Toon posts:

[W2k] Patch uitrollen op SP2 een te groot risico?

Pagina: 1
Acties:

dinsdag 29 juli 2003 13:23

Acties:
  • MrJ
  • Registratie: Mei 2001
  • Laatst online: 17-05 14:49

MrJ

Train, eat, sleep. Repeat.

Topicstarter
Heren,

We hebben van hogerhand opdracht gekregen onderstaande patch voor vrijdag op alle (300+) werkstations geinstalleerd te hebben.

http://www.microsoft.com/...ity/bulletin/MS03-026.asp
http://support.microsoft.com/?kbid=823980

Dit kan allemaal keurig via leuke tooltjes, ware het niet dat de ene helft SP2 heeft en de andere SP3. En dan zitten we met een probleem. :{
Note This security patch will install on Windows 2000 Service Pack 2 (SP2). However, Microsoft no longer supports this version, according to the Microsoft Support Lifecycle policy. In addition, this security patch has not been tested on Windows 2000 SP2. Customers are advised to upgrade to a supported service pack as soon as possible.
Dat zou moeten betekenen dat we de helft van de machines moeten gaan voorzien van een nieuw SP. (4 zal dat dan worden). Helaas is een reboot noodzakelijk na de instyallatie van een SP. Aangezien mensen hier tot soms wel 02.00 zitten te werken is een avondje overwerk inplannen deze week geen optie. Als dit soort werkzaamheden niet een dikke maand van te voren zijn ingediend zullen ze geen doorgang vinden. (Ok, dit is allemaal discutabel, maar daar gaat het nu ff niet om :) )

Wat ik me dus afvraag is of het een te nemen risico is dat we de patch over SP2 pc's heen gooien zonder deze eerst te updaten.

Daarna kan eventueel (mits of course ruim van te voren aangediend) SP4 * geinstalleerd worden.

Wat vinden jullie? Doen of niet? :)


*: Zal je dan alsnog de patch eroverheen moeten gooien? :?

Godfather Bodybuilding topic reeks

dinsdag 29 juli 2003 13:30

Acties:
  • Han
  • Registratie: Juli 2001
  • Niet online

Han

Heel simpel, je krijgt een opdracht van hogerhand. Deze opdracht is alleen veilig uitvoerbaar door SP4 op de systemen te zetten. Daarvoor is een reboot nodig en zal het dus in de nachtelijke uren moeten worden uitgevoerd. Dus kunnen ze kiezen, of een maand wachten met de update of een Arbeids Tijden Wet overschrijdings formulier invullen zodat jullie deze week kunnen overwerken... Een roosterwijziging moet officieel voor vier werkdagen worden aangevraagt maar daar kan van worden afgeweken. Maak van hun probleem niet jouw probleem, terugkoppelen dus :)

dit probleem heb ik ook vaak, werk je toevallig bij de overheid?

[ Voor 10% gewijzigd door Han op 29-07-2003 13:32 ]

Doubt thou the stars are fire; Doubt that the sun doth move; Doubt truth to be a liar; But never doubt I love.

dinsdag 29 juli 2003 13:33

Acties:
  • Mystery
  • Registratie: Mei 2000
  • Laatst online: 26-09-2025

Mystery

Bovenstaande is een veel betere oplossing, mocht dit niet tot de mogelijkheden behoren dan ghost je een van de machines met SP2 op een testmachine en test je het.

Battle.net tag

dinsdag 29 juli 2003 13:35

Acties:
  • redfoxert
  • Registratie: December 2000
  • Niet online

redfoxert

Ik ben het met XceeD wel eens. de directie, of wie dan ook, wil dat jullie dat spul installeren. Dat daarvoor extra tijd nodig is lijkt me vrij duidelijk. Ik vraag me alleen af of je voor die update niet ook een reboot nodig hebt. Waarom is het zo cruciaal dat er niet gereboot word ? Die mensen die tot 2 uur werken hebben toch zeker ook wel een keer ff pauze ?

https://discord.com/invite/tweakers

dinsdag 29 juli 2003 13:38

Acties:

Verwijderd

zowieso is die patch niet zo kritiek als de rating doet vermoeden... als je tenminste netjes achter een firewall zit...

dinsdag 29 juli 2003 13:41

Acties:
  • stfn345
  • Registratie: Januari 2000
  • Laatst online: 20-05 23:50

stfn345

Als je achter een firewall zit kan het nog even wachten, maar als je direct aan internet zit heb je een probleem , er zijn namelijk al verschillende public exploits uitgekomen waarmee kiddies binnen een mum van tijd in je pc's zitten

dinsdag 29 juli 2003 13:44

Acties:

Verwijderd

mwa dan heb je al een probleem met sp2 gok ik :)

dinsdag 29 juli 2003 13:45

Acties:
  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 19-05 16:21

leuk_he

1. Controleer de kabel!

Je kunt een servicepack toch ook instaleren zonder direct een reboot uit te voeren? Maar als het om beveiliging gaat is het toch wel verstandig op een recent SP te gaan zitten.

