Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

Verletzen aller Prinzipien mit Servern, die mehrere Rollen übernehmen 445
Support und Updates
Kapitel 13, »Patchverwaltung«, beschreibt, was Sie über Sicherheitsupdates wissen müssen,
aber bei Multi-Rollen-Servern sind bezüglich Support und Updateverwaltung einige Besonderheiten
zu beachten. Wegen der großen Zahl von Diensten, die auf demselben System
laufen, ist die Problembehandlung schwieriger. Das bedeutet nicht, dass Probleme sich nicht
beseitigen lassen, aber wenn sie auftauchen, sollten Sie sicherstellen, dass der Hersteller, mit
dem Sie zusammenarbeiten, darüber informiert ist, dass es sich um einen Multi-Rollen-Server
handelt. Zum Beispiel setzen manche Fremdherstelleranwendungen möglicherweise voraus,
dass unterschiedliche Versionen von .NET installiert sind. Und Hersteller müssen wissen,
dass ihre Anwendung auf einem gemeinsam genutzten Server läuft, sodass sie keine unangemessenen
Änderungen an Berechtigungen vornehmen, ihr Produkt über vorhandene Websites
installieren oder einen der vielen anderen Fehler machen, mit dem Hersteller in der
Vergangenheit schon so manchen Multi-Rollen-Server lahmgelegt haben.
Tipp Virtualisierung von LOB-Anwendungen
Wenn Sie eine LOB-Anwendung installieren, sollten Sie sich überlegen, ob Sie Virtual Server verwenden
können. Dann läuft die Anwendung getrennt von Ihren anderen Serverrollen. So ist sichergestellt, dass der
Hersteller die Wartung des Multi-Rollen-Servers, auf dem Sie die Anwendung ausführen, nicht behindern
kann.
Rechnungen für die Updateverwaltung
Falls Sie Consulting für kleine Unternehmen anbieten, ist es häufig schwierig, die Kunden
davon zu überzeugen, dass eine Updateverwaltung unverzichtbar ist. Den Nutzen eines Service
Packs für eine kleine Organisation zu beziffern, kann sehr schwierig sein. Es kann den
Betrieb stören. Es verursacht Kosten für den Kunden. Außerdem bringt ein Service Pack
unter Umständen nicht die Vorteile, die der Inhaber eines kleinen Unternehmens anerkennt.
Consultants können normalerweise eine kleine Organisation überzeugen, dass eine Sicherheitsupdateverwaltung
gebraucht wird. Aber es ist schon schwieriger, sie davon zu überzeugen,
dass ein großes Service Pack gebraucht wird, das auch größere Risiken für Ausfallzeiten
birgt. Am besten lässt sich dieses Problem lösen, wenn Sie es vom Standpunkt des Supportaufwands
angehen. Es wird zwar dringend empfohlen, Service Packs für Server nicht
gleich mittags an dem Tag zu installieren, an dem das Service Pack veröffentlicht wird, aber
es ist sinnvoll, solche Service Packs innerhalb eines nicht allzu großen Zeitraums nach der
Freigabe bereitzustellen. Wenn ein neues Service Pack für ein Serverprodukt freigegeben
wird, ist das normalerweise ein Zeichen dafür, dass der Support für irgendeine Vorgängerversion
bald eingestellt wird. Sie sollten das Ziel verfolgen, niemals zwangsweise ein
Service Pack bereitstellen zu müssen, nur um Hilfe von den Microsoft Customer Support
Services zu erhalten. Befassen Sie sich mit den Produktlebenszyklen und Service Pack-
Roadmaps (http://www.microsoft.com/windows/lifecycle/servicepacks.mspx) und bleiben
Sie immer in dem Zeitrahmen, für den Support angeboten wird.
Tipp Testen bei der Updateverwaltung
Nutzen Sie die Leistungsfähigkeit der Virtualisierung, um Nachbildungen Ihres Netzwerks aufzubauen. Sie
können Abbilder von Datenträgern erstellen und praktisch alles außer den Benutzern selbst von der physischen
in die virtuelle Welt kopieren. Das ist sehr nützlich, um Sicherheitsupdates zu testen.