Gathering of Tweakers

Thema topic: Security updates

Introductie

Welkom in het alweer vijfde thema topic! Iets meer dan vier maanden geleden zijn we gestart met een nieuw item in de Softe Goederen fora om ook de andere aspecten van een ICT omgeving te belichten. Het eerste topic ging over monitoring, daarna bespraken we het toekennen van rechten. In het derde thema topic hadden we het over backups maken, waarna we het hadden over bestanden delen.

Deze maand hebben we gekozen voor het thema "Security updates". Dit is een vrij breed thema en iets waar iedereen - zeker sinds het fameuze blaster virus - mee te maken heeft.

Thema: Security updates

Je hebt security updates in vele maten en soorten - iedereen kent Windows Update (en het broertje Microsoft Update) - en gebruik je die ook? Gebruik je voor je Linux machines enkel 'apt' of 'yum', heb je portsnap en freebsd-update in je cronfile staan?

Laat je security updates automatisch installeren, of doe je dit heel gecontroleerd door middel van WSUS of bijvoorbeeld SMS?

Installeer je security updates helemaal niet, zo snel ze uit zijn, of wacht je eerst een paar weken? Heb je een test groep, of juist niet?

Hoe ga je om met verschillende systemen? Patch je je webservers vaker dan je fileserver? En wat doe je met je desktops of juist laptops?

Hoe ga je om met security updates die niet via je operating systeem leverancier komen? Struin je wekelijks de meuktracker af om te zien of er geen nieuwe versie van Adobe Reader is, of laat je die tools ook automatisch updaten?

Voorbeeld reactie

Een voorbeeld reactie zou kunnen bestaan uit het volgende - het staat je natuurlijk vrij dit over te nemen, of zelf een verhaaltje er van te maken

• Installeer je wel security updates? Waarom wel of niet?
• Doe je dit enkel voor je eigen PC's thuis of voor een organisatie? Over hoeveel systemen gaat het dan?
• Wat is je plan als een security update mis gaat (of juist, als het mis gaat door het ontbreken van zo'n update?)
• Hoe update je? Heeft elke PC z'n eigen Windows Update? Automatic updates? Via WSUS of juist via SMS?
• Hoe keur je updates goed, test je uit?
• Wat doe je met updates die niet in de tool zitten die je operating system up-to-date houd (bv. Flash of Adobe Reader)?
• Maak je onderscheid tussen typen systemen (laptops, servers, dmz-servers, etc) in hoe je patched?

Het volgende thema topic...

Mocht je suggesties hebben voor een volgend thema-topic, laat het ons dan weten op softegoederen @ tweakers.net of post het in dit topic.

Op het moment beheer ik alleen een handvol Debian machines voor privé (-achtig) gebruik. Het gaat voornamelijk om 3 servers, 1 gateway/router, 2 desktops en 1 laptop.

De servers
De servers (op de universiteit) en de router (thuis) zijn allen direct met het internet verbonden (ieder een eigen globaal IP adres). Twee van de servers beheer ik samen met andere mensen.

Deze machines draaien allemaal Debian 4.0. Ze draaien allemaal elke nacht een shell script vanuit cron dat

1. controleert of er updates zijn
2. eventuele updates alvast download
3. mij een mailtje stuurt als er updates klaar staan.

Ik log dan (meestal diezelfde dag nog) met de hand in (via ssh) om de updates te installeren.

De gateway heeft een TV-kaart en doet ook dienst als "videorecorder". Hiervoor staat een zelf gecompileerde mplayer/mencoder op die machine, dus niet uit de Debian repositories. Ik update die mplayer eigenlijk nooit, hij is ook niet security-gevoelig. Alle andere software komt uit de Debian repositories en wordt dus meegenomen in de Debian security updates.

De desktops
De laptop en één desktop draaien Debian 4.0. Ze controleren automatisch op updates en geven op de desktop een notificatie als er updates beschikbaar zijn. Ik installeer deze updates meestal zodra ik de notificatie zie (wat soms even kan duren). Alle software is afkomstig uit de Debian repositories en wordt dus meegenomen in de updates.

