întreținere Windows: The Never Never Land of Patching

întreținere Windows sunt un concept care poate fi dificil de înțeles pe deplin la început. Sunt prea leneș pentru a încerca chiar să vă ajute acolo așa că, dacă aveți nevoie de unele ‘splainin apoi vă sugerez mai întâi peste cap de la docs și rundown excelent Jason Sandy.

înainte de a intra în ea, deși vreau să declama rapid despre un singur lucru mai întâi. Întreținere windows poate reduce numai conformitatea patch-uri. Folosiți-le pentru că există un motiv real de viață și/sau de afaceri care amenință să facă acest lucru. Dacă trebuie doar să vă asigurați că patch-urile/aplicațiile/secvențele de sarcini se instalează la o anumită dată sau oră … pentru asta sunt termenele de implementare.
OK, de pe cutia de săpun. Există două cerințe pe care le-am văzut frecvent întrebat despre faptul că folosesc Windows de întreținere pentru a rezolva. În această săptămână suntem doar de gând să abordeze primul:

niciodată, niciodată, vreau să Patch-uri Această casetă

dacă ați urmat împreună cu blog-ul meu sau vorbit cu mine pentru chiar și cele mai scurte de timp vă va recunoaște cât de dureros că rubrica a fost să tastați. Arde. Patching – ul este prea important pentru a ne lăsa pungi de carne și ar trebui automatizat cât mai mult posibil. Cu toate acestea, există anumite situații în care există un motiv legitim de a nu automatiza patch-urile și repornirea (care sunt același lucru). Aceste situații tind să fie pe partea de server a lucrurilor în care sarcinile de lucru trebuie mutate (ex. SQL, Exchange) dar există și câteva cazuri de utilizare a stației de lucru. Dacă aveți stații de lucru într-o sală de operație, veți obține o trecere la actualizarea automată a acestora. Măcar cât sunt pe masă, te rog. Windows 2000 box rulează un reactor nuclear este, probabil, prea bine. Vă rugăm să nu ciclu de putere chestia aia.

există o varietate de soluții la această problemă, dar pentru a fi perfect sincer singurul bun nu există: suport implementările disponibile pentru Ram. Până atunci soluția care îmi place cel mai mult și în opinia mea este cea mai fiabilă este să creez ceea ce eu numesc o fereastră de întreținere ‘niciodată’. Creați o fereastră de întreținere nerecurentă care a avut loc în trecut. Acesta ar trebui să sfârșesc în căutarea ceva de genul asta:

acest lucru funcționează deoarece odată ce un dispozitiv are o singură fereastră de întreținere, acesta nu va acționa în afara acestuia. Dacă acea singură fereastră de întreținere este în trecut și nu se repetă, atunci nimic nu se va mai instala automat pe dispozitivul respectiv. În schimb, atunci când un termen limită de implementare hit-uri va încerca să instaleze, detecta că acesta nu este în prezent într-o fereastră de întreținere, și permanent se raportează ca ‘restante’ de așteptare pentru o fereastră de întreținere, care nu va veni. Bietul update – uri … atât de singur. Ei vor rămâne pentru totdeauna așa până când cineva deschide Software Center și inițiază manual instalarea. Dacă ați vrut pentru a obține toate fantezie-shmancy ai putea declanșa manual instalează la distanță folosind o varietate de tehnici, inclusiv <full Shill mode> ceva de genul dreapta faceți clic pe instrument de instalare lipsă Software Updates tool </full Shill mode>.

există două ipoteze făcute aici. În primul rând: că nu implementați ceva care înlocuiește ferestrele de întreținere. Nu există nici o fixare prost asa ca nu fi prost. În al doilea rând: că nu aplicați o altă fereastră de întreținere dispozitivelor din colecția niciodată. Acesta este un pic mai complicat și face parte din motivul pentru care este aproape universal convenit că ar trebui să creați colecții separate care există doar în scopuri de întreținere a ferestrelor. Mai mult, vă recomand să vă identificați ușor ferestrele de întreținere punându-le într-un folder și/sau prefixând colecțiile cu ceva semnificativ. De exemplu: ‘MW – niciodată’. În acest fel, știți unde sunt ferestrele dvs. de întreținere și vă puteți asigura că toate exclud fereastra Dvs. niciodată de întreținere. Dacă vă asigurați că fiecare colecție de ferestre de întreținere exclude fereastra Dvs. niciodată de întreținere, atunci pur și simplu adăugarea de dispozitive la fereastra Dvs. niciodată de întreținere garantează că nu traversați fluxurile:

o fereastră de întreținere cu beneficii!

există unele avantaje marginale de a folosi o fereastră de întreținere niciodată că nu te încercarea de a rezolva această problemă alte moduri.

