“La patch è morta! Lunga vita all’aggiornamento...”
... questo è più o meno il modo in cui si può riassumere il cambiamento degli aggiornamenti di Windows e di altri prodotti. Ma non importa come lo chiamiamo: il punto fondamentale è sempre quello di non trascurare la gestione degli aggiornamenti, di procedere in modo ordinato e di tenere conto delle esigenze della vostra azienda.
In sintesi
- La gestione degli aggiornamenti si è evoluta di continuo grazie alla collaborazione tra i produttori di software e i dipartimenti IT.
- Si è affermato il concetto di anello di Microsoft, in cui i diversi gruppi di dispositivi finali vengono aggiornati in fasi diverse in base alla loro criticità.
- Le soluzioni automatizzate come la baramundi Management Suite (bMS) consentono una distribuzione sicura ed efficiente degli aggiornamenti, sulla base del concetto di anello.
- Il bMS supporta un processo di aggiornamento chiaro con profili di aggiornamento, rollout scaglionati, blocco di singole applicazioni e varie pagine di panoramica.
Negli ultimi vent’anni i dipartimenti IT sono stati abituati ad aggiornare regolarmente il software in uso. All’inizio i produttori di software fornivano patch per
singole vulnerabilità di sicurezza senza una guida chiara. In seguito, molti fornitori hanno cominciato a rilasciare ogni mese un’ampia gamma di patch di sicurezza in occasione dei
cosiddetti Patch Days. I dipartimenti IT, a loro volta, traevano le loro conclusioni sulla definizione delle priorità. Le patch particolarmente critiche venivano testate e
installate, mentre quelle meno critiche e gli aggiornamenti funzionali o delle funzionalità venivano spesso saltati.
Microsoft ha poi sviluppato gli aggiornamenti cumulativi. Questi pacchetti di aggiornamento mensili contengono le patch di sicurezza e gli aggiornamenti funzionali più
recenti, oltre alle patch e agli aggiornamenti dei pacchetti precedenti. In questo modo si risparmia tempo, ma si elimina anche l’opzione di “cherry picking” o di installazione selettiva di
singole patch.
Questa breve rassegna storica dimostra che i produttori di software cambiano continuamente le modalità di fornitura di patch e aggiornamenti, con i metodi migliori che tengono conto dei
metodi di lavoro tipici degli amministratori IT. È anche chiaro che la maggior parte dei reparti IT adatta le proprie pratiche di gestione degli aggiornamenti alle esigenze della
propria azienda.
Da Microsoft Update a Windows Update fino a WSUS
Microsoft fornisce aggiornamenti rilevanti in vari modi, ciascuno con i propri vantaggi e svantaggi. Da un lato, utilizza i propri servizi “Microsoft Update” e “Windows
Update”. Mentre “Microsoft Update” include gli aggiornamenti per tutti i prodotti Microsoft supportati (Exchange Server, MSSQL Server, etc.), “Windows Update” fornisce solo gli
aggiornamenti per il sistema operativo vero e proprio. D’altra parte, Microsoft offre componenti software tramite i suoi “Windows Server Update Services” (WSUS), che
possono essere utilizzati per rispecchiare i servizi online di Microsoft nella propria rete aziendale. Ciò significa che i dati necessari per l’aggiornamento possono essere forniti
localmente.
Gli specialisti IT hanno a disposizione una serie di opzioni per ottenere gli aggiornamenti, a seconda della disponibilità, dei requisiti di archiviazione, della connettività
internet e di altri fattori. Ci sono molte cose da tenere in considerazione e non c’è solo un modo giusto, quindi il metodo scelto deve adattarsi alle esigenze specifiche
dell’azienda.
Perché il concetto di anello è indispensabile
Per la maggior parte delle aziende, non tutti gli endpoint possono o devono ricevere gli stessi aggiornamenti contemporaneamente. Dopotutto, ci sono sempre endpoint più critici di altri. Il concetto di anello di Microsoft, ampiamente utilizzato, comprende gruppi di dispositivi che riceveranno un aggiornamento contemporaneamente. Questi gruppi dovrebbero rappresentare una sezione trasversale dell’azienda il più ampia e rappresentativa possibile, classificata in base alla criticità. Nelle grandi aziende, è consigliabile considerare anche la capacità dell’helpdesk nel determinare le dimensioni degli anelli.
