Wie Sie die Patch-Compliance und den Systemzustand über alle Clients hinweg überprüfen können

Die Aufrechterhaltung der Patch-Compliance ist ein wesentlicher Faktor für die Systemstabilität und die Reduzierung der Angriffsfläche. Bestimmte Aspekte, die den Zustand Ihrer Infrastruktur darstellen, können jedoch für Nicht-IT-Mitarbeiter:innen verwirrend sein, weshalb eine umfassende Datenvisualisierung wichtig ist.

Erfahren Sie, welche Metriken sich am stärksten auf die Einhaltung der Patch-Richtlinien auswirken, wie Sie den Prozess optimieren und Ihre Daten mit den besten verfügbaren Tools visualisieren können.

Überwachung der Patch-Compliance mit fortschrittlichen Methoden

Hier erfahren Sie, wie Sie die integrierten Windows-Tools einsetzen können, um Daten über alle Ihre Endpunkte zusammenzufassen.

📌 Voraussetzungen:

• Windows 10 (v1903 und höher) oder Windows 11 (v21H2 oder höher)
• Administratorrechte
• Zugang zu einer zentralisierten RMM-Plattform (z. B. NinjaOne)
• Endpunktzugriff für PowerShell, Registrierungsabfragen und Protokollextraktion
• Berechtigungen zur Berichterstellung für Windows Update for Business, WSUS oder Intune
• Microsoft Defender für die Überwachung des Endpunktzustands
• Power BI oder Excel für die Visualisierung (optional)

📌 Empfohlene Einsatzstrategien:

Schritt 1: Definition von Schlüsselmetriken für Patch- und Zustandstransparenz

Im Folgenden finden Sie eine umfassende Liste von Compliance-bezogenen Metriken und ihre Relevanz bei der Bewertung des Systemzustands.

💡 Hinweis: Jeder Kunde schätzt bestimmte Benchmarks mehr als andere. Bevor Sie Ihre Kennzahlen überprüfen, stellen Sie sicher, dass Ihr Bericht nur relevante Details enthält.

📌 Anwendungsfälle: Erstellung von datengesteuerten Berichten und Grafiken sowie Vergleich von Trends.

Key Performance Indicators (KPIs) für Patch-Compliance

• Prozentsatz der vollständig gepatchten Systeme: Spiegelt die Anzahl der gepatchten Systeme im Verhältnis zu Ihrer gesamten Infrastruktur wider.
• Anzahl der fehlenden kritischen oder sicherheitsrelevanten Updates: Zeigt die Lücken in Ihren Patch-Bereitstellungen auf.
• Geräte mit fehlgeschlagenen Patch-Installationen: Workstations, bei denen Patch-Fehler aufgetreten sind.
• Tage seit dem letzten erfolgreichen Update: Hilft bei der Ermittlung unterversorgter Systeme.
• Mittlere Reparaturzeit (MTTR): Die durchschnittliche Reaktionszeit für die Patch-Anwendung.
  • Bieten Sie tiefere zeitbasierte Einblicke mit Time-to-Detect (MTTD), Time-to-Prioritize (MTTP) und Time-to-Communicate (MTTC).

KPIs für den Systemzustand

Überprüfen Sie anhand dieser Kennzahlen, ob Ihr System optimal funktioniert:

• Status von Antivirus und Firewall: Blockieren Sie Malware und surfen Sie sicher im Internet auf dem Endpunkt.
• Festplattenstatus, CPU/Speicher-Schwellenwerte: Verfolgen Sie Reaktionszeiten, Warteschlangenprobleme und den Zustand der Komponenten.
• Letzte Neustartzeit: Eine wichtige Metrik, die bestimmt, wann ein Patch vollständig auf einer Workstation angewendet wird.
• Verfügbarkeit von Diensten (z. B. Defender, Windows Update): Bereitschaft von kritischen Diensten wie Windows Update oder SQL Server Services.

Schritt 2: Sammeln von Patch-Daten mit PowerShell

Setzen Sie leistungsstarke Skripte für die ständige Überwachung ein.

📌 Anwendungsfälle: Erhalten Sie tiefe Einblicke in die Client-Compliance, um lesbare Protokolle zu erstellen und zu exportieren.

