Advies over Patch Management - Serversoftware en clouddiensten

dinsdag 6 januari 2004 17:06

Acties:

heeft een HD van 20 YottaByte

Topicstarter

Ik moet voor mijn afstudeerstage een patch management proces opzetten en onderzoek doen naar een tool die geschikt is voor de deployment van de patches naar Windows 2000 en 2003 Server. Nu zijn er een aantal eisen die door de opdrachtgever gesteld worden. Dit zijn de belangrijkste:
- De installatie van patches en de reboot moeten gepushd kunnen worden.
- Er moeten ook non-MS en non-security patches gedistribueerd kunnen worden.

Liefst moet het systeem automatisch van WU of van een SUS-server de MS security patches downloaden en moet er dus de mogelijkheid bestaan om zelf een package te maken voor een non-MS softwarepakket.

Ik heb een aantal patch management systemen gevonden en uitgeprobeerd (o.a. Shavlik en Altiris), maar deze voldoen helaas niet aan de bovenstaande eisen.

Kent iemand een pakket wat wel aan het bovenstaande voldoet?

Zoek wat je niet eerder vond

dinsdag 6 januari 2004 17:28

Acties:

Koffie

Koffiebierbrouwer

Braaimeneer

SMS van Microsoft

(zul je wel op de een of andere manier de patches moeten downloaden).
Misschien dat SMS met SUS kan samenwerken ?

Tijd voor een nieuwe sig..

dinsdag 6 januari 2004 17:29

Acties:

m3gA

Koffie schreef op 06 januari 2004 @ 17:28:
SMS van Microsoft (zul je wel op de een of andere manier de patches moeten downloaden).
Misschien dat SMS met SUS kan samenwerken ?

er is een sus plugin voor sms.

dinsdag 6 januari 2004 19:14

Acties:

mutsje

Certified Prutser

als shavlik al niet voldoet zul je inderdaad SMS moeten implementeren en packages die niet SMS ready zijn zelf bouwen met een package builder.

On Techonoly zou een oplossing kunnen zijn, hier is geen trail van downloadbaar zover als bij mij bekend is. Dit zul je dus moeten aanvragen.

OnTechnoly kan complete systemen installeren.
Software pakketten installeren
Patches installeren
Packages uitrollen
etc.

dinsdag 6 januari 2004 23:43

Acties:

Steven

Als novell fan roep ik natuurlijk ZenWorks uit volle borst. Kan je applicaties mee distribueren aan de hand van msi en snapshots (aot bestanden). Heel flexibel in distributie naar meerdere OS's, automatisch reparatie bij kapotte installatie, forced installatie per user/machine in te stellen enz. enz. enz.

Bestaat uiteraard voor Netware maar ik dacht ook voor Windows.

dinsdag 6 januari 2004 23:47

Acties:

Beaves

Usque ad Finem

Steven schreef op 06 januari 2004 @ 23:43:
Als novell fan roep ik natuurlijk ZenWorks uit volle borst. Kan je applicaties mee distribueren aan de hand van msi en snapshots (aot bestanden). Heel flexibel in distributie naar meerdere OS's, automatisch reparatie bij kapotte installatie, forced installatie per user/machine in te stellen enz. enz. enz.

Bestaat uiteraard voor Netware maar ik dacht ook voor Windows.

Wat je nu opnoemt kan Windows ook

Schotlandofiel | Godzijdank ben ik atheïst
Canon 7D / 20D / 300D + glas | Just Light | Flickr

woensdag 7 januari 2004 08:24

Acties:

Acmosa

...no comment.

Zenworks doet volgens mij wat SMS doet.

Heb je ook als eens gekeken naar GFI Network security scanner.
http://www.gfi.com/lannetscan

But then again, I could be wrong..

woensdag 7 januari 2004 10:16

Acties:

Zarc.oh

heeft een HD van 20 YottaByte

Topicstarter

m3gA schreef op 06 januari 2004 @ 17:29:
[...]

er is een sus plugin voor sms.

Ik zal hier eens meer over opzoeken. Misschien is het een optie.

mutsje schreef op 06 januari 2004 @ 19:14:
als shavlik al niet voldoet zul je inderdaad SMS moeten implementeren en packages die niet SMS ready zijn zelf bouwen met een package builder.

On Techonoly zou een oplossing kunnen zijn, hier is geen trail van downloadbaar zover als bij mij bekend is. Dit zul je dus moeten aanvragen.

OnTechnoly kan complete systemen installeren.
Software pakketten installeren
Patches installeren
Packages uitrollen
etc.