în primul rând, folosind o fereastră de întreținere niciodată este o modalitate foarte bună de a ușura în patch-uri complet automatizate. Au unii membri ai echipei care cred că dispozitivele lor sunt fulgi de zăpadă speciale mici în loc de vite gata pentru sacrificare? Pune dispozitivele lor într-o fereastră de întreținere niciodată și implementa patch-uri pentru a le în mod normal. Obțineți control și raportare în timp ce utilizatorul final evită să aștepte descărcarea scanărilor și actualizărilor Windows Update. Administratorii serverului meu au iubit faptul că ar putea deschide Software Center în timpul zilei pentru a valida ce patch-uri așteptau să fie aplicate înainte de a se conecta în timpul serii pentru a le aplica. De asemenea, le-a plăcut capacitatea de a scrie procesul, astfel încât să poată fi realizat manual, dar fără a fi nevoie să vă conectați la fiecare mașină. În mod crucial, după un timp, mulți s-au întrebat de ce se ridică la ora fundului pentru a apăsa un singur buton. A făcut convertiri automate de patch-uri pentru binele cursei de calcul.

în al doilea rând, fereastra dvs. de întreținere niciodată este o listă neagră convenită a dispozitivelor care sunt moarte pentru dvs. Tabloul meu de bord de raportare a fost scris special pentru a raporta pe servere la nivel global, servere cu ferestre de întreținere active și servere cu fereastra niciodată întreținere. Acest lucru mi-a permis să arăt managementului cât de îngrozitor au fost unii dintre colegii mei administratori la patch-urile manuale ale dispozitivelor lor, excluzându-le, de asemenea, din numerele de conformitate de care mi-a păsat. Când securitatea a venit să bată despre o anumită casetă, primul pas a fost să-mi revizuiesc niciodată calitatea de membru al ferestrei de întreținere pentru dispozitivul(dispozitivele) în cauză. Dacă au fost acolo, atunci le-am spus fericit să-l ia cu proprietarii de aplicații care au avut loc la patching manual propriile dispozitive. Și acest lucru a ajutat la crearea de convertiri automate de patch – uri … deși cele mai puțin dispuse.

în cele din urmă, legat de cele de mai sus, fereastra never maintenance a fost o priză pentru a face față actualizărilor cumulative care au afectat doar un mic subset de aplicații. Cu actualizări cumulative, doar blocarea patch-ului din această lună înseamnă că se vor rupe din nou când vor apărea patch-urile de luna viitoare, cu excepția cazului în care problema de bază este rezolvată. În cazul în care un proprietar de aplicație mi-a spus să nu patch caseta lor I-am direcționat către CIO nostru și a cerut aprobarea scrisă CIO pentru a plasa cutiile lor în fereastra de întreținere niciodată și … aceasta este partea crucială … nu patch aceste cutii din nou. Aproximativ 50% din cazuri nu au trecut niciodată de acea parte, iar cele care au făcut-o nu mai erau problema mea, deoarece au fost excluse din raportarea care contează pentru mine.

deci, nu-l ai. După cum am spus, Există mai multe modalități de a aborda această cerință, dar din motivele de mai sus, conceptul de fereastră de întreținere niciodată este unul pe care mă întorc în mod constant ca fiind cea mai bună soluție până când echipa de produse ne oferă implementări disponibile în RAM. Deși chiar și atunci, dacă sunteți îngrijorat de aplicațiile și secvențele de sarcini care sunt implementate accidental, după cum este necesar, în loc să fie disponibile, atunci doar o fereastră de întreținere niciodată poate garanta acest lucru.

Lasă un răspuns

Adresa ta de email nu va fi publicată.