[Alg]@Systeembeheerders. Waarom updaten jullie windows niet?

Bij het bedrijf waar ik systeembeheerder ben doe ik gewoon mee met de laatste updates.
Ik test ze wel eerst uit, virtueel of op een losse pc, en dan rol ik ze uit.

IE8 draait ook al op meerdere pc's(op aanvraag) in het netwerk.
Ik zou niet weten waarom ik zo achter zou blijven lopen, levert alleen maar gevaar op.
En als er vragen zijn, daar ben ik voor, dan leg ik dat gewoon uit

Jep. Ken dat.... hier op m'n werk is het ook 1 grote oude zooi......

Soms tot treurens aan toe......

Lisadr schreef op dinsdag 07 april 2009 @ 11:22:
@DennusB
Leuk om te horen dat er ook mensen zijn die het wel doen. Om hoeveel werkstations gaat het?

Mijn ervaring is dat hoe groter het bedrijf (dus hoe meer werkstations) hoe slechter het gesteld is met updates.

Het gaat om 20 werkstations bij ons in het bedrijf.
Ik vindt het initiatief van dit topic ook erg leuk trouwens
Leuk om eens te bespreken.

Maar mijn mening is, als je systeembeheerder bent, dan moet je niet terugdeinzen als je een keer iets uit moet leggen

Omdat je met 127.000 mensen wereldwijd niet de luxe hebt om een dag na een update die meteen uit te rollen.

Hier is men met een aantal mensen gewoon fulltime bezig met patches controleren op conflicten met inhouse applicaties, etc.

Thematopic: Security updates
Staan dingen over security updates.

Vergeet niet dat een Systeembeheerder geen slaaf is.

IK weet niks over de situatie van bedrijven maar er zijn genoeg MKB's waar de systeembeheerder het zoontje van X is die ooit een systeem heeft gebouwd.
Vaak zijn er daar ook nooit licenties aangeschaf.
Vaak kunnen ze daarom niet updaten.
SP2 Kan nog zoland je hem volledig blijft mee patchen- omdat sommige pc's sp3 niet trekken en vervanging is in een crisis tijd niet altijd mogelijk.

Tevens zijn het gewoon prutsers als je voor 500 pc's de updates niet controleert , want daar heb je WSUS voor die ze pusht en controleert voor je.

Tevens kan ik de ie6 meuk wel begrijpen , toen ik ze update hadden ze er ook last van, en ie7 is zelfs een tijd onveiliger geweest dan ie6.
Maarja, ze willen geen bedrijfsgegevens verliezen dus patch ik alles dicht.

Waar je ook naar moet kijken zijn de bedrijven die bij andere bedrijven beheren.
Denk aan het mkb die te klein is voor een vaste beheerder.
Die kunnen verschillende pakketen afsluiten:

- een totaal pakket Van hardware tot internetlijnen van patchen tot proactiev beheer.
- het pakket u vraagt wij draaien.

Ik denk dat het pakket u vraagt wij draaien vaker aangeschaft word en pas gebruikt wordt als het mis gaat.
Patchen hoort daar dus niet bij.

Zelf heb ik ervaring met een omgeving van zo een 200 Pc's - WSUS werkte niet optimaal (- stond op andere lokatie via een 2/2 mbit lijn )
Dus telkens als een pc problemen gaf heb ik ze gelijk geupdate.

Maar als je met 200 Exotische pakketen werkt die geen patch/security bullentin vinden kan je niet verwachten dat al die pakketen bijgehouden en up to date zijn.

[ Voor 11% gewijzigd door LuckY op 07-04-2009 11:27 ]

1. Het is de verantwoordelijkheid van de klant
2. Klant heeft geen onderhoudscontract
3. Als ik de software update krijg ik ineens allemaal telefoonstjes met vragen over IE7 enz
4. Wij beheren +- 500 PC’s, je denkt toch niet dat ik ze allemaal ga controleren op updates!
5. Wij doen uisluitend updates als de klant erom vraagt

1. Als er geen contract is, is het inderdaad niet mijn pakkie an

2. zie punt 1

3. slecht management en slechte communicatie naar gebruikers toe. Major updates moeten altijd van een PvA voorzien worden en degelijk getest. Dit kost een hoop tijd en geld

4. 500+ pc's is een uitermate goed argument om WSUS aan te schaffen of eventuele opvolgers (SCCM etc.) je installeert die dingen toch ook niet met de hand...?

5. Reaktief beheer noemen we dit. Zie punt 1 en 2 en 4. Security updates vind ik persoonlijk onder de verantwoordelijkheid van de systeembeheerder vallen. Echter, punt 1 en 2 tellen dan ook mee

Ik werk alleen voor interne klanten, dus echt veel dingen hiervan kom ik in de praktijk niet tegen, maar goed. toch even mijn 2 centjes hierover

Ik ben dan wel geen systeembeheerder, maar uit ervaring weet ik dat het probleem ook vaak is, of de gebruikte software geen problemen met de updates krijgt.
Denk aan een webapplicatie die niet met IE7 overweg kan, of een kleine applicatie op de client, die na een update ineens last heeft van de firewall. Dezelfde reden waarom de meeste bedrijven (nog) niet overgestapt zijn op Vista.
Soms is het gewoon makkelijker, goedkoper en misschien ook wel beter om even niet te updaten.

T-8one schreef op dinsdag 07 april 2009 @ 11:26:
Ik ben dan wel geen systeembeheerder, maar uit ervaring weet ik dat het probleem ook vaak is, of de gebruikte software geen problemen met de updates krijgt.
Denk aan een webapplicatie die niet met IE7 overweg kan, of een kleine applicatie op de client, die na een update ineens last heeft van de firewall. Dezelfde reden waarom de meeste bedrijven (nog) niet overgestapt zijn op Vista.
Soms is het gewoon makkelijker, goedkoper en misschien ook wel beter om even niet te updaten.

Ben ik volledig met je eens.
Maar als je als bedrijf nog op XP SP1 zit, zonder enige updates met IE6, dan ben je behoorlijk verouderd.
En dat lijkt me niet zo prettig voor de veiligheid

Lisadr schreef op dinsdag 07 april 2009 @ 11:12:
1. Het is de verantwoordelijkheid van de klant
2. Klant heeft geen onderhoudscontract
3. Als ik de software update krijg ik ineens allemaal telefoonstjes met vragen over IE7 enz
4. Wij beheren +- 500 PC’s, je denkt toch niet dat ik ze allemaal ga controleren op updates!
5. Wij doen uisluitend updates als de klant erom vraagt

1. Vind ik niet is verantwoordelijkheid van de systeembeheerder. Met WSUS heb je volledig controlle over je update's
2. Dat is wel de verantwoordelijkheid van de klant..
3. Vaag. IE7 kan je instellen alsof het IE6 is GUI ziet er dan hetzelfde uit. Wel kan het zijn dat bepaalde webbased apps niet werken onder IE7 of IE8
4. Dat kan afgehandeld worden door WSUS. je ziet welke PC's wel of geen updates hebben kunnen installeren.
5. Onzin. Jij bent als beheerder verantwoordelijk voor de omgeving van de klant. de klant weet hoe de PC aangaat meer niet

T-8one schreef op dinsdag 07 april 2009 @ 11:26:
Ik ben dan wel geen systeembeheerder, maar uit ervaring weet ik dat het probleem ook vaak is, of de gebruikte software geen problemen met de updates krijgt.
Denk aan een webapplicatie die niet met IE7 overweg kan, of een kleine applicatie op de client, die na een update ineens last heeft van de firewall. Dezelfde reden waarom de meeste bedrijven (nog) niet overgestapt zijn op Vista.
Soms is het gewoon makkelijker, goedkoper en misschien ook wel beter om even niet te updaten.

Totdat je een worm of virus heeft. AV pikken de exploits meestal niet op.
En al je PC zijn stuq.
Dan moet je een beheerder huren die A 120 euro per uur een week bezig is.
120x40 = 4800 euro.
Dan komen er nog de kosten bij van het niet kunnen werken. 10 personen a 50 euro in het uur.
500x40= 20.000

Denk jij dat een mkb met 10 man 25000 euro in een week kan verliezen ?

To_Tall schreef op dinsdag 07 april 2009 @ 11:31:
[...]


5. Onzin. Jij bent als beheerder verantwoordelijk voor de omgeving van de klant. de klant weet hoe de PC aangaat meer niet

Maar wat als het niet in het onderhouds contract zit

[ Voor 13% gewijzigd door LuckY op 07-04-2009 11:33 ]

Lisadr schreef op dinsdag 07 april 2009 @ 11:32:
@LuckyY

Bedankt voor je uitgebreide reactie.
Bedrijven waar ik kom, hebben tussen de 15 en 80 werkplekken en maken gebruik van een externe bedrijf voor hun systeembeheer.

