Patch Management; hoe aanpakken? - Serversoftware en clouddiensten

zaterdag 23 augustus 2008 12:10

Acties:

Verwijderd

Topicstarter

Ik ben verantwoordelijk voor een netwerk van een 2000 machines. Op dit moment wordt er WSUS gebruikt om alles te patchen. Dit werkt redelijk maar we hebben toch wat problemen. Hoe pakken jullie dit aan? Hoe gaan jullie bijvoorbeeld om met testen? Op dit moment wordt er bij ons eigenlijk niet getest. Desktops/Laptops ontvangen vrijwel meteen de MS patches, en met servers wordt meestel een week gewacht. Media wordt in de gaten gehouden en als er geen problemen met patches gemeld worden gaan ze ook zonder andere test op de servers. Testen blijft een lastig ding aangezien we veel specifieke servers hebben, een test lab opbouwen is dus erg lastig. Alleen voor ERP worden de patches eerst een week getest op een test-bak.

We zijn op dit moment aan het testen met Shavlik en GFI. Wat gebruiken jullie zoal? Ervaringen met deze producten zijn erg welkom. Probleem bij ons zijn ook veel mensen met een laptop die amper op een kantoor komen. Deze mensen lopen vaak achter met patches en van deze laptops is lastig een rapportage te krijgen.

zaterdag 23 augustus 2008 12:34

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Nogal simpel: neem een testgroep en rol daarop de patches eerst uit. Als die afdeling/groep problemen ondervindt, keur je die patches in WSUS gewoon niet goed en worden ze voorlopig ook niet uitgerold. Als ze na een week/2 weken nog geen problemen hebben, rol je de patches ook uit over de rest van de werkstations.

Vicariously I live while the whole world dies

zaterdag 23 augustus 2008 13:19

Acties:

alt-92

ye olde farte

Ook in Thematopic: Security updates gekeken voor wat achtergrond informatie?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 23 augustus 2008 18:54

Acties:

Verwijderd

Topicstarter

Vicarious schreef op zaterdag 23 augustus 2008 @ 12:34:
Nogal simpel: neem een testgroep en rol daarop de patches eerst uit. Als die afdeling/groep problemen ondervindt, keur je die patches in WSUS gewoon niet goed en worden ze voorlopig ook niet uitgerold. Als ze na een week/2 weken nog geen problemen hebben, rol je de patches ook uit over de rest van de werkstations.

Werkstations zullen niet zo snel problemen krijgen. Daar is testen inderdaad redelijk makkelijk op te lossen. Hoe pak je dit echter met servers aan? Er zijn zoveel verschillende configs dat echt goed testen eigenlijk niet mogelijk lijkt.

zaterdag 23 augustus 2008 20:00

Acties:

Bierkameel

I use Debian btw

Verwijderd schreef op zaterdag 23 augustus 2008 @ 12:10:
Ik ben verantwoordelijk voor een netwerk van een 2000 machines. Op dit moment wordt er WSUS gebruikt om alles te patchen. Dit werkt redelijk maar we hebben toch wat problemen.

Welke problemen?

Ik heb klanten gehad waar Shavlik en GFI draaiden en toch is WSUS 3.0 een stuk beter imho, Shavlik heeft wel een paar voordelen maar WSUS wordt steeds beter.

Alle proemn in n drek

zaterdag 23 augustus 2008 22:37

Acties:

Saab

1 van de grote voordelen van Shavlik is dat je updates voor een hele trits producten kunt uitrollen itt WSUS.

Verder is in mijn beleving WSUS best langzaam in de webinterface.

https://www.discogs.com/user/jurgen1973/collection

zaterdag 23 augustus 2008 23:05

Acties:

sanfranjake

Computers can do that?

Saab schreef op zaterdag 23 augustus 2008 @ 22:37:
1 van de grote voordelen van Shavlik is dat je updates voor een hele trits producten kunt uitrollen itt WSUS.

Verder is in mijn beleving WSUS best langzaam in de webinterface.

WSUS heeft al een tijdje geen webinterface meer hoor

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

zaterdag 23 augustus 2008 23:13

Acties:

Saab

Idd, interface dus.

https://www.discogs.com/user/jurgen1973/collection

zondag 24 augustus 2008 01:19

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Verwijderd schreef op zaterdag 23 augustus 2008 @ 18:54:
[...]

Werkstations zullen niet zo snel problemen krijgen. Daar is testen inderdaad redelijk makkelijk op te lossen. Hoe pak je dit echter met servers aan? Er zijn zoveel verschillende configs dat echt goed testen eigenlijk niet mogelijk lijkt.