Blacklist e release automatici
L’automazione è particolarmente utile per distribuire gli aggiornamenti ai dispositivi di un anello in modo coerente ed efficiente. Consente di risparmiare
tempo e di ridurre gli errori solitamente associati ai metodi manuali. L’automazione utilizzata nell’Update Management della baramundi Management Suite applica in modo coerente il concetto di anello di Microsoft con l’aiuto dei profili di aggiornamento.
Inoltre, consente di escludere dal processo di aggiornamento singoli aggiornamenti, intere linee di prodotti e persino categorie di dispositivi. Con l’aiuto di una blacklist, la
distribuzione manuale degli aggiornamenti non è più necessaria. I nuovi aggiornamenti vengono rilasciati automaticamente e vengono installati in fasi successive a intervalli
prestabiliti dal team IT, a partire dall’anello meno critico.
Profili di aggiornamento vs. configurazioni ad anello standard di Windows
Per poter sfruttare appieno le potenzialità del concetto di anello e dei profili di aggiornamento di baramundi, occorre innanzitutto modificare la configurazione standard di Windows:
- Fonti online e WSUS: disattivare gli aggiornamenti automatici, altrimenti il sistema di gestione di baramundi non avrà più il controllo.
- WSUS: disattivare la doppia scansione, altrimenti il ritardo degli aggiornamenti e altri fattori non funzioneranno correttamente; specificare l’URL del sistema corrispondente tramite la group policy.
Un elenco dettagliato delle impostazioni necessarie e consigliate e le istruzioni per la configurazione sono disponibili nella baramundi Knowledge Base.
Definizione degli anelli e creazioni dei profili di aggiornamento
Il primo passo consiste nel definire gli anelli rilevanti per l’azienda in base ai propri criteri e creare i profili di aggiornamento necessari nella baramundi Management Suite. Nomi significativi e commenti aggiuntivi sono utili, così come le informazioni sul ritardo degli aggiornamenti in giorni.
Va notato che gli aggiornamenti delle definizioni non vengono ritardati da baramundi Management Suite, poiché ciò comprometterebbe il funzionamento di Windows Defender Antivirus.
Release delle classificazioni e blocco dei singoli aggiornamenti
Nella fase successiva si determinano le classificazioni da rilasciare in generale. Se possibile, tutte le classificazioni dovrebbero essere rilasciare per garantire la sicurezza e la tempestività.
A seconda dei requisiti, è possibile bloccare nel profilo di aggiornamento prodotti completi o singoli aggiornamenti. Ad esempio, se “Microsoft Silverlight” non deve essere installato e aggiornato sui computer aziendali, può essere contrassegnato come bloccato nel profilo di aggiornamento ed escluso dalla distribuzione.
Naturalmente, queste release non hanno effetto solo sulla distribuzione, ma anche direttamente sull’inventario. È possibile vedere in qualsiasi momento per ogni endpoint se mancano aggiornamenti e se sono ritardati o bloccati.
Nessuna operazione mista con fonti online e offline
Tutte le azioni rilevanti sull’endpoint sono riassunte nella fase di lavoro “Gestisci aggiornamenti Microsoft”. È possibile selezionare sia un inventario che un
aggiornamento. L’inventario dovrebbe essere inserito regolarmente nell’elenco delle cose da fare (almeno una volta alla settimana). Questo determina semplicemente lo stato di aggiornamento
corrente dell’endpoint senza installare gli aggiornamenti.
In entrambi i casi, è possibile scegliere tra le tre fonti sopra menzionate (Microsoft Update Online, Windows Update Online e WSUS). Ciò consente la massima flessibilità
possibile. Tuttavia, è consigliabile scegliere una fonte in anticipo e attenersi ad essa. È fortemente sconsigliato l’uso misto di fonti online e offline. Questo perché i
dati del WSUS a volte differiscono da quelli delle fonti online, con conseguenti incongruenze. Questo aspetto è particolarmente problematico per quanto riguarda la data di rilascio e il
rollout ritardato non funzionerà.
