Das Patch-Management wirkt im ersten Moment wie ein Thema, das kein großes Problem mehr darstellt. Die Updates werden verteilt, die Systeme melden ihren jeweiligen Status und die Reports zeigen grüne Häkchen.
Allerdings unterscheidet sich diese Theorie oft von der Praxis. Immer wieder fallen einzelne Geräte aus der Auswertung, die Server melden falsche Stände oder erscheinen gar nicht mehr. An diesen Stellen entstehen Risiken, die im Alltag meist lange unbemerkt bleiben.
Microsoft stellt mit Windows Update, Windows Server Update Services (WSUS) und Microsoft Intune etablierte Werkzeuge für das Patch-Management bereit. Jedes dieser Systeme erfüllt seinen Zweck. Sie arbeiten jedoch mit eigener Logik. Unterschiedliche Synchronisationszyklen und Auswertungsmethoden führen deswegen dazu, dass der tatsächliche Patch-Status nicht immer eindeutig ist.
Diejenigen, die sich nur auf eine einzige Datenquelle verlassen, sehen daher nur einen Teil der Realität.
Hybride Umgebungen ändern die Spielregeln
Sobald eine lokale Infrastruktur mit cloudbasierten Diensten kombiniert wird, steigt die Komplexität des Patch-Managements deutlich. Die Geräte lassen sich gleichzeitig über Gruppenrichtlinien und Intune verwalten. Hinzu kommen verschiedene Updatekanäle, beispielsweise für halbjährliche Funktionsupdates oder monatliche Sicherheitsupdates.
WSUS ist nach wie vor in vielen Unternehmen im Einsatz. Es deckt jedoch ausschließlich Systeme ab, die aktiv mit dem Server kommunizieren. Intune liefert ergänzende Daten aus der Cloud, was allerdings eine saubere Registrierung der Geräte voraussetzt. Ist dies nicht der Fall, tauchen die Systeme in keinem Bericht vollständig auf.
Ausgelagerte Dienste verstärken zu diesem Effekt bei. Wird ein Teil der Infrastruktur zum Beispiel auf einem Windows vServer betrieben, greifen in der Regel noch einmal andere Wartungszyklen oder Verantwortlichkeiten. Ohne eine klare Abstimmung kommt es schnell zu unterschiedlichen Patchständen innerhalb derselben Umgebung.
Hier scheitert die Patch-Compliance in der Praxis
Die Ursachen für diese Probleme sind meist unspektakulär. Die Geräte sind nicht erreichbar, die festgelegten Richtlinien greifen nicht wie geplant oder die Systeme werden außer Betrieb gesetzt, ohne gleichzeitig aus der Verwaltung entfernt zu werden. Solche Altlasten verfälschen die Auswertung.
Ein weiteres Problem liegt in der zeitlichen Steuerung der Updates. Sicherheitsupdates werden meist sehr schnell ausgerollt, Funktionsupdates dagegen bewusst verzögert. Das ist auf der einen Seite sinnvoll, auf der anderen erschwert es jedoch die Bewertung. Ein System kann so veraltet wirken, obwohl es sich noch innerhalb seines definierten Wartungsfensters befindet.
Der Effekt wird durch unterschiedliche Datenquellen zusätzlich unterstützt. WSUS basiert auf Statusmeldungen der Clients, Intune dagegen auf der cloudbasierten Telemetrie. Ohne eine zusätzliche Prüfung lässt sich kaum sagen, welcher Stand nun eigentlich korrekt ist.
So ist ein belastbares Gesamtbild möglich
Ein verlässlicher Überblick entsteht deshalb erst durch den Abgleich mehrerer Quellen. Die lokalen Reports sollten regelmäßig mit den Daten aus Intune verglichen werden. Aufmerksamkeit verdienen dann vor allem Geräte, die nur in einem der Systeme erscheinen. Bei diesen lohnt sich eine gezielte Analyse.
Ergänzend dazu bietet sich der Einsatz von PowerShell an. Über entsprechende Befehle lassen sich installierte Updates direkt auf den Systemen prüfen. Diese Methode liefert unabhängige Ergebnisse und hilft dabei, Abweichungen schneller zu verifizieren.
Ebenso wichtig ist die Bereinigung veralteter Einträge. Systeme, die nicht mehr existieren oder nicht erreichbar sind, verzerren jede Statistik. Eine saubere Datenbasis ist eine entscheidende Grundvoraussetzung.
Klare Prozesse sorgen für Stabilität
Für ein zuverlässiges Patch-Management sind klare Zuständigkeiten und nachvollziehbare Abläufe nötig. Es muss festgelegt sein, welches System als Referenz dient und wie mit Abweichungen umgegangen wird.
Durch regelmäßige Prüfungen, klar definierte Freigaben und eine strikte Trennung von Test- und Produktivumgebungen ergibt sich eine höhere Verlässlichkeit. In hybriden Strukturen zahlt sich diese Disziplin besonders aus.
Patch-Compliance ist als kontinuierlicher Prozess zu verstehen. Wird dieser sauber organisiert, werden die verbundenen Risiken spürbar reduziert und es lässt sich auch in komplexen Umgebungen stets die Kontrolle behalten.
Werbung