Tenzij je toch al problemen hebt dat bepaalde software niet meer werkt onder servicepack 3 /4 (ik denk aan de virusscanner). Dan wordt het een ander verhaal.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

dinsdag 29 juli 2003 13:50

Acties:
  • MrJ
  • Registratie: Mei 2001
  • Laatst online: 17-05 14:49

MrJ

Train, eat, sleep. Repeat.

Topicstarter
Nee, ik werk niet bij de overheid, erger nog, een advocatenkantoor... (= een maatschap) :P

Het verzoek komt niet van de directie, maar vanuit het 'hoofd IT' kantoor te Chicago. Hoe we dit dus verder lokaal aanpakken maakt ze niet uit, als het maar gebeurd. En dan lopen we dus tegen het lokale beleid aan dat ze dit toch wel graag van te voren willen weten wil het doorgang vinden. Maar goed, daar zijn we (lees m'n baas, de arme man) nog in conclaaf mee om dit te versoepelen. Helaas is die er nu niet, en moeten we als eenvoudige systeembeheerdertjes nu besluiten we we gaan doen. Gokken dat SP2 machines gewoon keurig gepatched zijn, of op de een of andere (gruwelijk tijdrovende, want dat zal dan handmatig moeten gebeuren ofzo) manier SP4 uitrollen. :)

Testen op een SP2 machine is al gedaan, maar aangezien hier geen 1337 hackers zijn weten we niet of die patch wel werkt. We gaan er van uit van wel, maar toch. Als onze vrienden van Microsoft het niet kunnen garanderen dat het werkt... :)

We zijn dus keurig firewalled trouwens, dat wel. Maar als iemand een virus (worm) gemaakt op die exploit binnen krijgt die niet onderschept wordt door Norton, komt het gevaar van binnenuit lijkt me en zijn de rapen helemaal gaat. (Ok, je kan wel triomfantelijk zeggen "Zie je wel, als we...." maar voorkomen...) :P

/edit:
Een SP installeren kan zonder reboot, hebben we al getest, maar helaas werken bepaalde programma's niet tot na een reboot. en dat is dus voor ons onverkoopbaar aan kantoor.

[ Voor 8% gewijzigd door MrJ op 29-07-2003 13:51 ]

Godfather Bodybuilding topic reeks

dinsdag 29 juli 2003 14:22

Acties:
  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 19-05 16:21

leuk_he

1. Controleer de kabel!

* laatmaar

(Moet ook eerst denken voordat ik post 8)

[ Voor 167% gewijzigd door leuk_he op 29-07-2003 14:59 ]

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

dinsdag 29 juli 2003 14:25

Acties:
  • MrJ
  • Registratie: Mei 2001
  • Laatst online: 17-05 14:49

MrJ

Train, eat, sleep. Repeat.

Topicstarter
Omdat we dus niet 's avonds ervan uit kunnen gaan dat iedereen weg is. :) Dat wordt dan vroeg in de ochtend en laat in de avond PC's af met een checklist.

Haha, een uurtje of 2 niet bruikbaar jammer? Vind ik ook hoor, maar ff serieus, onze gebruikers accepteren dit niet. Punt. :P
leuk_he schreef op 29 July 2003 @ 14:22:
* laatmaar
OK. ;)

[ Voor 20% gewijzigd door MrJ op 29-07-2003 14:26 ]

Godfather Bodybuilding topic reeks

dinsdag 29 juli 2003 14:42

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 15-05 10:25

mutsje

Certified Prutser

Inplaatst van de patch te installeren raad ik je aan een testmachine op te zetten daar de applicaties op te zetten die men ook gebruikt en deze te upgraden naar SP4. Hier je bevindingen van op papier zetten en deze terug sturen naar je hoofd IT met advies dat de machines gelijk getrokken worden naar een Service Pack en zo minder troubleshooting te krijgen doordat je nu geen gemixte omgeving hebt.

dinsdag 29 juli 2003 14:58

Acties:
  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 19-05 16:21

leuk_he

1. Controleer de kabel!

mutsje :....je bevindingen van op papier zetten en deze terug sturen naar je hoofd IT met advies dat de machines gelijk getrokken worden naar een Service Pack en zo minder troubleshooting te krijgen doordat je nu geen gemixte omgeving hebt.
Grapjas, ;) testen waarvan je van te voren het /edit: advies/ al weet? Dan hoef je niet te testen hoor.