Mijn primary desktop is een wat ander verhaal. Deze draait Debian Unstable, wat een soort constant geupdate beta (of eigenlijk alpha) is; er zijn constant nieuwere versies van software beschikbaar. Voor Unstable zijn er geen echte security updates; updates die security problemen oplossen gaan gewoon mee met de stroom van andere updates. Alle updates installeren betekent dus dat er veel meer kan veranderen dan alleen wat security updates. Ik update deze machine als ik daar zin in heb (wat soms best een tijd uitgesteld kan worden).

Daarnaast bevat deze machine de meeste non-Debian software, voornamelijk mplayer/mencoder, een handvol spellen, en flash. De meesten hiervan zijn gelukkig niet zo security gevoelig, zodat ze niet vaak geupdate hoeven worden (flash is een potentieel gevaarlijke uitzondering).

Bedrijfsomgeving
In een grotere, georganiseerdere omgeving (zoals een bedrijf) zou ik waarschijnlijk alle machines automatisch de updates laten ophalen en installeren van een eigen Debian repository. Op deze repository kunnen dan de updates geplaatst worden nadat ze zijn getest op testconfiguraties.

Ook kan niet-Debian software dan gepackaged worden en makkelijk uitgerold en geupdate worden via die lokale repository.

Overig gebrabbel
Ik hou dus wel security updates bij. Dat is belangrijk omdat een gecrackede machine onacceptabel is.

Ik installeer de updates zo snel mogelijk nadat ze beschikbaar zijn (met uitzondering van mijn primary desktop), en ik test ze niet van te voren. Debians security updates bevatten alleen de security fixes en brengen daardoor een laag risico met zich mee. Het risico door een niet-gepatchte security hole is naar mijn idee groter dan het risico van een foute update, al verschilt dat natuurlijk per security probleem en situatie.

Ook omdat deze machines voor privé gebruik zijn is de impact van een foute update beperkt, en door de schaal is een fatsoenlijke infrastructuur met tests niet interessant genoeg. Voor grootschaligere situaties zoals een bedrijf zou updates testen wel interessant zijn (zie ook boven).

Er is wel een duidelijk verschil in hoe ik de verschillende systemen behandel. De machines die direct met het internet verbonden zijn houd ik veel nauwlettender in de gaten (niet alleen qua updates, maar ook in andere security aspecten). De relatief beschermde desktops hebben wat minder prioriteit.

Bovenop dat alles volg ik de debian-security-announce mailinglist, en (met een half oog) de bugtraq mailinglist, zodat ik weet wat er gaande is.

Servers
Wij hebben voornamelijk Windows servers staan. Deze checken zelf voor updates, zijn ze aanwezig dan worden ze gedownload en krijgen we een notificatie. Na notificatie halen we 1 server uit de Citrix farm, maken een image en voorzien deze van de updates. Hetzelfde gebeurd met onze failover domain controller. Mocht onverhoopt de patch iets ontregelen dan draaien wij productie gewoon verder. Binnen afzienbare tijd hebben we echter VMWare, dan is het helemaal makkelijk om updates te testen.

Citrix en Powerfuse updates checken we zelf maandelijks op de websites. Moet eigenlijk nog even een mailinglist abo voor komen.

Desktops
We hebben nog slechts een handvol Windows desktops, de rest zijn thin clients. Alle overgebleven Windows desktops downloaden en installeren automatisch hun updates. Thin clients worden 1 maal per kwartaal nagelopen op nieuwe firmware. Meestal komt dat maar 1 maal per jaar uit.

Firewall, Routers, Switches, Printers
Voor de firewall en routers hebben we contracten lopen dus dat is uitbesteed. Deze zaken zijn het meest kwetsbaar, samen met de servers.
Switches en printers houden we eerlijk gezegd niet goed bij.

VOIP
Dit krijgen we in de loop van het jaar. Ik zal bij de leverancier navragen hoe dit gaat verlopen.

