Windows PCs & Server: Ist mein Netzwerk auf dem aktuellen Sicherheitsstand?

Viele User kennen das Problem: Sind die PCs und Server in meinem Netzwerk alle auf dem aktuellen Sicherheits-Stand oder fehlen teilweise wichtige Updates? Je größer das Netzwerk und je mehr Rechner involviert sind, desto schneller kann man hier den Überblick verlieren. Mit Hilfe von LOGINventory lassen sich auf einfache Weise eine Vielzahl von Abfragen und Auswertungen erstellen und aufrufen, da die dafür notwendigen Informationen bereits vorhanden sind; eine etwas andere Art von Vorratsdatenerfassung. Die Frage lässt sich somit recht einfach beantworten. Die Lösung besteht eigentlich nur darin, die entsprechenden Eigenschaften auszuwählen, zu filtern und zu sortieren. Wie das geht, erfahren Sie in diesem Artikel.

Sind meine Rechner sicher? Woher die ganze Aufregung?

In regelmäßigen Abständen werden in den Medien immer wieder Meldungen veröffentlicht, wie z.B.:

• Heise: “QueueJumper-Lücke gefährdet hunderttausende Windows-Systeme”
• MSN: “Microsoft warnt vor kritischer Outlook-Schwachstelle”

In diesem Zusammenhang erreicht uns immer wieder die Frage:

Wie kann ich den Stand der Sicherheit von Windows PCs und Servern einfach überprüfen?

Im Folgenden zeigen wir einmal Schritt für Schritt, wie sich die gewünschten Abfragen, die danach nicht mehr monatlich angepasst werden müssen, in LOGINventory einfach erstellen lassen:

1. Windows Security Patch Stand

Bei allen aktuellen Windows Betriebssystemen verhalten sich die monatlichen Sicherheits-Patches kumulativ, d.h. der letzte kumulative Sicherheits-Patch enthält alle vorherigen. Somit müssen nicht alle Einzel-Patches installiert werden; um auf den neuesten Sicherheitsstand zu kommen, genügt es den letzten kumulativen Patch zu installieren – und ebenso dessen Vorhandsein zu kontrollieren.

Die jeweils aktuellen Windows Versionsinformation stellt Microsoft u.a. hier zur Verfügung:
https://learn.microsoft.com/de-de/windows/release-health/release-information

Die beiden wichtigsten Werte zur Erkennung der Aktualität von Windows Betriebssystemen in LOGINventory sind daher die DisplayVersion (in der Webseite in Spalte „Version“) und die UpdateBuildRevision (in der Webseite in Spalte „Neuester Build“).

In LOGINventory erhalten wir die gewünschten Informationen ohne weitere monatliche Anpassungen also stets dadurch, dass wir die jeweilige OperatingSystem.UpdateBuildRevision abfragen, und diese nach Operatingsystem.DisplayVersion gruppieren:

Dazu legen Sie eine „neue Abfrage“ unter „Eigene Abfragen“ an und nennen diese „Windows Patches“.

Die Auswahl der Spalten: Device.Name, LastInventory.TimeStamp, DeviceInfo.ChassisType, HardwareProduct.Name, Operatingsystem.Name, OperatingSystem.DisplayVersion, Operatingsystem.UpdateBuildRevision.

Anhand des Wertes LastInventory.Timestamp erkennen Sie zudem, zu welchem Zeitpunkt diese Daten jeweils ermittelt wurden.

Nach dem Speichern sehen wir dann z.B. folgende Auswertung:

Jetzt wird noch nach dem Operatingsystem.Name gruppiert, indem die Spalte in den entsprechenden Gruppier-Bereich nach oben gezogen wird; direkt danach ziehen Sie auch noch die Spalte Operatingsystem.DisplayVersion zum Gruppieren nach oben.

Bei den rot markiert Rechnern sehe ich am LastInventory.Timestamp, dass die Erfassung schon länger her ist.

Zum Abschluss  noch zweimal auf die Spalte Operatingsystem.UpdateBuildRevision klicken, um diese absteigend zu sortieren:

Alle Windows 10 Versionen vor 22H2, die nicht die Edition Enterprise LTSC sind, bekommen übrigens seit Juli 2023 keine Updates mehr und stellen daher nun ein Sicherheitsrisiko dar.

Hier sind die entsprechenden jeweils aktuellen Versions-Informationen.

Diese Abfrage funktioniert nun für alle Windows Version ab Server 2008R2 sowie Windows 7 und ihre jeweiligen kumulativen Hotfixes oder Patches. Zwar gab es bei Windows Server vor 2016 sowie Windows 7 und 8.x  noch keine DisplayVersion – aber eine vorhandene UpdateBuildRevision, die aber zum Erkennen der Aktualität ausreicht.

