Patchen für Profis
Windows-Hotfixes auch ohne Automatische Updates

von Aron Vrtala (Ausgabe 04/2, Juni 2004)

 

Kasten: Firewall-Zugriffsregeln für Windows-Updates

 

In der letzten Ausgabe des Comment wurde das Windows-Dienstprogramm Automatische Updates vorgestellt, das sich selbständig auf die Suche nach neuen Security Patches macht und - falls es hierbei fündig wird - diese automatisch lädt und installiert (siehe Artikel Department of Desktop Security: Red Alert bei Windows-Betriebssystemen). In den allermeisten Fällen funktioniert das sehr gut; leider zeigt aber die Praxis, dass der Automatische Updates-Dienst nicht immer zu 100% zuverlässig ist. Die Gründe dafür können vielfältig sein - etwa eine zeitweilige Überlastung des Microsoft-Servers oder behindernde Einstellungen einer Personal Firewall. Um Sie vor unliebsamen Überraschungen zu bewahren, wollen wir Ihnen nicht vorenthalten, wie Sie Ihr Windows-Betriebssystem auch halbautomatisch bzw. manuell auf den neuesten Stand bringen können.

Die nachfolgenden Anleitungen beziehen sich auf die Systeme Windows XP und Windows 2000 (ab SP3), im Prinzip können die beiden Methoden aber auch für Windows 98SE, Windows ME und Windows NT (ab SP6) eingesetzt werden. Sie benötigen in jedem Fall eine Internetanbindung sowie einen Internet Explorer ab Version 5 (mit älteren Versionen kann es eventuell zu Problemen kommen, da der Internet Explorer viele Installationsschritte selbst ausführt). Beachten Sie, dass die ActiveX-Funktionen des Browsers benötigt werden. (Klicken Sie dazu unter Extras - Internetoptionen - Registerkarte Sicherheit auf die Schaltfläche Stufe anpassen. Beim Listenpunkt ActiveX-Steuerelemente ausführen, die für Scripting sicher sind muss Aktivieren ausgewählt sein. Bestätigen Sie hier mit OK und auf der Registerkarte Sicherheit mit Übernehmen und OK.) Zudem müssen Sie mit den Rechten des Administrators arbeiten, um die Softwarekorrekturen installieren zu können.

Sind Sie geschützt?

Wird in den Medien von einem neuen Windows-Sicherheitsproblem berichtet, erfährt man oft nur, dass zu dessen Behebung eine Softwarekorrektur mit kryptischem Namen wie z.B. KB835732 installiert sein muss. Wie aber können Sie überprüfen, ob der entsprechende Patch (etwa per Automatische Updates) tatsächlich eingespielt wurde? Ganz einfach: Wählen Sie Start - Systemsteuerung - Software und suchen Sie in der alphabetisch sortierten Liste der installierten Programme nach Windows Hotfixes.

Sie finden hier alle bereits installierten Security Patches. Wenn Sie zudem erfahren möchten, welches Problem ein bestimmter Patch behebt, klicken Sie auf diesen und anschließend auf den Link Klicken Sie hier, um Supportinformation zu erhalten. Sie werden nun direkt auf eine Webseite von Microsoft mit den benötigten Informationen verwiesen.

Patches halbautomatisch installieren

Eine mögliche Alternative zu automatischen Updates ist die halbautomatische Installation der notwendigen Patches. Wählen Sie dazu Start - Alle Programme - Windows Update. Ihr Internet Explorer startet und lädt die Windows Update-Seite von Microsoft (alternativ dazu können Sie auch unter http://www.windowsupdate.com/ auf die entsprechende Seite gelangen). Klicken Sie hier auf den Link Updates suchen. Ein Diagnoseprogramm beginnt nun eine Abfrage auf Ihrem System, um herauszufinden, welches Betriebssystem Sie installiert haben und wann dieses zuletzt aktualisiert wurde. Basierend auf dessen Abfrageresultaten schlägt es Ihnen eine Auswahl wichtiger Updates und Service Packs vor (siehe Abb. 1).

Abb. 1: Updates überprüfen und installieren

 

Mittels der Schaltfläche Hinzufügen werden die erwünschten Elemente ausgewählt. Updates zu Programmen, die Sie nicht installiert haben, können Sie unbesorgt übergehen. Andere optional einspielbare Updates werden im Rahmen links zur Auswahl angeboten. Es empfiehlt sich, von Zeit zu Zeit auch hier nachzusehen, etwa wenn Sie einen speziellen Treiber suchen oder ein neues Feature von Microsoft installieren wollen. Nachdem Sie Ihre Auswahl abgeschlossen haben, klicken Sie auf den Link Updates überprüfen und installieren.

Windows Update überprüft nun die Liste der zu installierenden Software auf interne Abhängigkeiten. Falls erforderlich wird eine bestimmte Installationsreihenfolge oder die Installation zusätzlicher Patches vorgeschlagen. Um die Installation zu beginnen, klicken Sie auf die Schaltfläche Jetzt installieren. Windows lädt und installiert die benötigte Software; ein Fenster informiert Sie über den zeitlichen Ablauf. War der Vorgang erfolgreich, erhalten Sie die Meldung Installation abgeschlossen sowie üblicherweise die Aufforderung, einen Neustart durchzuführen.

