Die Registerkarte "Scaninformationen"

Bei der Erstellung eines benutzerdefinierten Patches werden die beiden Hauptregisterkarten im rechten Bereich verwendet. In diesem Thema werden die Optionen und untergeordneten Registerkarten auf der Registerkarte Scaninformationen beschrieben.

Diese Registerkarte umfasst zwei untergeordnete Registerkarten, auf denen Sie die Kriterien angeben können, nach denen entschieden wird, ob ein Patch installiert wird oder nicht. Sie müssen nach eigenem Ermessen entscheiden, ob Sie Erkennungskriterien auf der Registerkarte Dateien, der Registerkarte Schlüssel oder auf beiden angeben wollen. Wenn Ihre Meinung nach sowohl eine bestimmte Dateiversion als auch ein bestimmter Registrierungsschlüsselwert erkannt werden müssen, damit ein Patch sicher als installiert angesehen werden kann, dann sollten Sie diese Anforderungen unbedingt geltend machen. Generell empfiehlt es sich jedoch, die Dinge so unkompliziert wie möglich zu gestalten. Wenn die Erkennung einer alten Dateiversion als Kriterium ausreicht, einen Patch als erforderlich einzustufen, dann brauchen Sie wahrscheinlich nicht auch noch die Informationen für den Registrierungsschlüssel anzugeben (und umgekehrt).

Wenn Sie keine Registrierungsschlüssel-Informationen angeben, werden Patches, die nicht von Security Controls installiert wurden, als Effektiv installiert gemeldet. Damit Security Controls einen Patch als tatsächlich installiert anzeigt, müssen Sie eine Scanvorlage verwenden, die nach fehlenden und nach installierten Patches sucht. Weitere Informationen finden Sie unter Erstellen einer neuen Patchscanvorlage.

Feld

Beschreibung

Patchnummer

Eine Nummer, anhand der dieser Patch identifiziert werden kann. Bei der Vergabe von Patchnummern können Sie einer beliebigen Nummerierungskonvention folgen. Die einzige Regel dabei ist: es dürfen maximal 10 alphanumerische Zeichen verwendet werden. Die Nummer muss zwar nicht eindeutig sein, aber in den meisten Fällen macht es Sinn eindeutige Nummern zu verwenden. Nur in ganz seltenen Fällen ist es ratsam, zwei oder mehr Patches dieselbe Nummer zuzuweisen.

Die hier angegebene Nummer ist die Nummer, die in der Security Controls Oberfläche zur Bezugnahme auf den Patch verwendet wird. Ferner dient sie beispielsweise bei Elementen wie Patchgruppen auch als Kennung für die Angabe der zu einer bestimmten Gruppe gehörenden Patches. Als Bezugspunkt ähnelt die Patchnummer der Knowledgebase-Nummer (oder QNumber), die in der Microsoft-Welt zur Identifizierung von Patches verwendet wird.

Der erste Patch in der benutzerdefinierten XML-Datei ist standardmäßig C000001. Diese Zahl wird automatisch für jeden neuen Patch um eine Stufe fortgeschrieben.

Verknüpftes Bulletin

Sie müssen jeden Patch mit einem vorhandenen Bulletin verknüpfen. Das Bulletin kann entweder von Ihnen erstellt oder von einem anderen Anbieter herausgegeben worden sein. Um die Liste aller verfügbaren Bulletins anzuzeigen, Klicken Sie auf die Schaltfläche Durchsuchen (). Im daraufhin angezeigten Dialogfeld wählen Sie das gewünschte Bulletin aus und klicken Sie dann auf OK.

Patchtyp

Geben Sie hier die Typen der Patches an, die Sie erstellen.