1. Drücken Sie Win + R, geben Sie powershell ein, und drücken Sie Strg+ Umschalt + Enter.
2. Um die zuletzt installierten Patches aufzulisten, führen Sie Folgendes aus:

Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 5

3. Um eine lesbare .txt-Protokolldatei für Windows Update zu erstellen und auf Ihrem Desktop zu speichern, führen Sie Folgendes aus:

Get-WindowsUpdateLog

4. Um die ausstehenden, fehlgeschlagenen und erfolgreichen Updates eines Endpunkts im Laufe der Zeit aufzulisten, führen Sie Folgendes aus:

Get-WUHistory

⚠️ Wichtig: Das obige Cmdlet „Get-WUHistory“ ist nicht in PowerShell integriert. Um darauf zuzugreifen, installieren Sie das Modul PSWindowsUpdate, indem Sie Install-Module -Name PSWindowsUpdate ausführen.

5. Um Hotfix-Daten für die Berichterstattung im CSV-Format zu speichern, führen Sie Folgendes aus:

Get-HotFix | Select-Object Description, HotFixID, InstalledBy,
InstalledOn | Export-Csv „<FilePath>“ -NoTypeInformation

Ersetzen Sie <FilePath> durch den vollständigen Dateipfad, unter dem die .csv-Datei gespeichert werden soll (z. B. C:\Benutzer\Berichte\Desktop).

💡 Hinweis: Es werden nur Hotfixes exportiert, nicht alle Update-Typen.

Schritt 3: Verwendung der Registry zur Überprüfung des Compliance-Status

⚠️ Warnung: Das Bearbeiten der Registrierung kann zu Systemproblemen führen. Erstellen Sie ein Backup, bevor Sie fortfahren.

📌 Anwendungsfälle: Bestätigen Sie die Patch-Compliance durch das Vorhandensein bestimmter Registrierungsschlüssel.

1. Drücken Sie Win + R, geben Sie „regedit“ ein, und drücken Sie Strg+ Umschalt + Eingabetaste.
2. Navigieren Sie zu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install

• • Der Schlüssel LastSuccessTime speichert Zeitstempel der letzten erfolgreichen Aktualisierung und zeigt an, dass Ihr Endpunkt kürzlich Hotfixes erhalten hat.

💡 Hinweis: Das Fehlen des Schlüssels LastSuccessTime bedeutet nicht unbedingt, dass Ihr System nicht konform ist. Sie kann wegen Patching-Tools von Drittanbietern (d. h. nicht WSUS), fehlender aktuellen Updates oder Registrierungsbereinigungen fehlen.

Alternativ können Sie nach Systemen suchen, die noch keine Updates erhalten haben, indem Sie folgende Methoden anwenden:

• Überprüfung der Installationsprotokolle in der Windows-Ereignisanzeige
• Vergleich von Betriebssystemversionen mit der neuesten Version des Herstellers
• Verwendung von RMM-Dashboards wie NinjaOne für das Herausfiltern von Geräten mit geringer Compliance
• Identifizierung von Systemen, die in letzter Zeit nicht eingecheckt haben, anhand des Zeitstempels LastCheckIn.

3. Außerdem können Sie zum folgenden Pfad navigieren:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update

• Der Schlüssel RebootRequired ist ein Kennzeichen für einen anstehenden Patch. Dies bestätigt in der Regel, dass ein Update ansteht, aber nicht alle Updates erfordern einen Neustart. Hier finden Sie weitere Möglichkeiten, um zu überprüfen, ob Ihr System für ein anstehendes Update neu gestartet werden muss:
  1. Über Windows Update: Einstellungen > Update & Sicherheit > Windows Update
  2. Über PowerShell:

Get-WindowsUpdateLog
Get-WUHistory | Where-Object {$_.ResultCode -eq 2}

1. 3. Über den Registrierungseditor:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager (ein Neustart ist erforderlich, wenn der Schlüssel PendingFileRenameOperations vorhanden ist).

💡 Hinweis: Wenn der Schlüssel Auto Update fehlt, kann dies ein Hinweis darauf sein, dass:

• Ihr System Patching-Tools von Drittanbietern anstelle von WSUS verwendet.
• Windows Update deaktiviert ist.
• es in letzter Zeit keine Updates gegeben hat.
• Die Bereinigung der Registry hat den Schlüssel möglicherweise entfernt.

