:strip_icc():strip_exif()/u/85246/alterbirdgeblackbirdsmall.jpg?f=community)
Hallo,
Ik wilde graag een discussie starten over hoe jullie heden ten dage patchen bij jullie werkgevers, opdrachtgevers. Uit interesse om van elkaar mogelijk te leren of nieuwe ideeën op te doen.
Gezien de grote mate van bedreigingen tegenwoordig is niet frequent patchen een groot risico.
Sterker nog, het lijkt meer en meer een dagtaak te worden die andere activiteiten in de weg zit.
Het niet patchen is een groot afbreukrisico voor elke service organisatie die diensten verleent naar opdrachtgevers. Immers mogen zij erop vertrouwen dat de dienstverlener haar zaakjes op orde heeft. Zie oa. nieuws: Ict-dienstverlener is aansprakelijk voor verloren gaan van gegevens n...
Ik zal even aftrappen:
In onze dagelijkse controle controleren wij de websites security.nl, ncsc advisories en de advisories van Microsoft. Daarop maken we een beslissing welke kwetsbaarheden acuut verholpen moeten worden.
Vervolgens gebruiken wij N-Able N-Central (als MSP) met daarin de geïntegreerde optie om te patchen. Dit gebeurd a.d.h.v. gedefinieerde maintenance windows waarin dagelijks 2 keer wordt gedetecteerd, 2 keer wordt gedownload om vervolgens 1 keer in het weekend te patchen gevolgd door een reboot op basis van een afgesproken moment met de opdrachtgever.
Patch approval in N-Central gebeurt automatisch, maar op een bijzondere manier. Namelijk de N-Central agent inventariseert de beschikbare updates per machine, rapporteert deze centraal om vervolgens automatisch te approven als deze binnen de approval regel valt, of handmatig approved te worden door een van onze engineers. Vervolgens worden deze uitgevoerd volgens het ingestelde maintenance window.
Rollback in ons geval een recovery van de VM uit de laatste back-up volgens het back-up window van de opdrachtgever.
Nood patches worden on-demand uitgevoerd en machines die niet automatisch mee gaan moeten helaas nog met de hand worden afgepatched. Iets wat niet meer van deze tijd is natuurlijk.
Dit over een omgeving van 80 servers en 150 werkplekken (windows)
Er zijn natuurlijk legio opties zoals chocolatey, pswindowsupdate module
Om het overzichtelijk te houden wellicht aan de hand van deze 'vragenlijst' inzicht te geven:
Welke bronnen gebruiken jullie voor advisories
Hoe groot is de omgeving die je afpatched
Wat is de patch frequentie
Hoe ga je om met noodpatches
Scope vd patches (windows/unix)
Welke middelen/tools zet je in om geautomatiseerd te patchen
Wat is jullie rollback scenario
Ik wilde graag een discussie starten over hoe jullie heden ten dage patchen bij jullie werkgevers, opdrachtgevers. Uit interesse om van elkaar mogelijk te leren of nieuwe ideeën op te doen.
Gezien de grote mate van bedreigingen tegenwoordig is niet frequent patchen een groot risico.
Sterker nog, het lijkt meer en meer een dagtaak te worden die andere activiteiten in de weg zit.
Het niet patchen is een groot afbreukrisico voor elke service organisatie die diensten verleent naar opdrachtgevers. Immers mogen zij erop vertrouwen dat de dienstverlener haar zaakjes op orde heeft. Zie oa. nieuws: Ict-dienstverlener is aansprakelijk voor verloren gaan van gegevens n...
Ik zal even aftrappen:
In onze dagelijkse controle controleren wij de websites security.nl, ncsc advisories en de advisories van Microsoft. Daarop maken we een beslissing welke kwetsbaarheden acuut verholpen moeten worden.
Vervolgens gebruiken wij N-Able N-Central (als MSP) met daarin de geïntegreerde optie om te patchen. Dit gebeurd a.d.h.v. gedefinieerde maintenance windows waarin dagelijks 2 keer wordt gedetecteerd, 2 keer wordt gedownload om vervolgens 1 keer in het weekend te patchen gevolgd door een reboot op basis van een afgesproken moment met de opdrachtgever.
Patch approval in N-Central gebeurt automatisch, maar op een bijzondere manier. Namelijk de N-Central agent inventariseert de beschikbare updates per machine, rapporteert deze centraal om vervolgens automatisch te approven als deze binnen de approval regel valt, of handmatig approved te worden door een van onze engineers. Vervolgens worden deze uitgevoerd volgens het ingestelde maintenance window.
Rollback in ons geval een recovery van de VM uit de laatste back-up volgens het back-up window van de opdrachtgever.
Nood patches worden on-demand uitgevoerd en machines die niet automatisch mee gaan moeten helaas nog met de hand worden afgepatched. Iets wat niet meer van deze tijd is natuurlijk.
Dit over een omgeving van 80 servers en 150 werkplekken (windows)
Er zijn natuurlijk legio opties zoals chocolatey, pswindowsupdate module
Om het overzichtelijk te houden wellicht aan de hand van deze 'vragenlijst' inzicht te geven:
Welke bronnen gebruiken jullie voor advisories
Hoe groot is de omgeving die je afpatched
Wat is de patch frequentie
Hoe ga je om met noodpatches
Scope vd patches (windows/unix)
Welke middelen/tools zet je in om geautomatiseerd te patchen
Wat is jullie rollback scenario
/u/57387/claimedavatar-70.png?f=community){kind=avatar}