Aktualisierung von Windows-Rechnern

Einleitung

Jedes unsichere System stellt eine potentielle Gefahr für alle anderen Systeme eines Netzwerkes dar. Deshalb ist die Befolgung der von D4 (IT-Sicherheit) formulierten Sicherheitsregeln von grundlegender Bedeutung. Ein zentraler Punkt ist dabei, dass Updates zeitnah eingespielt werden. Durch Einhaltung der unten beschriebenen Vorgehensweisen können Sie einen Beitrag dazu leisten.

Hinweis: Bitte beachten SIe, dass bei längeren Standzeiten der Systeme durchaus mehrere Update-Durchläufe erforderlich sein können, da Updates unter Umständen aufeinander aufbauen.

Hilfe

Bei Fragen und Problemen können Ihnen ihre Windows-Gruppenadminstratoren vor Ort Hilfestellung geben.

+
Der Windows-Rechner befindet sich im internen DESY-Netzwerk

Ideale Vorgehensweise

  1. Rechner am Abend eingeschaltet lassen und alle Benutzer abmelden und
  2. am nächsten Morgen nach 6 Uhr am Rechner anmelden
     

Hintergründe

Im Folgenden erhalten Sie Informationen über die Hintergründe, die der oben empfohlenen Verfahrensweise zu Grunde liegen.

Windows-Updates

Einmal monatlich stehen Updates für das Betriebssystem Windows sowie Microsoft Office und Adobe Flash Player/Reader/Acrobat an.  Die Freigabe der Updates erfolgt normalerweise am 3. Mittwoch im Monat.

Ist der Rechner eingeschaltet und hat er eine Verbindung zum internen Netzwerk, werden die Updates vor 6 Uhr heruntergeladen und um 6 Uhr automatisch installiert. Idealerweise sollte kein Benutzer angemeldet sein, denn dann wird nach der Installation gleich ein automatischer Neustart des Rechners ausgelöst. Wenn ein Benutzer angemeldet ist, muss der –- in der Regel –- angeforderte Neustart des Rechners erst vom Benutzer bestätigt werden. Die Integration der Updates beim Herunter- und Hochfahren des Rechners kann einige Zeit in Anspruch nehmen und der Rechner ist währenddessen nicht einsatzfähig.

Wird der Rechner erst später am Tag angeschaltet, lädt er die Updates im Hintergrund bereits herunter. Der angemeldete Benutzer wird darauf aufmerksam gemacht die Updates zu installieren, sobald diese vollständig heruntergeladen wurden. Wenn keine Reaktion seitens des Benutzers erfolgt oder die Installation zurückgestellt wird, dann ist die automatische Installation für den nächsten Morgen um 6 Uhr eingeplant.

Es kann daher sinnvoll sein, den Rechner in der Nacht auf den monatlichen Update-Tag eingeschaltet zu lassen und sich zuvor nach Feierabend abzumelden. Der Tag des monatlichen Windows-Updates wird immer per E-Mail an alle DESY Mitarbeiterinnen und Mitarbeiter, in der Regel mit Vorlauf von einem Tag, angekündigt.

DSM/NetInstall-basierte Applikations-Updates

Automatische Updates von Software, die via DSM/NetInstall erstinstalliert wurde wie etwa Java, Firefox oder Thunderbird, erfolgen nur, wenn sich ein Benutzer am Betriebssystem anmeldet.

Virenscanner-Aktualisierungen

Gelegentlich stehen Updates des Virenscanners an, die über die täglichen Aktualisierungen der Virensignaturen hinausgehen (Patches, Scan-Engine, Verwaltungsagent). Damit die Installation ausgelöst werden kann, ist ein längerer Verbindungszeitraum zum internen Netzwerk nötig. Ein nachfolgender Neustart ist nur bedingt notwendig. Er wird dann bestenfalls durch die Windows-Updates ausgelöst.

Der Windows-Rechner befindet sich nicht im internen DESY-Netzwerk

Ideale Vorgehensweise

  1. Rechner mindestens einmal monatlich nach dem/am 3. Mittwoch im Monat per VPN mit DESY verbinden
  2. Download und Installation der Windows-Updates, der Updates für per DSM bereitgestellte Applikationen sowie der Virenscanner-Aktualisierungen müssen manuell angestoßen werden (siehe unten im Text).
     

Wie Sie diesen Schritten entnehmen können, ist die Nutzung von VPN für den Betrieb von Windows-Rechnern, die sich nicht am DESY befinden, in der Regel zwingend erforderlich.

Hintergründe

Im Folgenden erhalten Sie Informationen über die Hintergründe, die der oben empfohlenen Verfahrensweise zu Grunde liegen.

Abbildung 1

Windows-Updates

Grundsätzlich wird kurze Zeit nach der Verbindungsaufnahme mit dem DESY-Netzwerk beim zentralen DESY-internen Windows-Update-Server nachgefragt, ob neue Updates für den Rechner anzuwenden sind. Nach Synchronisation zur Klärung, welche Updates auf den Rechner anzuwenden sind, werden diese im Hintergrund heruntergeladen. Nach vollständigem Download dieser Updates wird die Installation per Benachrichtungsfenster in der Taskleiste angefordert.

Damit längere Verbindungszeiten per VPN nicht allein wegen der Updates notwendig sind, können der Download und die Installation über die Systemsteuerung -> "Windows-Update" angestoßen werden (siehe Abbildung 1).

Manuelles Aktualisieren von Software im DSM Software Shop

DSM/NetInstall-basierte Applikations-Updates

Da die VPN-Verbindung erst nach Anmeldung aufgebaut wird, erfolgen im Gegensatz zu den Ausführungen oben keine automatischen Updates. Es ist aber möglich, anstehende Updates von Software, die via DSM/NetInstall erstinstalliert wurde, bei bestehender VPN-Verbindung über den DSM-Shop anzustoßen, indem man im Shop das zu aktualisierende Paket markiert und anschließend in der oberen Menüleiste auf "update" klickt.

Virenscanner-Aktualisierung

Grundsätzlich versucht der Virenscanner neue Virensignaturen von vorgegebenen Update-Servern herunterzuladen, sobald er Internetzugriff bekommt (direkt von den McAfee Servern). Über die Virensignaturen hinausgehende Updates für den Virenscanner sind allerdings nur über einen Zugriff auf den DESY-internen Virenscanner-Management-Server möglich.

Eine notwendige Aktualisierung des McAfee-Agenten (dieser steckt hinter dem Icon mit dem M in der Taskleiste) läuft bei einer bestehenden (VPN-)Verbindung zum DESY-Netzwerk automatisch und kann nicht direkt von einem Benutzer angestoßen werden. Über den Agenten empfängt der Virenscanner Policies und die für ihn anstehenden Updates.

Die Installation der Updates kann über das Icon des Agenten in der Taskleiste angestoßen werden:

Kontextmenü nach Rechtsklick auf das Icon des Virenscanners in der Taskleiste