Alternativ können Sie den Update-Status auch nach folgender Methode überprüfen:

• Windows Update: Einstellungen > Windows Update.
• PowerShell: Get-HotFix oder Get-WindowsUpdateLog.
• Ereignisanzeige: Anwendungs- und Dienstprotokoll > Microsoft > Windows > WindowsUpdateClient.

4. Navigieren Sie zu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate

Der Schlüssel SusClientIdValidation ist Teil der WSUS-Client-Konfiguration. Sie bestätigt, ob Ihr Gerät während der Synchronisierung ordnungsgemäß validiert wird.

💡 Hinweis: Wenn Ihr Unternehmen WSUS nicht verwendet (z. B. wenn es von NinjaOne RMM oder Tools von Drittanbietern verwaltet wird), wird der Schlüssel SusClientIdValidation nicht vorhanden sein.
Als Alternative dazu können Sie die Patch-Compliance für die Endpunkte durch folgende Maßnahmen überprüfen:

• PowerShell: Führen Sie Get-HotFix aus, um die neuesten Hotfix-Updates aufzulisten.
• Windows Update: Gehen Sie zu Einstellungen > Windows Update > Update-Verlauf.
• Ereignisanzeige: Navigieren Sie zu Anwendungs- und Dienstprotokolle > Microsoft > Windows > WindowsUpdateClient.

Schritt 4: Verwendung der Eingabeaufforderung zur Überprüfung der Aktualisierungsdienste und des Systemzustands

📌 Anwendungsfälle: Skripte zur Automatisierung von Gerätezustandsprüfungen; Berichte über forensische Daten.

1. Drücken Sie Win + R, geben Sie „cmd“ ein, und drücken Sie Strg + Umschalt + Eingabetaste.
2. Um zu überprüfen, ob der Windows Update-Dienst ordnungsgemäß ausgeführt wird, führen Sie Folgendes aus:

sc query wuauserv

Dies hilft bei der Fehlerbehebung in der Update-Engine.

3. Um die letzte bekannte Boot-Zeit des Systems abzurufen, führen Sie Folgendes aus:

systeminfo | find „System Boot Time“

So lässt sich nachvollziehen, wann ein Patch zuletzt vollständig implementiert wurde.

⚠️ Wichtig: Deaktivieren Sie die Schnellstartfunktion, um genauere Ergebnisse zu erhalten.

4. Um fehlgeschlagene Windows Update-Installationen aufzulisten, führen Sie folgenden Befehl aus:

wevtutil qe System „/q:*[System[(EventID=20)]]“ /c:5 /f:text

Frühere Ereignisprotokolle mit der Ereignis-ID 20 können Patch-Fehler lokalisieren.

💡 Tipp: Ändern Sie „c:5“, um mehr oder weniger Protokolleinträge anzuzeigen.

Schritt 5: Durchsetzung von Patch-Richtlinien über Gruppenrichtlinien

📌 Anwendungsfälle: Verringern Sie die Ausfallzeiten der erforderlichen Update-Dienste (z. B. Windows Update, Ereignisprotokoll).

📌 Voraussetzungen: Windows 10/11 Pro, Education oder Enterprise.

1. Drücken Sie Win + R, geben Sie „gpedit.msc“ ein, und drücken Sie Strg + Umschalt + Eingabetaste.
2. Navigieren Sie zu:

Computerkonfiguration > Verwaltungsvorlagen > Windows-Komponenten > Windows Update

3. Doppelklicken Sie auf Automatische Updates konfigurieren.
   • Setzen Sie ihn auf Aktiviert.
   • Wählen Sie Ihre bevorzugte Konfiguration (z. B. Automatischer Download und Zeitplan für die Installation).
     1. Dadurch erhalten Administrator:innen eine genaue Kontrolle darüber, wie Updates auf Ihr System angewendet werden.
4. Doppelklicken Sie auf Specify Intranet Microsoft Update Service Location (für WSUS).
   • Setzen Sie ihn auf Aktiviert.
   • Geben Sie die URL Ihres WSUS-Servers ein (z. B. https://www.wsusworkserver:1234).
     1. Dadurch wird der Client von Microsoft Update auf einen WSUS-Server mit Ihren Konfigurationen und Statistikdaten umgeleitet.
5. Doppelklicken Sie auf Kein automatischer Neustart bei angemeldeten Benutzer:innen für geplante automatische Update-Installationen.
   • Setzen Sie ihn auf Aktiviert.
     1. Diese Funktion verhindert automatische Neustarts, wenn ein Benutzer angemeldet ist. Sie funktioniert jedoch nur, wenn „Automatische Updates konfigurieren“ aktiviert ist.
6. Navigieren Sie zu:

Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Systemdienste

💡 Hinweis: Der Schlüssel „Systemdienste“ ist in der GPMC nur auf domainverbundenen Systemen vorhanden. Auf eigenständigen Rechnern und PCs mit Windows Home Edition ist er nicht sichtbar.

