Finestre di manutenzione: Il Never Never Land of Patching

Finestre di manutenzione sono un concetto che può essere difficile da cogliere pienamente in un primo momento. Sono troppo pigro per cercare anche di aiutarvi lì, quindi se avete bisogno di un po ‘splainin allora vi suggerisco prima testa oltre ai documenti e Jason Sandy eccellente carrellata.

Prima di entrare in esso anche se voglio rapidamente sbraitare su una cosa prima. Le finestre di manutenzione possono solo ridurre la conformità delle patch. Usali perché c’è una vera e propria vita e/o affari minacciando motivo per farlo. Se hai solo bisogno di assicurarti che patch/applicazioni/sequenze di attività vengano installate in una data o ora specifica, è a questo che servono le scadenze di distribuzione.
Ok, fuori dalla scatola di sapone. Ci sono due requisiti che ho visto spesso su che uso le finestre di manutenzione per risolvere. Questa settimana affronteremo solo il primo:

Non ho mai, mai, voglia di Patch questa casella

Se hai seguito insieme con il mio blog o parlato con me anche per il più breve di tempo si riconosce come doloroso che voce è stato quello di digitare. Brucia. La patch è troppo importante per lasciarci i sacchetti di carne e dovrebbe essere automatizzata il più possibile. Tuttavia, ci sono alcune situazioni in cui esiste una ragione legittima per non automatizzare le patch e il riavvio (che sono la stessa cosa). Queste situazioni tendono ad essere sul lato server di cose in cui i carichi di lavoro devono essere spostati (es. SQL, Exchange) ma ci sono anche alcuni casi d’uso della workstation. Se si dispone di workstation in una sala operatoria si ottiene un passaggio sull’aggiornamento automatico di quelli. Almeno mentre sono sul tavolo, per favore. La tua scatola di Windows 2000 che esegue un reattore nucleare probabilmente va bene. Per favore, non accendere quella cosa.

C’è una varietà di soluzioni a questo problema, ma ad essere onesti l’unica buona non esiste: supporta le distribuzioni disponibili per le ADR. Fino ad allora la soluzione che mi piace di più e a mio parere è la più affidabile è quella di creare quella che io chiamo una finestra di manutenzione ‘Mai’. Creare una finestra di manutenzione non ricorrente che si è verificata in passato. Dovrebbe finire per sembrare qualcosa del genere:

Questo funziona perché una volta che un dispositivo ha una singola finestra di manutenzione non agirà al di fuori di esso. Se quella singola finestra di manutenzione è nel passato e non si ripete, nulla verrà mai installato automaticamente su quel dispositivo. Invece, quando la scadenza di una distribuzione viene raggiunta, proverà a installarla, rileva che al momento non si trova all’interno di una finestra di manutenzione e si segnala in modo permanente come “Scaduto” in attesa di una finestra di manutenzione che non verrà mai. Poveri piccoli aggiornamenti so così soli. Rimarranno per sempre così finché qualcuno non apre Software Center e avvia manualmente l’installazione. Se si desidera ottenere tutti i fancy-shmancy è possibile attivare le installazioni manuali in remoto utilizzando una varietà di tecniche tra cui <modalità full shill> qualcosa come lo strumento del clic destro Installa gli aggiornamenti software mancanti </modalità full shill>.

Ci sono due ipotesi che vengono fatte qui. Primo: che non si distribuisce qualcosa che sovrascrive le finestre di manutenzione. Non c’è nessun fissaggio stupido quindi non essere stupido. Secondo: che non si applica un’altra finestra di manutenzione ai dispositivi nella collezione Never. Questo è un po ‘ più complicato e fa parte del motivo per cui è quasi universalmente concordato che è necessario creare raccolte separate che esistono solo per scopi di finestra di manutenzione. Inoltre, consiglio vivamente di semplificare l’identificazione delle finestre di manutenzione inserendole in una cartella e/o prefissando le raccolte con qualcosa di significativo. Ad esempio:’MW – Mai’. In questo modo sai dove sono le tue finestre di manutenzione e puoi assicurarti che escludano tutte la tua finestra Mai di manutenzione. Se ti assicuri che ogni raccolta di finestre di manutenzione escluda la finestra Never maintenance la semplice aggiunta di dispositivi alla finestra Never maintenance garantisce che non attraversi i flussi:

Una finestra di manutenzione con vantaggi!