Overig
Software welke op de servers geinstalleerd staan wordt geupdate als we actief misbruik van lekken of POC code tegenkomen op nieuws sites / bugtraq / milw0rm / etc. Bijvoorbeeld Flash, MS Office, etc.

Windows park (XP/2003):
Geen updates omdat ik geen tijd heb om updates te testen, WSUS is ondertussen weg wegens plaatsgebrek. Richting 200 machines. Het zou op termein moeten terugkomen, maar dan als 2nd tier, geregeld uit een andere vestiging.

Als het mis gaat
Update ongedaan maken op het toestel waar de update voor problemen zorgt

Software (enkel major updates)
Gaat in princype gecoordineerd via AD, als dat niet kan gaat het manueel. We proberen overal hetzelfde level aan te houden (als dat mogelijk is). Ik haat alvast de softwares die zelf op het net gaan kijken en dan de gebruiker vragen om te updaten.

Er word geen onderscheid gemaakt tussen types servers, er is geen testprocedure

Bij mij thuis, en bij redelijk veel familie pc's die ik in orde hou, gebeuren Windows Updates met notificatie: geen updates downloaden of installeren, maar vragen aan gebruiker.

Alleen bij Vista is dat redelijk lastig, omdat die steeds updates wél installeert, terwijl er duidelijk staat ingesteld dat hij het niet moet doen. Opgelost in SP1, gelukkig...

Gewone updates, zoals kleine security fixes, doe ik regelmatig, wanneer Windows het vraagt. Service Packs slipstream ik, samen met alle andere beschikbare updates op dat moment.
Dat doe ik ongeveer om de 3 maanden, samen met een herinstallatie...

Thuis draai ik op File Servertje Ubuntu Linux, die mooi elke morgend zijn apt-get uitvoert.

Als het misgaat bij mijzelf doe ik een herinstallatie, met CD waar update NIET inzit.
Bij familie gaat het vaker mis, en verwijder ik de Software Distribution map als hij geen updates meer wil doen, en doe ik een re-install als foute updates zijn geïnstalleerd.

Windows software hou ik regelmatig up to date, bij elke herinstallatie pluk ik alle software opnieuw van het internet, en test ik die eerst uit op m'n toch al oude Windows. Werkt alle software zoals het hoort, gaat er mooi een format over, werkt het niet, blijf ik bij de oude versie.

Ubuntu software wordt mee in apt-get genomen, dus daar geen probleem.

Hierbij mijn prive situatie "beleid"

*Installeer je wel security updates?
Ja, om te zorgen dat evt. problemen/ zwakheden in de systemen zo snel mogelijk opgelost zijn

*Doe je dit enkel voor je eigen PC's thuis of voor een organisatie? Over hoeveel systemen gaat het dan?
Eigen pc's (windows, mac en ubuntu) en pc's/ mac's van mijn ouders

* Wat is je plan als een security update mis gaat (of juist, als het mis gaat door het ontbreken van zo'n update?)
In het geval het om een Mac update gaat, dan kan ik dmv time machine terug, voor windows zou ik het moeten de-installeren. In het geval van ubuntu zou ik uit moeten zoeken hoe ik terug kan, nog niet aan de hand gehad

*Hoe update je? Heeft elke PC z'n eigen Windows Update? Automatic updates? Via WSUS of juist via SMS?
Software update op de apple, windows update op de rest. Ubuntu trap ik vaak ook handmatig af.
Vaak is dit wel een handmatig ge-initialiseerde actie, ondanks dat automatisch updatten aanstaat, maar vaak weet ik dat er wat is, en dan forceer ik dus een check

*Hoe keur je updates goed, test je uit?
Door te kijken of het systeem het na het updatten nog steeds doet, het zijn prive systemen, dus niet zo cruciaal? Maar dit is niet echt testen (of echt niet)

*Wat doe je met updates die niet in de tool zitten die je operating system up-to-date houd (bv. Flash of Adobe Reader)?
Dit wil ik nog wel eens handmatig doen, maar dit gebeurt minder vaak als OS updates.