Öffnen Sie stattdessen manuell services.msc > Klicken Sie mit der rechten Maustaste auf den Update-Dienst (z. B. Windows Update) > Wählen Sie Eigenschaften > Ändern Sie das Startverhalten auf „Automatisch“, um einheitliche Installationszeiten zu gewährleisten > Klicken Sie auf Übernehmen und dann auf OK.

7. Aktivieren Sie die folgenden Systemdienste, um das Startverhalten bei wichtigen Updates zu ändern.
   • Windows Update (wuauserv)
   • Intelligenter Hintergrundübertragungsdienst (BITS)
   • Windows-Ereignisprotokoll
   • Windows Installer
   • Kryptografische Dienste
   • Windows-Verwaltungsinstrumentation (WMI)

Weitere Einzelheiten finden Sie in der offiziellen Microsoft-Dokumentation zur Konfiguration von Update-Einstellungen über Gruppenrichtlinien.

Schritt 6: Visualisierung von Daten in Berichten und Dashboards

Im Folgenden werden die am häufigsten verwendeten Dienste für die Datenvisualisierung vorgestellt und erläutert, wie sie zur Einhaltung der Richtlinien beitragen:

NinjaOne

Das übersichtliche Dashboard von NinjaOne zeigt grafisch aufbereitete Daten auf Basis von Echtzeitdaten (nach Tenant, Betriebssystem oder Gerätegruppe) an und bietet MSPs und IT-Mitarbeiter:innen so einen schnellen Überblick.

Mit visualisierten Abschnitten für die Patch-Verwaltung in gemischten Umgebungen (Ausstehend, Genehmigt, Abgelehnt, usw.), optimiert NinjaOnes Schnittstelle Ihren Bericht über die Einhaltung von Richtlinien für Sie.

Microsoft Power BI

Die Datenvisualisierungsplattform von Microsoft bietet interaktive Dashboards, die die Modularität fördern, übertragbare CSV-Berichte und API-Daten aus anderen Endpunktverwaltungs-Programmen.

Interaktive Heatmaps, Kreisdiagramme, anpassbare Slicer und vieles mehr können auf die Präferenzen Ihrer Kunden zugeschnitten werden, egal ob für Stakeholder-Meetings oder IT-Sicherheitsabteilungen.

Excel

Mit zwei speziellen Excel-Tools können Sie die Daten zur Patch-Compliance analysieren und veranschaulichen: PivotTables und bedingte Formatierung.

PivotTables ist eine Excel-Funktionalität, die relevante Daten aus großen Spreadsheets extrahiert, um verdichtete Berichte zu erstellen, die Sie mit den Datenvisualisierungs-Funktionen von Excel neu formatieren und grafisch darstellen können.

Verwenden Sie die bedingte Formatierung, um Excel-Berichte weiter zu verbessern. Mit diesen farbcodierten Regeln (die normalerweise für visuelle Risikoindikatoren verwendet werden) lassen sich konforme von nicht konformen Geräten visuell trennen, Abhilfemaßnahmen nach Priorität ordnen und Berichte für den Kunden intuitiver gestalten.

💡 Tipp: Stakeholder, Kunden oder Führungskräfte erwarten in der Regel, dass Daten mithilfe von folgenden Instrumenten veranschaulicht werden:

• Heatmaps
• Kreisdiagramme
• Liniendiagramme
• Segmentierte Daten (d. h. aufgeschlüsselt nach Webseite, Dringlichkeit, Betriebssystemen usw.)

⚠️  Worauf Sie achten sollten

Zusätzliche Überlegungen zur Überwachung des Systemzustands

Behalten Sie diese Erkenntnisse im Hinterkopf, um Ihren Prozess zu optimieren, Fallstricke zu vermeiden und mögliche Hindernisse zu verstehen.

