seppi 10 Geschrieben 30. Oktober 2009 Melden Teilen Geschrieben 30. Oktober 2009 Hallo zusammen, wir sind ein Unternehmen mit knapp 2000 Mitarbeitern und haben etwa 70 Server im Hauptstandort. Bislang haben wir uns mit dem Thema Serverupdates nicht sonderlich stark auseinandergesetzt da alles reibungslos lief und der Aufwand für uns sehr hoch erschient. Jedoch fragen mittlerweile die Wirtschaftsprüfer nach der Updatestrategie nach... Wir nutzen den WSUS um kritische Updates auf die Clients zu verteilen. Bei den Servern wurden bei der Installation alle Updates, welche damals erhältlich waren, installiert. Danach nur noch bei Bedarf. Jetzt wollte ich mal nachfragen wie dies von anderen Admins hier gehandhabt wird. Wenn jemand regelmäßig die Server patcht, wie sieht dann das Vorgehen aus? - Bei den Herstellern der Software die darauf läuft erst mal anfragen ob das Update supported ist? - Vorher ein vollständiges Backup machen? - Nachher ausgiebige Tests machen ob alles noch so funktioniert wie gewünscht? - Updates sofort installieren oder erstmal ein paar Tage / Wochen warten? - Updateintverall und Zeitpunkt (1x die Woche / Monat / Jahr, unter der Woche oder nur am Wochenende)? Danke! Zitieren Link zu diesem Kommentar
NilsK 2.803 Geschrieben 30. Oktober 2009 Melden Teilen Geschrieben 30. Oktober 2009 Moin, das wird sehr uneinheitlich gehandhabt. Die meisten Kunden behaupten, "nach Bedarf" zu patchen, was in den meisten Fällen aber nach "gar nicht" zu übersetzen ist ... Regelmäßige Backups sind unabhängig von der Strategie immer obligatorisch. Wenn man die Möglichkeit hat, Patches in einer aussagefähigen Laborumgebung zu testen, ist das ideal - aber den Aufwand wird ein mittelständisches Unternehmen kaum leisten können. Aus meiner Sicht ist es sinnvoller, mit dem Risiko einzelner Unverträglichkeiten zu leben und "schnell" zu patchen als bekannte Sicherheits- und Stabilitätslücken lange Zeit mit sich herumzuschleppen. Das reduziert auch die Wahrscheinlichkeit, dass nach dem Sammelupdate durch viele aufgelaufene Patches Probleme wechselseitige Abhängigkeiten entstehen. Aktives Verzeichnis Blog : Probleme mit Security Patch MS08-067, die keine sind Das Intervall ist letztlich ja durch den Patchday vorgegeben, der einmal monatlich stattfindet. Pro OS-Kategorie ist in der Praxis nicht häufiger mit Patches zu rechnen als alle zwei Monate. Gruß, Nils Zitieren Link zu diesem Kommentar
Dukel 439 Geschrieben 30. Oktober 2009 Melden Teilen Geschrieben 30. Oktober 2009 Wir haben ein Monatliches Wartungsfenster, bei dem die Server gepatcht werden. Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 30. Oktober 2009 Melden Teilen Geschrieben 30. Oktober 2009 Wenn jemand regelmäßig die Server patcht, wie sieht dann das Vorgehen aus? Tun wir intern und bei vielen Kunden. Einige Kunden haben mit uns einen monatlichen Wartungsvertrag der die Installation sämtlicher Updates für von uns supportete Software einschliesst. Einige Kunden machen die Updates selber - da gibts es dann alle Ausblüten - solche die am Patchday sofort alle Updates einspielen (was erstaunlich wenig Probleme ergibt), und solche die einfach garnichts einspielen). - Bei den Herstellern der Software die darauf läuft erst mal anfragen ob das Update supported ist? Wir lassen auf den Windows-Servern hauptsächlich Microsoft-Software laufen, mit Ausnahmen vielleicht von Antivirus- und Backupsoftware, obwohl wir mittlerweile angefangen haben Forefront Client Security an Neukunden zu verkaufen. Dies macht die Patchstrategie relativ einfach - installieren und sehen was passiert. Bei unserer internen Infrastruktur bin ich da relativ agressiv - einige Server werden sofort mit automatischen Reboot gepatcht (unwichtiges, Semi-Testsysteme), andere eine Woche nach dem Release der Patches. Das einzige Problem in den letzten vier Jahren mit dieser Strategie: http://projectdream.org/wordpress/2009/10/13/kb974571-crypto-api-update-may-break-office-communications-server-2007-r2-installations/ - Vorher ein vollständiges Backup machen? Das gibt es sowieso täglich. Gut, vielleicht in grösseren Betrieben nicht machbar. - Nachher ausgiebige Tests machen ob alles noch so funktioniert wie gewünscht? Ja, wenn am nächsten Tag die Mitarbeiter in die Firma kommen :) - Updates sofort installieren oder erstmal ein paar Tage / Wochen warten? Sofort in der Testumgebung (inkl. Autoreboot) und auf unwichtigeren Server per Update mit Autoreboot. Eine Woche später auf den kritischen produktiven Systemen. - Updateintverall und Zeitpunkt (1x die Woche / Monat / Jahr, unter der Woche oder nur am Wochenende)? Microsoft-Updates und kritische, Internetexponierte-Anwendungen einmal pro Monat. So all drei Monate update ich alles Hardwaremässige (Treiber, BMC, RSA, etc. pp.), und im gleichen Zyklus auch Switches, Router, Firewalls, etc. pp. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 30. Oktober 2009 Melden Teilen Geschrieben 30. Oktober 2009 Hallo, - Vorher ein vollständiges Backup machen?- Nachher ausgiebige Tests machen ob alles noch so funktioniert wie gewünscht?....nke! Der Systemstate wird täglich und bei Bedarf vor Operationen gesichert. Ausgiebige Tests sind leider nicht möglich, dafür ist die Kapazität nicht vorhanden. Zitieren Link zu diesem Kommentar
Windowsbetatest 10 Geschrieben 30. Oktober 2009 Melden Teilen Geschrieben 30. Oktober 2009 Hallo, also ich kann mich den vorredner nur anschlißen. Aber, es kommt immer drauf an. Bei SMB machen wir automatisches herunterladen aber nicht instllieren -> Wartungsfenster. Bei kritischen Servern die schwer angreifbar sind, Testumgebung und kontrolliertes installieren. Besonders Cluster sind manchmal etwas eigen. Schwer angreifbar bedeutet, kein I-Net Zugang (weder physich noch über Routing) und kein Zugang / Zugriff unauthorisierter Personen. mfg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.