Wartungsfenster: Das Never Never Land of Patching

Wartungsfenster sind ein Konzept, das zunächst schwierig zu verstehen ist. Wenn Sie also etwas Splainin benötigen, empfehle ich Ihnen, zuerst zu den Dokumenten und Jason Sandys exzellentem Überblick zu gehen.

Bevor wir jedoch darauf eingehen, möchte ich zuerst schnell über eine Sache schimpfen. Wartungsfenster können Ihre Patch-Compliance nur verringern. Verwenden Sie sie, weil es ein wirkliches Leben und / oder Geschäft bedrohlichen Grund, dies zu tun. Wenn Sie nur sicherstellen müssen, dass Patches / Anwendungen / Tasksequenzen zu einem bestimmten Datum oder einer bestimmten Uhrzeit installiert werden, sind dies die Bereitstellungsfristen.
Ok, weg von der Seifenkiste. Es gibt zwei Anforderungen, nach denen ich häufig gefragt habe, dass ich Wartungsfenster verwende, um sie zu lösen. Diese Woche werden wir nur den ersten angehen:

Ich möchte nie, dass du diese Box flickst

Wenn du meinem Blog gefolgt bist oder auch nur die kürzeste Zeit mit mir gesprochen hast, wirst du erkennen, wie schmerzhaft diese Überschrift war. Es brennt. Das Patchen ist zu wichtig, um uns Fleischbeutel zu überlassen, und sollte so weit wie möglich automatisiert werden. Es gibt jedoch bestimmte Situationen, in denen ein legitimer Grund besteht, Patching und Neustart nicht zu automatisieren (was dasselbe ist). Diese Situationen befinden sich in der Regel auf der Serverseite von Dingen, in denen Workloads verschoben werden müssen (z. SQL, Exchange), aber es gibt auch einige Workstation-Anwendungsfälle. Wenn Sie Workstations in einem Operationssaal haben, erhalten Sie einen Pass auf die automatische Aktualisierung dieser. Zumindest solange ich auf dem Tisch liege, bitte. Ihre Windows 2000-Box mit einem Kernreaktor ist wahrscheinlich auch in Ordnung. Bitte schalten Sie das Ding nicht ein.

Es gibt eine Vielzahl von Lösungen für dieses Problem, aber um ganz ehrlich zu sein, gibt es die einzig gute nicht: Unterstützung für verfügbare Bereitstellungen für ADRs. Bis dahin ist die Lösung, die mir am besten gefällt und die meiner Meinung nach am zuverlässigsten ist, ein Wartungsfenster zu erstellen, das ich nie nenne. Erstellen Sie ein einmaliges Wartungsfenster, das in der Vergangenheit aufgetreten ist. Es sollte am Ende so aussehen:

Dies funktioniert, weil ein Gerät, sobald es ein einziges Wartungsfenster hat, nicht außerhalb davon handelt. Wenn dieses einzelne Wartungsfenster in der Vergangenheit liegt und sich nicht wiederholt, wird nie wieder automatisch etwas auf diesem Gerät installiert. Stattdessen, wenn die Frist einer Bereitstellung erreicht wird es versuchen, zu installieren, erkennen, dass es derzeit nicht in einem Wartungsfenster ist, und melden Sie sich dauerhaft als ‚überfällig‘ warten auf ein Wartungsfenster, das nie kommen wird. Armes kleines Mädchen … so einsam. Sie werden für immer so bleiben, bis jemand das Software Center öffnet und die Installation manuell initiiert. Wenn Sie alle fancy-shm erhalten möchten, können Sie die manuellen Installationen aus der Ferne mit einer Vielzahl von Techniken auslösen, darunter <full shill mode> so etwas wie das Install Missing Software Updates Tool des Rechtsklick-Tools </full shill mode> .

Hier werden zwei Annahmen getroffen. Erstens: dass Sie nichts bereitstellen, das Wartungsfenster überschreibt. Es gibt keine Dummheit, also sei nicht dumm. Zweitens: dass Sie kein weiteres Wartungsfenster auf die Geräte in der Never-Sammlung anwenden. Dieser ist etwas schwieriger und ist Teil des Grundes, warum fast allgemein vereinbart wird, dass Sie separate Sammlungen erstellen sollten, die nur für Wartungsfensterzwecke vorhanden sind. Außerdem empfehle ich dringend, die Identifizierung Ihrer Wartungsfenster zu vereinfachen, indem Sie sie in einen Ordner legen und / oder den Sammlungen etwas Sinnvolles voranstellen. Zum Beispiel: ‚MW – Never‘. Auf diese Weise wissen Sie, wo sich Ihre Wartungsfenster befinden, und Sie können sicherstellen, dass sie alle Ihr aktuelles Wartungsfenster ausschließen. Wenn Sie sicherstellen, dass jede Wartungsfenstersammlung Ihr Never-Wartungsfenster ausschließt, garantiert das einfache Hinzufügen von Geräten zu Ihrem Never-Wartungsfenster, dass Sie die Streams nicht überqueren:

Ein Wartungsfenster mit Vorteilen!