Inventario finale? Un must
L’azione “Distribuisci aggiornamenti Microsoft” viene quindi utilizzata per installare gli aggiornamenti. Assicuratevi di selezionare la stessa fonte utilizzata in
precedenza per l’inventario. In casi particolari, è possibile sopprimere il riavvio normalmente richiesto per gli aggiornamenti. Tuttavia, questa operazione non è
consigliata, poiché significa che alcuni aggiornamenti non possono essere riconosciuti correttamente fino al successivo riavvio. In particolare, gli aggiornamenti di sistema di
solito non vengono installati completamente fino al riavvio.
L’inventario finale, invece, è fortemente consigliato. Questo perché garantisce che lo stato attuale degli aggiornamenti sia correttamente segnalato al baramundi Management
Server e tenuto in considerazione nelle valutazioni.
I profili di aggiornamento sono essenziali
Nella fase successiva è possibile definire le specifiche di aggiornamento:
- Configurazione manuale: tutte le impostazioni, come la classificazione, i prodotti/aggiornamenti inclusi ed esclusi e il ritardo temporale, possono essere impostate in modo granulare.
- Profilo di aggiornamento: il processo di aggiornamento si basa sulle impostazioni del profilo di aggiornamento assegnato all’endpoint. Se non è stato segnato alcun profilo di aggiornamento, la fase di lavoro viene interrotta e l’endpoint non viene aggiornato.
L’uso dei profili di aggiornamento è altamente consigliato per una strategia di aggiornamento coerente e prevedibile. La configurazione manuale è consigliata solo in singoli casi o a scopo di test.
Lo stato di aggiornamento a colpo d’occhio
Una barra di stato multicolore illustra lo stato di aggiornamento attuale di un endpoint. L’elenco dettagliato degli aggiornamenti rilevanti fornisce un’ulteriore panoramica. La valutazione dello stato di aggiornamento si basa sul profilo di aggiornamento associato, se assegnato. Un endpoint è considerato aggiornato solo se gli aggiornamenti richiesti sono installati, bloccati o ritardati. Senza un profilo di aggiornamento, non è possibile prendere in considerazione né il blocco né il ritardo degli aggiornamenti.
I profili di aggiornamento non offrono solo funzioni di rilascio
I profili di aggiornamento non sono utilizzati solo per rilasciare/bloccare e ritardare gli aggiornamenti. Possono anche essere utilizzati per valutare lo stato di
aggiornamento, se tutti gli endpoint assegnati al profilo di aggiornamento sono conformi o se è necessario intervenire.
La visualizzazione dello stato di aggiornamento degli endpoint in base all’appartenenza al gruppo facilita la valutazione dei singoli gruppi (ad esempio, i reparti) e dei
rami annidati (ad esempio, le sedi). È possibile vedere a colpo d’occhio se i dispositivi soddisfano i requisiti del profilo di aggiornamento, se e quanti aggiornamenti mancano e quando
sono stati inventariati o aggiornati l’ultima volta. Naturalmente è anche possibile filtrare per stato e profilo di aggiornamento.
Processi chiari significano gestione efficiente degli aggiornamenti
Nel mondo in continua evoluzione degli aggiornamenti dei software, è essenziale personalizzare la gestione degli aggiornamenti come descritto sopra. Il concetto di anello introdotto da Microsoft e l’uso di strumenti di automazione offrono modi efficienti per gestire gli aggiornamenti in modo sicuro e standardizzato. Linee guida chiare, inventari regolari e l’uso strategico dei profili di aggiornamento sono fondamentali per processi di aggiornamento di successo e ben controllati.
Proteggete il vostro IT: consigli degli esperti sulla gestione delle vulnerabilità
Volete altri suggerimenti sugli aggiornamenti automatici e sulla gestione delle vulnerabilità? Scaricate il nostro white paper gratuito per migliorare le vostre difese contro le minacce informatiche e gli attacchi degli hacker!
Leggi di più
La cybersicurezza nelle piccole e medie imprese
- Tags:
- cybersecurity,
- kmu,
- it security