Hmm, ken ik nog niet. Staat genoteerd

Zal eens info gaan zoeken.

Steven schreef op 06 januari 2004 @ 23:43:
Als novell fan roep ik natuurlijk ZenWorks uit volle borst. Kan je applicaties mee distribueren aan de hand van msi en snapshots (aot bestanden). Heel flexibel in distributie naar meerdere OS's, automatisch reparatie bij kapotte installatie, forced installatie per user/machine in te stellen enz. enz. enz.

Bestaat uiteraard voor Netware maar ik dacht ook voor Windows.

Grappig, dat is het eerste wat ik ook dacht / zei. Heb nl zelf een tijdje NAL-applicaties gebouwd. Maar ze hebben hier geen Novell kennis in huis. Bovendien gaat het om hosting servers, dan is het niet echt logisch om nog eens een apart NetWare netwerk op te gaan bouwen.

Pinky schreef op 07 januari 2004 @ 08:24:
Zenworks doet volgens mij wat SMS doet.

Heb je ook als eens gekeken naar GFI Network security scanner.
http://www.gfi.com/lannetscan

Ja heb ik al naar gekeken, maar deze kan volgens mij alleen security patches distribueren. Geen optie dus.

Zoek wat je niet eerder vond

woensdag 7 januari 2004 11:33

Acties:

Verwijderd

Gebruik AUB geen SMS. Als er een tool niet werkt dat is het wel SMS.
SMS geeft geen enkele garantie dat de update ook wordt uitgevoerd. (SMS 2.0 in ieder geval niet). SMS geeft alleen aan dat een update of package is gestart, maar wat als de installatie failed?? Je lijkt dus helemaal uptodate, maar als je verder kijkt dan kunnen een aantal PC's niet geupdate zijn. Niet betrouwbaar dus.

woensdag 7 januari 2004 11:49

Acties:

McMiGHtY

- burp -

On Command is inderdaad erg geweldig. Heb hiervoor een tijdje gescipt. Scripten werkt opzich erg makkelijk. Scripts voor Os'en en diverse applicaties kunnen bij On zelf gedownload worden, zodat je hele machines kan installeren.

Ook het deinstalleren van applicaties werkt goed, het updaten/replacen van versies is ook goed geimplementeerd.

NEW - Het Grote - 2026 Tweakers Social Ride- Topic!

woensdag 7 januari 2004 12:24

Acties:

m3gA

maar als je alleen maar security updates wil uitrollen is sus de mooiste optie.. kost niks en ik had het thuis binnen 15 minuten aan het lopen..

woensdag 7 januari 2004 13:37

Acties:

Zarc.oh

heeft een HD van 20 YottaByte

Topicstarter

Verwijderd schreef op 07 januari 2004 @ 11:33:
Gebruik AUB geen SMS. Als er een tool niet werkt dat is het wel SMS.
SMS geeft geen enkele garantie dat de update ook wordt uitgevoerd. (SMS 2.0 in ieder geval niet). SMS geeft alleen aan dat een update of package is gestart, maar wat als de installatie failed?? Je lijkt dus helemaal uptodate, maar als je verder kijkt dan kunnen een aantal PC's niet geupdate zijn. Niet betrouwbaar dus.

Heb je hier een bron van? Ik heb zojuist de evaluatie van SMS 2003 gedownload en wil die ff gaan proberen. Ik heb verder alleen maar positieve verhalen gehoord eigenlijk.

McMiGHtY schreef op 07 januari 2004 @ 11:49:
On Command is inderdaad erg geweldig. Heb hiervoor een tijdje gescipt. Scripten werkt opzich erg makkelijk. Scripts voor Os'en en diverse applicaties kunnen bij On zelf gedownload worden, zodat je hele machines kan installeren.

Ook het deinstalleren van applicaties werkt goed, het updaten/replacen van versies is ook goed geimplementeerd.

Is dat hetzelfde als On Technology wat eerder werd genoemd?

m3gA schreef op 07 januari 2004 @ 12:24:
maar als je alleen maar security updates wil uitrollen is sus de mooiste optie.. kost niks en ik had het thuis binnen 15 minuten aan het lopen..

