Sicherheitspatches

Bei Neuinstallationen von Windows muss am Windows PC zuerst der aktuelle Servicepack und die auf dieser Seite aufgeführten Hotfixes installiert werden, bevor der PC an das FAU-Netzwerk angeschlossen werden kann. Damit wird die Wahrscheinlichkeit einer Kompromittierung des PCs deutlich verringert. Für alle übrigen Sicherheitspatches empfiehlt das RRZE die Verwendung des universitätsweiten, automatischen Update-Dienstes FAUSUS.

Windows 10-Script, um die „Datensammelwut“ einzuschränken

Für Windows 10-Installationen, die nicht in der FAUAD aufgenommen sind, stellt das RRZE ein Batch-Skript zum Download zur Verfügung, welches bekannte, datenschutzrechtlich bedenklich geltende Standardeinstellungen von Cortana, Telemetrie-Datenerfassung sowie einige andere Einstellungen deaktiviert.

FAUSUS, der Update-Service des RRZE

Für Windowssysteme (ab Windows 7), die nicht in der FAUAD aufgenommen sind, stellt das RRZE den Update-Server FAUSUS zur Verfügung: Die notwendige Software ist in dem Paket RRZE-FAUSUS-Client.zip enthalten. Im Programmverlauf kann eine Datei FAUSUS.ini erstellt werden. Wenn diese Datei sich im selben Verzeichnis wie das Programm befindet, kann damit eine „unbeaufsichtigte Installation“ (unattended) realisiert werden.

Mögliche Update-Optionen:
FAU-Current0 = Windows 10 Current Branch for Business (CBB) – alle Updates sofort
FAU-Current1 = Windows 10 Current Branch for Business (CBB) – alle Updates mit ca. 1 Woche Verzögerung
FAU-Current2 = Windows 10 Current Branch for Business (CBB) – alle Updates mit ca. 2 Wochen Verzögerung (Default-Einstellung)

FAU-Next0 = Windows10 Current Branch (CB) – alle Updates sofort
FAU-Next1 = Windows10 Current Branch (CB) – alle Updates mit ca. 1 Woche Verzögerung
FAU-Next2 = Windows10 Current Branch (CB) – alle Updates mit ca. 2 Wochen Verzögerung

Die ehemalige FAU-ALL Gruppe entspricht nach der neuen Nomenklatur der Gruppe FAU-Current2.

Alle genannten Updategruppen (FAU-Current und FAU-Next) stellen ebenfalls Updates für die Windows-Versionen 7 und 8.1 bereit.
Die oben genannten Verzögerungen gelten hier analog – ein Unterschied zwischen FAU-Current und FAU-Next besteht bei Verwendung der Betriebssysteme Windows 7 und Windows 8.1 jedoch nicht.

Welche Windows 10-Version für „Current Branch (CB)“ und „Current Branch for Business (CBB)“ aktuell gültig ist, informiert die Mailing-Liste „Informationen zu Windows-Updates und -Upgrades (FAUSUS-Nutzer)“ Benachrichtigung über Windows-Updates

Aktuell wichtige Windows-Servicepacks und -Hotfixes

Diese Patches müssen bei einer Neuinstallation eines Windows PCs unbedingt noch vor dem Anschliessen an das FAU-Netzwerk eingespielt werden, um die Gefahr einer sofortigen Kompromittierung des PCs zu minimieren.

Das RRZE bietet eine aktuelle Ausgabe der WSUS-Offline-Update-DVD für verschiedene Microsoft Betriebssysteme (deutsch und englisch) an. Die DVDs werden als ISO-Image-Dateien bereitgestellt. Um die WSUS-Offline-Update-DVD benutzen zu können, sind folgende Schritte erforderlich:

  • Herunterladen der ISO-Image-Datei (nur aus dem Uninetz möglich):
  • Brennen einer DVD aus der ISO-Image-Datei: Sie benötigen zum Brennen einer DVD aus einer ISO-Image-Datei ein Brennprogramm. Die verbreiteten Brennprogramme bieten hierzu entsprechende Möglichkeiten (DVD-Image brennen). Nähere Informationen können Sie der Hilfe-Funktion des jeweiligen Brennprogramms entnehmen.
  • Es versteht sich dabei von selbst, dass das Herunterladen und Brennen der WSUS-Offline-Update-DVD mit einem anderen Rechner, auf dem die neuesten Betriebssystemaktualisierungen installiert sind, erfolgen muss. Wenn Sie nun eine WSUS-Offline-Update-DVD gebrannt haben, können Sie mit der Aktualisierung des Betriebssystems beginnen. Sie benötigen dazu Administratorrechte.
  • Legen Sie die DVD in Ihr Laufwerk. Im Quellverzeichnis der DVD finden Sie eine Datei namens „UpdateInstaller.exe“. Starten Sie diese Datei. Es beginnt der selbsterklärende Aktualisierungsvorgang. Folgen Sie den Anweisungen am Bildschirm.

Auf diesen DVDs sind die jeweils aktuellen „Servicepacks“, „Updates“ und „Patches“ für die entsprechende Plattform zusammengefasst. Diese DVD-Images sind mit Hilfe des Projektes WSUS Offline Update (früher c’t-Projekt „Offline Update“ des heise-Verlags) erstellt worden. Die auf den DVD-Images enthaltenen Sammelupdates können z.B. auf Windows-Installationen von CD (interaktiv oder unbeaufsichtigt) angewandt werden, bevor diese an das FAU-Netzwerk angeschlossen werden.

Die DVD-Images werden vom RRZE unregelmäßig aktualisiert.

Nachfolgende Betriebssysteme sind im UNI-Netz nicht mehr erlaubt, da der Support von Microsoft abgelaufen ist.

Ein Windows-PC ist bereits während der Windows-Installation über das Netzwerk angreifbar.
Da es ebenfalls sehr riskant ist, den PC anschließend mit einer Administrator-Kennung und dem zu diesem Zeitpunkt noch nicht aktualisierten Internet Explorer über die Windows-Update-Webseite zu aktualisieren, empfiehlt das RRZE die Verwendung der WSUS-Offline-Update-DVDs.

Alle wichtigen Hotfixes und Updates finden Sie auf der Microsoft Security Bulletin-Webseite.