janelas de Manutenção: O Never Never Land of Patching

as janelas de manutenção são um conceito que pode ser complicado de entender completamente no início. Estou com preguiça de até tentar ajudá-lo lá, então, se você precisar de algum splainin, sugiro que você vá primeiro aos documentos e ao excelente resumo de Jason Sandy.

Antes de entrarmos nele, embora eu queira reclamar rapidamente sobre uma coisa primeiro. As janelas de manutenção só podem diminuir a conformidade do patch. Use-os porque há uma vida real e/ou motivo de ameaça comercial para fazê-lo. Se você só precisa se certificar de que patches/aplicativos/sequências de tarefas sejam instalados em uma data ou hora específica … é para isso que servem os prazos de implantação.
Ok, fora da caixa de sabão. Há dois requisitos que eu vi frequentemente perguntado sobre que eu uso o Windows de manutenção para resolver. Esta semana vamos abordar o primeiro:

eu nunca, nunca, quero que você corrigir esta caixa

se você seguiu junto com o meu blog ou conversou comigo para o mais breve de tempo que você vai reconhecer o quão doloroso esse título era para digitar. Queima. Remendar é muito importante para nos deixar Sacos de carne e deve ser automatizado o máximo possível. No entanto, existem certas situações em que existe uma razão legítima para não automatizar o patch e a reinicialização (que são a mesma coisa). Essas situações tendem a estar no lado do servidor de coisas onde as cargas de trabalho precisam ser movidas (ex. SQL, Exchange), mas também existem alguns casos de uso da estação de trabalho. Se você tiver estações de trabalho em uma sala de operação, receberá um passe atualizando-as automaticamente. Pelo menos enquanto estou na mesa, por favor. Sua caixa do Windows 2000 executando um reator nuclear provavelmente também está bem. Por favor, não faça o ciclo de energia dessa coisa.

há uma variedade de soluções para esse problema, mas para ser perfeitamente honesto, o único bom não existe: suporte a implantações disponíveis para ADRs. Até então, a solução que mais gosto e, na minha opinião, é a mais confiável é criar o que chamo de janela de manutenção “Nunca”. Crie uma janela de Manutenção Não recorrente que ocorreu no passado. Deve acabar parecendo algo assim:

isso funciona porque, uma vez que um dispositivo tenha uma única janela de manutenção, ele não atuará fora dele. Se essa única janela de manutenção estiver no passado e não se repetir, nada será instalado automaticamente nesse dispositivo novamente. Em vez disso, quando o prazo de uma implantação chegar, ele tentará instalar, detectar que atualmente não está dentro de uma janela de manutenção e se reportar permanentemente como ‘devido passado’ esperando por uma janela de manutenção que nunca virá. Pequenas atualizações pobres … tão solitárias. Eles ficarão para sempre assim até que alguém abra o centro de Software e inicie manualmente a instalação. Se você quiser obter toda fantasia-shmancy você pode acionar as instalações manuais remotamente usando uma variedade de técnicas, incluindo <modo shill completo> algo como a Ferramenta do botão direito do mouse Install Missing Software Updates tool </modo shill completo>.

há duas suposições sendo feitas aqui. Primeiro: que você não implemente algo que substitua as janelas de manutenção. Não há como consertar estúpido, então não seja estúpido. Segundo: que você não aplique outra janela de manutenção aos dispositivos na coleção nunca. Este é um pouco mais complicado e faz parte do motivo pelo qual é quase universalmente acordado que você deve criar coleções separadas que existem apenas para fins de janela de manutenção. Além disso, é altamente recomendável facilitar a identificação de suas janelas de manutenção, colocando-as em uma pasta e/ou prefixando as Coleções com algo significativo. Por exemplo: ‘MW-nunca’. Dessa forma, você sabe onde estão suas janelas de manutenção e pode garantir que todas elas excluam sua janela nunca manutenção. Se você se certificar de que toda coleção de janelas de manutenção exclui sua janela nunca manutenção, basta adicionar dispositivos à sua janela nunca manutenção garante que você não cruze os fluxos:

uma janela de manutenção com benefícios!

há alguns benefícios adicionais de usar uma janela de nunca manutenção que você não consegue tentar resolver esse problema de outras maneiras.

primeiro, usar uma janela nunca manutenção é uma ótima maneira de facilitar a correção totalmente automatizada. Alguns membros da equipe que acreditam que seus dispositivos são pequenos flocos de neve especiais em vez de gado pronto para abate? Coloque seus dispositivos em uma janela nunca manutenção e implantar patches para eles normalmente. Você obtém controle e relatórios enquanto o usuário final evita ter que esperar que as verificações e atualizações do Windows Update sejam baixadas. Meus administradores de servidor adoraram o fato de que eles poderiam abrir o Software Center durante o dia para validar quais patches estavam esperando para serem aplicados antes de fazer login durante a noite para aplicá-los. Eles também adoraram a capacidade de rotear o processo para que pudesse ser feito manualmente, mas sem ter que fazer login em cada máquina. Crucialmente, depois de um tempo, muitos se perguntaram por que estavam se levantando às horas da bunda para apertar um único botão. Ele fez patches automatizados convertidos para o bem da corrida de computação.

em segundo lugar, sua janela nunca manutenção é uma lista negra acordada de dispositivos que estão mortos para você. Meu painel de relatórios foi escrito especificamente para relatar em servidores globalmente, servidores com janelas de manutenção ativas e servidores com a janela nunca manutenção. Isso me permitiu mostrar ao gerenciamento como alguns de meus colegas administradores estavam corrigindo manualmente seus dispositivos e, ao mesmo tempo, excluindo-os dos números de conformidade com os quais eu me importava. Quando a segurança surgiu sobre uma determinada caixa, o primeiro passo foi revisar minha associação à janela nunca manutenção para o(S) dispositivo (s) em questão. Se eles estavam lá, então eu alegremente disse-lhes para levá-lo com os proprietários de aplicativos que segurou a manual remendar seus próprios dispositivos. Isso também ajudou a criar patches automatizados convertidos … embora menos dispostos.

por último, relacionado ao exposto, a janela nunca manutenção foi uma saída para lidar com atualizações cumulativas que impactaram apenas um pequeno subconjunto de aplicativos. Com atualizações cumulativas, apenas bloquear o patch deste mês significa que eles vão quebrar novamente quando os patches do próximo mês saírem, a menos que o problema subjacente seja resolvido. Se um aplicativo proprietário disse-me para não o patch sua caixa de dirigi-los para o nosso CIO e necessário que o CIO aprovação por escrito para colocar suas caixas na janela de manutenção e … esta é a parte crucial … nunca patch as caixas novamente. Cerca de 50% dos casos nunca passaram por essa parte e os que o fizeram não eram mais meu problema porque foram excluídos do relatório que importa para mim.

então lá você tem isso. Como eu disse, há mais de uma maneira para resolver esse requisito, mas pelas razões acima, o conceito de Nunca janela de manutenção é que eu constantemente a cair novamente como a melhor solução até que a equipe de produto nos dá disponível implantações em ADRs. Embora, mesmo assim, se você estiver preocupado com aplicativos e sequências de tarefas sendo implantadas acidentalmente conforme necessário, em vez de disponíveis, apenas uma janela nunca manutenção pode garantir isso.

Deixe uma resposta

O seu endereço de email não será publicado.