Dat ken ik ergens van, bedrijf waar m'n pa werkt is het ook zo'n ramp.
Wordt beheerd door een Externe partij, maar van updates hebben ze nog niet gehoord.
Verder doen ze er ook niks, tenzij er wat gevraagd wordt.
Jammer hoor, ik vindt dat je dan gewoon een slechte systeembeheerder bent

T-8one schreef op dinsdag 07 april 2009 @ 11:26:
Denk aan een webapplicatie die niet met IE7 overweg kan, of een kleine applicatie op de client, die na een update ineens last heeft van de firewall.

Daardoor hebben wij op een heel aantal pc's IE6 terug moeten zetten... Nu is het gelukkig wel allemaal opgelost, maar het duurt toch een hele lange tijd voordat sommige applicaties aangepast zijn.

Ik hou mijn hart al vast voor IE8.

DennusB schreef op dinsdag 07 april 2009 @ 11:30:
[...]


Ben ik volledig met je eens.
Maar als je als bedrijf nog op XP SP1 zit, zonder enige updates met IE6, dan ben je behoorlijk verouderd.
En dat lijkt me niet zo prettig voor de veiligheid

Indien je als bedrijf zijnde erg verouderde software gebruikt die niet werkt onder SP2 of hoger ja dan ben je behoorlijk achter aan het lopen.

Daarnaast, als je IT omgeving goed is ingericht. wordt all het verkeer buitenaf vrijwel tegengehouden en is het interne netwerk met XP kan deze redelijk veilig zijn. Maar dit ligt aan de inrichting van de beheerder.

Er zijn bepaalde oorzaken waarrom een machine niet geupdate kunnen worden. Zo heb ik nog win 2000 machine's staan en een server. Die kan ik nog niet vervangen omdat er een bedrijfs kritiesche app op staat die niet onder 2003 en windows XP draaid. bepaalde mensen zijn druk bezig met het omzetten van die applicatie. maar deze is af en toe toch nog wel nodig.

Ik ken ook een applicatie die de liften van een gebouw bediennen met 32 verdiepingen. Deze app draait op NT4.0 enige wat deze doet is berekenen aande hand van het gewicht hoeveel mensen er aanwezig zijn. en waar in de lift deze staan. een past hierop de snelheid van de lift aan.

Lisadr schreef op dinsdag 07 april 2009 @ 11:37:
[...]


Vorige keer had ik dus een aantaal punten mbt tot updates doorgegeven aan een systeembeheerder. Vanuit mijn perspectief standaardpunten wat een beheerder hoort te weten.

Vervolgens krijgt de klant een rekening van 16 uur x 80 euro = 1.280 euro voor windows updates! En ze hadden heb geprobeerd 20 nieuwe werkstations te verkopen, die oude waren maar 2 jaar en waren nog perfect word de taken die het bedrijf uitvoerde.

Je bent altijd vrij om naar een andere bedrijf te gaan

In sommige grote bedrijven is het soms helemaal niet gewenst om constant maar te updaten.
Hier heb ik WSUS draaien echter deze run ik zelf op geselecteerde tijden we hangen hier achter enkele redunante firewalls achter elkaar dus een security issue van buitenaf daarvoor is de kans vrij klein. Van binnenhuis ja dat kan wel echter een goeie rechten structuur doet hier ook wonderen in.

Soms is het ook gewoon een tijdsgebrek om niet volledig up to date te zijn.

Hier ook veel in house vervelende webgebaseerde applicaties, IE 7 staat overal netjes op 8 zou ik graag mee beginnen maar enkele van deze applicaties kunnen niet met 8 overweg. Deze zijn dan inderdaad wel terug te zetten in IE 7 compatibility mode maar dit is niet altijd wenselijk. Kortom wachten totdat de applicatie is geupdate is in deze beter.

Kortom updaten zoveel mogelijk echter niet altijd zinvol om onmiddelijk te doen. Kijk bijvoorbeeld naar de ESXi patch 2.5 update 2 laatst bij het installeren daarvan kon je je systeem niet meer benaderen ofzo. dit heeft toen best een impact gehad bij vele bedrijven. Dus soms is het beter om even de kat uit de boom te kijken.

Ligt er een beetje aan wat voor soort applicaties een klant gebruikt. Kleine klantjes met 1 server staan werkplekken op automatisch en servers op 'downloaden en handmatig installeren'. Grotere klanten met meerdere servers kan je wat makkelijker WSUS laten gebruiken.

Hebben ze speciale update-gevoelige software of zit de klant op de centjes (1x beheer per kwartaal), dan schieten werkplek updates er meestal bij in. Ook bij oude clientpc's blijven de SP's wel eens achterwegen vanwege de performance. Servers doe ik altijd wel bij beheersessies, maar dan loop je dus soms wel 3 maanden achter. In zo'n geval is het dus de veranwoordelijkheid van de klant, hadden ze maar meer beheer moeten afnemen.

Het liefst installeer ik gewoon altijd alle patches op alle machines, maar dat is dus lang niet altijd mogelijk.

DennusB schreef op dinsdag 07 april 2009 @ 11:30:
[...]


Ben ik volledig met je eens.
Maar als je als bedrijf nog op XP SP1 zit, zonder enige updates met IE6, dan ben je behoorlijk verouderd.
En dat lijkt me niet zo prettig voor de veiligheid

Als de systeembeheerder het kan verantwoorden waarom die updates niet geinstalleerd zijn is het in orde, als z'n antwoord is "ohw" of "hmmm" o.i.d. weet je genoeg.
Maar het is mij ook wel eens opgevallen dat vooral bij kleine bedrijven er nauwelijks sprake is van systeem beheer. Eigenlijk is het schandalig als je als externe partij je klanten met zo'n onveilig en onstabiel systeem laat zitten.

crazyx schreef op dinsdag 07 april 2009 @ 11:37:
[...]

Daardoor hebben wij op een heel aantal pc's IE6 terug moeten zetten... Nu is het gelukkig wel allemaal opgelost, maar het duurt toch een hele lange tijd voordat sommige applicaties aangepast zijn.

Ik hou mijn hart al vast voor IE8.

volgens mij is IE6 nog steeds de standaard, alle grote bedrijven waar ik de afgelopen 3 jaar heb gewerkt (ongeveer 5-6) gebruiken nog IE6.

[ Voor 25% gewijzigd door T-8one op 07-04-2009 11:46 ]

Lisadr schreef op dinsdag 07 april 2009 @ 11:47:
Vaak hoor ik het laatste. Klant is verbaast en soms denk hij dat de oplossing nieuwe hardware is (externe bedrijven verkopen graag nieuwe hardware

Klanten liegen als het om geld gaat.

Klanten kunnen verbaast zijn, maar dat zijn dezelfde klanten die bij elke offerte roepen 'Bij "X" kan het goedkoper", "IT is niet onze core business, als het werkt is het goed genoeg" en meer van die dooddoeners.

Over het algemeen kan je stellen dat een klant krijgt waar hij voor betaalt - als je voor 450 euro in de maand je ICT wil laten beheren is dat je goed recht, maar voor dat geld moet je al blij zijn als je backups werken imho

T-8one schreef op dinsdag 07 april 2009 @ 11:44:
[...]

Eigenlijk is het schandalig als je als externe partij je klanten met zo'n onveilig en onstabiel systeem laat zitten.

Als de klant hiervoor kiest wanneer je hem hierop attendeert kun je de externe partij hier niet op aanspreken.
Dit zie ik ook vaak bij klanten van ons. Ik zit zelf vast gedetacheerd bij groot bedrijf echter we hebben ook vele kleine klanten, hierbij geld vaak dat we maar zoveel uur per kwartaal of bij storingen etc mogen komen we geven dan altijd opmerkingen mee updates behoren bijna altijd tot die opmerkingen. Het is dan aan de klant om hiervoor te betalen.

Dus om te zeggen dat het schandalig is van de externe partij daar ben ik het niet (in alle) situaties mee eens.

Lisadr schreef op dinsdag 07 april 2009 @ 11:47:
@ Robbels
Bedankt voor jouw perspectief.
Maar hoe vaak is voldoende? 1x per jaar? 1x per kwartaal? 1x per maand? 1x per week?

Bij ons op de zaak gebeurt dit 1x per maand, waarbij uitsluitend beveiligingsupdates en software updates geïnstalleerd worden. Dus extra, add-ons enz niet.

1 keer per maand probeer ik dit toch zeker wel bij het bedrijf waar ik zelf zit. Voor de andere klanten durf ik het zo niet te zeggen daar ik zelf dus vast hier zit. In ieder geval wanneer wij een klant aannemen brengen we eerst het volledige netwerk en computers / servers op orde dus ook volledig updaten waar mogelijk. Ook allen beveiligingsupdates en software updates de rest van de meuk idd niet.

