Windows-Update (Schutz vor Würmern, Viren und anderen Risiken)

Günter Born

Seit dem Erscheinen von Windows XP musste Microsoft auf diverse Fehler, kritische Sicherheitsmängel und geänderte Hard- oder Software mit Aktualisierungen des Betriebssystems reagieren. Spätestens seit dem Erscheinen des Wurms Sasser, der sich bereits beim Surfen auf Windows XP-Systemen breit macht, sollte sich jeder Anwender der Risiken bewusst sein.

Für Windows XP gibt es mittlerweile ein ganzes Bündel an Sicherheits-Updates, Service-Packs und Hotfixes. Dieser Artikel vermittelt das Know-how, wie sich Windows gezielt aktualisieren lässt.

Viele Begriffe, was das steckt dahinter?

Wer sich mit der Aktualisierung von Software befasst, wird allerdings mit einem Wust an Begriffen konfrontiert, die in der Vergangenheit leider unterschiedlich benutzt werden. Microsoft benutzt mittlerweile folgende Nomenklatur.

Positiv ist, dass die Dateien der herunterladbaren Pat-ches i.d.R. nach dem Schema Q#####_XXX_YYY_ZZZ_LL.exe benannt sind. Die Angabe Q##### korrespondiert mit dem zugehörigen Artikel der Microsoft Knowledge Base. XXX bezeich-net das Produkt (z.B. WXP) während die optionale Angabe YYY für eine Service Pack-Nummer steht. ZZZ ist ebenfalls optional und bezeichnet die Hardwareplatt-form (z.B. x86) während LL die Sprachversion (z.B. DE) angibt.

Q329170_WXP_SP2_DE.exe ist demnach ein Patch für die deutsche Version von Windows XP, der bereits für Service Pack 2 vorgesehen ist und im Knowledge Base-Artikel Q329170 beschrieben wird. Da Windows XP nur für die x86-Architektur verfügbar ist, entfällt hier die Angabe der Hardwareplattform.

Diese Basispatches sollten Sie haben!

Microsoft bringt fast im Wochentakt frische Patches heraus. Listen mit notwendigen Update-Angaben sind daher bereits bei Drucklegung veraltert und machen wenig Sinn. Zudem werden durch Microsofts Rollup Pakete viele Einzelpatches obsolet. Wer ein frisch installiertes oder ungepatchtes Windows XP auf Vordermann bringen möchte, sollte zumindest die folgenden Pakete z.B. von CD installieren:

Zudem empfiehlt sich die Installation des Update Rollup 1 für Microsoft Windows XP (KB826939). In der gut 9 MB großen Datei WindowsXP-KB826939-x86-DEU.exe hat Microsoft die wichtigsten früheren Aktualisierungen für Windows XP mit Stand vom 14.10.2003 in einem Paket zusammengefasst.

Hinweis: Ab ca. Juli 2004 werden das Service Pack 1 sowie die restlichen, oben erwähnten, Pakete durch Service Pack 2 ersetzt. Dieses Service Pack wird umfangreiche Änderungen an Windows XP vornehmen und die Sicherheit drastisch verbessern - siehe auch mein bei Microsoft Press ab diesem Zeitpunkt publiziertes Buch "Das Handbuch - Windows XP Home Edition", 2. Ausgabe).

Nutzen der Windows-Update-Funktion

Standardmäßig hat Windows bereits eine Update-Funktion an Board, die das Betriebssystem eigentlich auf dem neuesten Stand halten sollte. Patches wachsen sich mittlerweile zu fetten Megabyte Paketen aus, die sich nicht mal schnell per Internet herunterladen lassen. Benutzer mit langsamen Modemverbindungen verzweifeln, wenn der Onlinezugang wieder einmal stundenlang durch Downloads der Update-Funktion blockiert wird. Dies führt dazu, dass Anwender die automatische Update-Funktion deaktivieren und die in der Republik betriebenen Systeme offen wie Scheunentore für Angriffe aller Art sind. Das bereits erwähnte Windows XP Service Pack 2 enthält nicht nur alle Patches und Updates für Windows sowie für den Internet Explorer. Microsoft hat dort auch neue Sicherheitstechnologien integriert, mit deren Hilfe sich Systeme auch ohne Patches effektiver schützen können. Im wesentlichen werden die werkseitigen Windows-Einstellungen für E-Mail, Firewall und Internetsicherheit gegen Angriffe optimiert.

Bis es aber so weit ist, stehen Windows XP-Anwender vor der Frage, welche Patches wirklich benötigt werden, wie sich feststellen lässt, was fehlt und wie man ggf. einen fehlerhaften Patch wieder los wird.

Informationen bezüglich kritischer Sicherheitslü-ken samt den verfügbaren Patches liefert Microsoft im Download-Bereich seiner Internetseiten (z.B. Einstieg über www.microsoft.com/germany). Über die Microsoft Knowledge Base (erreichbar unter support.microsoft.com) kann sich jeder umfassend über Probleme und deren Lösung infor-mieren.

Automatische Updates kontrollieren

Die Windows Update-Funktion lässt sich so einstellen, dass diese bei jeder Internetsitzung das System auf erforderliche Aktualisierungen überprüft, Patches automatisch herunterlädt und installiert. Wer nur eine langsame Modem-Verbindung besitzt, sollte sich einige Gedanken um gezielte Updates und Einstellungen der Windows Update-Funktion machen.

Nicht jedes Update ist wirklich notwendig und vieles lässt sich zu einem späteren Zeitpunkt nachholen. Zudem eröffnet die Kontrolle der automatischen Updates die Möglichkeit, bestimmte Aktualisierungen zeit- und geldsparend über Service Packs und Rollups von CD vorzunehmen.