  • Sicherheitspatches: Patches, die im Zusammenhang mit Sicherheits-Bulletins stehen. Dies ist die Standardeinstellung.
  • Nicht-Sicherheitspatches: Der von den Microsoft Software Update Services unterstützte Satz von Patches (keine Unterstützung von Treiberupdates).
  • Sicherheitstools: Patches für das von Microsoft bereitgestellte Malware-Tool.
  • Softwareverteilung: Kostenlose Drittanbieteranwendungen, die von Security Controls bereitgestellt werden können.
  • Benutzerdefinierte Aktionen: Gibt Ihnen die Möglichkeit, benutzerdefinierte Aktionen auszuführen, selbst wenn Ihre Computer bereits vollständig gepatcht sind. Erreicht wird dies, indem nach einer bestimmten QNumber und einem bestimmten Patch (QSK2745, MSST-001) gescannt wird, die niemals gefunden werden können. Dieser ungültige Patch kann korrigiert werden, es wird jedoch kein Patch bereitgestellt. Der Prozess verwendet die temporäre Datei Nullpatch.exe.

Schweregrad

Weisen Sie hier der Anfälligkeit in Abhängigkeit der von Ihnen wahrgenommen Bedrohung einen der vier folgenden Schweregrade zu:

  • Kritisch: Das mit dem Patch in Verbindung stehende Problem wird als "Kritisch" eingestuft.
  • Wichtig: Es ist "Wichtig", das mit dem Patch in Verbindung stehende Problem zu beheben.
  • Mittel: Das mit diesem Patch in Verbindung stehende Problem ist durch einen mittleren Schweregrad gekennzeichnet.
  • Niedrig: Das Problem ist zwar real, aber das Sicherheitsrisiko bzw. Potenzial wird als niedrig eingestuft.

Registerkarte Dateien

Eine Möglichkeit zur Bestimmung, ob ein Patch installiert werden sollte, besteht darin, die Version der betroffenen Datei auf den Computern zu prüfen, die gescannt werden. Die Registerkarte Dateien wird dazu verwendet, die Dateiversionsdaten anzugeben.

Wenn Sie außerdem Kriterien auf der Registerkarte Registrierungsschlüssel angeben, müssen die Testauflagen laut dieser Registerkarte ebenfalls erfüllt sein, damit der Patch installiert wird.

  • Hinzufügen: Klicken Sie auf diese Schaltfläche, um eine neue Dateidefinition hinzuzufügen.
  • Entfernen: Klicken Sie auf diese Schaltfläche, um eine vorhandene Dateidefinition zu entfernen.
  • Bearbeiten: Klicken Sie auf diese Schaltfläche, um eine vorhandene Dateidefinition zu bearbeiten.

Nachdem Sie auf Hinzufügen oder Bearbeiten geklickt haben, wird das Dialogfeld Dateidetails bearbeiten angezeigt.