[ Voor 32% gewijzigd door Robbels op 07-04-2009 11:56 ]

Lisadr schreef op dinsdag 07 april 2009 @ 11:47:
@ Robbels
Bedankt voor jouw perspectief.
Maar hoe vaak is voldoende? 1x per jaar? 1x per kwartaal? 1x per maand? 1x per week?

Bij ons op de zaak gebeurt dit 1x per maand, waarbij uitsluitend beveiligingsupdates en software updates geïnstalleerd worden. Dus extra, add-ons enz niet.


@Ethirty
Willen klanten niet omdat ze om de centjes moeten letten of willen klanten niet omdat ze niet geïnformeerd zijn. Vaak hoor ik het laatste. Klant is verbaast en soms denk hij dat de oplossing nieuwe hardware is (externe bedrijven verkopen graag nieuwe hardware

Je praat over 450 EURO per maand, als iemand 100 euro per uur kost.
Heb je 4,5 uur
Wat denk je daarin te kunnen doen, hij gaat echt niet rennen.
een WSUS kost indirect ook geld- met andere rollen dus een aparte server is er voor nodig dus een licentie.
Als het bedrijf geen goede deal kan sluiten kan je niet verwachten dat een beheerder alles oplost.

Als jij op jaarlijkse controlle gaat bij de tandarts betaal je x bedrag in euros om te kijken. maar moet er een extra handeling vericht worden wordt dat bedrag snel hoger.
Zie die 450 euro als een server onderhoud, dan heb je niet de clients betaald.

DennusB schreef op dinsdag 07 april 2009 @ 11:34:
[...]


Dat ken ik ergens van, bedrijf waar m'n pa werkt is het ook zo'n ramp.
Wordt beheerd door een Externe partij, maar van updates hebben ze nog niet gehoord.
Verder doen ze er ook niks, tenzij er wat gevraagd wordt.
Jammer hoor, ik vindt dat je dan gewoon een slechte systeembeheerder bent

Dat is wel heel erg makkelijk met de vinger wijzen hoor.

Als ik een bedrijf inhuur, en dan alles uurtje factuurtje laat doen, gaat dat bedrijf echt niet even 1 man a 180,- per uur even per maand 4 uurtjes langs laten komen.

En in veel bedrijven gebeurd dit. Ze bellen als er iets mis is. Een onderhoudsbeurt van je auto is ook geen taak die de garage maar moet doen, tenzij daar opdracht voor is gegeven. Een bedrijf zal natuurlijk adviseren om checks te doen, maar zal dus niet gratis zijn.

Jij kent dus gewoon de zakelijke relatie niet, en je wijst wel met je vinger dat het slecht beheer is. Wie zegt dat er uberhaupt sprake is van beheer (zeg 4 uur per maand), en niet gewoon uurtje factuurtje?

Misschien is het wel slecht management van het bedrijf waar je pa werkt, en ligt de schuld daar, en niet bij het extern bedrijf.

Ik zie dit overigens bij mij op m'n werk ook. Men regeld voor de eerst komende 2 jaar een andere virus-scaanner, omdat die goedkoper is, maar die draait voor geen meter op 256mb ram. Daarnaast valt hierdoor tevens de Terminal Server er 10x per dag uit. De software is gewoon te zwaar, en we moeten het er maar mee doen. Er gaat vandaag of morgen "per ongeluk" wel een keer een bak koffie over dat ding heen...

Robbels schreef op dinsdag 07 april 2009 @ 11:50:
[...]


Als de klant hiervoor kiest wanneer je hem hierop attendeert kun je de externe partij hier niet op aanspreken.
Dit zie ik ook vaak bij klanten van ons. Ik zit zelf vast gedetacheerd bij groot bedrijf echter we hebben ook vele kleine klanten, hierbij geld vaak dat we maar zoveel uur per kwartaal of bij storingen etc mogen komen we geven dan altijd opmerkingen mee updates behoren bijna altijd tot die opmerkingen. Het is dan aan de klant om hiervoor te betalen.

Dus om te zeggen dat het schandalig is van de externe partij daar ben ik het niet (in alle) situaties mee eens.

Hmm, "schandalig" is inderdaad iets te kort door de bocht. Ik heb inderdaad ook bedrijven gezien die het installeren van updates als te duur of onzinnig ervaarden.
Wel heb je als systeembeheerder de plicht vind ik om je klant ten minste op de hoogte te stellen.

tja hier gaat het via wsus,ik geloof dat we 1x per jaar een inventarisatie doen om echt alles up2date te krijgen,de rest van het jaar doe je het zo goed mogenlijk,maar met 20000 pc's ofzo wereldwijd is het best lastig en normaal als 1e verantwoordelijkheid van de lokale it-er op de site

Wij doen de klanten in eerste instantie een beheer advies waar we zelf achter staan. Kleine klanten vinden dat snel 'te duur' en dan ga je snijden in frequentie of werkzaamheden. Aan het einde van de rit hebben ze dan waarschijnlijk wel meer ad-hoc uren dan bij het oorspronkelijke voorstel, maar dat zien ze in die fase nog niet.

Lisadr schreef op dinsdag 07 april 2009 @ 11:47:
Klant is verbaast en soms denk hij dat de oplossing nieuwe hardware is (externe bedrijven verkopen graag nieuwe hardware

Tja, in de praktijk zijn budgetpc's (Celeron, minimale geheugeneisen) vaak binnen 2 jaar al niet meer vooruit te branden. In sommige gevallen is het dan inderdaad voordeliger om hardware te vervangen door nieuwe, snellere hardware omdat het upgraden/fixen/installeren van bestaande hardware/OS soms langer duurt dan de aanschaf + installatie van nieuw materiaal. En het heeft nog als bijkomstigheid dat het sneller is ook. Daar zal je idee vandaan komen dat we graag nieuwe hardware verkopen, maar er zit dus ook nog een andere kant aan dan alleen omzet

Lisadr schreef op dinsdag 07 april 2009 @ 11:59:
[...]


In dit geval gaat het om een onderhoudscontract van 75 uur per jaar, voor het beheren van 1 server en 20 werkplekken. Gemiddeld 6 a 7 uur per maand. Lijkt mij voldoende. Het creeren van backups is bijna volledig geautomatiseerd. Het lijkt mij gaan 6 a 7 uur per maand werk maar ik ben zelf geen systeembeheerder.

Voor de duidelijkheid. Dit is exlusief het uurtje factuurtje voor elke keer dat een beheerder langs moet komen voor adhoc werkzaamheden.

6 a 7 uur in de maand is niet genoeg- Server updates dienen voorbereid te worden. Client updates ook.
tevens heb je dan nog alleen het update gedeelte.
Hoe zit het met het AD-HOC gezeur? Noodgevallen?
Wat zijn de algemene voorwaarden en overeenkomsten van de bedrijven.
Als je dat niet weet kan je niet oordelen.

Lisadr schreef op dinsdag 07 april 2009 @ 12:03:
@Ethirty

Dus het is goedkoper om bijvoorbeeld 20x600 euro uit te geven aan nieuwe systemen, dan om regelmatig windows updates uit te voeren bij 20 werkstations?

Ja- dat is goedkoper, want als het bedrijf veel achterstallige updates heb ben je sneller meer kwijt.
Nu installeren ze die zooi en trekken alles recht, vaak zie je bij die bedrijfsjes ook 20 verschillende modellen types en merken.

Nu kopen ze netjes 20 Dells met support contracten, tevens kunnenen ze nieuwe dingen implementeren.

[ Voor 25% gewijzigd door LuckY op 07-04-2009 12:06 ]

Mja er zit gewoon nog heel veel 'oud geld' in de IT business. Bedrijven die jaren geleden een klant hebben geworven en klanten die niet beter weten. IT is voor heel veel bedrijven een gevoelig onderwerp, men wil niet dat Jan en alle man bij hun data etc kan.

Als je voor een omgeving met 5 werkplekken en 450 euro per maand nog net kan regelen dat er fatsoenlijke back-ups lopen dan doe je imo toch iets goed mis.

Verder is er voor een regulier MKB-bedrijfje echt geen IT'er nodig die 180 euro per uur kost. Met een dergelijk beperkt aantal werkplekken kom je echt op een maximum van 95 euro ex tenzij er hele specialistische software gebruikt wordt. Klanten die op eigen initiatief besluiten altijd het nieuwe van het nieuwste te willen betalen uiteraard de hoofdprijs.

Zelf gebruik ik 1 centrale WSUS-server voor alle klanten die een servicecontract hebben, dat is met een klant of 10 al rendabel imo dus ik denk dat het gewoon veel onkunde is.

