Patch din Windows-maskine – trin for trin

To lag: OS og tredjepartssoftware

Windows Update håndterer OS-patches, drivere (delvist) og Microsoft-apps. Den håndterer ikke Chrome, Firefox, Acrobat, VLC, 7-Zip, Node.js, Java eller de hundrede andre programmer der faktisk er installeret på en rigtig maskine. Det andet lag er præcis der, de fleste uoprettede sårbarheder sidder. Browsere er et særligt attraktivt mål, fordi de per design eksekverer kode fra fremmede servere.

Kort version: du skal have styr på begge lag. Ét uden det andet er ikke nok.

Windows Update: slå automatiske opdateringer til

Åbn Indstillinger, gå til Windows Update, og klik på Avancerede indstillinger. Der er to vigtige til-/fra-knapper:

Aktivér "Modtag opdateringer til andre Microsoft-produkter" så Office, Edge og tilsvarende følger med.
Aktivér "Download opdateringer over forbrugsbaserede forbindelser" hvis du arbejder fra en laptop på mobildata.

Windows Update skelner mellem to slags opdateringer. Funktionsopdateringer er nye Windows-versioner (f.eks. 23H2 til 24H2). Dem kan du roligt udskyde 1-5 uger. Sikkerhedsopdateringer er en anden sag. Dem bør du ikke udskyde. Det er dem angriberne kigger på, dagen efter Microsoft har offentliggjort hvad de patcher.

Vil du tjekke status fra PowerShell, kræver det modulet PSWindowsUpdate. Det er ikke installeret som standard:

# Installér PSWindowsUpdate-modulet (én gang)
Install-Module PSWindowsUpdate -Force

# Tjek afventende opdateringer
Get-WindowsUpdate

# Eller via winget
winget upgrade --include-unknown

📝 Note: Install-Module kræver at du kører PowerShell som administrator. Modulet hentes fra PowerShell Gallery og er et tredjepartsmodul, ikke fra Microsoft.

Find sårbar tredjepartssoftware med VulnDetect

VulnDetect er lavet af SecTeer ApS, et dansk sikkerhedsfirma. Programmet scanner alle installerede applikationer mod CVE-databasen og markerer hvad der skal patches, inklusive CVSS-sværhedsgrader. Det er gratis til privatbrug og har erstattet Secunia PSI som go-to-værktøjet til jobbet.

Hent det fra vulndetect.com. Kør en scanning. Resultatet viser CVE-ID'er, CVSS-scores og hvilken version der løser problemet.

CVSS (Common Vulnerability Scoring System) er et 0-10 pointsystem fra NIST. Alle scores er offentlige på nvd.nist.gov for hvert enkelt CVE. VulnDetect viser scoren ved siden af hvert fund. Brug den til at prioritere:

9,0-10,0 (Kritisk): patch i dag.
7,0-8,9 (Høj): patch inden for ugen.
4,0-6,9 (Medium): næste vedligeholdelsesvindue.
Under 4,0 (Lav): når det passer.

Tal under 7 er ikke ignorerbare, men de brænder ikke. Tal over 9 brænder.

Patch tredjepartssoftware med winget

winget er bygget ind i Windows 10 og 11 via App Installer. Én kommando opdaterer alt:

# Se hvad der kan opdateres
winget upgrade

# Opdater al installeret software
winget upgrade --all

# Opdater en specifik app
winget upgrade --id Google.Chrome

Ikke alle apps er i wingets repository. VulnDetect finder præcis dem winget ikke kender til. Dem opdaterer du manuelt eller via appens egen opdateringsfunktion.

Chocolatey er et alternativ, primært brugt i IT-professionelle opsætninger og scripts. Til privatbrug på en enkelt Windows-maskine er winget det enklere valg, fordi det er installeret som standard.

Hvornår er nok nok?

Ingen maskine er nogensinde fuldt patchet. Nye CVE'er offentliggøres dagligt. Det realistiske mål er at eliminere High/Critical-fund og have en rutine for resten. En maskine uden CVSS 7+-fund er ikke et blødt mål. Jag ikke perfektion. Jag toppen af listen.

💡 Tip: Sæt en kalenderaftale én gang om måneden: kør VulnDetect, tjek output, kør winget upgrade --all. 30 minutter.

Tjekliste

Windows Update er slået til, automatisk, ingen undtagelser for sikkerhedsopdateringer.
"Other Microsoft products" er aktiveret i Windows Update.
VulnDetect-scanning er kørt og ingen Critical/High-fund er uafklaret.
winget upgrade --all er kørt.
Browsere er opdateret. Chrome, Firefox og Edge opdaterer sig selv, men tjek at det faktisk sker.

Kilder

Verizon Data Breach Investigations Report 2024: årsrapport med data fra over 30.000 sikkerhedshændelser, herunder fordeling af angrebstyper og udnyttede sårbarheder.
NIST National Vulnerability Database: NISTs officielle CVE-database med CVSS-scores for alle kendte sårbarheder.
CVSS v3.1 Specification Document, FIRST.org: den officielle specifikation bag det pointsystem VulnDetect bruger til at vurdere sværhedsgrader.
VulnDetect / SecTeer ApS: det gratis scanningsværktøj der bruges i denne guide til at finde upatchet tredjepartssoftware.

Patch din Windows-maskinetrin for trin