Maar het probleem hier is een "critical" beveiligings probleem, niet een beheers probleem. Ik vermoed dat sp4 & sp3 ookal een aantal critical problemen oplossen en dus eigenlijk moeten worden geinstalleerd. Denk aan slammer code red etc etc. Op het moment dat je doorhebt dat het een top-down beslissing is op basis van veiligheid, en niet op basis van bugfixing/stabiliteit ben ik bang dat je toch een paar nachtjes door zult moeten werken. Dit is daar uiteraard een gunstige maand voor met veel mensen op vakantie :Y)

[ Voor 3% gewijzigd door leuk_he op 29-07-2003 15:01 ]

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

dinsdag 29 juli 2003 15:03

Acties:
  • 418O2
  • Registratie: November 2001
  • Nu online

418O2

erm, kan je niet een login/logout script maken dat SP4 installed ? Dan gebeurt dat dus op een moment dat gebruiker niet aan het werk is ...

dinsdag 29 juli 2003 15:04

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 15-05 10:25

mutsje

Certified Prutser

Je kunt Service Packs uitrollen via Active Directory ja. Dat gebeurd dan tijdens het aanloggen. Echter zul je best moeten testen of sommige applicaties niet over hun nek gaan als je SP4 uitrolt.

dinsdag 29 juli 2003 15:15

Acties:
  • MrJ
  • Registratie: Mei 2001
  • Laatst online: 17-05 14:49

MrJ

Train, eat, sleep. Repeat.

Topicstarter
SP4 is al getest ja, alle nieuwe PC's krijgen die. Nu moet er dus een datum worden geprikt om deze na kantoortijd uit te rollen.

Maar goed, we gokken erop dat de patch over SP2 heen kan en z'n werk goed doet.

Binnenkort dus naar SP4 upgraden. --> Als je een PC met SP2 en de patch hebt, en je gooit er SP4 over, moet de patch dan reinstalled worden? :?

Godfather Bodybuilding topic reeks

dinsdag 29 juli 2003 15:22

Acties:
  • 418O2
  • Registratie: November 2001
  • Nu online

418O2

als het goed is bevat een service pack toch alle patches die tot dan toe beschikbaar zijn :?

dinsdag 29 juli 2003 15:23

Acties:
  • MrJ
  • Registratie: Mei 2001
  • Laatst online: 17-05 14:49

MrJ

Train, eat, sleep. Repeat.

Topicstarter
Deze patch komt na SP4.

Dus SP2 + patch + SP4 = SP4 + patch?

Godfather Bodybuilding topic reeks

dinsdag 29 juli 2003 15:33

Acties:

Verwijderd

kan dat niet via windowsupdate of mbsa?
dus sp2 + patch -> mbsa draaien
dan sp4 erbij -> mbsa draaien
Op test pc'tje natuurlijk
Nu kan het natuurlijk toch zijn dat mbsa aangeeft dat patch erop zit maar dat sp4 'm vernaggelt heeft :)

dinsdag 29 juli 2003 15:39

Acties:
  • MrJ
  • Registratie: Mei 2001
  • Laatst online: 17-05 14:49

MrJ

Train, eat, sleep. Repeat.

Topicstarter
Precies, maar goed dat is testwerk van latere orde.

We nemen dus gewoon de gok dat de patch op SP2 goed zal werken. :)

Godfather Bodybuilding topic reeks

dinsdag 29 juli 2003 16:54

Acties:

Verwijderd

MrJ schreef op 29 July 2003 @ 15:23:
Deze patch komt na SP4.

Dus SP2 + patch + SP4 = SP4 + patch?
nee

je moet zelfs alle post sp4 patches deinstallen

dinsdag 29 juli 2003 17:01

Acties:
  • Force
  • Registratie: Januari 2000
  • Laatst online: 31-07-2023

Force

Kan iemand ff me neus afvegen?

418O2 schreef op 29 July 2003 @ 15:22:
als het goed is bevat een service pack toch alle patches die tot dan toe beschikbaar zijn :?
Nee dus, install bijvoorbeeld maar eens sp4 op een schone win 2000 en ga daarna naar windowsupdate. Je zult zien dat er nog een groot aantal, zoniet alle beveiligingsupdates niet aanwezig zijn.