Nou, dat durf ik te betwijfelen! Met SUS kan je een update niet pushen naar een client. Als er een critical update uitkomt, kan je niet 100% zeker van zijn dat de update op alle machines geinstalleerd is. Als er dan een worm uitkomt die gebruik maakt van die vulnerability, dan ben je goed zuur als 90% van de gebruikers geen zin heeft om de update te installeren.
Heb je Shavlik HFNetChkPro 4 al eens geprobeerd? Dat is pas een mooi tooltje. Je kunt verschillende verzamelingen van machines scannen (workgroups, domains, IP-ranges, custom groups, uit een tekstbestand, en zelfs genestte groepen) en haalt vervolgens van de MS site alle updates en installeert welke er nodig zijn. De clients krijgen vervolgens een melding dat de machine binnen x aantal seconden gaat rebooten.
De evaluatie versie kan maar een beperkt aantal machines scannen, maar werkt verder perfect. Het enige nadeel van HFNetChkPro is dat het alleen MS security patches kan installeren. Ik zag wel dat er in de toekomst ook 3rd party patches geinstalleerd kunnen gaan worden, maar daar heb ik nu niets aan

Zoek wat je niet eerder vond

woensdag 7 januari 2004 14:10

Acties:

m3gA

Zarc.oh schreef op 07 januari 2004 @ 13:37:
[...]

Heb je hier een bron van? Ik heb zojuist de evaluatie van SMS 2003 gedownload en wil die ff gaan proberen. Ik heb verder alleen maar positieve verhalen gehoord eigenlijk.

[...]

Is dat hetzelfde als On Technology wat eerder werd genoemd?

[...]

Nou, dat durf ik te betwijfelen! Met SUS kan je een update niet pushen naar een client. Als er een critical update uitkomt, kan je niet 100% zeker van zijn dat de update op alle machines geinstalleerd is. Als er dan een worm uitkomt die gebruik maakt van die vulnerability, dan ben je goed zuur als 90% van de gebruikers geen zin heeft om de update te installeren.
Heb je Shavlik HFNetChkPro 4 al eens geprobeerd? Dat is pas een mooi tooltje. Je kunt verschillende verzamelingen van machines scannen (workgroups, domains, IP-ranges, custom groups, uit een tekstbestand, en zelfs genestte groepen) en haalt vervolgens van de MS site alle updates en installeert welke er nodig zijn. De clients krijgen vervolgens een melding dat de machine binnen x aantal seconden gaat rebooten.
De evaluatie versie kan maar een beperkt aantal machines scannen, maar werkt verder perfect. Het enige nadeel van HFNetChkPro is dat het alleen MS security patches kan installeren. Ik zag wel dat er in de toekomst ook 3rd party patches geinstalleerd kunnen gaan worden, maar daar heb ik nu niets aan

Over sus:

je kunt een bep. tijdstip meegeven voor het updaten van machines en zorgen dat hij automatisch installeert. Als je sus hebt draaien hoef je niet te pushen omdat de patches meestal al dik een maand uitzijn voordat er een worm uitkomt.

omdat veel bedrijven laks zijn en idd pas beginnen patchen als de helft van hun systemen down zijn dan moet je meer eens naar je personeel gaan kijken. Een push optie is dan opzich handig om de schade nog enigzins te beperken.

woensdag 7 januari 2004 14:19

Acties:

Spike-man

m3gA schreef op 07 januari 2004 @ 14:10:
[...]

Over sus:

je kunt een bep. tijdstip meegeven voor het updaten van machines en zorgen dat hij automatisch installeert. Als je sus hebt draaien hoef je niet te pushen omdat de patches meestal al dik een maand uitzijn voordat er een worm uitkomt.

omdat veel bedrijven laks zijn en idd pas beginnen patchen als de helft van hun systemen down zijn dan moet je meer eens naar je personeel gaan kijken. Een push optie is dan opzich handig om de schade nog enigzins te beperken.

Gents,

maak een group policy waarin de clients connecten naar je sus server (bv 3 s'nachts). Patches worden dan geinstalleerd en evt reboots worden ook gedaan.

Scorito: FC Bal op ons dak

woensdag 7 januari 2004 14:53

Acties:

Zarc.oh

heeft een HD van 20 YottaByte

Topicstarter

m3gA schreef op 07 januari 2004 @ 14:10:
[...]

Over sus:

je kunt een bep. tijdstip meegeven voor het updaten van machines en zorgen dat hij automatisch installeert. Als je sus hebt draaien hoef je niet te pushen omdat de patches meestal al dik een maand uitzijn voordat er een worm uitkomt.

omdat veel bedrijven laks zijn en idd pas beginnen patchen als de helft van hun systemen down zijn dan moet je meer eens naar je personeel gaan kijken. Een push optie is dan opzich handig om de schade nog enigzins te beperken.