Die Verwendung eines Never Maintenance-Fensters bietet einige Nebenvorteile, die Sie nicht erhalten, wenn Sie versuchen, dieses Problem auf andere Weise zu lösen.

Erstens ist die Verwendung eines einfachen Wartungsfensters eine großartige Möglichkeit, das vollautomatische Patchen zu vereinfachen. Haben einige Teammitglieder, die glauben, dass ihre Geräte spezielle kleine Schneeflocken anstelle von schlachtfertigen Rindern sind? Stellen Sie ihre Geräte in ein neues Wartungsfenster und stellen Sie Patches normal bereit. Sie erhalten Kontrolle und Berichterstellung, während der Endbenutzer nicht auf das Herunterladen von Windows Update-Scans und -Updates warten muss. Meine Serveradministratoren waren begeistert von der Tatsache, dass sie tagsüber das Software Center öffnen konnten, um zu überprüfen, welche Patches auf ihre Anwendung warteten, bevor sie sich abends anmeldeten, um sie anzuwenden. Sie liebten auch die Möglichkeit, den Prozess so zu skripten, dass er manuell ausgeführt werden konnte, ohne sich bei jedem Computer anmelden zu müssen. Entscheidend war, dass sich nach einer Weile viele fragten, warum sie um acht Uhr aufstanden, um einen einzigen Knopf zu drücken. Es machte automatisiertes Patching zum Wohle des Computerrennens möglich.

Zweitens ist Ihr Never Maintenance-Fenster eine vereinbarte schwarze Liste von Geräten, die für Sie tot sind. Mein Berichts-Dashboard wurde speziell für Berichte über Server weltweit, Server mit aktiven Wartungsfenstern und Server mit dem Fenster Nie Wartung geschrieben. Auf diese Weise konnte ich dem Management zeigen, wie schrecklich es für einige meiner Kollegen war, ihre Geräte manuell zu patchen und sie gleichzeitig von den Compliance-Nummern auszuschließen, die mir wichtig waren. Als die Sicherheit an eine bestimmte Box klopfte, bestand der erste Schritt darin, meine Mitgliedschaft im Never Maintenance Window für die betreffenden Geräte zu überprüfen. Wenn sie dort waren, sagte ich ihnen gerne, sie sollten es mit den App-Besitzern aufnehmen, die am manuellen Patchen ihrer eigenen Geräte festhielten. Auch dies trug dazu bei, automatisierte Patching-Konvertierungen zu erstellen … wenn auch weniger willige.

Im Zusammenhang mit dem oben genannten war das Never Maintenance-Fenster ein Ventil für den Umgang mit kumulativen Updates, die nur eine kleine Teilmenge von Anwendungen betrafen. Bei kumulativen Updates bedeutet das Blockieren des Patches dieses Monats, dass sie nur dann wieder unterbrochen werden, wenn die Patches des nächsten Monats veröffentlicht werden, es sei denn, das zugrunde liegende Problem ist behoben. Wenn ein Anwendungsbesitzer mir sagte, ich solle seine Box nicht patchen, wies ich ihn an unseren CIO und verlangte die schriftliche Genehmigung des CIO, seine Boxen in das Never Maintenance-Fenster zu stellen, und … das ist der entscheidende Teil … diese Boxen nie wieder patchen. Ungefähr 50% der Fälle kamen nie über diesen Teil hinaus und diejenigen, die es taten, waren nicht mehr mein Problem, weil sie von der Berichterstattung ausgeschlossen wurden, die mir wichtig ist.

Da haben Sie es also. Wie gesagt, es gibt mehr als eine Möglichkeit, diese Anforderung zu erfüllen, aber aus den oben genannten Gründen greife ich ständig auf das Konzept eines Never Maintenance-Fensters als beste Lösung zurück, bis das Produktteam uns verfügbare Bereitstellungen in ADRs zur Verfügung stellt. Wenn Sie jedoch befürchten, dass Anwendungen und Tasksequenzen versehentlich nach Bedarf bereitgestellt werden, anstatt verfügbar zu sein, kann dies nur ein einziges Wartungsfenster garantieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.