Moet wel zeggen overigens dat er met de huidige crises veel van die 'oud geld' bedrijven zijn die klanten verliezen. Zelf probeer ik zo pro-actief mogelijk te zijn om te voorkomen dat je s'nachts wordt wakker gebeld . En ik merk dat dat je dubbel en zwart terug betaalt. Als jij goed bent voor je klanten (ze kunnen winst maken), dan zijn je klanten goed voor jouw bedrijf. Veel bedrijven/mensen snappen dat niet.

Lisadr schreef op dinsdag 07 april 2009 @ 11:59:
In dit geval gaat het om een onderhoudscontract van 75 uur per jaar, voor het beheren van 1 server en 20 werkplekken. Gemiddeld 6 a 7 uur per maand. Lijkt mij voldoende.

Ik weet niet of in die 6 uur ook nog de reiskosten in zitten, maar dan heb je nog maar 5 uur over gemiddeld. Als je dan even je backups, je services (Exchange, SQL, anti-spam eventueel, anti-virus) wilt controleren en je wilt ook nog antwoord kunnen geven op die vraag van die gebruiker waar die man al een maand mee zit dan is je halve dag om.

Zie jij tijd in die 5 uur om de gemiddelde 3 security updates van Microsoft vervolgens op een workstation van die klant te installeren, hun 3 belangrijkste stukken software te (laten) testen, en vervolgens deze handmatig uit te rollen op de PCs (want opzetten van WSUS 'kost' alleen maar geld ).

Waarschijnlijk zijn het ontzettende centeneukers bij het bedrijf waar je het over hebt (net zoals de meeste kleine MKBs) en verwachten ze vervolgens het onmogelijke, om dat dan nog af te toppen komt het 'handige zoontje' nog even vertellen hoe het moet?

Ik ben blij dat ik niet in de detachering werk

Opzich (vind ik) ben je als externe beheerder natuurlijk verantwoordelijk voor het netwerk, wat je in de praktijk echter krijgt is het volgende:

McM: Hi, ik ben er vandaag voor het beheer, en ik wil het volgende doen:
- Servers handmatig updaten en herstarten
- WSUS Installeren, daarmee worden automatisch de updates op de werkstations geinstalleerd.

Klant: Dat klinkt goed, kun je daarna nog even langs gebruiker 1,3,12,34,5,9,2 lopen voor probleem x,y,z,r,e,g,v,t,h en p.

McM: Nou, bij het updaten van de servers hoort ook het rebooten, en WSUS neemt ook wel even tijd in beslag, ik denk niet dat ik aan alles toekom vanmorgen.

Klant: REBOOOTEN!! Wat denk je! Dat kan niet! Er moet gewerkt worden!

McM: Okay, ik kan ze eventueel vanavond remote rebooten en daarna controleren, maar dat valt we buiten het contract, dus daar krijg je een aparte rekening voor.

Klant: Hoezo buiten contract?

McM: Nou, ik kom dus periodiek langs, 4 uur lang, en daarin doe ik het beheer voor je.

Klant: Aaah, nou..eeuhm..dat updaten eeuhm.. dat doe ik zelf wel, okay.

Bij het volgende bezoek is de status van de updates dus nog precies hetzelfde, en lopen de updates achter en WSUS is niet geactiveerd.

Dus waarom er niet geupdate word? Heel eenvoudig, omdat al die gastuh krentekakkers zijn, verwachten dat ze voor een miniem bedrag 24/7 support hebben en alles (maar dan ook alles) binnen hun contract valt.

En het is niet zo dat ik op kleine klanten neerkijk, maar de verwachting die ze hebben slaat nergens op, en je zou verwachten dat ze een contract doorlezen voordat ze hem tekenen zodat ze weten waar ze aan toe zijn.

Lisadr schreef op dinsdag 07 april 2009 @ 12:03:
@Ethirty

Dus het is goedkoper om bijvoorbeeld 20x600 euro uit te geven aan nieuwe systemen, dan om regelmatig windows updates uit te voeren bij 20 werkstations?

Wat natte-vinger werk: Zonder WSUS, en je wil wel incalculeren dat updates niet lopen zoals verwacht (troubleshooten, reinstall etc). 1u per werkplek per maand, gedurende 2 jaar: 480u * €100. Wordt al snel een dure grap hoor. 20*600+20*4u installatie en verder geen updates elke 2 jaar is meer dan de helft goedkoper!
Misschien klopt hier geen snars van, ben techneut geen econoom

Je kan dus niet zomaar zeggen dit of dat is goedkoper. Het ligt aan de grote van de omgeving, het budget van de klant, hun eigen begrip van de noodzaak van ICT, etc. etc.

Lisadr schreef op dinsdag 07 april 2009 @ 12:20:
[...]


Ik denk dat die heel geloofwaardig is. Wij bouwen websites en je komt wel eens klanten tegen met.

"Nu dat je er bent, ik heb problemen met mijn printen en op mijn laptop kan ik geen word meer openen". WTF! Wij bouwen websites. "Ja, maar dat is toch ook met computer".

- Manager van een bedrijf met 40 medewerkers en 5 miljoen omzet per jaar!

Je schrikt daar misschien een beetje van, maar 5 milioen omzet is niet zo heel veel hoor. Voor een bedrijf met 40 man in dienst vind ik het zelfs wat aan de krappe kant om eerlijk te zijn

Verder is wat McM zegt idd een redelijk accurate weergave van de waarheid.

WhizzCat schreef op dinsdag 07 april 2009 @ 12:23:
Verder is wat McM zegt idd een redelijk accurate weergave van de waarheid.

Bijna dagelijkse gang van zaken

Lisadr schreef op dinsdag 07 april 2009 @ 12:20:
[...]


Ik denk dat die heel geloofwaardig is. Wij bouwen websites en je komt wel eens klanten tegen met.

"Nu dat je er bent, ik heb problemen met mijn printen en op mijn laptop kan ik geen word meer openen". WTF! Wij bouwen websites. "Ja, maar dat is toch ook met computer".

- Manager van een bedrijf met 40 medewerkers en 5 miljoen omzet per jaar!

Dus als jij een website bouwt voor een klant, dan blijf je toch ook niet de sites content updaten zonder een contract.
En je gaat toch ook niet de PHP code blijven optimaliseren, en de database opschonen zonder een contract?
of als ze een contract hebben a 1 uur in de maand gaat dat je ook niet lukken.

[ Voor 13% gewijzigd door LuckY op 07-04-2009 12:43 ]

Lisadr schreef op dinsdag 07 april 2009 @ 13:10:
Ergens zal dit allemaal wel berekend zijn in onze uurloon / projectkosten.

Leuke aanname. Vraag dat eens na?

Lisadr schreef op dinsdag 07 april 2009 @ 13:10:
@WhizzCat
Mijn punt was, dat klanten vaak "naief" zijn.

Als IT'er ben je er juist om je klanten op tijd te adviseren. Als je dus merkt dat er meer tijd nodig is voor het onderhoud dan moet je een gesprek aan gaan en daarin misschien een deal treffen.

LauPro schreef op dinsdag 07 april 2009 @ 13:37:
[...]
Als IT'er ben je er juist om je klanten op tijd te adviseren. Als je dus merkt dat er meer tijd nodig is voor het onderhoud dan moet je een gesprek aan gaan en daarin misschien een deal treffen.

En daar zit hem dan vaak weer de krenterigheid van de klant ...
Exact de juiste en owh zo gevoelige zere plek van de klant de portemonnee....

Dit is niet zozeer om de iter / externe partij zomaar vrij te waren maar in de meeste gevallen zal het op bovenstaand punt te herleiden zijn.

Robbels schreef op dinsdag 07 april 2009 @ 13:44:
En daar zit hem dan vaak weer de krenterigheid van de klant ...
Exact de juiste en owh zo gevoelige zere plek van de klant de portemonnee....

Ik zou zeggen kijk voor jouw klant en zijn sector eens wat de gemiddelde ICT-uitgaven zijn. Zit je daar fors onder kan je je prijs makkelijk opschroeven tot 80% van dat gemiddelde en zit je er boven zul je jezelf toch even achter de oren moeten krabbelen. Heeft de klant daadwerkelijk zo'n unieke situatie of ben je gewoon lekker binnen aan het lopen, in dat geval geen slapende honden wakker maken...

De klant kijkt echt niet naar wat zijn buurman in zijn sector uitgeeft aan ICT, hij bedenkt zelf hoeveel hij hiervoor wil uitgeven, maar verwacht wel het service-level van zijn buurman. Veel MKB'ers beseffen nauwelijks hoeveel inkomstenderving ze hebben als hun budget-IT oplossing op zijn gat ligt door fout bezuinigen.

Je maakt een SLA op die geregeld bijgeschaafd wordt dmv onderhandelingen.