Ci sono alcuni vantaggi marginali dell’utilizzo di una finestra Mai di manutenzione che non si ottiene cercando di risolvere questo problema in altri modi.

In primo luogo, utilizzando una finestra Mai manutenzione è un ottimo modo per facilitare in patch completamente automatizzato. Hanno alcuni membri del team che credono che i loro dispositivi sono speciali piccoli fiocchi di neve invece di bovini pronti per la macellazione? Mettere i loro dispositivi in una finestra Mai manutenzione e distribuire patch a loro normalmente. Si ottiene il controllo e la segnalazione, mentre l’utente finale ottiene per evitare di dover attendere per le scansioni di Windows Update e gli aggiornamenti da scaricare. I miei amministratori di server hanno apprezzato il fatto che potessero aprire Software Center durante il giorno per convalidare quali patch erano in attesa di essere applicate prima di accedere durante la sera per applicarle. Hanno anche amato la possibilità di script il processo in modo che potesse essere fatto manualmente, ma senza dover accedere a ogni macchina. Fondamentalmente, dopo un po ‘ molti si sono chiesti perché si stavano alzando in punto di culo per premere un solo pulsante. Ha fatto convertiti di patch automatizzati per il bene della razza informatica.

In secondo luogo, la finestra Never maintenance è una lista nera concordata di dispositivi che sono morti per te. My reporting dashboard è stato scritto specificamente per segnalare su server a livello globale, server con finestre di manutenzione attive e server con la finestra Mai manutenzione. Questo mi ha permesso di mostrare alla gestione quanto fossero terribili alcuni dei miei colleghi amministratori a correggere manualmente i loro dispositivi, escludendoli anche dai numeri di conformità a cui tenevo. Quando la sicurezza è venuta a bussare a una particolare casella, il primo passo è stato quello di rivedere la mia iscrizione alla finestra Never maintenance per i dispositivi in questione. Se fossero lì, ho felicemente detto loro di occuparsene con i proprietari di app che si sono aggrappati alle patch manuali dei propri dispositivi. Anche questo ha contribuito a creare convertitori automatici di patch, anche se meno disposti.

Infine, in relazione a quanto sopra, la finestra Never maintenance era uno sbocco per gestire gli aggiornamenti cumulativi che interessavano solo un piccolo sottoinsieme di applicazioni. Con gli aggiornamenti cumulativi, il blocco della patch di questo mese significa che si romperanno di nuovo quando usciranno le patch del mese prossimo a meno che il problema sottostante non venga risolto. Se un proprietario dell’applicazione mi ha detto di non patchare la loro scatola li ho indirizzati al nostro CIO e richiesto l’approvazione scritta del CIO per posizionare le loro scatole nella finestra Never maintenance e-questa è la parte cruciale-non rattoppare mai più quelle scatole. Circa il 50% dei casi non ha mai superato quella parte e quelli che hanno fatto non erano più il mio problema perché erano esclusi dalla segnalazione che conta per me.

Quindi il gioco è fatto. Come ho detto, c’è più di un modo per affrontare questo requisito, ma per i motivi di cui sopra il concetto di una finestra Mai manutenzione è uno che costantemente ripiegare su come la soluzione migliore fino a quando il team di prodotto ci dà distribuzioni disponibili in ADR. Anche se anche allora, se sei preoccupato per le applicazioni e le sequenze di attività che vengono distribuite accidentalmente come richiesto invece che disponibile, solo una finestra di manutenzione mai può garantirlo.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.