Wie Sie mit RMM Ihr Microsoft Patch-Management vereinfachen

Juli 15, 2020

Wie Sie mit RMM Ihr Microsoft Patch-Management vereinfachen

BY Andrew Burton

MSP Best Practices RMM

Dieser Blog wurde ursprünglich auf MSSP Alert veröffentlicht.

Patch-Management für Microsoft kann sehr zeitaufwändig und arbeitsintensiv sein. Außerdem unterbricht es unter Umständen die Produktivität. Daher wird es von KMU oft vernachlässigt, was fatale Folgen haben kann. Eine kürzlich durchgeführte Studie des Ponemon Institutes zeigt, dass 60 % der Sicherheitsverletzungen auf eine bekannte, aber nicht gepatchte Schwachstelle zurückzuführen sind. Mit einer guten Patch-Management-Strategie können Sie dieses Risiko minimieren und somit Angriffe verhindern.

Microsoft Patch-Management von Microsoft bietet hervorragende Möglichkeiten für MSPs und MSSPs. Um es als Service anzubieten, ist es jedoch von entscheidender Bedeutung, eine effektive Strategie zu entwickeln und Tools zur Automatisierung des Patch-Managements einzusetzen. Viele IT-Anbieter verwenden dafür eine Remote Monitoring & Management (RMM)-Software, oftmals auch in Verbindung mit zusätzlichen Tools von Drittanbietern, um Patch-Management-Dienstleistungen anzubieten.

Herausforderungen des Patch-Managements

Microsoft Updates einfach durchzuführen, sobald sie veröffentlicht werden, kann oftmals zu Problemen führen. Eine schnelle Google-Recherche zeigt, wie häufig fehlerhafte Microsoft-Updates auftreten können. Aus diesem Grund warten Administratoren oft mit dem Patchen, bis sie sicher sind, dass Microsoft die Probleme gelöst hat. Oder sie führen einige Updates gar nicht aus.

Ein Beispiel ist die von Microsoft bezeichnete „Vorschau des monatlichen Qualitäts-Rollups", die von vielen IT-Dienstleistern ausgeschlossen wird. Diese Updates enthalten neue, nicht sicherheitsrelevante Fehlerbehebungen, die im Update des Folgemonats enthalten sein werden. Durch die Installation von Vorschau-Updates entscheiden Sie sich quasi für einen Betatest für Microsoft. Nachvollziehbar also, dass IT-Anbieter diese nicht auf den Systemen ihrer Kunden installieren.

Je länger Sie mit dem Patchen bekannter Sicherheitslücken abwarten, desto größer ist natürlich auch das Risiko, angegriffen zu werden. Der Schlüssel zu einem erfolgreichen Patch-Management liegt darin, ein Gleichgewicht zu finden, um die Systeme so stabil und sicher wie möglich zu halten und gleichzeitig Probleme mit fehlerhaften Updates zu verhindern.

Automatisiertes Patch-Management mit RMM

RMM-Tools ermöglichen es IT-Anbietern, einen Großteil des Patchens zu automatisieren. Im Folgenden werfen wir einen Blick auf ein Workflow-Beispiel mit Datto RMM:

  1. Deaktivieren Sie das automatische Windows-Update: Um das Datto Patch-Management zu verwenden, müssen Sie zunächst das automatische Windows Update auf Ihren Geräten deaktivieren.
  2. Erstellen Sie eine Richtlinie für das Patch Management: Diese ermöglicht es Ihnen, die Patches, die auf Ihren Windows-Geräten installiert werden, auf Basis vordefinierter Kriterien im Voraus zu genehmigen. Sie können die Richtlinien auf Account- oder Standortebene einrichten, diese für mehrere Geräte verwenden, definieren, wann Patches installiert werden, automatische Genehmigungsregeln festlegen und das Reboot-Verhalten definieren.
  3. Geräteprüfung und Patch-Installationen: Sobald eine aktive Patch-Management-Richtlinie eingerichtet ist, übermitteln die Geräte ihre Windows Audit-Daten nach einem festgelegten Zeitplan an die Plattform. Datto RMM führt das Windows-Update gemäß Ihrer vordefinierten Richtlinienfilter aus. Patches werden daraufhin genehmigt oder verweigert sowie eine endgültige Genehmigungsliste an die Geräte zurückgesendet. Die genehmigten Updates werden automatisch heruntergeladen und installiert.

Best Practices für Patch-Management

Natürlich hat jeder Kunde individuelle Bedürfnisse, die Sie berücksichtigen müssen. Die folgende Liste erhebt daher keinen Anspruch auf Vollständigkeit darüber, was Ihre Patch Management-Strategie alles beinhalten sollte. Die folgenden fünf Punkte sind jedoch ein guter Ausgangspunkt:

  1. Erstellen Sie eine Patch- und Reboot-Strategie, die den Anforderungen Ihres Kunden entspricht. Sie könnten z.B. Arbeitsgeräte während der Mittagspause patchen und den Endbenutzern erlauben, Aktualisierungen auf einen bestimmten Zeitraum (z.B. bis morgen) zu verschieben, um Produktivitätseinbußen zu vermeiden.
  2. Erstellen Sie separate Richtlinien für Arbeitsgeräte und Server. Beispielsweise könnten Sie Desktops und Laptops tagsüber patchen, wenn Sie wissen, dass diese voraussichtlich hochgefahren werden und Server wiederum nachts, da diese in der Regel rund um die Uhr in Betrieb sind.
  3. Genehmigen/Ablehnen der Updates. Zum Beispiel das automatische Ablehnen von Patches, die das Wort „Vorschau“ enthalten (siehe oben).
  4. Identifizieren und Ausschließen von Patches, die nicht installiert werden sollen, um mögliche Hardware- oder Softwareprobleme zu vermeiden. Beispielsweise entscheiden sich viele IT-Anbieter dafür, die Treibersoftware von automatischen Updates auszuschließen.
  5. Identifizieren Sie Geräte, die nicht automatisch neu gestartet werden können und erstellen Sie Reboot-Tickets, die sicherstellen, dass diese Patches manuell installiert werden.

Sie sehen, Patch-Management kann eine Herausforderung sein. Es gibt jedoch Tools, die es IT-Dienstleistern ermöglichen, Patch-Management als effektiven und profitablen Service anzubieten. Um mehr darüber zu erfahren, wie Datto RMM in Ihre Patch-Management-Strategie integriert werden kann, fordern Sie noch heute eine Demo an.

Subscribe to the Blog