Leven is als een pijpkaneel, iedereen zuigt eraan en krijgt zijn deel.

dinsdag 29 juli 2003 17:07

Acties:
  • MrJ
  • Registratie: Mei 2001
  • Laatst online: 17-05 14:49

MrJ

Train, eat, sleep. Repeat.

Topicstarter
Verwijderd schreef op 29 July 2003 @ 16:54:
[...]


nee

je moet zelfs alle post sp4 patches deinstallen
Doet een SP dat niet zelf? Of zijn dat alleen de losse patches die ook al in het SP zitten?

Godfather Bodybuilding topic reeks

dinsdag 29 juli 2003 17:08

Acties:

Verwijderd

[simpel denk mode]
Je kan toch een soort task schedulen? Die gaan checken welk sp er draait (moet mogelijk zijn lijk me?), en als sp3 draait, dan installed ie die patch... als ie sp2 draait doet ie het niet...
(iets van cron in linux oid)

waarom zijn je workstations eigelijk niet identiek?

dinsdag 29 juli 2003 17:41

Acties:

Verwijderd

MrJ schreef op 29 July 2003 @ 17:07:
[...]


Doet een SP dat niet zelf? Of zijn dat alleen de losse patches die ook al in het SP zitten?
lees release notes eens zou ik zeggen... (of gewoon logisch nadenken...)

[ Voor 7% gewijzigd door Verwijderd op 29-07-2003 17:43 ]

dinsdag 29 juli 2003 17:59

Acties:
  • MrJ
  • Registratie: Mei 2001
  • Laatst online: 17-05 14:49

MrJ

Train, eat, sleep. Repeat.

Topicstarter
Verwijderd schreef op 29 July 2003 @ 17:08:
[simpel denk mode]
Je kan toch een soort task schedulen? Die gaan checken welk sp er draait (moet mogelijk zijn lijk me?), en als sp3 draait, dan installed ie die patch... als ie sp2 draait doet ie het niet...
(iets van cron in linux oid)

waarom zijn je workstations eigelijk niet identiek?
Die patch moet gewoon geinstalleerd worden. 't Ging mij er alleen om of het nodig zou zijn de SP2 machines te updaten. :)

Omdat er in de loop der maanden nieuwe images gemaakt worden. (Of de oude geupdate).
Verwijderd schreef op 29 July 2003 @ 17:41:
[...]


lees release notes eens zou ik zeggen... (of gewoon logisch nadenken...)
Met logisch nadenken zeg ik dat de patch opnieuw moet, omdat SP4 naw bestanden overschrijft die na de installatie van de patch juist aangepast waren. B)

Godfather Bodybuilding topic reeks

dinsdag 29 juli 2003 21:03

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

MrJ schreef op 29 juli 2003 @ 17:59:
Omdat er in de loop der maanden nieuwe images gemaakt worden. (Of de oude geupdate).
En daarna wordt er niks meer gepatched?
mmmmkay..

je kan idd met een loginscript je SP4 installeren evt zonder reboot. Alleen zit je dan wel op hete kolen met een half-gepatchte install.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 29 juli 2003 21:23

Acties:
  • MrJ
  • Registratie: Mei 2001
  • Laatst online: 17-05 14:49

MrJ

Train, eat, sleep. Repeat.

Topicstarter
Tja, ik zit bij een moeilijk kantoor. Je moet echt keihard kunnen aantonen (in Jip en Janneke taal) dat er op de werkstations een nieuwe SP moet komen icl. de bijbehorende reboot. Maar goed, binnenkort gaat alles op SP4 komen eindelijk.

Precies, maar dat geeft dus problemen met sommige applications helaas. :)

Godfather Bodybuilding topic reeks

dinsdag 29 juli 2003 21:33

Acties:

Verwijderd

MrJ schreef op 29 July 2003 @ 21:23:
Tja, ik zit bij een moeilijk kantoor. Je moet echt keihard kunnen aantonen (in Jip en Janneke taal) dat er op de werkstations een nieuwe SP moet komen icl. de bijbehorende reboot. Maar goed, binnenkort gaat alles op SP4 komen eindelijk.

Precies, maar dat geeft dus problemen met sommige applications helaas. :)
Hmm, je bent niet de enige met dit gemeuk. Ik zit bij een kantoor met 5000+ werknemers incl. computer. Gelukkig ben ik daar geen ITer.

Als ik jou was zou ik gewoon een beetje passief doen (zoals het vaak gebeurt in dat soort kantooromgevingen) en terugberichten dat de patch niet compatible is met de huidige service packs en of zij met een oplossing willen komen.

Dan ben je zelf iig niet meer aansprakelijk voor eventuele schade.
Pagina: 1
Reageer