Update-Kontrolle: Was ist bereits installiert?

Wer seine Updates manuell verwaltet und wissen will, ob bereits bestimmte Updates auf dem Computer installiert sind, muss an mehreren Enden suchen.

Noch detailliertere Informationen, wann welche Patches installiert wurden, liefert die Windows Update-Funktion. Ist der Rechner online, lässt sich die Funktion zum Beispiel über den Befehl Windows Update im Menü Extras des Windows Internet Explorers aufrufen. Auf dieser Seite können Sie nicht nur Windows auf fehlende Patches kontrollieren lassen, sondern Sie können auch den Update-Verlauf anzeigen lassen (es reicht ein Mausklick auf den Hyperlink Installationsverlauf anzeigen der Spalte Windows Update).

Wer wissen will, ob weitere Sicherheitspatches oder kritische Updates fehlen, kann auf der Update-Seite die fehlenden Komponenten ermitteln lassen. Ein mit der Seite geladenes ActiveX ermittelt dann bei Anwahl des Hyperlinks Updates suchen die für das System benötigten bzw. von Microsoft empfohlenen Patches. Vor dem Download erlaubt der Link Windows Upda-tes auswählen in der linken Spalte der Windows Update-Seite unerwünschte Komponenten aus der Liste der vorgeschlagenen Patches zu entfernen.

Der Ansatz über die Windows Update-Funktion ist bei der Aktualisierung mehrerer Rechner zu aufwändig. Der unter www.microsoft.com/germany/ms/security/tools.mspx kostenlos abrufbare Microsoft Baseline Security Analy-zer (MBSA) erlaubt vor allem Netzwerkadministratoren verschiedene Systeme einem Sicherheitscheck zu unterziehen. Neben einer Überprüfung der Passwort- und Konteneinstellungen listet das Programm auch fehlende Sicherheitspatches auf. Über die Links Result details der Ergebnisliste lassen sich HTML-Seiten mit Details zu den fehlenden Updates anzeigen. Jede Detailseite ent-hält auch einen Verweis zu den betreffenden Security Bulletins im Internet. Zum Scannen des Systems greift MBSA aber auf Informationen zurück, die von der Microsoft Update-Seite periodisch herunter geladen werden. Daher sollte beim Aufruf des Tools eine Online-Verbindung bestehen.

Um die heruntergeladenen Patches zu speichern und später erneut benutzen zu können, lässt sich der Corporate Update-Modus nutzen.

Der Corporate Update-Modus steht in der linken Spalte der Windows Update-Seite über den Eintrag Windows Update-Katalog der Rubrik Siehe auch zur Verfügung. Ist dort nur der Eintrag Info vorhanden, muss der Link Windows Update anpassen der Gruppe Weitere Optio-nen angewählt und dann das Kontrollkästchen Verknüpfung für Update-Katalog unter Siehe auch anzeigen im rechten Dokumentfenster markiert werden. Sobald die Schaltfläche Einstellungen speichern auf der Seite betätigt wird, steht der Windows Update-Katalog zur Verfügung. Falls dies in einem älteren Browser nicht klappt, lässt sich der Corporate Update-Modus auch direkt über die URL v4.windowsupdate.microsoft.com/de/default.asp?corporate=true abrufen.

In der anschließend angezeigten Windows Update-Seite kann über die Rubrik Siehe auch wahlweise zwischen den Modi Windows Update und Windows Update-Katalog umgeschaltet werden. Im Modus Windows Update-Katalog ist zuerst die Betriebssystemumgebung auszuwählen. Der Link Updates für Microsoft-Betriebssystemen suchen liefert anschließend eine rechnerunabhängige Liste der empfohlenen/verfügbaren Patches, die sich manuell selektieren, in einen Download-Warenkorb übertragen und anschließend in einen lokalen Ordner herunterladen lassen. Solange der Rechner online ist, lässt sich die Liste der lokal verfügbaren Patches über den Link Downloadverlauf anzeigen abrufen.

Virenscanner und Ad-aware

Zur weiteren Absicherung des Systems sollten Sie sich einen aktuellen Virenscanner zulegen und diesen auch ständig aktualisieren. Ein für Privatanwender kostenloser Virenscanner ist Microsofts Security Essentials. Die Microsoft Security Essentials lassen sich auch in Vereinen und kleinen Firmen mit bis zu 10 PCs kostenlos nutzen.

Zusatzinfos

Zusätzlich sollten Sie die WIndows-XP-Firewall aktivieren und sich einige Verhaltensmaßregeln beim Surfen im Internet angewöhnen. Weitere Informationen zur Aktualisierung von Windows XP sowie zu Strategien zum sicheren Surfen finden Sie in den von mir publizierten Büchern:

Das Handbuch - Windows XP Home Edition, 2. Ausgabe 2004, Microsoft Press, München
Windows XP Tricks Home, 2003, Markt + Technik-Verlag, München
Windows XP Tricks Professional, 2003, Markt + Technik-Verlag, München

Weitere Links im Internet

http://www.microsoft.com/germany Deutsche Microsoft Startseite, über die man an Informationen zu kritischen Updates gelangt.

http://support.microsoft.com Englischsprachiges Microsoft Support Center mit der Knowledge Base.

http://v4.windowsupdate.microsoft.com/de/default.asp Deutschsprachige Microsoft Windows Update-Seite.

http://windowsupdate.microsoft.com Englischsprachige Microsoft Webseite mit den Windows Updates.

http://www.microsoft.com/downloads/search.aspx?displaylang=de Deutschsprachiges Microsoft Download-Center für Windows Updates.


(c) by Günter Born www.borncity.de