Ventanas de mantenimiento: La Tierra de Nunca Nunca de Parches

Las ventanas de mantenimiento son un concepto que puede ser difícil de comprender al principio. Soy demasiado perezoso para tratar de ayudarte, así que si necesitas algo de splainin, te sugiero que primero vayas a los médicos y al excelente resumen de Jason Sandy.

Antes de entrar en él, quiero despotricar rápidamente sobre una cosa primero. Las ventanas de mantenimiento solo pueden disminuir el cumplimiento de los parches. Úsalos porque hay una razón que amenaza la vida real y/o los negocios para hacerlo. Si solo necesita asegurarse de que los parches/aplicaciones/secuencias de tareas se instalan en una fecha u hora específica, para eso están los plazos de implementación.
Ok, fuera de la caja de jabón. Hay dos requisitos que he visto preguntados con frecuencia sobre los que uso ventanas de mantenimiento para resolver. Esta semana solo vamos a abordar el primero:

Nunca, Nunca, Quiero Que Parchees esta Caja

Si has seguido junto con mi blog o hablado conmigo por el menor tiempo, reconocerás lo doloroso que fue escribir ese encabezado. Quema. El parcheo es demasiado importante para dejarnos las bolsas de carne y debe automatizarse tanto como sea posible. Sin embargo, hay ciertas situaciones en las que existe una razón legítima para no automatizar la aplicación de parches y el reinicio (que son la misma cosa). Esas situaciones tienden a estar en el lado del servidor de las cosas donde las cargas de trabajo deben moverse (ej. SQL, Exchange), pero también hay algunos casos de uso de estaciones de trabajo. Si tiene estaciones de trabajo en un quirófano, obtendrá un pase para actualizarlas automáticamente. Al menos mientras esté en la mesa, por favor. Su caja de Windows 2000 que ejecuta un reactor nuclear probablemente también esté bien. Por favor, no enciendas esa cosa.

Hay una variedad de soluciones para este problema, pero para ser honesto, la única buena no existe: Admite implementaciones disponibles para ADR. Hasta entonces, la solución que más me gusta y que en mi opinión es la más confiable es crear lo que yo llamo una ventana de mantenimiento «Nunca». Cree una ventana de mantenimiento no recurrente que haya ocurrido en el pasado. Debería terminar pareciéndose a algo como esto:

Esto funciona porque una vez que un dispositivo tiene una sola ventana de mantenimiento, no actuará fuera de él. Si esa ventana de mantenimiento única es del pasado y no se repite, entonces nada se instalará automáticamente en ese dispositivo de nuevo. En su lugar, cuando llegue la fecha límite de una implementación, intentará instalarla, detectará que actualmente no está dentro de una ventana de mantenimiento y se reportará permanentemente como «Vencida» a la espera de una ventana de mantenimiento que nunca llegará. Pobres actualizaciones so tan solitarias. Permanecerán así para siempre hasta que alguien abra el Centro de Software e inicie manualmente la instalación. Si desea obtener toda la fantasía, puede activar las instalaciones manuales de forma remota utilizando una variedad de técnicas, que incluyen <modo de pago completo> algo así como la herramienta de clic derecho Instalar Actualizaciones de software faltantes </modo de pago completo>.

Aquí se hacen dos suposiciones. Primero: que no implemente algo que anule las ventanas de mantenimiento. No hay arreglo estúpido, así que no seas estúpido. Segundo: que no aplique otra ventana de mantenimiento a los dispositivos de la colección Never. Este es un poco más complicado y es parte de la razón por la que está casi universalmente acordado que debe crear colecciones separadas que existan solo para fines de ventana de mantenimiento. Además, recomiendo encarecidamente que sea fácil identificar sus ventanas de mantenimiento poniéndolas en una carpeta y/o prefijando las colecciones con algo significativo. Por ejemplo: «MW – Nunca’. De esta manera, sabe dónde están sus ventanas de mantenimiento y puede asegurarse de que todas excluyan su ventana de Nunca mantenimiento. Si se asegura de que cada colección de ventanas de mantenimiento excluya su ventana de Nunca mantenimiento, simplemente agregar dispositivos a su ventana de Nunca mantenimiento garantiza que no cruce los flujos:

Una Ventana De Mantenimiento Con Beneficios!

Hay algunos beneficios adicionales de usar una ventana de nunca mantenimiento que no se obtiene tratando de resolver este problema de otras maneras.

En primer lugar, el uso de una ventana de nunca mantenimiento es una excelente manera de facilitar la aplicación de parches completamente automatizada. ¿Algunos miembros del equipo que creen que sus dispositivos son pequeños copos de nieve especiales en lugar de ganado están listos para el sacrificio? Coloque sus dispositivos en una ventana de mantenimiento sin mantenimiento e implemente parches en ellos normalmente. Obtienes control y generación de informes, mientras que el usuario final evita tener que esperar a que se descarguen las exploraciones y actualizaciones de Windows Update. A los administradores de mi servidor les encantó el hecho de que podían abrir el Centro de Software durante el día para validar qué parches estaban esperando ser aplicados antes de iniciar sesión durante la noche para aplicarlos. También les encantó la capacidad de escribir el proceso de forma manual, pero sin tener que iniciar sesión en cada máquina. Crucialmente, después de un tiempo, muchos se preguntaron por qué se levantaban a la hora del culo para presionar un solo botón. Hizo conversiones automatizadas de parcheo para el bien de la carrera de computación.

En segundo lugar, su ventana de Nunca mantenimiento es una lista negra acordada de dispositivos que están muertos para usted. Mi panel de informes se escribió específicamente para informar en servidores de todo el mundo, servidores con ventanas de mantenimiento activas y servidores con la ventana de nunca mantenimiento. Esto me permitió mostrar a la administración lo horrible que eran algunos de mis compañeros administradores para parchear manualmente sus dispositivos, al tiempo que los excluía de los números de cumplimiento que me preocupaban. Cuando la seguridad llegó a tocar una caja en particular, el primer paso fue revisar mi membresía de ventana de Nunca mantenimiento para el dispositivo(s) en cuestión. Si estaban allí, les dije felizmente que lo abordaran con los propietarios de la aplicación que se aferraban a la aplicación manual de parches en sus propios dispositivos. Esto también ayudó a crear conversiones automatizadas de parches, aunque menos dispuestas.

Por último, en relación con lo anterior, la ventana de Nunca mantenimiento era una salida para lidiar con actualizaciones acumulativas que afectaban solo a un pequeño subconjunto de aplicaciones. Con las actualizaciones acumulativas, solo bloquear el parche de este mes significa que se romperán de nuevo cuando salgan los parches del próximo mes a menos que se resuelva el problema subyacente. Si el propietario de una aplicación me dijo que no parcheara su caja, los dirigí a nuestro CIO y solicité la aprobación por escrito del CIO para colocar sus cajas en la ventana de Nunca mantenimiento y, esta es la parte crucial, nunca vuelva a parchear esas cajas. Aproximadamente el 50% de los casos nunca pasaron de esa parte y los que lo hicieron ya no eran mi problema porque fueron excluidos de los informes que me importan.

Así que ahí lo tienes. Como he dicho, hay más de una forma de abordar este requisito, pero por las razones anteriores, el concepto de un período de mantenimiento sin mantenimiento es uno en el que siempre recurro como la mejor solución hasta que el equipo de producto nos da implementaciones disponibles en ADR. Aunque incluso entonces, si le preocupa que las aplicaciones y las secuencias de tareas se implementen accidentalmente según sea necesario en lugar de estar disponibles, solo una ventana de mantenimiento nunca lo puede garantizar.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.