2. Microsoft Office Volumenlizenz (ab 2019)

Bei den Microsoft Office Versionen ab 2019, die nicht mehr über Microsoft Update oder Windows Server Update Serice (WSUS) ihre Patches und Updates erhalten, sondern über Office Update, lässt sich ebenso leicht wie bei Windows erkennen, inwieweit eine Office-Installation auf dem neuesten (Patch-) Stand ist, da sich auch hier durch die ebenfalls kumulativen Sicherheits-Patches die Office-Versionsnummer entsprechend erhöht, z.B. von 16.0.14332.20461 (2019 -Februar 2023) auf 16.0.14332.20481 (März 2023). Alle Office Versionen seit 2016 tragen die Versionsnummer 16.0.x.y

Die jeweils aktuellen Office Build-Nummern findet man übrigens stets hier:

• Neueste Updates für Office-Versionen, die Windows Installer (MSI) verwenden
• Neueste Updates für Outlook-Versionen, die Windows Installer (MSI) verwenden
• Updateverlauf für Office LTSC 2021 und Office 2021

Sie legen nun unter „Eigene Abfragen“ wiederum eine neue Abfrage an und wähle die Spalten: Device.Name, Operatingsystem.Name, DeviceInfo.ChassisType, LastInventory.Timestamp, SoftwarePackage.Name, SoftwarePackage.Version, SoftwarePackageInfo.LicenseType aus.

Die Filterbedingung sind: der SoftwarePackage.Name soll nicht „proof“ enthalten (=Rechtschreibprüfung), aber erlaubt sind „Office%Pro%2019%“ oder „Office%Pro%2021%“.

Nach dem Speicher als “Office Patches ab 2019” sehen wir dann folgende Auswertung:

Jetzt wird nur noch nach dem SoftwarePackage.Name gruppiert, indem die Spalte in den entsprechenden Gruppier-Bereich nach oben gezogen wird. Zum Abschluss klicken Sie noch zweimal auf die Spalte Version, um diese absteigend zu sortieren:

Bei dieser Auswertung am 28.4.2023 sieht man sofort, dass bei den drei untersten Zeilen die Rechner nicht die aktuelle Office Version “16.0.10397.20021” haben, sondern nur “16.0.10396.20023″ (aber erfasst vor einem Monat) bzw. “16.0.10387.20023” (aber erfasst vor neun Monaten).

Hier ist wohl vor allem einmal eine aktualisierte Inventarisierung der Software dieser drei Rechner notwendig…

Die Office 2021 Installation ist zeigt sich auf dem aktuellen Stand, entsprechend diesen Informationen: Updateverlauf für Office LTSC 2021 und Office 2021 

3 Sicherheit bei Microsoft 365 Apps und Office 365

Genau wie Office 2019 wird auch Office 365 über Office Update aktuell gehalten und da sich auch hier durch die ebenfalls kumulativen Sicherheits-Patches die Office-Versionsnummer entsprechend erhöht, z.B. von 16.0.16130.20306 (März 2023) auf 16.0.16227.20280 (April 2023). Alle Office Versionen seit 2016 tragen die Versionsnummer 16.0.x.y

Die aktuellen Office Build Nummern sind stets hier veröffentlicht: Updateverlauf für Microsoft 365 Apps und Office 365

In dieser Liste fällt auf, dass mehrere verschiedene Update-Kanäle gibt für die jeweils andere Build-Nummern aktuell sind; im April 2023 zum Beispiel:

Sie legen nun unter „Eigene Abfragen“ wiederum eine neue Abfrage an und wähle die Spalten: Device.Name, Operatingsystem.Name, DeviceInfo.ChassisType, LastInventory.Timestamp, SoftwarePackage.Name, SoftwarePackage.Version, SoftwarePackageInfo.LicenseType aus.

Die Filterbedingung sind: der SoftwarePackage.Name soll nicht „proof“ enthalten (=Rechtschreibprüfung), aber erlaubt ist „Microsoft 365 Apps%“.

Zum Abschluss noch zweimal auf die Spalte Version klicken, um diese absteigend zu sortieren:

Beim Vergleich der gefundenen Versionen mit dieser Tabelle sieht man nun, dass  alle Office Versionen in März und April diesen Jahres aktualisiert wurden und somit nur aktuelle Daten vorliegen.

Bei älteren Office 2016 mit (klassischem) MSI-Setup oder werden die Patches jedoch über Microsoft Update oder Windows Server Update Service verteilt, was bedeutet, das sich hier die Office-Versionsnummer nicht erhöhen, sondern direkt nach einem installiertem Hotfix (z.B. März 2023 Outlook Hotfix KB5002254) geschaut werden muss – was einen etwas höheren Aufwand bedeutet. Dieses Vorgehen wird im Teil 2 beschrieben.

Alle älteren Office Versionen wie 2013, 2010, usw. können schon deswegen nicht mehr aktuell sein, da Microsoft seit einiger Zeit keine Sicherheitsupdates dafür mehr zur Verfügung stellt; die allerletzten Office 2013 Patches erschienen im April 2023…

Die drei in diesem Artikel beschrieben Abfragen können Sie sich hier als .zip herunterladen, auspacken und anschließend in ihr LOGINventory im Ordner Eigene Abfragen importieren (Rechte Maustaste / Importieren).