Het niet updaten, upgraden is niet meer dan normaal bij grotere bedrijven, zoals verschillende keren vermeld in deze topic, je gaat echt niet zomaar upgraden/updaten als er kritieke bedrijfsprocessen mee gemoeid zijn.
1 simpele update kan letterlijk miljoenen kosten.
Alle bedrijven waar ik zat die Vista draaiden bv, allemaal problemen, updates automatisch uitvoeren ... problemen.

Als je het ITIL model volgt heb je gelijk 5 afdelingen waardoor een change goedgekeurd moet worden.
Er is een reden voor dat bedrijven achterlopen

Lisadr schreef op dinsdag 07 april 2009 @ 13:10:
@LuckyY
Deels wel. Er zijn geen extra kosten aan het updaten van mySQL, PHP enz. Daar gaan wij geen uren voor rekenen. Dat is voor mij vergelijkbaar met windows update.
PHP code veranderen zie ik meer als het softwarepakket op windows, niet als windows zelf. En als er crutiale security fouten in het PHP code ontdekt zijn, dan doen wij dat gratis. Wat we niet willen is dat de website ineens uit te lucht is. Klant ziet het ook als ons verantwoordelijkheid.

Hmm, je bent erg lief voor je klant... Dat is het positieve dat ik er op kan zeggen

Ik zou die dingen toch echt niet gratis doen, zeker niet als ze alleen hebben betaald voor het maken van een site en niet voor het maandelijkse hosten er van.

Ethirty schreef op dinsdag 07 april 2009 @ 14:03:
De klant kijkt echt niet naar wat zijn buurman in zijn sector uitgeeft aan ICT, hij bedenkt zelf hoeveel hij hiervoor wil uitgeven, maar verwacht wel het service-level van zijn buurman. Veel MKB'ers beseffen nauwelijks hoeveel inkomstenderving ze hebben als hun budget-IT oplossing op zijn gat ligt door fout bezuinigen.

Daar bespreek je dus al beknopt een prima business case. En dat hoeft echt niet pagina's dik te zijn, voor een klein bedrijfje is een paar pagina's voldoende, misschien is 1 wel beter want men heeft toch niet teveel zin om zich erin te verdiepen.

Het belangrijkste is altijd wat is de norm, wat kost het om op de huidige manier verder te gaan en wat kan er worden bespaard met een nieuwe methode.

Mijn ervaring is dat de kleintjes alleen de cash-out zien. Nu €500 uitgeven om over 3 jaar €1000 te besparen gaat er bij veel gewoon niet in. Ik heb 1 klant waar we al 4 jaar bezig zijn om een server naar binnen te schuiven. "Onze 10 jaar oude W98 bak werkt toch nog steeds" De pc-kloon zonder kappen heeft nu al 3 stoffige verbouwingen overleeft, want daar is wel geld voor

Vervolgens hebben we door de rommelige omgeving al minstens 4x het budget van een nieuwe server aan ad-hoc uren gemaakt daar. Als de klant daarvoor kiest dan hou ik op een gegeven moment op met adviseren, maar hij hoeft niet te verwachten dat ik dan in mijn weekend straks alsnog die server kom plaatsen.

Ik ben egen systeembeheerder, maar ik heb het idee dat er in deze thread te veel vanuit het beheerdersperspectief gekeken wordt. Als professionele beheerder wil je natuurlijk vanuit je arbeidstrots graag up-to-date en veilige systemen zien bij je klanten.

Maar als klant is die noodzaak veel minder evident. Het up-to-date houden van systemen kost veel geld en die kosten zijn zeer zichtbaar, juist als er geen continue systeembeheeractiviteiten begroot zijn en uitgevoerd worden. Ook al omdat deze kosten geen zichtbare verbetering van de bedrijfsresulaten tot gevolg hebben.
Tegen het argument "maar het werkt toch nog" valt niet zo veel in te brengen. Ja, natuurlijk is het veiliger als je de nieuwste patches geinstalleerd hebt, maar met XP SP1 heb je toch ook een standaard die ooit als goed genoeg beschouwd wordt?

Zie het net zoals er een nieuw model auto uitkomt. Als je nu in een Golf V rijdt, ruil je die dan ook direct in voor een Golf VI, alleen omdat die er is? De Golf VI is vast veiliger en zuiniger, maar kost ook meer. En alles wat je moest doen, namelijk veilig en betrouwbaar van A naar B rijden, kan nog steeds in die "oude" Golf V. Als je met je Golf V in de garage komt voor een kleine beurt, dan wil je ook niet dat de monteur je gelijk begint te vertellen dat je toch eigenlijk direct moet upgraden naar het nieuwste model.

Ik wil niet beweren dat bedrijven nooit hoeven te upgraden, maar ik kan begrijpen dat voor bedrijven hun primary business niet het up-to-date houden van hun PC-park is, maar het leveren van de producten en diensten waarvoor hun klanten hen betalen.

Aap, als er in jouw oude auto een bekend defect zit dat ervoor kan zorgen dat je overdekop kan vliegen op een willekeurig moment laat je dat toch repareren hoop ik? Maarja, het probleem is denk ik dat bij vele mensen wel wat kennis aanwezig is van hoe auto's werken en heel veel mensen hebben wel eens gezien of meegemaakt wat er kan gebeuren als het misgaat. Bij computers ontbreekt deze ervaring meestal helaas...

Aap, je vergelijking tussen computers en auto's gaat helaas op een ding mank: de snelheid van ontwikkeling

SP1 versus SP2 is niet het zelfde als Golf V versus Golf VI; het is eerder Golf I versus Golf VI. In twee jaar tijd verandert er in de computerwereld qua security gaten en bugs even veel als in tien tot twintig jaar tijd in de autowereld. Wil jij net zo lief in een twintig jaar oude auto rijden als in een van dit jaar? Ik niet.

Stuffis Generalis -> Softe Goederen. Waar ik eerlijk gezegd even twijfel tussen WOS, WSS en BV

BIj mij op school (stedelijk-college) lopen ze ook nog steeds achter, terwijl deze wijsneus dat niet mag weten, maar toch weet. IE7, Windows XP SP2. En ze denken dat alles beveiligd is tja, not, batch is nog nooit zo handig geweest. Ik vindt het hatelijk want ze lopen vaak vast, en het systeembeheer denkt ook dat ze "super" goed zijn. En tja, na een 1jaar mag je toch zo langzamer hand op SP3 overstappen?

Nouja Conclusie:
Je hebt goede & slechte systeembeheer die geen updates uitvoeren, of afsluit script voor allen pc's maken om 5 voor 4, terwijl de school pas om 4uur uit is. Sorry als ik een beetje offtopic ging, maar ik vindt het gewoon hatelijk. Nergens een update te bekeken behalve op docenten accounts (vaak)

Op dit moment draaien we geen enkele updates, wel Windows XP SP2 met IE6.... En ja het is zo erg als dat het lijkt (laatste loodjes). Gelukkig gaan we over enkele maanden overstappen op wat beters, Windows XP SP3 IE7 met alle updates die getest zijn.

Ik denk als je bij een bedrijfje komt die nog een windows NT 4.0 server heeft staan of een windows 98 Machine met wat shares heeft. Toch als beheerder uiteindelijk ook, een streep trekken van wat wil je beheren. Als jij technisch 10 jaar terug in de tijd moet om systemen te onderhouden zeg ik ook sorry.

Ik gaat zulke oude systemen niet ondersteunen. en het zal de klant erg veel geld gaan kosten om zulke systemen up te houden. Daarnaast als nu mensen van school afkomen die mensen hebben nooit op NT 4.0 gewerkt. Die kennis gaat ook langzaam verloren.

Een aantal redenen waarom Windows nauwelijks op mijn dagelijkse werk (ik ben systeembeheerder op een gymnasium) geupdate wordt:

1. Op de meeste van onze werkstations hoeft het niet, omdat daar Skanix Illusion op is geinstalleerd
Dat pakket doet hetzelfde als Rebornkaarten en Windows Steadystate: alle schrijfbewerkingen op C: na een herstart van het systeem ongedaan maken.

Het is, afgezien van de laatste versie, met Illusion zelfs noodzakelijk om Windows Update volledig uit te schakelen. Per ongeluk ingeschakeld laten staan heeft situaties veroorzaakt dat leerlingen klaagden om de haverklap een venster te krijgen voor het opnieuw opstarten van de pc om de updates van kracht te laten worden. En aangezien Illusion die updates daarna wiste, kregen ze dat venster na elke herstart van de pc opnieuw.

Onze Windows servers houd ik (met de nadruk op ik, want mijn collega's doen nooit meer dan wat de schoolleiding van ze vraagt) wel zoveel mogelijk up-to-date.

