Patch-Katalog

Was ist ein Patch-Katalog?

Ein Patch-Katalog ist ein Speicherort für Daten, die mit Software-Patches verknüpft sind. Er bietet einen praktischen Ort zum Speichern von Patching-Daten für das primäre Betriebssystem sowie für andere Betriebssysteme und Anwendungen, die in der Organisation verwendet werden. Patch-Kataloge speichern Metadaten und zugehörigen Code zu Patches und oft auch die Patches selbst. Eine leicht zugängliche Quelle für aktuelle und neue Patches hilft Patch-Administratoren und Netzwerk-Sicherheitsadministratoren bei der Vorbereitung und dem Testen von Patches, bevor sie in der Produktion eingesetzt werden.

Warum Patch-Kataloge wichtig sind

Die meisten großen Anbieter von Betriebssystemen und Anwendungen veröffentlichen Patches, wenn sie die Software aktualisiert haben, um einen Fehler zu beheben, neue Funktionen hinzuzufügen oder die Sicherheitsfunktionen zu verbessern. Sicherheits-Patches sind angesichts der anhaltenden Bedrohung durch Cyberangriffe besonders wichtig. Durch die Installation von Patches für Cybersicherheitssoftware und -systeme – zum Beispiel Firewalls und Intrusion-Detection-Systeme – wird sichergestellt, dass diese Angriffsfläche effektiv erkennen, Sicherheitslücken verhindern und Malware, Phishing, Ransomware, Viren und DDoS-Attacken blockieren.

Zu den bewährten Verfahren für das Patch-Management gehört es, sicherzustellen, dass die Patch-Kataloge auf dem neuesten Stand sind, damit Systemadministratoren bei der Verwaltung von Patches über die aktuellsten Daten verfügen. Administratoren sollten außerdem ein Archiv früherer Patches zur Referenz und möglichen Neuinstallation führen.

Online-Quellen für Patch-Kataloge

IT-Abteilungen können Patch-Kataloge mithilfe von Funktionen im Betriebssystem erstellen oder Software-Update-Kataloge herunterladen, die von den Anbietern selbst und von Drittanbietern, die auf die Unterstützung von Patch-Management-Prozessen spezialisiert sind, veröffentlicht werden. Neben Metadaten und zugehörigem Code zu verfügbaren Patches enthalten die Kataloge in der Regel den Code für die eigentlichen Patches, die sogenannten Patch Payloads.

Beispiele

Microsoft Update-Katalog

Der Microsoft Update-Katalog ist eine zentrale Ressource für die Verwaltung von Software-Updates, Treibern und Hotfixes, das heißt schnell bereitgestellten Fehlerbehebungen. Er kann für IT-Administratoren und Systemmanager, die bestimmte Updates in ihren lokalen und Unternehmensnetzwerken bereitstellen müssen, äußerst nützlich sein.

Zu den wichtigsten Funktionen gehören:

• Update-Listen: Diese enthalten Microsoft-Software-Updates, einschließlich Sicherheits-Patches, Funktionserweiterungen und Fehlerbehebungen.
• Suche: Administratoren können mithilfe von Schlüsselworten, der Größe in Kilobyte oder bestimmten Begriffen im Zusammenhang mit dem Update nach Updates suchen.
• benutzerdefinierte Bereitstellung: Ausgewählte Updates können bei Bedarf heruntergeladen und auf Geräten installiert werden.
• Bereitstellung in der Domäne: Heruntergeladene Updates können auf Computern in einer bestimmten Domäne bereitgestellt werden.

BMC Server Automation

BMC Server Automation bietet einen schrittweisen Prozess zum Einrichten und Verwalten eines Online-Patch-Katalogs für Microsoft Windows-Patches.

Zu den wichtigsten Funktionen gehören:

• Erstellung eines Patch-Katalogs: Das erleichtert die Erstellung eines Patch-Katalogs, der für bestimmte Anforderungen optimiert ist, zum Beispiel Microsoft Windows 10 oder 11.
• Online-Modus: Dadurch werden Patch-Metadaten aus dem Online-Patch-Netzwerk von Ivanti (ehemals Shavlik) abgerufen, die vom Microsoft Configuration Manager verwendet werden können.
• Filter: Diese helfen dabei, nur die relevantesten Daten in den Katalog zu übernehmen.
• wiederkehrender Zeitplan: Dadurch wird sichergestellt, dass die neuesten Patch-Informationen verfügbar sind.
• Patch-Gruppenliste: Nach der Einrichtung des Patch-Katalogs kann der Liste ein beschreibender Name zugewiesen werden, der auf bestimmten Faktoren basiert, wie zum Beispiel Windows Updates, die neuer als zehn Tage sind, um die Auswahl des richtigen Katalogs zu erleichtern.

