sysinfo
Goto Top

Patch Management

Hallo,

mich würde interresieren wie ihr das mit dem Patch-Management macht. Ich such in erster Linie nicht ein tolles Tool das die Updates/Patches automatisch installiert. Mich würde mehr interresieren wie ihr das mit dem überprüfen/testen macht. Wir haben schon so ziemlich viele Server redundant ausgelegt oder entsprechende Test-Umgebungen aufgesetzt. Aber leider geht das nicht überall. OK mit genug Geld geht das sicherlich auch face-wink
Wie macht ihr das? Habt ihr Checklisten und testet das in der nicht produktiven Zeit sio gut es eben geht. Snapshots sind bei virtuellen Servern zum Teil eine Lösung aber eben nicht überall. Manchmal werden eben zu viele Daten verändert als das man mal eben zurück könnte. Installiert ihr die Patche gleich nach dem sie von MS freigegeben wurden oder wartet ihr z.B. eine Woche?
Mich würden auch Checklisten interresieren. So könnten wir ja die Checkliste erstellen face-wink

Toll wäre auch so etwas wie die aktuellen Patches von MS automatisch auslesen und in eine Check- ToDo-Liste eintragen.

Gruß

Stephan

Content-ID: 239936

Url: https://administrator.de/forum/patch-management-239936.html

Ausgedruckt am: 27.12.2024 um 09:12 Uhr

VGem-e
VGem-e 03.06.2014 aktualisiert um 18:50:52 Uhr
Goto Top
Hallo,

ich setze den WSUS von MS ein, der so eingestellt ist, dass alle Clients automatisch mit den Updates versorgt werden; mangels Zeit hoffe ich einfach, dass unsere Behördensoftware danach noch fehlerfrei funktioniert. Glücklicherweise musste ich in der Vergangenheit nur 1 MS-Update manuell wieder deinstallieren.


Für die Windows Server hatte der Anbieter vor vielen Jahren nach internen Tests dann an die Behörden das OK für die MS-Updates mitgeteilt.
Infolge der vielen eingesetzten Server-Betriebssysteme wird von dort aus inzwischen sogar empfohlen, auch die Windows-Server mit den monatlichen Updates sofort zum Updatetermin zu versorgen.
Ich prüfe jedoch für die Server anhand der div. Onlineseiten kurzfristig nach dem monatlichen Patchday nach, ob dort irgend welche Hinweise auf problematische MS-Update zu finden sind. Falls nein, gebe ich im WSUS die Server-Updates zur Installation frei.

Gruß,
VGem-e
wisebeer
wisebeer 03.06.2014 um 18:52:33 Uhr
Goto Top
hallo stephan,

ich fürchte für eine qualifizierte antwort musst du dein setting näher beschreiben, sonst kann man dir hier schwer helfen. ich nutze in meinem netz (3 win2012r2 server und ca. 100 win7 clients) für die microsoft patches ganz einfach die wsus-rolle des servers. 3rd-party-patches wie etwas flash oder java lassen sich mit dem open-source tool "wsus package publisher" (https://wsuspackagepublisher.codeplex.com/) sehr einfach einspielen, es gibt auch sehr nützliche anleitungen, die sowohl installation und konfiguration erklären, als auch konkrete hilfestellung ür das patchen häufig verwendeter software bieten. das leidige thema des msi selber bastelns bleibt - sofern du ein geld für fertig kataloge wie etwa shavlik ausgeben willst - immer erhalten, aber auch hier gibt es unzählige anleitungen. wenn man mal kapiert hat, was zu tun ist und die einzelnen programme ein paar mal gepatcht hat, gehts aber recht flott!

lg martin
jsysde
jsysde 03.06.2014 aktualisiert um 19:25:34 Uhr
Goto Top
N'Abend.

Zum Verteilen/Verwalten nutzen wir SCCM, aber das rentiert erst bei entsprechender Anzahl Benutzer und entsprechender Lizensierung. Für "kleinere" Umgebungen machst du mit dem WSUS sicherlich nichts falsch (wobei ja auch der SCCM nen WSUS benötigt, lediglich die Verteilung der Updates läuft dann eben anders).

Was das Ausrollen der Updates betrifft:
Wir haben ein paar Server "auserkoren", die zuerst mit Updates versorgt werden, allerdings meist erst drei, vier Tage nach deren Erscheinen und ein wenig google-Recherche (üble Bugs sprechen sich recht schnell rum). Bei den Clients müssen wir Admins als Versuchskaninchen herhalten.
Bei Update Rollups und Cumulative Updates bin ich etwas konservativer und lasse die erst mal etwas "reifen" - auch hier lassen sich üble Bugs recht schnell im Internet recherchieren.

Ausnahme sind wirklich kritische Patches (Zero-Day und so), die kommen gern mal direkt "unters Volk", wobei das ja meist die Clients betrifft und seltener die Server.

Cheers,
jsysde

Tante Edith fällt grad noch ein:
Obiger Text bezieht sich natürlich nur auf Windows-Patches; Patches für andere Software wie Flash Player, Adobe Reader & Co. verteilen wir ebenfalls per SCCM (das ist einer unbezahlbaren Vorteile, keine MSI-Pakete nötig), aber für das Gros der Software klappt das auch per WSUS Package Publisher und/oder per GPO-Rollout.
108012
108012 03.06.2014 um 19:47:07 Uhr
Goto Top
Hallo,

WSUS und wenn sie von MS freigegeben worden sind ist das eine,
aber erst einmal Augen und Ohren offen halten was das
Hintergrundrauschen im Netz über das eine oder andere Update bringt.

