Patch din Windows-maskine
trin for trin

To lag: OS og tredjepartssoftware

Windows Update håndterer OS-patches, drivere (delvist) og Microsoft-apps. Den håndterer ikke Chrome, Firefox, Acrobat, VLC, 7-Zip, Node.js, Java eller de hundrede andre programmer der faktisk er installeret på en rigtig maskine. Det andet lag er præcis der, de fleste uoprettede sårbarheder sidder. Browsere er et særligt attraktivt mål, fordi de per design eksekverer kode fra fremmede servere.

Kort version: du skal have styr på begge lag. Ét uden det andet er ikke nok.

Windows Update: slå automatiske opdateringer til

Åbn Indstillinger, gå til Windows Update, og klik på Avancerede indstillinger. Der er to vigtige til-/fra-knapper:

• Aktivér "Modtag opdateringer til andre Microsoft-produkter" så Office, Edge og tilsvarende følger med.
• Aktivér "Download opdateringer over forbrugsbaserede forbindelser" hvis du arbejder fra en laptop på mobildata.

Windows Update skelner mellem to slags opdateringer. Funktionsopdateringer er nye Windows-versioner (f.eks. 23H2 til 24H2). Dem kan du roligt udskyde 1-5 uger. Sikkerhedsopdateringer er en anden sag. Dem bør du ikke udskyde. Det er dem angriberne kigger på, dagen efter Microsoft har offentliggjort hvad de patcher.

Vil du tjekke status fra PowerShell, kræver det modulet PSWindowsUpdate. Det er ikke installeret som standard:

# Installér PSWindowsUpdate-modulet (én gang)
Install-Module PSWindowsUpdate -Force

# Tjek afventende opdateringer
Get-WindowsUpdate

# Eller via winget
winget upgrade --include-unknown

Find sårbar tredjepartssoftware med VulnDetect

VulnDetect er lavet af SecTeer ApS, et dansk sikkerhedsfirma. Programmet scanner alle installerede applikationer mod CVE-databasen og markerer hvad der skal patches, inklusive CVSS-sværhedsgrader. Det er gratis til privatbrug og har erstattet Secunia PSI som go-to-værktøjet til jobbet.

Hent det fra vulndetect.com. Kør en scanning. Resultatet viser CVE-ID'er, CVSS-scores og hvilken version der løser problemet.

CVSS (Common Vulnerability Scoring System) er et 0-10 pointsystem fra NIST. Alle scores er offentlige på nvd.nist.gov for hvert enkelt CVE. VulnDetect viser scoren ved siden af hvert fund. Brug den til at prioritere:

• 9,0-10,0 (Kritisk): patch i dag.
• 7,0-8,9 (Høj): patch inden for ugen.
• 4,0-6,9 (Medium): næste vedligeholdelses­vindue.
• Under 4,0 (Lav): når det passer.

Tal under 7 er ikke ignorerbare, men de brænder ikke. Tal over 9 brænder.

Patch tredjepartssoftware med winget

winget er bygget ind i Windows 10 og 11 via App Installer. Én kommando opdaterer alt:

# Se hvad der kan opdateres
winget upgrade

# Opdater al installeret software
winget upgrade --all

# Opdater en specifik app
winget upgrade --id Google.Chrome

Ikke alle apps er i wingets repository. VulnDetect finder præcis dem winget ikke kender til. Dem opdaterer du manuelt eller via appens egen opdateringsfunktion.

Chocolatey er et alternativ, primært brugt i IT-professionelle opsætninger og scripts. Til privatbrug på en enkelt Windows-maskine er winget det enklere valg, fordi det er installeret som standard.

Hvornår er nok nok?

Ingen maskine er nogensinde fuldt patchet. Nye CVE'er offentliggøres dagligt. Det realistiske mål er at eliminere High/Critical-fund og have en rutine for resten. En maskine uden CVSS 7+-fund er ikke et blødt mål. Jag ikke perfektion. Jag toppen af listen.

Tjekliste

• Windows Update er slået til, automatisk, ingen undtagelser for sikkerhedsopdateringer.
• "Other Microsoft products" er aktiveret i Windows Update.
• VulnDetect-scanning er kørt og ingen Critical/High-fund er uafklaret.
• winget upgrade --all er kørt.
• Browsere er opdateret. Chrome, Firefox og Edge opdaterer sig selv, men tjek at det faktisk sker.

Ofte stillede spørgsmål

Hvor ofte bør jeg opdatere Windows?

Sikkerhedsopdateringer bør installeres hurtigst muligt efter de udkommer — helst inden for 48-72 timer. Microsoft udgiver dem primært den anden tirsdag i måneden (Patch Tuesday), men kritiske nødupdateringer kan komme når som helst. Funktionsopdateringer, der er nye Windows-versioner som 23H2 til 24H2, kan du roligt vente 2-4 uger med, så andre opdager eventuelle problemer først. Tredjepartssoftware — browsere, PDF-læsere, Office — bør opdateres løbende, da det er her de fleste upatchede sårbarheder sidder i praksis.

Kan Windows-opdateringer ødelægge min computer?

Det sker sjældent, men det sker. Driveropdateringer og større funktionsopdateringer er de mest risikable kategorier. Sikkerhedsopdateringer (kumulative opdateringer til selve Windows) er generelt stabile. Den bedste beskyttelse er en aktuel backup inden du installerer en stor opdatering, og at vente et par uger med funktionsopdateringer så du kan læse om andres erfaringer. Oplever du problemer, kan Windows Update rulles tilbage via Indstillinger → Windows Update → Opdateringshistorik → Afinstallér opdateringer, typisk inden for 10 dage efter installation.

Hvad er forskellen på sikkerhedsopdateringer og funktionsopdateringer?

Sikkerhedsopdateringer lukker specifikke kendte sårbarheder (CVE'er) i Windows og Microsoft-software. De er typisk små, udkommer månedligt og bør installeres hurtigt. Funktionsopdateringer er nye versioner af Windows med nye features, ændringer i brugergrænsefladen og opdaterede komponenter — de udgives typisk to gange om året og er langt større. Sikkerhedsopdateringer er tidskritiske. Funktionsopdateringer kan du planlægge til et tidspunkt der passer dig, og det er fornuftigt at vente lidt med dem.

Kilder

• Verizon Data Breach Investigations Report 2024: årsrapport med data fra over 30.000 sikkerhedshændelser, herunder fordeling af angrebstyper og udnyttede sårbarheder.
• NIST National Vulnerability Database: NISTs officielle CVE-database med CVSS-scores for alle kendte sårbarheder.
• CVSS v3.1 Specification Document, FIRST.org: den officielle specifikation bag det pointsystem VulnDetect bruger til at vurdere sværhedsgrader.
• VulnDetect / SecTeer ApS: det gratis scanningsværktøj der bruges i denne guide til at finde upatchet tredjepartssoftware.