2. De compatibiliteit met bedrijfskritische applicaties
Ik kwam er bijvoorbeeld achter dat de versie van Skanix Illusion die wij probleemloos op WinXP SP2 konden draaien, ineens niet meer lekker werkte nadat we alle machines van SP3 voorzien hadden. Daarbij moet ik opmerken dat dit niet bij alle pc's optrad).

Dus wat betreft Service Packs zijn wij wat het gemiddelde betreft nog wel redelijk bij de tijd denk ik, zeker voor een school.

Ook werkt een bepaald vbs afsluitscript voor werkstations dat ik van internet had gedownload nu ineens niet meer.

3. De gebruikers (end users / end loosers) vinden een voortdurend snelle pc belangrijker...
...dan eentje die om de haverklap enige vertraging laat merken omdat Windows Update op de achtergrond actief is. Om die reden zet ik Windows Update op handmatig downloaden+updaten en leg ik ze uit waar het gele schildje voor dient.

Interesseert ze geen zier en ze snappen het niet, zelfs niet nadat ik het in Jip en Janneke taal uitleg.
En als ze het verhaaltje wel snappen, dan vergeten ze het vaak.

4. Slecht leidinggevend personeel
Reden dat we daar geen WSUS server voor hebben is omdat dat mijn chef (die over hardware aanschaf gaat) geen zier interesseert. Die man is zelfs in staat om servers te installeren zonder (actieve) virusscanner erop.
Als hij z'n centjes maar verdient vindt hij het al gauw best. Iemand met dubbele agenda's.

Als ik het daar met andere mensen over heb, zeggen die meteen: ontslaan.
Dat gaat nooit gebeuren, hij weet precies wie hij wanneer moet bedienen, heeft een vlotte babbel en kan als hij wel ineens wel heel technisch en kundig uit de hoek komen.

Onze schoolleiding gaat volgens mij vooral met hem in zee omdat ze zijn onkundigheid niet zien (zelf zijn ze immers nog veel onkundiger) en omdat hij lekker goedkoop werk kan leveren. Scholen proberen altijd zo kostendrukkend mogelijk te werken, zeker als het gaat om zaken die slechts indirect met onderwijs te maken hebben.

5. Gebrek aan inzicht en bewustzijn bij systeembeheerders
En dat zeg ik dus terwijl ik zelf systeembeheerder ben.

Ik zie naar mijn smaak te vaak andere beheerders die voor hele bedrijfskritische zaken een totaal gebrek aan interesse hebben en een voorbeeld daarvan is voldoende kennis van patchen, updaten, implenteren, de gevolgen ervan, feiten van fabels kunnen onderscheiden, ervaring ermee...

6. Slechte opleidingen voor systeembeheerders
MBO'ers kunnen best veel hoor, ik heb veelbelovende jongens onder mijn hoede gehad, maar de manier waarop ze worden opgeleid... wat ze vaak nog niet weten voor ze bij ons komen stagelopen is vaak echt te bizar voor woorden.

Ik vind het echt weggooien van talent dat er op zich wel is, maar die op geen enkele manier door opleidingen gemotiveerd en ontwikkeld wordt.

Lisadr schreef op dinsdag 07 april 2009 @ 11:12:
Regelmatig kom ik bij bedrijven en bijna altijd is er al jaren geen windows update uitgevoerd. Er draait nog steeds XP SP1 of XP SP2 op het systeem en natuurlijk nog IE6.

Vaak praat ik met de manager erover en die zijn stomverbaasd als ik ze vertel dat hun systeem verouderd is en denken vaak dat ze nieuwe hardware nodig hebben.

Systeembeheerders die ik gesproken heb, gaven de volgende reacties

1. Het is de verantwoordelijkheid van de klant
2. Klant heeft geen onderhoudscontract
3. Als ik de software update krijg ik ineens allemaal telefoonstjes met vragen over IE7 enz
4. Wij beheren +- 500 PC’s, je denkt toch niet dat ik ze allemaal ga controleren op updates!
5. Wij doen uisluitend updates als de klant erom vraagt

Dus mijn vraag aan jou (als systeembeheerder):
Hoe is dit geregeld bij jullie bedrijf?


p.s
Bedrijven waar ik kom, hebben tussen de 15 en 80 werkplekken en maken gebruik van een externe bedrijf voor hun systeembeheer.

Als systeembeheerder kun je verantwoordelijk zijn voor alleen het serverpark, en dus de dekstops buiten beschouwing laten. Maar het lijkt me wel belangrijk dat ze het wel doen.. dus dan is er ergens iets niet helemaal in orde, als er oudere(niet bijgewerkte) systemen tussen staan..
En als je 500+ pc's hebt, zijn er tal van prachtige tools om het centraal te updaten..

Ik had altijd alle updates geinstalleerd...

Voor de technische discussie hoe het wel zou kunnen hebben we vorig jaar nog het Thematopic: Security updates opgevoerd..

Voor de niet-technische kant van het verhaal:
Kun jij iemand overtuigen wat het nut van een update(rondje) is?

Ik ben geen systeembeheerder, maar zit aan de programmeurskant met VPN-connectie naar mijn werk toe
En gelukkig hebben wij geen windows-spul staan hier.

Onze BSD-servers en Linux-pc's zijn zo goed als compleet up to date en zodra de laatste updates getest zijn weer helemaal up to date.
Alleen zou het fijn zijn als de beheerder ook ff mailde als ie de RSA-key aanpast. Al weet ik ondertussen wel wat het betekend als ik een melding van SSH krijg.

Dit is trouwens wel een internet-bedrijf met meerdere sites onder het beheer. IT is dus de core

[ Voor 5% gewijzigd door hackerhater op 08-04-2009 19:10 ]

Ik heb +/- 120 werkstations, en +/- 50 servers. Alle Windows machines zijn geregeld met WSUS, een paar MacOS dozen zijn ingesteld op automatisch updaten, en alle servers (Linux en Windows) worden handmatig gecontroleerd op updates. Dit laatste gebeurd standaard eens per kwartaal, op een daarvoor aangekondigde Zondag.

Ja, dat betekend dus dat ik 4 zondagen per jaar een paar uurtjes werk, maar we zijn een 24/7 bedrijf, dus dat moet maar zo.

Alleen als er "kritieke" patches zijn willen we nog wel eens servers tussendoor patchen, en dan meestal alleen de servers die blootgesteld staan aan het internet in de DMZ, zoals diverse Web en FTP servers.

De normale Windows Updates op werkstations worden allemaal automatisch geinstalleerd om 12:00 's middags, wanneer de meest mensen met lunch zijn. Hooguit krijgen ze na de lunch dus een "you must reboot your computer to finish installing updates" nagscreen 1 of 2 keer per maand.

We gaan dit aanpassen naar 's nachts en BigFix gebruiken, alleen moeten alle machines daarvoor Wake On Lan ondersteunen, en we hebben een hele serie HP werkstations uit 2006 die dit om een of andere vage reden niet ondersteunen, dus hiervoor moeten we nog een oplossing vinden.

Hoe dan ook: Al onze machines zijn up-to-date, en de servers liggen HOOGSTENS 3 of 4 maanden achter.

maartena schreef op woensdag 08 april 2009 @ 21:21:
Ik heb +/- 120 werkstations, en +/- 50 servers. Alle Windows machines zijn geregeld met WSUS, een paar MacOS dozen zijn ingesteld op automatisch updaten, en alle servers (Linux en Windows) worden handmatig gecontroleerd op updates. Dit laatste gebeurd standaard eens per kwartaal, op een daarvoor aangekondigde Zondag.

Ja, dat betekend dus dat ik 4 zondagen per jaar een paar uurtjes werk, maar we zijn een 24/7 bedrijf, dus dat moet maar zo.

Alleen als er "kritieke" patches zijn willen we nog wel eens servers tussendoor patchen, en dan meestal alleen de servers die blootgesteld staan aan het internet in de DMZ, zoals diverse Web en FTP servers.

De normale Windows Updates op werkstations worden allemaal automatisch geinstalleerd om 12:00 's middags, wanneer de meest mensen met lunch zijn. Hooguit krijgen ze na de lunch dus een "you must reboot your computer to finish installing updates" nagscreen 1 of 2 keer per maand.

We gaan dit aanpassen naar 's nachts en BigFix gebruiken, alleen moeten alle machines daarvoor Wake On Lan ondersteunen, en we hebben een hele serie HP werkstations uit 2006 die dit om een of andere vage reden niet ondersteunen, dus hiervoor moeten we nog een oplossing vinden.

Hoe dan ook: Al onze machines zijn up-to-date, en de servers liggen HOOGSTENS 3 of 4 maanden achter.