*Maak je onderscheid tussen typen systemen (laptops, servers, dmz-servers, etc) in hoe je patched?
Nope geen onderscheid, ik probeer alles zo up to date mogelijk te houden

Zijn er linux beheerders die apt-get met een crontab script hebben draaien?

quote:

daft_dutch schreef op maandag 16 juni 2008 @ 17:02:
Zijn er linux beheerders die apt-get met een crontab script hebben draaien?

Ja, ik doe dat op servers, voor alles behalve de daadwerkelijke installatie van updates.

quote:

daft_dutch schreef op maandag 16 juni 2008 @ 17:02:
Zijn er linux beheerders die apt-get met een crontab script hebben draaien?

ja maar, ja maar....

dit is toch 'windows servers en server software'

quote:

daft_dutch schreef op maandag 16 juni 2008 @ 17:02:
Zijn er linux beheerders die apt-get met een crontab script hebben draaien?

Ik gebruik op mijn FreeBSD servers in de crontab wel een 'portsnap cron' (dat update de ports collectie naar de nieuwste versie), met daarachter een 'pkg_version -vL=' (dat laat de verschillen tussen geinstalleerde portversie en aanwezige portversie zien) - dit staat ook zo beschreven in het handbook geloof ik.

Het daadwerkelijk updaten van mijn FreeBSD servers doe ik door handmatig 'portupgrade' te draaien

• Installeer je wel security updates? Waarom wel of niet?

Zeker wel, ik zit in de IT-beveiliging voor m'n werk en zie dagelijks hoe snel het fout gaat als je de updates niet bijhoudt.

• Doe je dit enkel voor je eigen PC's thuis of voor een organisatie? Over hoeveel systemen gaat het dan?

Mijn eigen pc, laptop en de pc van m'n ouders. 3x windows, 1x ubuntu.

• Wat is je plan als een security update mis gaat (of juist, als het mis gaat door het ontbreken van zo'n update?)

Als een update iets stuk maakt dan uninstall ik de update (is echter nog niet gebeurd), gaat het mis door het ontbreken van een update en ben ik geinfecteerd doe ik vrij snel een reinstall.

• Hoe update je? Heeft elke PC z'n eigen Windows Update? Automatic updates? Via WSUS of juist via SMS?

Ik update mijn pcs handmatig omdat ik anders helemaal gestoord word van de popups van automatic updates. Aangezien ik een beperkt aantal pcs beheer test ik niet eerst op een pc maar update ik de hele zwik in een keer.

• Wat doe je met updates die niet in de tool zitten die je operating system up-to-date houd (bv. Flash of Adobe Reader)?

Ik houd (ook voor m'n werk) de diverse mailinglists bij, oa Bugtraq en Full-Disclosure. Ook run ik regelmatig http://secunia.com/software_inspector/ om te kijken of ik nog iets gemist heb.

quote:

daft_dutch schreef op maandag 16 juni 2008 @ 17:02:
Zijn er linux beheerders die apt-get met een crontab script hebben draaien?

Ik gebruik hier apticron. Op die manier wordt dagelijks gecheckt of er updates zijn, zo ja, worden deze gedownload en krijg je een mailtje dat er updates voor machine X zijn en welke updates dat dan zijn. Je kan natuurlijk altijd zelf gaan scripten en een cronjob maken, maar dit werkt gewoon out of the box

Sample apticron mail

heb thuis 2 servers staan,

1x windows 2003 R2 (sp2)
1x Windows 2008 (Sp1)
1 laptop xp pro (sp3)
1 pc XP pro (sp3)
1 pc Vista Business (SP1)

heb op de 2003 pc een wsus draaien, updates worden automatisch installed, en mocht een update pas klaar zijn als de pc restart, het zei zo, de melding van opnieuw opstarten heb ik disabled, en komt maar 1x in de zoveel tijd voor dat ik alsnog deze melding krijg, verder dus auto download en auto install.