Patch-Management-Systeme, die einen Großteil des Patch-Management-Prozesses automatisieren, können Patching-Daten für mehrere Betriebssysteme und Anwendungen bereitstellen. Sie unterstützen auch die Erstellung von Patch-Katalogen, um die Verwaltung von Patches für eine große Anzahl von Systemen zu vereinfachen. Zu den Plattformen für Patch-Management-Software gehören Aagon, Atera, Automox, GFI LanGuard, ITarian, Kaseya VSA, ManageEngine Patch Manager Plus, Microsoft Configuration Manager, NinjaOne Patch Management, SolarWinds Patch Manager und Syxsense.

Wie man einen Patch-Katalog einrichtet

Wie bereits erwähnt, verfügen die meisten gängigen Betriebssysteme über Funktionen zum Einrichten von Patch-Katalogen, wobei die einzelnen Betriebssysteme leicht unterschiedliche Schritte zum Erstellen eines Katalogs aufweisen. Es sind auch Systeme von Drittanbietern verfügbar, mit denen ein Patch-Katalog eingerichtet und der Patching-Prozess automatisiert werden kann.

Zu den vorbereitenden Schritten und Tipps für die Einrichtung eines Patch-Katalogs gehören die folgenden:

• Richten Sie eine sichere und Air-Gapped-Umgebung ein, um neue Patches zu testen.
• Erwägen Sie die Bereitstellung eines Proxy-Servers mit Internetzugang, um Patches von verschiedenen Anbietern herunterzuladen.
• Legen Sie fest, welches Betriebssystem oder welche Drittanbieteranwendung zum Einrichten des Katalogs verwendet werden soll.
• Wenn Sie die Katalogerstellungsfunktionen im Betriebssystem nicht verwenden, sollten Sie ein Dienstprogramm herunterladen, das das Patchen von Drittanbietern erleichtert, zum Beispiel den BMC Software TrueSight Server Automation Patch Catalog Wizard.
• Laden Sie Patch-Daten in den Katalog.
• Legen Sie Filter fest, die sicherstellen, dass nur relevante Patches aufgelistet werden.
• Erstellen Sie einen Patching-Zeitplan.
• Richten Sie einen Prozess zum Testen der Patches vor deren Bereitstellung ein.

Aus der Sicht von Microsoft gibt es mehrere Möglichkeiten, Patch-Kataloge zu erstellen. Organisationen, die Windows Server Update Services (WSUS) oder Configuration Manager ausführen, können Patches direkt in diese importieren. Sobald die Patches eingegeben wurden, können sie genauso wie andere Patches für diese Systeme verwaltet werden.

Der Microsoft Update-Katalog bietet eine aktuelle Liste der verfügbaren Patches mit Daten zu den Patches, den anwendbaren Systemen und Anwendungen sowie Tutorials. Patches von Drittanbietern können ebenfalls importiert werden, wodurch sich die Vielfalt der für Patch-Administratoren verfügbaren Patches erhöht.

Verschiedene Arten von Patches können mithilfe von WSUS und Configuration Manager mit Produktionsservern synchronisiert werden. Dazu gehören beispielsweise Sicherheits-Updates, wichtige System-Updates, Service Packs und kritische Gerätetreiber. Patch-Kataloge funktionieren auch mit Patch-Zeitplänen, die angeben, wann bestimmte Patches installiert werden sollten.

Die Entscheidung, Patch-Kataloge zu erstellen, sei es mithilfe von Betriebssystem-basierten Tools oder Drittanbieter-Dienstprogrammen, kann auf der Häufigkeit der Patch-Installationen und den spezifischen Betriebsanforderungen basieren. Beispielsweise haben Kataloge mit Sicherheits-Patches wahrscheinlich eine hohe Priorität, da sie dazu beitragen, Cyberangriffe zu verhindern. Patches wie Betriebssystem- und Anwendungs-Updates, die Microsoft monatlich bereitstellt, lassen sich mithilfe von Patch-Katalogen einfacher verwalten.

Eine Richtlinie für das Patch-Management ist für die Aufrechterhaltung eines effektiven Patch-Management-Prozesses unerlässlich. Sie definiert, wie Patches identifiziert, getestet, installiert, validiert und dokumentiert werden. Sie sollte die Möglichkeit beinhalten, Patch-Kataloge für das primäre Betriebssystem und wichtige Anwendungen zu erstellen.