Het probleem bij het gebruik van SUS (wat ik van een collega heb gehoord die ermee bezig is geweest) dat je geen controle hebt over het installeren van kritieke patches, omdat de meeste medewerkers hun PC vrijwel altijd laten aanstaan. Bovendien heb je met een pull methode geen mogelijkheid om te zien welke patche installaties gelukt zijn, welke mislukt zijn en welke er nog geinstalleerd moeten worden.

Spike-man schreef op 07 januari 2004 @ 14:19:
[...]

Gents,

maak een group policy waarin de clients connecten naar je sus server (bv 3 s'nachts). Patches worden dan geinstalleerd en evt reboots worden ook gedaan.

Dit is dus helaas ook geen optie

Zoek wat je niet eerder vond

woensdag 7 januari 2004 15:23

Acties:

m3gA

Zarc.oh schreef op 07 januari 2004 @ 14:53:
[...]

Het probleem bij het gebruik van SUS (wat ik van een collega heb gehoord die ermee bezig is geweest) dat je geen controle hebt over het installeren van kritieke patches, omdat de meeste medewerkers hun PC vrijwel altijd laten aanstaan. Bovendien heb je met een pull methode geen mogelijkheid om te zien welke patche installaties gelukt zijn, welke mislukt zijn en welke er nog geinstalleerd moeten worden.

[...]

Dit is dus helaas ook geen optie

de sus server bevat gewoon logs van wat gelukt is en niet .. probeer anders ff met een testopstelling.. ff een w2k servertje en sus erop.. is zo gedaan.

woensdag 7 januari 2004 15:32

Acties:

Spike-man

Zarc.oh schreef op 07 januari 2004 @ 14:53:
[...]

Het probleem bij het gebruik van SUS (wat ik van een collega heb gehoord die ermee bezig is geweest) dat je geen controle hebt over het installeren van kritieke patches, omdat de meeste medewerkers hun PC vrijwel altijd laten aanstaan. Bovendien heb je met een pull methode geen mogelijkheid om te zien welke patche installaties gelukt zijn, welke mislukt zijn en welke er nog geinstalleerd moeten worden.

[...]

Dit is dus helaas ook geen optie

Als je sus gebruikt geef je op de sus server aan welke patches geinstalleerd moeten worden op de clients. Verder moet je je collega`s wel trainen in het uitloggen van hun systeem. Met baseline (ook een ms (scan)tool) kun je naderhand controleren of op alle clients de patches zijn geinstalleerd.

Scorito: FC Bal op ons dak

woensdag 7 januari 2004 15:34

Acties:

m3gA

hier is de whitepaper van SUS

http://www.microsoft.com/...ate/sus/susdeployment.asp

woensdag 7 januari 2004 15:36

Acties:

Spike-man

Als Zarc nou nog niet om is weet ik het ook niet meer.....

Scorito: FC Bal op ons dak

woensdag 7 januari 2004 16:50

Acties:

Zarc.oh

heeft een HD van 20 YottaByte

Topicstarter

m3gA schreef op 07 januari 2004 @ 15:23:
[...]

de sus server bevat gewoon logs van wat gelukt is en niet .. probeer anders ff met een testopstelling.. ff een w2k servertje en sus erop.. is zo gedaan.

Er is dus al een SUS-server aanwezig, maar in z'n uppie voldoet deze dus niet om bovengenoemde redenen.

Spike-man schreef op 07 januari 2004 @ 15:32:
[...]

Als je sus gebruikt geef je op de sus server aan welke patches geinstalleerd moeten worden op de clients.

Dat is idd wel makkelijk

Verder moet je je collega`s wel trainen in het uitloggen van hun systeem.

Hmmm, ik begin al dingen door elkaar te halen

De opdracht die ik doe is voor de hosting (er zijn dus geen gebruikers die achter de machine zitten) en de oplossing gaat, indien mogelijk, ook door de afdeling kantoorautomatisering gebruikt worden. Maar ik houd het dus wel in het achterhoofd.

Met baseline (ook een ms (scan)tool) kun je naderhand controleren of op alle clients de patches zijn geinstalleerd.

Dan moet je als beheerder weer info achteraf gaan ophalen, terwijl je met een push methode krijgt zien of het al dan niet gelukt is.

m3gA schreef op 07 januari 2004 @ 15:34:
hier is de whitepaper van SUS

http://www.microsoft.com/...ate/sus/susdeployment.asp

Had ik al gevonden in mijn zoektocht naar info

Evengoed bedankt!

Spike-man schreef op 07 januari 2004 @ 15:36:
Als Zarc nou nog niet om is weet ik het ook niet meer.....

Zoek wat je niet eerder vond