Servers restart ik 1x in de zoveel tijd bijv 2weken een maand, ligt er maar net aan...

Zelf kan ik iedereen PSI en NSI aanbevelen van Secunia.

Een erg goeie tool die op het moment nog in RC status staat, maar een deze dagen wordt gelanceerd als final.

Hij pakt opvallend veel software en bied ook vrijwel altijd een goeie oplossing.

Bijvoorbeeld flash plugin en java client runtime worden vaak vergeten bij het updaten van een systeem, deze tool vergeet dat niet.

quote:

Powershell schreef op maandag 16 juni 2008 @ 20:51:
[...]


ja maar, ja maar....

dit is toch 'windows servers en server software'

Ga eens naar NOS en klik dan op dit thematopic. Ik dacht juist bij het lezen van de OP: 'ja maar, ja maar, dit is toch Non-Windows Operating Systems'

Misschien niet handig op deze manier een thematopic.

Mijn reactie dan maar:

- Installeer je wel security updates?
Ja, altijd, voor de Linux machines in elk geval.
- Doe je dit enkel voor je eigen PC's thuis of voor een organisatie? Over hoeveel systemen gaat het dan?
Beide. 10 pc's (windows), 1 server(linux), 1 backup-server (linux), thuis 1 pc (linux).
- Wat is je plan als een security update mis gaat (of juist, als het mis gaat door het ontbreken van zo'n update?)
Vloeken. Nee. Meestal kom ik het probleem niet direct tegen, maar pas een paar dagen later en dan loop je je rot te zoeken naar een oplossing. Tot nu toe altijd gehad dat er een nieuwe 'security' update kwam die zorgde voor het verhelpen van de bug. Ik praat dan over de linux bakken.
- Hoe update je? Heeft elke PC z'n eigen Windows Update? Automatic updates? Via WSUS of juist via SMS?
Cron-apt zorgt voor de dagelijkse check op de linux bakken en mailt mij. De Windows machines zijn helemaal dichtgetimmerd. Mensen gaan namelijk alleen maar klagen als je een update binnen krijgt en Windows wil hoe dan ook rebooten. Als je dan als client op een samba domein bent ingelogd gaat hij geforceerd rebooten. Daar zitten we niet op te wachten.
- Hoe keur je updates goed, test je uit?
Standaard repositories vertrouw ik wel. Soms wacht ik een paar dagen met een niet-kritieke update of een update voor een service die toch alleen maar lokaal open staat. (vanwege soms wat slordige patching en regressive bugs)
- Wat doe je met updates die niet in de tool zitten die je operating system up-to-date houd (bv. Flash of Adobe Reader)?
Die zitten er bij mij wel in (Ubuntu). Op de server draaien die dingen niet en op de Windows machines hebben gebruikers geen rechten om wat te installeren en je kan er als beheerder niet fatsoenlijk remote bij. Er ontbreekt iets als ssh en aptitude ofzo. Verder wordt er wel redelijk wat verkeer gemonitord, want alles loopt via de server (is ook router), dus een grote hack hebben we snel door.
- Maak je onderscheid tussen typen systemen (laptops, servers, dmz-servers, etc) in hoe je patched?
Ja, de backup-server is volledig dichtgetimmerd in de firewall en ik vertrouw het wel om die een maandje droog te laten staan zonder nieuw patches. En zoals ik al zei, de Windows clients is grofweg teveel werk om dat goed te kunnen doen (er fysiek heen gaan, iemand die erachter zit wegschoppen, als admin inloggen, lang wachten, rebooten, bleh).

gertvdijk wijzigde dit bericht 17-06-2008 14:44 (71%)

quote:

gertvdijk schreef op dinsdag 17 juni 2008 @ 14:29:
Ga eens naar NOS en klik dan op dit thematopic. Ik dacht juist bij het lezen van de OP: 'ja maar, ja maar, dit is toch Non-Windows Operating Systems'

Misschien niet handig op deze manier een thematopic.

