Microsoft und Drittanbieter veröffentlichen häufig Patches und Sicherheitsupdates, um Schwachstellen zu beheben, die Funktionalität zu verbessern und sicherzustellen, dass ihre Software effizient arbeitet. Das manuelle Nachverfolgen, Testen, Validieren, Priorisieren und Bereitstellen dieser Updates auf Hunderten von Computern ist für große Unternehmen zeitaufwendig. Zusätzlich erhöht die manuelle Überprüfung der Patch-Compliance und die Pflege der Berichte den Arbeitsaufwand.
Die automatische Patch-Bereitstellung reduziert die Zeit, die IT-Teams mit dem manuellen Anwenden von Patches verbringen, da alle oben genannten Prozesse über eine zentrale Konsole ohne menschliches Eingreifen auf alle Endpunkte ausgeführt werden. Dadurch wird Zeit für strategische Aufgaben frei, was zu einer besseren Ressourcenzuweisung und höherer Produktivität führt. Anstatt jeden Endpunkt manuell zu überprüfen, können Sie außerdem benutzerdefinierte Berichte für jeden Prozess planen und auftretende Fehler beheben.
Befolgen Sie diese Best Practices für das automatische Patch-Management, um die Sicherheit, Zuverlässigkeit und Effizienz Ihrer Unternehmenssysteme zu verbessern.
Die Bereitstellung bestimmter Patches ohne vorherige Tests kann die Funktionalität beeinträchtigen oder sogar einen Endpunkt ausfallen lassen. Um dies zu verhindern, testen Sie Patches zunächst in einer Pilotgruppe von Endpunkten (einer Testumgebung), bevor Sie sie im gesamten Netzwerk bereitstellen. Die Testumgebung sollte Ihr tatsächliches Netzwerk widerspiegeln und alle in Ihrem Unternehmen verwendeten Betriebssysteme umfassen. Sobald die Patches in der Testumgebung getestet wurden und sich als stabil erwiesen haben, können Sie sie genehmigen und mithilfe der automatischen Patch-Bereitstellung im gesamten Netzwerk bereitstellen.
Weitere Informationen zum Testen und Genehmigen von Patches finden Sie auf dieser Seite.
Sobald die veröffentlichten Patches erfolgreich getestet und genehmigt wurden, priorisieren Sie die Patches und planen Sie ihre Bereitstellung auf den Systemen entsprechend. Folgen Sie dabei dem kritische-zuerst-Ansatz. Einige Methoden dieses Ansatzes sind: Geben Sie Patches mit dem Schweregrad „Kritisch“ oder „Wichtig“ sowohl beim Testen als auch bei der Bereitstellung höchste Priorität. Patchen Sie Systeme mit hoher Verwundbarkeit, geschäftskritische Endpunkte und internetseitig erreichbare Geräte ohne Verzögerung. Stellen Sie Patches mit mittlerem oder niedrigem Schweregrad sowie für weniger anfällige Systeme gemäß den regulären geplanten Wartungsfenstern bereit.
Es ist entscheidend, Systeme zeitnah zu patchen, da jedes Jahr Zehntausende von Schwachstellen erfasst werden. Außerdem veröffentlichen Anbieter wie Firefox und Chrome jede Woche Patches, um Schwachstellen zu entschärfen. Um all diese Herausforderungen zu bewältigen und Ihr Patch-Management stets im Griff zu haben, empfiehlt sich ein gut organisierter Ansatz: Planen Sie automatische Patch-Bereitstellungen zweimal pro Woche. Auf diese Weise können Sie Endpunkte verwalten und überwachen, die Patch-Compliance überprüfen und sicherstellen, dass Ihre Systeme mit allen neuesten Updates versehen sind.
Weitere Informationen zu Aufgaben der automatischen Patch-Bereitstellung finden Sie auf dieser Seite.
Erstellen Sie verschiedene Gruppen von Computern basierend auf Domänen, Betriebssystemen, dem Vorhandensein bestimmter Hardware und bestimmter applicationen, und konfigurieren Sie für jede Gruppe individuell eine Patch-Konfiguration, die an ihre Anforderungen angepasst ist. Sie können die Bereitstellungsrichtlinie ebenfalls entsprechend anpassen. Einige Konfigurationen, die Sie beim Erstellen von Gruppen passend zu Ihren geschäftlichen Anforderungen verwenden können, sind: Bereitstellung auf Basis von Patch-Tuesday-Zeitplänen. Gruppen auf Basis geschäftskritischer Rechner und Server sowie weniger kritischer Rechner und Server. Gruppierung nach Nutzung und arbeitsfreien Zeiten.
Weitere Informationen zum Erstellen von Bereitstellungsrichtlinien finden Sie auf dieser Seite.
Nicht nur die Patch-Compliance, sondern auch die Produktivität der Benutzer ist für das Wohlergehen des Unternehmens wichtig. Um sicherzustellen, dass Benutzer bei geschäftskritischen Aufgaben auf ihren Systemen nicht unterbrochen werden, ist es entscheidend, Benutzereingriffe zuzulassen, damit Bereitstellungen oder Neustarts übersprungen oder verzögert werden können. Um sicherzustellen, dass Patches angewendet werden, können Sie Benutzer nach einem festgelegten Intervall über einen Neustart benachrichtigen oder bei Bedarf einen Neustart erzwingen.
Nicht nur Zero-Day-Schwachstellen, sondern auch bekannte Schwachstellen können zu einer Datenpanne führen. Daher wird empfohlen, regelmäßig gegen alle Schwachstellen zu patchen, nicht nur gegen Zero-Day-Schwachstellen.
Die Planung und Erstellung detaillierter Berichte über den gesamten Patch-Management-Prozess sorgt für Transparenz im Patch-Prozess und ist nützlich für die Netzwerk-Compliance und Audits. Zusätzlich zur Überwachung des Patch-Status im gesamten Netzwerk können Sie mit regelmäßigen Berichten auch die behobenen Schwachstellen nachverfolgen.
Weitere Informationen zu Audits und Berichten finden Sie auf dieser Seite.
