Updatecheck - Fehlen mir wichtige Sicherheitsupdates?

Wie?

Start - Ausführen (oder Tastatur-Kombination [WIN]+[R])

           updatecheck (im Active Directory(AD) URT angemeldet)  

Alternative: Falls sie Homedirectory und Gruppenlaufwerke via DFS-Verbunden haben liegt updatecheck.cmd 

                   unter v:\public\public\updatecheck.cmd

Start - Ausführen - v:\public\public\updatecheck.cmd

Was?

"Updatecheck" bietet Hilfestellung zur Überprüfung wichtiger Sicherheitsupdates für Windows, Office und weiterer Programme.

Die zeitnahe/regelmäßige Aktualisierung von Updatecheck wurde eingestellt.

Die Ergebnisse werden nicht mehr protokolliert und nicht mehr für Sicherheitsanalysen verwendet.

Welche Programme?

Derzeit werden analysiert:

  • Microsoft: Windows, Office, Silverlight
  • Adobe: Acrobat, Acrobat Reader, Flash-Player, AIR
  • Java Runtime
  • Mozilla Firefox/Thunderbird
  • Google Chrome
  • VLC-Player
  • Irfanview
  • Apple Itunes
  • Putty (auch bei WinSCP)

Beispiel: Updatecheck wurde eingestellt !!!

Erklärungen:

Programm: Name des untersuchten Programms

aktuell: Auf dem System aktuell installierte Version.

mindestens: aktuelle Version des Programms mit allen Sicherheitsupdates.

End of Life/Support: Datum seit wann für die installierte Version keine Sicherheitsupdates mehr zur Verfügung gestellt wurden

Grüne Zeilen: Programm hat alle aktuellen Sicherheitsupdates

Rote Zeilen: Sicherheitsupdates fehlen und sollten umgehend installiert werden.

Gelbe Zeilen: weitere Hinweise; z.B. Acrobat (Reader) Protected Mode/View abgeschaltet. Kann zu Sicherheitsproblemen führen, da Adobe Sicherheitsupdates erst später liefert.

Qualität: Da Updatecheck wird nur von einer Person betreut, d.h. es können nur dann neue Informationen eingetragen werden, wenn diese bekannt sind. Als Informationsquellen dienen diverse Sicherheitsportale, Mailinglisten usw.

Rote Zeilen weisen auf Handlungsbedarf hin: Sicherheitsupdates installieren! Alles Grün besagt nur, das vermutlich alles in Ordnung ist; das entbindet nicht den Systemadministrator von seiner Pflicht selbst für die Sicherheit seines Systems zu sorgen. Rückmeldungen, Fehlermeldungen, Verbesserungsvorschläge werden gerne angenommen.

Entstehung:

Updatecheck ist eine Quick-and-dirty Lösung (auf Basis der Scriptsprache Kixtart) die 2003 nach Auftreten des Blaster-Wurms (W32.Blaster, W32.Lovesan, MSBlast) begonnen wurde. Damals wurden die meisten Windows-Systeme nicht automatisch mit Sicherheitsupdates (Microsoft Update, WSUS-Server) versorgt oder überhaupt eine Patch Management Lösung eingesetzt. Zuerst wurde nur kontrolliert ob der Blaster-Patch installiert ist bzw. Reste des Blaster-Wurm auf dem Systems vorhanden waren. Nachdem dann bald an der Uni Trier ein SUS-(WSUS)-Server installiert wurde, wurde das Script erweitert um sicherzustellen, dass der Windows-Update (Microsoft-Update) Dienst auch das tut was er soll. Schnell zeigte sich, dass die Microsoft Updates sehr zuverlässig sind. Auch wegen der monatlichen Patch-Days wurde der Sicherheitsstatus der Systeme deutlich besser. Leider half dies nur relativ, da mittlerweile Flash, Java, PDF usw. mit immer neuen Sicherheitslöchern die Sicherheit der Systeme bedrohten. Leider funktionierten die automatischen Updateprozeduren hier nicht zuverlässig bzw. erforderten die Anmeldung mit Administratoren Rechten. Wenn man selbst etliche Systeme incl. Server zu betreuen hat kann man leicht den Überblick verlieren. Also wurden nach und nach immer neue Programme in den "Updatecheck"   aufgenommen.

Ausblick:

Sicher ist dies kein Ersatz für eine Patch-Management-Lösung (wie z.B. Secunia CSI), die ja neben Lizenzkosten, Betreuung auch  Server benötigt. Aber besser als gar  nichts.