Als je betere ideeën hebt over hoe dit soort topics over meerdere forumonderdelen tegelijk kunnen worden gehouden, dan staat het je vrij om daarover in de feedback topics een boompje op te zetten.
Op dit moment blijken de aliassen nog het beste te werken - mits je tenminste de topicstart even goed doorleest

quote:

De Windows machines zijn helemaal dichtgetimmerd. Mensen gaan namelijk alleen maar klagen als je een update binnen krijgt en Windows wil hoe dan ook rebooten. Als je dan als client op een samba domein bent ingelogd gaat hij geforceerd rebooten. Daar zitten we niet op te wachten.

Ook dat kan je beinvloeden door de registry keys te gebruiken die normaal gesproken via de WSUS policies worden gebruikt..

quote:

- Wat doe je met updates die niet in de tool zitten die je operating system up-to-date houd (bv. Flash of Adobe Reader)?
Die zitten er bij mij wel in (Ubuntu). Op de server draaien die dingen niet en op de Windows machines hebben gebruikers geen rechten om wat te installeren en je kan er als beheerder niet fatsoenlijk remote bij. Er ontbreekt iets als ssh en aptitude ofzo.

Er zijn genoeg andere manieren om remote zaken te laten installeren of updaten.
Je hoeft er niet voor naar een machine te lopen om een user er vanachter weg te schoppen
Het is net als met *nixen, je moet alleen even weten hoe

alt-92 wijzigde dit bericht 17-06-2008 16:02 (43%)

Debian is trouwens bezig om ksplice in het debian package systeem te integreren. (Is nu experimental)
Ksplice Maakt het mogelijk een draaiende linux kernel te patchen.
Zolang de datastructuur het zelfde blijft.
standaard linux kernels kan je dan apt-get updaten zonder te rebooten. (of zelf je ksplice_patch.deb te bakken) Leek mij wel waardig om te posten.

daft_dutch wijzigde dit bericht 18-06-2008 21:58 (5%)

omgeving:

8 x debian
21 x win2k3
25 x winxp

Winxp gaat via Wsus. Waarbij het meeste op auto accept staat

Van de win2k3 machines doe ik het handmatig. PDC, BDC en exchange gaan handmatig 1x per maand. De rest gaat in de maandelijkse update ronde via handmatige checks.

Toekomstig verhaal is dat ook de win2k3 machines via WSUS of SMS bijgehouden gaan worden. Maar eerst maar eens flink wat testen met SMS.

De linux machines worden eigenlijk niet bijgewerkt. Die staan alleen intern, en draaien alleen mysql.

Productie omgeving:
590 Windows XP SP3 desktops
15 RHEL/CentOS Linux server versie 4 en 5
30 Windows Server 2003/2000
5 VMware ESX 3.5 U1 servers

• Installeer je wel security updates?
Ja op alles wat er maar draait

• Maak je onderscheid tussen typen systemen?
Ja machines in het DMZ gaan afhankelijk van de grote van het lek en de mogelijkheid tot misbruik
zo snel mogelijk.

Niets wordt automatisch gedeployd er wordt eerst gekeken en getest.

Alle Windows OS sen producten worden gepatcht in groepen met:
Shavlik NetChk® Protect

He mooie is dat je met deze tool heel veel software kan patchen.
Kleine opsomming: Alle windows patches. flash, Adobe Reader, Java, Firefox, skype enz
zie hier voor de volledige lijst: http://xml.shavlik.com/data/supportedproducts60.htm

De Linux servers gaan 1 voor 1 met yum update of u2date

De VMware servers gaan via de Virtual Center update manager

TAMW wijzigde dit bericht 30-06-2008 19:06 (19%)

Ik wil zelf zoiets gaan doen voor mijn nieuwe FreeBSD server.
Ding gaat plat gezegd mail+web doen, en ik heb 2 dezelfde dozen gekocht...