Das stützt sich zum Teil auf die Suche im Netz selber,
die einschlägigen Seiten die man regelmäßig besucht und einige Newsticker
auf denen so etwas sofort kommt wenn einmal etwas zu bemängeln ist.
Karenzzeit ist auch so 4 Tage bis zu einer Woche noch Veröffentlichung.

Gruß
Dobby
Dani
Dani 03.06.2014 um 21:08:34 Uhr
Goto Top
Guten Abend Stephan,
kritische Services haben wir 1:1 in der Testumgebung. Meist lässt die Lizenzvereinbarung zu, die Software im Lab zu installieren ohne Mehrkosten. Ansonsten wird die Lizenz nochmals gekauft. Schließlich kann ein Produktionsausfall teuer werden.

Windows Updates werden manuell zeitnah im Testlab eingespielt und danach wird eine geplante Task mit einem Skript gestartet. Das verschiedene Tests in den nächsten 48 Stunden durchführt. Einfach zu schauen, ob Dienste / Anwendungen spinnen oder defekt sind.

Die Anwedersoftware wird in Absprache der Fachabteilungen zuerst im Testlab hochgezogen. 3-4 Wochen getestet und nachgebessert und wenn alles "okay" ist, wirds produktiv eingespielt.

Bei den Clients wird jedes Wochenende Software nachts verteilt. Wir haben 85% alle Arbeitsplätze virtualisiert. Sollte am Montagmorgen etwas größeres sein, wird der Snapshot von letzte Woche eingespielt. Dauert keine 10 Minuten und weiter geht's.

Wir nutzen ebenfalls SCCM. Große Kanone für großes Netzwerk. face-smile


Grüße,
Dani
DerWoWusste
DerWoWusste 03.06.2014 aktualisiert um 21:53:24 Uhr
Goto Top
Hi.

Nutze WSUS seit der allerersten Stunde (Windows 2000). Noch nie hat ein Test einen Fehler herbeigeführt..., obwohl die Testmaschinen Maschinen aus dem Produktivnetzwerk sind mit gleicher Softwareausstattung. Tests vor 2 Jahren endgültig eingestellt, brachten mir persönlich rein gar nichts (und seitdem auch noch nicht ein Problem gehabt). Unser Backupkonzept ist dermaßen ausgewogen, dass es eigentlich alles schnell abfangen kann, bei unserer Firmengröße zumindest.
Das wäre dann auch mein Tipp an Dich: fang damit an, den Aufwand für Tests einzuschätzen. Wenn der überschaubar scheint, dann erst überlege Dir, was Du wirklich an Vorteilen haben könntest mit Tests. Nächster Schritt: spiele den "was-wäre-wenn-Fall" durch - wie sähe Dein Konzept aus, wenn ein Update tatsächlich mal etwas zerstört, evtl. gar großflächig.
nikoatit
nikoatit 04.06.2014 aktualisiert um 09:45:04 Uhr
Goto Top
Moin,

wir haben eine SAMBA/Linux Domäne, aber Windows Clients.
Daher setzen wir auf OPSI, welches genau die Anforderungen erfüllt (von Linux nach Windows verteilen).
Bei der Firma UIB haben wir außerdem einen Service-Vertrag für Windows Updates.
Dadurch bekommen wir immer schnell nach Release automatisch ein Paket mit neusten Windows-Updates direkt in unser OPSI gepumpt.
OPSI selbst ist OpenSource und man kann darüber eigentlich alles verteilen und auch sein Lizenzmanagement (kostenpflichtiges Addon) betreiben.
Ach und unsere Clients werden auch darüber aufgesetzt face-wink
Der Windows-Update vertrag kostet auch jährlich, aber die Preise sind mehr als Fair.

Gruß
sysinfo
sysinfo 06.06.2014 um 09:42:41 Uhr
Goto Top
Hallo,

vielen dank für die Antworten. Leider sind fast alle auf die technischen Möglichkeiten der Verteilung eingegangen. Mich hätte aber viel mehr interresiert wie ihr die Updates überprüft. Trotzdem möchte ich mich für die Nachrichten bedanken und werde wohl noch etwas nach diesem Thema suchen. Ich hatte nur nicht so viel darüber gefunden.

Gruß

Stephan
DerWoWusste
DerWoWusste 06.06.2014 um 11:15:27 Uhr
Goto Top
Du hast von mir Vorschläge erhalten, geh ruhig darauf ein, wenn Du Rückfragen hast. Niermand wird Dir abnehmen können, die Wichtigkeit von Tests selber zu beurteilen und Testkonzepte zu entwerfen, da nur Du Deine Netze und Anwendungen kennst.

Tests sollten durchgeführt werden, wenn der Aufwand gerechtfertigt ist. Aus meiner Erfahrung kann ich nur sagen: es geht sehr selten etwas schief, deshalb ist der Testaufwand oft zu hoch und für meinen Geschmack somit schwer zu rechtfertigen. Bei "hochkritischen Anwendungen" (z.B. von Kunden genutzte Webserver, bei denen jede Minute Ausfallzeit mächtig Geld kostet), hat man eh Redundanz/ein Backupkonzept. DIese Redundanzserver sollte man nicht gleichzeitig patchen - soviel sollte klar sein.