Mögliche Ursachen von Fehlschlägen

Hin und wieder kann es leider geschehen, dass Updates nicht oder nur zum Teil installiert werden. Sie erhalten in diesem Fall eine entsprechende Meldung. Auf der Windows Update-Seite von Microsoft lässt sich durch Anklicken von Installationsverlauf anzeigen anhand des Status eruieren, welche Update-Aktionen erfolgten bzw. fehlschlugen. Diese Liste erweist sich auch als hilfreich, wenn Sie z.B. ergründen wollen, ab welchem Zeitpunkt automatische Updates fehlschlugen.

  • Patches wurden nur teilweise installiert:
    Wenn besondere Abhängigkeiten von Patches untereinander bestehen, kann es sein, dass Windows Update nur einen Teil der aufgetragenen Aufgaben durchführt und anschließend einen Neustart verlangt. In diesem Fall sollte der beschriebene halbautomatische Vorgang wiederholt werden. Die bereits installierten Softwarekomponenten werden dann nicht mehr angefordert.

  • Patches wurden generell nicht installiert:
    Eine denkbare Ursache wäre z.B. eine Überlastung des Microsoft-Servers beim Download. Diese kann durch Wiederholung der halbautomatischen Prozedur zu einer späteren Stunde oder am nächsten Tag umgangen werden. Es wäre aber auch möglich, dass Ihre Personal Firewall für ihr unbekannte Windows Update-Programme den Zugriff auf das Internet sperrt: Windows Update verlangt manchmal das Herunterladen eines speziellen Programms, das von der Personal Firewall dann oft automatisch blockiert wird. Es ist daher sinnvoll, für die Dauer eines Updates die Firewall rückfragen zu lassen, ob das Programm Verbindung mit den Servern von Microsoft aufnehmen darf. Bei den meisten Personal Firewalls ist diese Rückfrage ohnehin voreingestellt; bei der Tiny Personal Firewall z.B. lautet die entsprechende Funktion Ask for action when no rule is found (siehe Artikel Tiny Personal Firewall: Kleine Firewall, ganz groß). Eine Behinderung durch die Firewall sollten Sie keinesfalls durch Deaktivieren der Firewall beheben, sondern durch Freigabe der benötigten Kommunikationswege. Die erforderlichen Zugriffsregeln finden Sie im Kasten Firewall-Zugriffsregeln für Windows-Updates.

Patches manuell installieren

Um die oben genannten Probleme zu umgehen, können Sie die Installation der erforderlichen Softwarekorrekturen auch manuell vornehmen. Ehe Sie diese Methode anwenden, sollten Sie sich jedoch ausführlich über den aktuellen Software-Versionsstand Ihres PCs informieren.

Abb. 2: Sicherheitsbericht von Microsoft

Auf der Windows Update-Webseite gelangen Sie durch Anklicken von Updates überprüfen und installieren erneut zur Liste der zu installierenden Updates und Service Packs. Wählen Sie beim fehlgeschlagenen Update den (nun grau dargestellten) Link Weitere Informationen. Dieser verweist auf den technisch formulierten Sicherheitsbericht (Security Bulletin) zu dem betreffenden Patch. Dieser Bericht ist in den meisten Fällen nur auf Englisch verfügbar. Suchen Sie in der Liste die Überschrift Affected Software (siehe Abb. 2), wählen Sie dort die für Ihr Betriebssystem passende Software aus und klicken Sie auf den zugehörigen Link Download the update. Dieser navigiert Sie auf die Download-Seite des jeweiligen Patches. Legen Sie hier die für Ihre Windows-Version zutreffende Sprache (in den meisten Fällen German) fest und bestätigen Sie Ihre Wahl mit Go. Die Seite wird nun in der von Ihnen ausgewählten Sprache angezeigt. Bei der hier angebotenen Software verrät das Ende des Dateinamens, für welche Sprachversion sie vorgesehen ist (z.B. _DEU für Deutsch). Laden Sie die gewünschte Datei herunter und führen Sie sie anschließend über Ihren Arbeitsplatz oder den Windows Explorer durch einen Doppelklick aus. Starten Sie im Anschluss Ihren Rechner neu.

Firewall-Zugriffsregeln für Windows-Updates

Damit Windows Update funktioniert, muss in der (Personal) Firewall zumindest für das Programm svchost.exe der Zugriff nach außen auf bestimmte Ports und Netzwerkbereiche freigeschaltet werden. Der Pfad zu diesem Programm ist davon abhängig, wo und wie das Betriebssystem installiert wurde (also z.B. c:\windows\system32\svchost.exe).

Geben Sie für das Programm svchost.exe folgende Regeln an:

Zugriff vom lokalen Rechner (alle Ports) über das Protokoll TCP nach außen (outgoing) auf die Ports 80 und 443 für die Netzwerkbereiche
207.46.0.0 mit Maske 255.255.0.0
64.4.0.0 mit Maske 255.255.192.0
213.199.144.0 mit Maske 255.255.240.0

Bei der internen Firewall von Windows XP und bei der Norton Personal Firewall (diese ist Teil der Norton Internet Security Suite) sind keine händischen Änderungen nötig. Bei letzterer sollte der Zugriff allerdings auf die genannten Netzwerkbereiche reduziert werden, da die beiden mitgelieferten Regeln für Generic Host Process for Win32 Services zu allgemein gefasst sind.

Bitte beachten Sie, dass die hier genannten Regeln nur für das Programm svchost.exe gelten! Unter Umständen wird für das Update auch der Windows Updater (update.exe) geladen, der wieder eigene Zugriffsregeln benötigt. Im Bedarfsfall können Sie für die Zeit des Updatens den Zugriff aller Programme (also nicht nur svchost.exe) für die obigen Netzbereiche freigeben.