com\/blog\/information-security\/cybersecurity-vulnerability-statistics\/\" target=\"_blank\" rel=\"noopener\">25+ cyber security vulnerability statistics and facts of 2021<\/a> gefunden. 75 % der Angriffe im Jahr 2020 nutzten Schwachstellen aus, die mindestens zwei Jahre alt waren. Als Quelle wird der <a href=\"https:\/\/web.archive.org\/web\/20221102173011\/http:\/\/www.checkpoint.com\/downloads\/resources\/cyber-security-report-2021.pdf\" target=\"_blank\" rel=\"noopener\">Check Point Cyber Security Report 2021<\/a> herangezogen, der angibt, dass drei von vier Angriffen Schwachstellen aus nutzten, die 2017 oder fr\u00fcher gemeldet wurden. Und 18 Prozent der Angriffe nutzten Schwachstellen, die 2013 oder fr\u00fcher bekannt gegeben wurden, also mindestens sieben Jahre alt waren.<\/p>\n<p><img decoding=\"async\" title=\"Percentag of Attack Leveraging Vulernatiblities by Disclosure in 2020\" src=\"https:\/\/i.imgur.com\/LZkVwjH.png\" alt=\"Percentag of Attack Leveraging Vulernatiblities by Disclosure in 2020\" \/><\/p>\n<p>Frisch bekannt gewordene und patchbare Schwachstellen aus dem gleichen Jahr machten nur 5% der Angriffsfl\u00e4chen aus. Das l\u00e4sst bei mir die Frage aufkommen: M\u00fcssen wir nicht aufpassen, nicht tief im falschen Loch zu baggern? Das schnellstm\u00f6gliche Patchen, gem\u00e4\u00df obigem Microsoft-Beitrag, ist vielleicht nicht so sehr das Problem. Wenn ich z\u00fcgig patchen kann, ist das zwar in Ordnung und zu begr\u00fc\u00dfen. Aber der gr\u00f6\u00dfere Effizienzgewinn ist doch da zu erzielen, wo man ungepatchte Systeme mit seit Jahren bekannten Schwachstellen endlich auf den aktuellen Update-Stand bringen kann.<\/p>\n<p>Es ist zwar in Ordnung, wenn Microsoft die \"reine Lehre\" propagiert. Aber Tunnelblick f\u00fchrt oft nicht weiter. Allerdings bin ich da auch unbeleckt, da ich nicht im Firmenumfeld Systeme administriere. Daher interessiert mir die Einsch\u00e4tzung von Administratoren im Firmenumfeld. Ist der Microsoft-Ansatz in der Praxis bei euch umsetzbar und hilfreich? Oder liege ich mit meinen Einsch\u00e4tzungen zu den Problemen nicht so ganz daneben? Was funktioniert und was bleibt ein frommer Wunsch f\u00fcr Gutwetter-Perioden? Eure Meinung aus dem Kreis der Administratoren ist gefragt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Die zeitnahe Installation von Sicherheitsupdates ist ein Baustein, um Windows-Systeme vor den Cyber-Bedrohungen dieser Zeit zu sch\u00fctzen. Microsoft wirbt daher erneut bei seiner Kundschaft damit, eine \"erstklassige monatliche Windows-Patch-Effizienz\" umzusetzen bzw. zu erreichen. Hier w\u00fcrde man im Grund sofort nicken, &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/08\/09\/microsoft-wirbt-fr-erstklassige-monatliche-windows-update-effizienz\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,301],"tags":[4328,4315,3288],"class_list":["post-256509","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256509","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=256509"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256509\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=256509"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=256509"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=256509"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}