Zo, hier kan ik wat van leren, maar jij bent een van de enige die het ook echt doet. En de servers ja die hoefen niet elke dag, inderdaad 3 of 4 maanden en als je een melding krijgt van kritieken update, moet het toch maar? En de werkstations zijn zeker makkelijk op die manier, vooral als je ze aan zet en dan gaat update'n s'weekends ofzo

[ Voor 3% gewijzigd door DJ-Visto op 08-04-2009 21:33 ]

DJ-Visto schreef op woensdag 08 april 2009 @ 21:32:
[...]

Zo, hier kan ik wat van leren, maar jij bent een van de enige die het ook echt doet.

Waar leidt je dat uit af?

Ik ben zelf ook systeembeheerder op een kleine middelbare school.
100 werkstations, 7 servers.
Alle werkstations worden 1 x in de maand geupdate via WSUS.
Grote updates zoals servicepacks en nieuwe versies van IE test ik altijd eerst op een selecte groep gebruikers.
Servers update ik 1x in de maand remote vanuit huis in op een zondagavond.
Maar ik weet inderdaad dat een hoop systeembeheerders updates niet zo nauw nemen...

Maar over welke categorie systeembeheerders heb je het dan?

Bovendien: je hebt verschillende strategieën qua updaten.
Bijvoorbeeld:
1) patchen, direct en ongeacht de gevolgen
2) risicobeperking (wat je in SecBulletins ziet als mitigation) en later updaten.

Ik ken de MKB wereld ook wel, overigens hoor. Dan pas je eerder de tweede techniek toe bijvoorbeeld.
Iemand die zich totaal niet hiermee bezighoudt kan ik eerlijk gezegd ook geen echte beheerder noemen

scartissue schreef op woensdag 08 april 2009 @ 21:38:

Servers update ik 1x in de maand remote vanuit huis in op een zondagavond.

Dat is ook weer één van de redenen waarom het in het MKB (met extern systeembeheer) niet gebeurt.
'Mijn server moet geupdate!!!!!!111oneone'
'Oké, ik zal het even doen. Als iedereen er over een half uurtje uit is, kan hij gereboot.'
'Dat kan niet! We moeten werken!!!!111oneone'
'Oké dan doe ik het 's avonds / in het weekend. Kost je wel extra, dus.'
'Oh, uuh, laat maar even zitten. Komt wel een keer. Over 3 maanden zijn we op woensdag dicht wegens ons jaarlijkse bedrijfsuitje. Doe het dan maar.'

Wellicht overdreven, maar niet ver van de waarheid... Helaas.

Maar dat weet je als externe beheerder, dus stel je daar ook je SLA+contract op af als je clue hebt.
Die server reboot je dan op de zaterdag/vrijdagavond/koopavond.

Ik ga namelijk niet de rommel opruimen die veroorzaakt wordt door een sploit die twee maanden geleden gefixed had kunnen worden als de update wél op tijd (lees: binnen een week) geinstalleerd had kunnen worden

DJ-Visto schreef op woensdag 08 april 2009 @ 21:32:
En de servers ja die hoefen niet elke dag, inderdaad 3 of 4 maanden en als je een melding krijgt van kritieken update, moet het toch maar?

Dat evalueren we op een case-by-case basis. Als een kritieke patch bijv. een security hole dicht in Microsoft IIS of Microsoft Exchange Server, dan passen we die vaak wel direct toe. Meestal doe ik dat dan s'avonds even vanuit huis. Er zijn ook echt 24/7 mensen aanwezig in ons bedrijf, dus er altijd wel iemand aan het werk.... maar als ik even van te voren een mailtje stuur met "vanavond is de mailserver een kwartiertje down", en ik reboot dat ding dan om 22:00 vanaf de laptop op de bank, dan kan dat prima.

Als een server binnen het domain staat, standaard geen internet access heeft, en er vrijwel nihil kans is dat iemand een gevonden lek kan misbruiken dmv een exploit, dan wacht die server gewoon tot de volgende updateronde.

Ook zijn er productieservers die gewoon niet down MOGEN, ook niet "even voor 10 minuten voor een update", dus die moeten sowieso wachten tot de volgende update ronde. Maar zoals gesteld in mijn vorige post, plannen we dat dus netjes 1 keer per kwartaal in. Give or take a few weeks.

op mijn omgeving installeer ik patches aan de hand van wat er momenteel gaande is:

bv:
- isa servers staan direct op internet, dus worden direct gepatched indien beschikbaar.

- exchange wachten we tegenwoordig mee tot we via derde weten dat ze safe zijn
kortgeleden een exchange onderuit gehad door een buggie update.

-clients worden meestal met de laatste sp uitgerold.

-clients krijgen via Wsus de patches maar niet de windows service packs..

gezien ik er niet op zit te wachten dat gebruikers hun pc zo uitzetten omdat" hij te langzaam was tijdens de installatie". lees ik heb 1600 leerlingen zonder geduld.

tevens wordt hier op 99% van de clients nog IE 6 gedraaid. en is er op bepaalde punten als proef ie7 geplaatst. als ik daar niks op hoor gaat het naar IE8 om vervolgens, als dat goed gaat. IE 8 uit te rollen

Wanneer ik dit allemaal lees gaan mijn haren recht overeind staan. Er zitten hele duidelijke en goede zaken bij, maar mij beangstigd ook een aantal dingen.

Externe inhuur
Ik lees dat er bedrijven zijn die tarieven van € 100,00 of meer berekenen voor het inhuren van een systeembeheerder. Ik vraag me af wat voor bedrijven dat zijn. In de high-end wereld, waar je mensen met 10 jaar of meer ervaring krijgt kun je gewoon mensen tussen de € 80 tot € 100 per uur inhuren. Hiervoor krijg je gewoon MCSE'ers, Storage experts, VMWare gecertificeerden, Scripters, Testers etc. etc. Grote bedrijven zoals ABN-AMRO, Belastingdienst, vtsPN, ING, UWV en nog een paar bedrijven huren gewoon mensen in voor tarieven van € 60,00 p/u medior beheerder, € 70,00 senior beheerder, € 80,00 testers/scripters/devvers, € 90,00-€100,00 architecten. Een bedrijf wat meer vraagt is gewoon een dief. Een Junior beheerder huur je al in tussen de € 40,00-50,00 per uur, Helpdeskers tussen de €25,00-€40,00 per uur. Bedrijven die dit kunnen leveren (als je ze maar het vuur een beetje aan de schenen legt en realistische functieomschrijvingen neerlegt) zijn o.a. Jenrick, Bariton, Dicio, Borg projecten, Ordina.

Duidelijke afspraken
Wat er veel mist bij veel opdrachten is de opdrachtomschrijving. Veel bedrijven huren beheerders in met de boodschap: Zorg dat het blijft draaien. Wat overigens een slechte overéénkomst is.

Wees duidelijk tegen je leverancier, omschrijf wat je wilt van een beheerder. Een goede beheerder kan met een fulltime job tussen de 400 á 500 pc's makkelijk alleen aan, een server beheerder (plain OS) kan tussen de 40 á 50 servers alleen beheren. Alles is natuurlijk afhankelijk van de wijze van inrichten. Maar wanneer het werk van een beheerder boven zijn hoofd groeit omdat ie 100 werkplekken met 5 servers moet beheren, dan heeft die persoon gewoon een slechte inrichting ogezet en moet ie zo snel mogelijk vervangen worden door iemand die het wel aan kan. Natuurlijk is veel afhankelijk van zijn budget en de tools die hij inzet.

Maak dus duidelijk wat de beheerder moet doen en waar zijn verantwoordelijkheden beginnen en ophouden. Inkaderen van de functie. Veel ICT'ers vinden het mooi om op het werk te hobbieën. Maar helaas bedrijfsvoering gaat voor de "projectjes" van de beheerder.