Verschillende configs als in: op elke server staat andere software geinstalleerd? Tja, dan zul je geld uit moeten trekken voor een testomgeving. Die kun je dan tegelijkertijd voor meerdere zaken gebruiken natuurlijk.

Vicariously I live while the whole world dies

zondag 24 augustus 2008 12:03

Acties:

Saab

Je zou kunnen overwegen de exotische servers te converteren naar een VMware machine en te testen in de virtuele omgeving.

https://www.discogs.com/user/jurgen1973/collection

zondag 24 augustus 2008 18:35

Acties:

alt-92

ye olde farte

Verwijderd schreef op zaterdag 23 augustus 2008 @ 18:54:
Er zijn zoveel verschillende configs dat echt goed testen eigenlijk niet mogelijk lijkt.

...en dan snap je opeens waarom Microsoft bijvoorbeeld de voorkeur geeft aan One Server One Role (als je MOF bekijkt).

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 24 augustus 2008 18:40

Acties:

DukeBox

Buiten WSUS, hoe patch je andere security holes ?
Om maar een greep te nemen aan veel gebruikte software (lees: ik komt het op vrijwel iedere systeem tegen)
- adobe acrobat
- java
- print/scan software/drivers

En ook (maar in mindere mate):
- firefox
- chat clients

Alleen met WSUS ga je dat niet redden.

zondag 24 augustus 2008 18:52

Acties:

Saab

alt-92 schreef op zondag 24 augustus 2008 @ 18:35:
[...]

...en dan snap je opeens waarom Microsoft bijvoorbeeld de voorkeur geeft aan One Server One Role (als je MOF bekijkt).

We hebben hier al zo'n enorme lading servers omdat iedere vendor verlangt dat zijn applicatie in z'n uppie op een server moet omdat ze anders niet garanderen dat het werkt zoals het zou moeten.

Niettegenstaande dat het nog steeds niet goed werkt

Hebben softwareontwikkelaars zo weinig vertrouwen in hun product?

Alleen al voor onze telefonie hebben we 6 verschillende servers met daarnaast nog de PABX.

https://www.discogs.com/user/jurgen1973/collection

zondag 24 augustus 2008 18:56

Acties:

Wolfboy

ubi dubium ibi libertas

Saab schreef op zondag 24 augustus 2008 @ 18:52:
Hebben softwareontwikkelaars zo weinig verrouwen in hun product?

Als ze dat niet vragen krijgen ze hetzelfde probleem als jullie nu hebben, je krijgt teveel testcases

Is het misschien geen optie om via een ESX Server alle servers parallel te laten draaien zodat je daar alle updates op kan testen voor je ze op de live servers gooit?

Blog [Stackoverflow] [LinkedIn]

zondag 24 augustus 2008 19:02

Acties:

Saab

Alles draait dus zoals gespecificeerd, semi overheid dus budget genoeg

, maar toch zijn er applicaties die niet 100% draaien.

@TS, idd virtualiseren in VMWare.

https://www.discogs.com/user/jurgen1973/collection

zondag 24 augustus 2008 19:22

Acties:

DJ

Je zou eens naar Secunia NSI kunnen kijken. Ik gebruik op mijn PC thuis de PSI versie en die scant en patcht steeds meer software. Wellicht dat de NSI versie ook over het netwerk kan patchen. Scannen lukt sowieso wel.

Als er geen Religie's zouden zijn, dan waren we allemaal gewoon mensen geweest

zondag 24 augustus 2008 19:42

Acties:

DukeBox

Wolfboy schreef op zondag 24 augustus 2008 @ 18:56:
Is het misschien geen optie om via een ESX Server alle servers parallel te laten draaien zodat je daar alle updates op kan testen voor je ze op de live servers gooit?

Met esx kun je ook je patch management doen.. (o.a. ook mijn eerder genoemde lijstje, adobe, java, firefox etc)

zondag 24 augustus 2008 20:11

Acties:

DJ

DukeBox schreef op zondag 24 augustus 2008 @ 19:42:
[...]

Met esx kun je ook je patch management doen.. (o.a. ook mijn eerder genoemde lijstje, adobe, java, firefox etc)

Inderdaad: UpdateManager die in Virtual Center 2.5 zit ingebakken. Werkt leuk

Als er geen Religie's zouden zijn, dan waren we allemaal gewoon mensen geweest