  • Dateiname: Der Name der übertragbaren ausführbaren Datei, die von diesem Patch betroffen ist. In den meisten Fällen wird es sich folglich entweder um eine .EXE- oder .DLL-Datei handeln. Die Datei muss Versionsinformationen enthalten, damit diese Prüfung korrekt ausfällt.
  • Datei auswählen: Verwenden Sie diese Schaltfläche, um den lokalen Computer oder das Netzwerk nach der Datei zu durchsuchen, die von diesem Patch betroffen ist. Wenn Sie diese Schaltfläche zum Auffinden der Datei verwenden, nutzt das Programm die Informationen zu der von Ihnen ausgewählten Datei zum Auffüllen der Felder Speicherort und Version. Daher sollten Sie zur Definition des Felds Dateiname vorzugsweise diese Schaltfläche verwenden.
  • Speicherort: Geben Sie den Speicherort der betroffenen .EXE- oder .DLL-Datei an. Bei der Angabe des Speicherorts müssen Sie den vollständigen Verzeichnispfad angeben. Wenn dieses Feld automatisch über die Schaltfläche "Datei auswählen" aufgefüllt wurde, müssen Sie eventuell den Pfad bearbeiten, wenn der Speicherort zwar die Position der Datei auf dem lokalen Computer angibt, dies aber nicht dem Ort entspricht, an dem sich die Datei auf allen anderen Computern befindet.
  • Version: Geben Sie die Versionsnummer der betroffenen .EXE- oder .DLL-Datei an.
  • Vergleichstyp: Dies gibt die Testkriterien an, die Sie verwenden wollen, um zu bestimmen, ob dieser Patch auf einem der gescannten Computer erforderlich ist. Die beiden verfügbaren Optionen haben sehr ähnliche Namen. Passen Sie daher gut auf, welche Option Sie auswählen.
    • Wenn die Datei vorhanden ist, muss ihre Dateiversion größer oder gleich der angegebenen Version sein: Dieser Test wird nur dann nicht bestanden, wenn die Datei auf dem gescannten Computer vorhanden ist, ihre Versionsnummer aber kleiner ist als der im Feld Version angegebene Wert. Wenn die Datei nicht auf dem gescannten Computer vorhanden ist, dann ist der Patch nicht anwendbar.
    • Die Datei muss vorhanden sein, und ihre Dateiversion muss gleich oder höher als die angegebene Version sein: Dieser Test schlägt in den folgenden zwei Fällen fehl: 1. Wenn sich die Datei nicht auf dem gescannten Computer befindet, schlägt der Test fehl und der Patch ist erforderlich. 2. Ist die Datei zwar vorhanden, aber ihre Versionsnummer ist kleiner als die im Feld Version angegebene Nummer, dann schlägt der Test fehl und der Patch ist erforderlich.
  • Parameter für Dateispeicherort: Zeigt die Parameter an, die bei der Angabe eines Dateispeicherorts verwendet werden können. Anstatt einen hartcodierten Speicherort anzugeben, der nicht für alle Computer in Ihrem Unternehmen zutrifft, können Sie Parameter verwenden, um variable Speicherorte anzugeben. Wenn Sie beispielsweise den Windows-Ordner angeben möchten, sich dieser Ordner aber auf den unterschiedlichen Computern Ihres Unternehmens unter C:\Windows, D:\Windows oder C:\WinNT befinden kann, dann können Sie alle diese Optionen durch Verwendung des Parameters %windir% abdecken. Sie können einen Parameter innerhalb eines Pfads zu einem Speicherort verwenden und Sie können mehrere Parameter innerhalb eines Pfads verwenden.

Registerkarte Registrierungsschlüssel

Ob ein Patch installiert werden sollte, können Sie auch bestimmen, indem Sie prüfen, ob die auf bestimmten Registrierungsschlüsseln definierten Daten auf den zu scannenden Computer vorhanden sind. Die Registerkarte Registrierungsschlüssel wird zur Angabe der Registrierungsinformationen verwendet. Wenn der gescannte Computer die hier angegeben Kriterien erfüllt, wird der Patch angewendet.

Wenn Sie außerdem Kriterien auf der Registerkarte Dateien angeben, müssen die Testauflagen laut dieser Registerkarte ebenfalls erfüllt sein, damit der Patch installiert wird.

  • Hinzufügen: Klicken Sie auf diese Schaltfläche, um neue Registrierungsschlüssel-Informationen hinzuzufügen.
  • Entfernen: Klicken Sie auf diese Schaltfläche, um vorhandene Registrierungsschlüssel-Informationen zu entfernen.
  • Bearbeiten: Klicken Sie auf diese Schaltfläche, um vorhandene Registrierungsschlüssel-Informationen zu bearbeiten.

Nachdem Sie auf Hinzufügen oder Bearbeiten geklickt haben, wird das Dialogfeld Registrierungsdetails bearbeiten angezeigt.

Um die neuesten Registrierungsinformationen abzurufen, empfiehlt sich die Verwendung des Microsoft-Registrierungs-Editors (regedit), einem Tool zum Anzeigen der Einstellungen in Ihrer Systemregistrierung. Sie können die erforderlichen Informationen aus diesem Tool in die entsprechenden Felder im Dialogfeld Registrierungsdetails bearbeiten kopieren.

