Servicebeschreibung für Update-Services veröffentlicht
Patchwork - Von Quiltecke - Eigenes Werk, CC BY-SA 3.0, https://commons.wikimedia.org/ w/index.php?curid=27582471
Es gibt keine fehlerfreien IT-Systeme
Fehlerfrei funktionierende IT-Systeme sind eine Unmöglichkeit, weil die Einsatzzwecke wegen ihrer Flexibilität sich im Gebrauch ändern. Die Hersteller können nicht alle Szenarien voraussehen und entsprechende Vorkehrungen treffen. Auch wenn man als Verbraucher*in dies anerkennt, ist andererseits festzustellen, dass die Hersteller der Verantwortung für ihre Produkte nicht vollständig nachkommen. Darunter leiden alle, Endnutzer*innen und auch verantwortungsvolle Hersteller.
Für die Administrator*innen von selbst gemanagten Umgebungen auf dem Campus heißt es daher: Patchen, patchen, patchen.
Update-Service von Microsoft
Microsoft bietet für seine Plattform einen automatisch laufenden Update-Service, der in allen Rechnern mit Microsoft als Betriebssystem, ob Server, Desktop-Rechner oder Laptop, laufend kontrolliert, was nachzuinstallieren ist. Bei einem einzelnen, privaten Rechner macht das Verfahren Sinn, für die Universität als Ganzes hat es Nachteile.
Microsoft weiß mehr über die Windows-Systeme auf dem Campus als die Universität selbst. Es hat vor allem die Gesamtübersicht. Standard-Patches werden tausendfach heruntergeladen, den ganzen Weg von Microsoft bis zum Endsystem. Je nach Wartungszustand sind die Rechner auf dem Campus uneinheitlicher als nötig. Bei Störungen müssen die Administrator*innen jedes Problem mit Updates individuell lösen und haben unter Umständen keinen Überblick über den aktuellen Patchstand ihrer Maschinen.
In Unternehmen ist es daher Standard, ein Repository zu betreiben. Dieses hat die Funktion, eine gemanagte Verteilung der Patches zu ermöglichen. Es hilft, doppelte Verarbeitungen auf den Rechnern zu vermeiden und die Leitungen vom Unternehmen zu Microsoft zu entlasten. Und er unterbricht eine direkte Verbindung von Microsoft zu den einzelnen Stationen. Dieser Update-Server ist als Zwischeninstanz unter dem Produktnamen WSUS („Windows Server Update Services“) bekannt.
WSUS-Server im Rechenzentrum
Zwei solcher Server betreibt das Rechenzentrum für Fakultäten, Institute und Einrichtungen. Beide Varianten können unter unterschiedlichen Voraussetzungen vom Campus genutzt werden. Sie unterscheiden sich im Wesentlichen bezüglich Managementgrad und Patchfreigabe. Wie der Dienst angezapft werden kann, ist in einer Servicebeschreibung Update-Services festgehalten.
In ihr ist niedergelegt, unter welchem vollgültigen Hostnamen der WSUS-Dienst erreichbar ist, welche Teildienste er enthält, wie die Bestellung läuft und wer bei Störungen zu kontaktieren ist inklusive eventuell nötiger Eskalationen.
Funktion der Servicebeschreibung
Der WSUS-Server ist seit einiger Zeit bereits im Einsatz mit einer sehr hohen Verfügbarkeit von deutlich über 99%. Um diese prozentuale Servicequalitäten oder theoretischen Hochverfügbarkeiten geht es in der Servicebeschreibung jedoch nicht. Die hauptsächliche Absicht ist es, eine gemeinsame Verständigung über den Dienst für die Kolleg*innen im Rechenzentrum und auf dem Campus zu schaffen. Es soll bestimmt werden, was die Update-Services machen, aber auch, wozu sie nicht dienen. Ein Beispiel: Mit dem Angebot des Update-Service geht die Verantwortung, ob auf einem Rechner auf dem Campus bekannte Sicherheitslücken geschlossen sind, nicht auf das Rechenzentrum über. Der Update-Server dient, wie schon angedeutet, nicht der Garantierung sicherer Zustände einzelner Rechner oder Umgebungen, sondern der Steigerung der Effizienz auf den ganzen Campus gesehen. Das Rechenzentrum geht dennoch davon aus, dass auch der Campus von dem Angebot des Update-Servers profitiert.
Definitiv unterstützen wird er beim Verfolgen des Ziels, die Informationssicherheit der Universität zu erhöhen. Zu diesem Ziel ist sie durch aktuelle Verwaltungsvorschriften verpflichtet. Sie muss Übersicht gewinnen über die IT auf dem Campus, wo Sicherheitslücken durch fehlgeschlagene Aktualisierungen offen bleiben. Mit dem WSUS-Server lässt sich der Patchzustand aller Rechner dokumentieren, die mit ihm verbunden sind. In Zusammenarbeit mit den Kund*innen können die Rechner auf dem Campus zu Gruppen zusammengefasst werden. Einzelne Rechner fungieren als Frühwarnstationen für solche Gruppen, um zu schauen, ob Updates fehlerfrei hineinlaufen.
Damit wäre ein Vorteil für Administrator*innen genannt. Sie tragen durch die Beteiligung an Peergruppen bei, Patches zu identifizieren, die möglicherweise nur in wenigen Einsatzszenarios zu unvorhergesehenen Zuständen führen.
Der Update-Server für ungemanagte Umgebungen kann von jedem im Uninetz ohne explizite Meldung im Rechenzentrum genutzt werden. Bei Fragen stehen dort die Kolleg*innen unter windows@rz.uni-freiburg.de gerne zur Verfügung. Eine weitere Quelle ist das Adminforum, das zum Austausch aller animiert, die an der Universität Freiburg mit IT zu tun haben.
Jan Leendertse, ms