Ik wilde nu op de doos thuis (de andere hangt in een DC) de ports compileren (heb wat opties aanstaan die niet standaard, zijn anders zou ik wel packages gebruiken) en dan via een losse https mirror (die alleen vanaf het IP van de DC-doos connecties accepteert) de gecompileerde ports (packages...) naar de DC-doos sturen.

Gewoon als package mirror de doos thuis aangeven dus.

is dit een goed plan, of zouden jullie het anders doen?

Motivatie: ik kan van tevoren testen, en mijn DC doos loopt niet de halve dag te compileren (het zijn beide dual opterons, dus het zal niet gek lang duren...).

quote:

daft_dutch schreef op woensdag 18 juni 2008 @ 21:57:
Debian is trouwens bezig om ksplice in het debian package systeem te integreren. (Is nu experimental)

Hmm, hoe bedoel je? Dat ze de software opnemen in Debian, of dat ze het willen gaan toepassen om bijvoorbeeld kernel security updates uit te rollen?

Dat eerste is niet zo verrassend, dat tweede zou wel interessant zijn. Als je dat tweede bedoelt, dan zie ik graag een bron

quote:

megamuch schreef op maandag 30 juni 2008 @ 15:39:
De linux machines worden eigenlijk niet bijgewerkt. Die staan alleen intern, en draaien alleen mysql.

Toch is het natuurlijk beter ze up to date te houden. Ook interne security lekken kunnen risico's zijn.

Straks zeg je nog "ze staan toch intern, met alleen maar ssh met public key authentication toegankelijk van buiten"

*Installeer je wel security updates?
Ja tuurlijk, welke gotter doet dat doelbewust niet dan? (gecontroleerd bepaalde updates uitsluiten niet meegerekend)

*Doe je dit enkel voor je eigen PC's thuis of voor een organisatie? Over hoeveel systemen gaat het dan?
Thuis.
3*winxp desktops
2*winxp laptops
1*linux-ubuntu desktop
1*linux-ubuntu-server thuisserver

* Wat is je plan als een security update mis gaat (of juist, als het mis gaat door het ontbreken van zo'n update?)
Misgaan? Die dingen horen gewoon niet mis te gaan! Maar anders zit er thuis niets anders op dan ff handmatig te deïnstalleren.

*Hoe update je? Heeft elke PC z'n eigen Windows Update? Automatic updates? Via WSUS of juist via SMS?
Windows bakken: optie op automatisch (zowel downloaden als installeren), ik wil er zo weinig mogelijk last van hebben / werk aan hebben.
Linux bakken: dagelijkse crontab die z'n werkje doet.

*Hoe keur je updates goed, test je uit?
Het lijkt me dat updates getest worden voor ze uitgerolled worden, dus ik ga ze niet handmatig testen voor thuis pc's of pc's die alleen dienen om IE en office te draaien.

*Wat doe je met updates die niet in de tool zitten die je operating system up-to-date houd (bv. Flash of Adobe Reader)?
Handmatig, totdat ik een betere oplossing vindt.

*Maak je onderscheid tussen typen systemen (laptops, servers, dmz-servers, etc) in hoe je patched?
Het enige wat het moet doen, is werken zonder dat het mij (of andere mensen) stoort.

Okee, gaan we.

---

Installeer je wel security updates?

• Like, doh

Omdat ik naast het normale netwerk vrij veel testomgevingen draai voor het werk (en hobby) en dat hoofdzakelijk Windows Servers betreft moet er natuurlijk ook aandacht besteed worden aan het bijwerken en installeren van de benodigde hotfixes en servicepacks.

Doe je dit enkel voor je eigen PC's thuis of voor een organisatie?

Op het werk hebben ze een aparte club die dat via SMS regelen, daar bemoei ik me niet mee.
Thuis is een ander verhaal
Op dit moment bestaat mijn eigen fysieke parkje uit:

• 3x Windows 2003 Server R2 Enterprise (DC 1 en 2)
• 1x Windows 2003 Server Enterprise (Exchange 2003)
• 1x Windows 2003 Server Standard (ISA)
• 1x Vista Ultimate/2008 Server X64 dualboot
• 1x Windows XP
• 1x MCE 2005

Waarbij één 2003 R2 machine een dedicated VMware Server host is.
De VMware installatie op mijn Vista Werkstation en de VMware Server samen zijn goed voor een drietal testnerdwerken.
Samen is dat goed voor een slordige 24 machines.