Richtlinien zum Neustart

Updates erfordern einen Neustart, um den Installationsprozess abzuschließen. Die Durchsetzung von Reboot-Richtlinien auf Endpunkten mit Tools wie NinjaOne, Autopatch oder Intune kann dies nahtlos ermöglichen.

Out-of-Band-Updates

Neue, sich entwickelnde Cybersicherheits-Bedrohungen können außerplanmäßige Patches erforderlich machen, um die Sicherheit und Funktionalität Ihres Systems zu schützen. Um dies zu beschleunigen, sollten Sie die Anwendung von Ausnahmen in Erwägung ziehen, mit denen dringende Updates die Aufschiebungsrichtlinien umgehen können.

Patching von Drittanbieteranwendungen

Software, die nicht von Microsoft stammt, muss ebenfalls ständig überwacht werden, um eine stabile Sicherheitslage zu gewährleisten. Viele Schwachstellen gehen auf Anwendungen von Drittanbietern zurück. Verwenden Sie daher RMM-Plattformen wie NinjaOne für eine effektive Überwachung nach dem Patching.

Offline-Geräte

Getrennte Client-Geräte können Updates verpassen, was die Sicherheit der Endpunkte gefährdet und die Berichte zur Einhaltung von Richtlinien verfälscht. Um diese Workstations zu berücksichtigen, können Sie Offline-Patching-Tools wie WSUS verwenden.

Behebung häufiger Fehler bei Patch-Compliance

Hier erfahren Sie, wie Sie Update-Fehler, die bei MSPs und IT-Mitarbeiter:innen auftreten, diagnostizieren und beheben können.

Patch-Fehler

Wenn Ihr Update nicht korrekt installiert oder angewendet werden kann, führen Sie Ereignisprotokoll-Prüfungen und Endpunkt-Überwachungssoftware zur Fehlerbehebung (z. B. NinjaOne, Intune) durch.

Fehlende Daten

Die Deaktivierung von Telemetriediensten kann zu Lücken in den Daten Ihres Management-Dashboards führen. Um dieses Problem zu beheben, aktivieren Sie die Diagnosedatenerfassung in Intune erneut.

Fehlende Registrierungsschlüssel

Das Fehlen bestimmter Registry-Einträge (insbesondere derjenigen, die den Aktualisierungsfortschritt darstellen) kann die Registrierung von Geräten verhindern und sogar zu falschen Messwerten führen. Überprüfen Sie dazu die Integrität der Registry und den Aktualisierungsverlauf.

Visualisierungsfehler

Synchronisierungsprobleme und Datenformatierungsregeln können die Datenvisualisierung behindern. Verhindern Sie mit Performance Diagnostics und anderer Überwachungssoftware eine unzureichende Überwachung und unentdeckte Lücken.

NinjaOne-Services

🥷🏽 Die erstklassigen RMM-Funktionen von NinjaOne liefern Systemzustandsberichte durch:

• Extrahieren von Registrierungs- und Ereignisprotokolldaten über interne PowerShell-Skripte
• Zusammenfassung des Compliance-Status pro Mandant, pro Region oder für mehrere Mandanten für eine schnelle Berichterstattung
• Verfolgung des Patch-Installationsfortschritts in Ihrer gesamten Infrastruktur
• Benachrichtigung des IT-Personals über unvollständige/fehlgeschlagene Updates, Aufforderungen zum Neustart und den Gerätestatus
• Kennzeichnung von Geräten für Compliance-Abweichungen in Echtzeit

Überwachung der Patch-Compliance mit umfassenden Berichten

Patch-Compliance kann mit fortschrittlichen Tools oder über Remote-Management-Plattformen mit integrierter Berichterstellung überwacht und geprüft werden. In jedem Fall sollten Sie immer Backups wichtiger Systemeinstellungen erstellen, um die Richtlinien zur Datenintegrität zu wahren und künftige Kompilierungen zu unterstützen.

Verwandte Themen:

• Was ist Patch-Compliance?
• 10 wichtige Metriken für erfolgreiches Patch-Management
• Patch vs. Update: Verstehen der wichtigsten Unterschiede
• Das Anzeigen gesunder Systeme
• So führen Sie einen PC-Diagnosebericht unter Windows aus