ICT Beleid
Veel kleine bedrijven hebben totaal geen beleid met betrekking tot ICT. Wanneer een bedrijfje klein is (minder dan 25 werkplekken) valt het nog wel te doen, maar wordt het groter dan is er een goed beleid noodzakelijk. Beleid raakt vele facetten:

1. Security, hoe gaan we om met authorisaties, rechten op de servers, rechten op de werkplekken;
2. Veiligheid, hoe gaan we om met bedreigingen zoals virussen, calamiteiten (backup/restore), Firewall, procedures voor personeel (ICT moet onderdeel uitmaken van Personeelshandboek);
3. Standaardisatie, hoe gaan we om met "het softwarepakketje van de zoon van de baas" in verhouding met de kosten die het met zich meebrengt. In een bedrijf van 100 werkplekken kunnen 2 exotische softwarepakketjes de beheerkosten verdubbelen ondanks dat het misschien maar voor 10 man is. Blijf dan ook zo veel mogelijk af van "Custommized" software, het wordt een drama. Standaardisatie is overigens een toverwoord, zeker met Windows XP en Windows 2003. Standaardisatie heeft nog meer voordelen, bijvoorbeeld makkelijk testen, makkelijk patchen, makkelijk nieuwe software implementeren, makkelijk opleiden (zelfs een handboek voor de gebruiker kan dan dienen als eerste hulp bij "ongelukjes";
4. Experimenteren, wanneer het niet bijdraagt aan de bedrijfsvoering dan moet de beheerder dat thuis doen in zijn eigen tijd.
5. Bedrijfsvoering, voor een bedrijf is de bedrijfsvoering nummer 1, ICT is een ondersteuning hiervan en staat ter dienste voor het optimaliseren van processen. De beheerder is de vertaler, bewaker, spin tussen bedrijfsvoering, gebruiker en techniek. De beheerder is er voor het bedrijf, niet voor de ICT en niet voor de gebruiker;
6. Projecten, maak van alles wat buiten standaard beheer valt een project(je). Dat maakt kosten inzichtelijk en misschien kan je zelf nog uitvinden of je extra speciale externe expertise nodig hebt. En voor bepaalde zaken kan een bedrijf dan een servicecontract afsluiten bij calamiteiten, zoals installatie van een bepaald stuk software bij een probleem. Projecten maken alles inzichtelijk.
7. Expertise, een beheerder hoeft niet alles te weten. Wanneer een beheerder weet hoe ie een gebruiker aan moet maken is dat meestal al voldoende, met de juiste documentatie zeker. De zelfde beheerder hoeft niet te weten hoe je een Exchange server installeerd, met de juiste leveranciersafspraken kan dat snel geregeld worden en kan de beheerder zijn taken tot volste recht laten komen bij een calamiteit terwijl een ander bedrijf een specialist de boel laat repareren;
8. Documentatie, niets is belangrijker dan dat. Het gaat van een simpele beschrijving van de standaard disk lay-out (partities) en waar software staat, tot procedures te volgen bij een calamiteit (op papier, altijd lullig als de Intranet Server er uit ligt waar alles op staat en je kan er niet bij).

Standaardisatie en patch beleid
Deze licht ik er eventjes uit want dat is vrij essentieel. Een goede beheerder heeft namelijk één hele slechte eigenschap die een goede beheerder moet bezitten, hij/zij is "lui".
Waarom dit goed is heeft te maken met de wijze waarop zijn/haar te beheren omgeving is ingericht: gestandaardiseerd.
Waarom handmatig patchen als je gratis "WUS" hebt?
Waarom handmatig installeren als je "Images hebt" in combinatie met het gratis "RIS"?
Waarom 200 software pakketten wanneer het er ook 20 kunnen zijn, waarom moet die ene gebruiker UltraEdit gebruiken en de andere ConText omdat de ene het ene lekker vindt werken en de andere de ander? Standaardiseer op één pakket en draag het juiste argument aan voor de managers "€ zijn ze gevoelig voor" en val niet voor die gebruiker die zegt, "geef mij local admin rechten" dan onderhoud ik het zelf. Het installeerbaar maken van software op een "dichte werkplek" kost je misschien 4 tot 8 uur x € 50,00, maar het steeds weer herstellen van een PC kost je in 5 jaar tijd het 100 voudige, afgezien de downtijd en de verlies aan business uren.

Patchbeleid is vrij simpel. Microsoft heeft een aantal soorten patches: Zeer Critical, Critical, reguliere en extra (zoals updated drivers etc). Bij grote bedrijven:

• Zeer Critical: Binnen een week
• Critical: Binnen een maand
• Reguliere: Per kwartaal
• Extra: Wanneer het uitkomt met de Reguliere mee want anders vallen ze binnen Critical.

Contracten met externe leveranciers
Wanneer je een contract aangaat met een externe dienstverlener maak dan duidelijke afspraken. Afspraken zoals "8 uur per maand" zijn altijd nadelig voor de klant. Je krijgt dan iedere keer iemand die eventjes in de leegloop zit. Maak afspraken zoals "Iedere dinsdag van 13:00 tot 17:00 een werkplek beheerder (eventueel ook om accounts aan te maken etc)", "Iedere even week woensdag middag van 13:00 tot 17:00 een server beheerder". Dan wordt je namelijk als klant ingeplanned in een standaard planning en krijg je vaste mensen.

Als klant kan je met bepaalde leveranciers ook een "strippenkaart contract" afsluiten. Bijvoorbeeld voor 200 uur per jaar met een aantal vaste maandelijkse bezoeken.

Off-site beheer is ook een mooie keuze, spreek af dat voor bepaalde acties "ingebeld" kan worden tegen een tarief op na-calculatie. Vermijd "na-calculatie" zo veel mogelijk in contracten, je wordt altijd genaaid en je kan er niet financieel op sturen.

Maak duidelijk wat je wenst en verwacht!

Voor bepaalde situaties heb je externe expertise nodig, bijvoorbeeld een SAN expert, een SQL expert, Exchange expert (expert = EXPERT). Maak hierover een afspraak met je leverancier en spreek geen responsetijd af maar een "time to fix tijd" en voor bepaalde situaties "time at site tijd" (4 uur, 8 uur, next day). Contractueel is een responsetijd namelijk gelijk aan alleen maar een telefoontje geven binnen de gewende tijd (response = contact opnemen, niet iets doen). Niks ergerlijk dan een server die plat ligt en je zit een week aan de telefoon met de leverancier en er is nog niks opgelost (Er zijn bedrijven die daar goud geld mee verdienen). Neem overigens wel boeteclausules op!

Ten slotte
Bovenstaand is maar een klein uittreksel van de daadwerkelijke overdenkingen met betrekking tot beheer. Maar er zijn genoeg bedrijven/mensen die dit helemaal kunnen uitwerken tot een passend plan voor ieder bedrijf.

[ Voor 11% gewijzigd door Wim-Bart op 09-04-2009 00:20 . Reden: Kleine uitbreiding op verzoek ]

alt-92 schreef op woensdag 08 april 2009 @ 22:21:
Maar dat weet je als externe beheerder, dus stel je daar ook je SLA+contract op af als je clue hebt.
Die server reboot je dan op de zaterdag/vrijdagavond/koopavond.

Hé, waarom is jullie uurtarief hoger / rekenen jullie meer uren / hebben jullie weekenduren in de overeenkomst staan? Dan zijn we dicht, dus kunnen jullie toch niets doen...

En ja, je kan het uit gaan leggen aan de klant, maar die ziet alleen de €'s die het kost, niet wat hij eventueel (op korte of lange termijn) er voor terugkrijgt / bespaart.

Wim-Bart schreef op donderdag 09 april 2009 @ 00:03:

Ik lees dat er bedrijven zijn die tarieven van € 100,00 of meer berekenen voor het inhuren van een systeembeheerder. Ik vraag me af wat voor bedrijven dat zijn. In de high-end wereld, waar je mensen met 10 jaar of meer ervaring krijgt kun je gewoon mensen tussen de € 80 tot € 100 per uur inhuren. Hiervoor krijg je gewoon MCSE'ers, Storage experts, VMWare gecertificeerden, Scripters, Testers etc. etc.

Een hoop MKB bedrijven willen één persoon over de vloer, die alles voor ze regelt. Van het aanmaken van accounts en het installeren van werkplekken (RIS heeft geen zin, want je hebt al snel evenveel images als werkplekken), tot het beheren van Exchange, SQL, bedrijfskritische app X, firewall, etc. Dan krijg je dus een échte allround systeem- / netwerkbeheerder, en die zijn wat duurder dan een medior systeembeheerder. Ik ken ons uurtarief niet, maar ik geloof dat het rond de €90 ligt. En ik vind dat niet te veel, als ik eerlijk ben.

Maar wanneer het werk van een beheerder boven zijn hoofd groeit omdat ie 100 werkplekken met 5 servers moet beheren, dan heeft die persoon gewoon een slechte inrichting ogezet en moet ie zo snel mogelijk vervangen worden door iemand die het wel aan kan. Natuurlijk is veel afhankelijk van zijn budget en de tools die hij inzet.

Als een systeembeheerder in een groeiend bedrijf tegen z'n baas gaat zeggen dat hij een x-bedrag aan monitoring tools wil uitgeven, plus daarnaast nog de uren die nodig zijn voor (bij)scholing of implementatie, wordt hij denk ik negen van de tien keer uitgelachen. Het is een kosten-/batenanalyse, maar dat zal de directeur niet uit zichzelf doen. Een extern bedrijf zal dat dan weer wat eerder voorrekenen (want die kennen de werkelijke kosten) dan een interne systeembeheerder, die gewoon elk maand z'n salaris krigt van z'n werkgever.

Veel ICT'ers vinden het mooi om op het werk te hobbieën. Maar helaas bedrijfsvoering gaat voor de "projectjes" van de beheerder.

Maar vervolgens vraagt je baas wel waarom je coole tool x nog niet hebt geïnstalleerd. Collega Y heeft het al!