  • Registrierungsschlüssel: Sie können nur Registrierungsschlüssel angeben, die mit der logischen Untereinheit HKEY_LOCAL_MACHINE verbunden sind. Am einfachsten und genauesten lässt sich dieses Feld ausfüllen, indem der gewünschte Schlüssel im Microsoft-Registrierungs-Editor angezeigt wird, der Schlüsselname kopiert und der Name dann in dieses Feld kopiert wird. Der Teil "HKEY_LOCAL_MACHINE" des Namens tritt vermutlich wiederholt auf, daher werden Sie diesen Teil des Namens aus dem Feld entfernen müssen.
  • Wertname: Der Name des spezifischen Registrierungsschlüssels.
  • Wertdatentyp:
    • String: Gibt an, dass es sich bei den Daten um eine Zeichenfolge handeln muss.
    • DWord: Gibt an, dass es sich bei den Daten um eine Zahl handeln muss.
  • Wertdaten: Der erwartete Wert des Registrierungsschlüssels. Sie können diesen Wert finden, indem Sie den Schlüssel im Microsoft-Registrierungs-Editor suchen und dann in der Spalte Daten nachsehen.
  • 64-Bit-Registrierung verwenden: Aktivieren Sie dieses Kontrollkästchen, wenn sich der Registrierungsschlüssel im 64-Bit-Teil der Registrierung einer 64-Bit-Architektur befindet.

Registerkarte Ziel

Auf dieser Registerkarte können Sie angeben, welche Produkte bei diesen Patch anwendbar sind. Standardmäßig werden alle verfügbaren Betriebssysteme bewertet. Sie können den Bewertungsprozess erheblich beschleunigen, wenn Sie die Liste der Produkte eingrenzen können. Eine begrenzte Anzahl von Produkten als Ziel für den Patch zu definieren, kann beim Scanvorgang eine erheblich Menge an Zeit einsparen, da das Scannen von Produkten entfällt, für die dies nicht erforderlich ist.

Anders ausgedrückt: Wenn Sie keine Produkte in der Liste Ausgewählte Produkte angeben, wird der Patch mit allen verfügbaren Betriebssystemen verknüpft. Das Programm scannt in jedem Fall nach dem Patch, unabhängig davon, was auf den Zielcomputern installiert ist. Dies kann sich als nützlich erweisen, wenn Sie eine Massenverteilung des Patches vornehmen möchten, es kann aber auch sehr viel Zeit in Anspruch nehmen. Wenn Sie in der Liste Ausgewählte Produkte ein oder mehrere Produkte angeben, wird der Patch nur mit diesen Produkten verknüpft, aber mit keinem der nicht explizit angegebenen Betriebssysteme.

Tipp: Nach dem Import einer neuen benutzerdefinierten XML-Datei können Sie die Patchansicht verwenden, um sicherzustellen, dass der benutzerdefinierte Patch mit dem bzw. den richtigen Produkt(en) verknüpft ist.

So schränken Sie die Liste der Produkte ein:

  1. Aktivieren Sie das Kontrollkästchen Ausgewählte Betriebssysteme und Anwendungen als Ziele für den Patch verwenden.
  2. Wählen Sie in der Liste Verfügbare Produkte das gewünschte Produkt aus und verschieben Sie es in die Liste Ausgewählte Produkte.
    Die Liste Verfügbare Produkte enthält alle Produkte, die derzeit in der XML-Patchdatendatei definiert sind, plus alle neuen benutzerdefinierten Produkte, die Sie möglicherweise unter Verwendung des Editors für benutzerdefinierte Patches erstellt haben.
  3. Wiederholen Sie Schritt 2 für jedes Produkt, das für diesen Patch anwendbar ist.

Wenn Sie fertig sind, speichern und validieren Sie die XML-Datei (siehe Speichern und Validieren von Änderungen).