Omdat alles zoveel mogelijk up to date te houden kun je je voorstellen dat je dat niet meer met de hand gaat doen

Hoe update je?

Ik gebruik voor de Microsoft Updates van OS en Software Windows Server Update Services 3.0 Sp1.

Hoe keur je updates goed, test je uit?

Om updates te testen draaien er een XP, Vista Business en 2003 R2 Server als VM Guests waar de updates op uitgerold worden.
Zijn er geen issues bekend, dan kan de rest mee - zo wel, dan kunnen we via workarounds werken of wachten totdat de nieuwe versie doorkomt via WSUS.

Maak je onderscheid tussen typen systemen?

Zoals je hierboven in de WSUS console ziet heb ik onderverdelingen gemaakt in functionaliteiten en taken van de verschillende machines, met navenant verschillende instellingen.
Desktop machines zoals mijn MCE2005 wordt vrijwel altijd silent geupdate, de Server machines doen enkel aan Notify for install.

Ook voor het testnerdwerk gelden eenzelfde soort regels, Servers gaan enkel op Notify.
Waar wel een verschil in zit zijn de refreshtijden; het testnetwerk checkt elk uur op updates omdat hier nog wel eens een machine opnieuw wordt ingespoeld.
Op die manier zijn de verse installaties vrij vlot weer up-to-date gebracht.

Wat doe je met overige software updates?

Overige software als updates voor Adobe Reader en andere plugins gaan voorlopig nog via Software Installation GPO's, al is een upgrade naar System Center Essentials 2007 een mogelijke optie om dat eventueel te bundelen.

Voorlopig draait mijn laptop (XP) afgezien van de WSUS registry entries als een Standalone niet-domain client.
De zaken als Flash, Adobe Reader, Sun Java en dergelijke staan daarop met de auto-update functie aan zodat ik wel op de hoogte ben als er een nieuwere versie of een bugfix voor één van de produkten is.
De updates worden dan bewaard, waar nodig aangepast en vervolgens via een GPO geinstalleerd.

Wat is je plan als een security update mis gaat?

Even flink vloeken en tieren, testmachine opnieuw installeren of een rollback doen en vrolijk weer verder gaan.
Op zich komt het niet zo heel vaak voor, lastiger is het wanneer het WSUS team aan de andere kant van de oceaan een verkeerd gedateerde update doorvoert waardoor geen enkele client nog kan updaten

Nou ja, weet je gelijk welke mailings en blogs je in de gaten kan houden

Ik beheer een 5-tal linux servers. Allemaal draaien ze ubuntu met the usual stuff: apache, mysql, php.

Ik heb "unattended-upgrades" geinstalleerd en dat werkt als een trein. Deze installeert iedere dag alle security updates. Zonder mijn tussenkomst dus. Waarom? Omdat het geen fulltime job is, dus vaak moet het beheren "even tussendoor" gebeuren. Daarom gebeurt dat vaak niet

Overlaatst was er via een oude mambo site van een klant van ons, via een kernel exploit onze server gehacked. Reden: achterstallig onderhoud.

Dus nu probeer ik zoveel mogelijk alles automatisch te laten gebeuren. Om deze reden installeer ik ook geen custom gecompilede software. Voordeel van Debian/Ubuntu is dat zo'n beetje alles in de repositories zit.

Om de zoveel tijd kijk ik even de logs/e-mail berichten door en bepaal ik of er herstart moet worden (ivm kernel ipdates). Hopen dat ksplice er snel komt

quote:

DumbAss schreef op zaterdag 12 juli 2008 @ 09:57:
... via een kernel exploit onze server gehacked.

Even opgezocht. Het was de vmsplice exploit.