Zobacz wszystkie posty

Endpoint Management | Management Suite

„Umarła poprawka! Niech żyje aktualizacja…”

09. stycznia 2024, Avatar of Alexander HaugkAlexander Haugk

...tak mniej więcej można podsumować zmiany, jakie dokonały się w procesach aktualizacji systemu Windows i innych aplikacji. Jednak niezależnie od nazewnictwa podstawową zasadą jest wciąż zarządzanie aktualizacjami – nie zaniedbuj tego, działaj w zorganizowany sposób i bierz pod uwagę wymagania swojej organizacji.

W pigułce

  • Zarządzanie aktualizacjami ewoluowało z uwzględnieniem współpracy wytwórców oprogramowania i działów informatycznych.
  • Ugruntowana została koncepcja pierścienia Microsoftu, zgodnie z którą różne grupy urządzeń końcowych otrzymują aktualizacje w następujących po sobie fazach, w zależności od ich krytyczności.
  • Rozwiązania automatyzujące, takie jak baramundi Management Suite (bMS), umożliwiają bezpieczną i wydajną dystrybucję aktualizacji w oparciu o koncepcję pierścienia.
  • bMS wspiera przejrzysty proces aktualizacji dzięki profilom aktualizacji, wdrożeniom rozłożonym w czasie, różnym stronom z podglądem i blokowaniem poszczególnych aplikacji.

W ciągu ostatnich dwóch dekad departamenty IT zostały przyzwyczajone do regularnej aktualizacji systemów. Producenci oprogramowania najpierw udostępniali poprawki dla pojedynczych podatności bez konkretnych wytycznych. Potem wielu dostawców udostępniało szeroki i stale rosnący wachlarz łatek bezpieczeństwa co miesiąc, w tzw. Patch Days. Działy IT samodzielnie ustalały priorytety ich wdrażania. Poprawki krytyczne były testowane i instalowane, podczas gdy łatki mniej ważne lub poprawki funkcjonalne były często pomijane.

Następnie Microsoft opracował aktualizacje zbiorcze. Owe comiesięczne pakiety aktualizacji zawierają najnowsze poprawki bezpieczeństwa i aktualizacje funkcjonalne, jak również łatki i poprawki z poprzednich zestawów. Takie podejście oszczędza czas, ale pozbawia opcji wyboru lub selektywnej instalacji poszczególnych poprawek.

Ten krótki rys historyczny pokazuje, że wytwórcy oprogramowania ciągle zmieniają sposoby udostępniania poprawek i aktualizacji, przy czym najlepsze z nich uwzględniają typowe metody pracy administratorów IT. Jasne jest również, że większość działów IT przystosowuje swoje praktyki zarządzania aktualizacjami do potrzeb ich firm.

Od Microsoft Update przez Windows Update po WSUS

Microsoft dostarcza aktualizacje na różne sposoby, z których każdy ma swoje zalety i wady. Z jednej strony firma udostępnia usługi „Microsoft Update” i „Windows Update”. O ile „Microsoft Update” zawiera aktualizacje dla wszystkich wspieranych produktów Microsoftu (Exchange Server, MSSQL Server, itd.) to w „Windows Update” znajdują się tylko aktualizacje do właściwego systemu operacyjnego.

Z drugiej strony, Microsoft oferuje komponenty oprogramowania poprzez usługę „Windows Server Update Services” (WSUS), które mogą być używane do tworzenia kopii lustrzanych usług online Microsoft we własnej sieci. Oznacza to, że dane niezbędne do przeprowadzenia aktualizacji mogą być dostarczone lokalnie.

Specjaliści IT dysponują szerokim wachlarzem opcji pozyskiwania aktualizacji w zależności od dostępności, wymogów w zakresie pamięci masowej, połączenia internetowego i innych czynników. Kwestii do rozważenia jest dużo i nie ma jednej, właściwej drogi. Najważniejsze, aby wybrany sposób odzwierciedlał konkretne potrzeby firmy.

Dlaczego koncepcja pierścienia jest niezbędna

W przypadku większości firm nie wszystkie punkty końcowe mogą lub powinny być wyposażane w te same aktualizacje w tym samym czasie. W końcu zawsze znajdą się urządzenia, których sprawne działanie jest bardziej krytyczne od innych. Szeroko spopularyzowany koncept aktualizacji pierścieniowych Microsoftu polega na utworzeniu grup urządzeń, które otrzymają aktualizację jednocześnie. Te grupy powinny reprezentować możliwie najszerszy i najbardziej reprezentatywny przekrój firmy, w oparciu o ich krytyczność. W dużych firmach przy określaniu rozmiaru pierścieni zalecane jest również rozważenie dostępnej przepustowości działu pomocy technicznej.

Czarne listy i wydania automatyczne

Aby zapewnić spójną i wydajną dystrybucję aktualizacji do urządzeń w obrębie pierścienia warto zastosować automatyzację, która oszczędza czas i zmniejsza liczbę błędów zwykle związanych z metodami manualnymi. baramundi moduł Update Management oprogramowania baramundi Management Suite w spójny sposób automatyzuje wdrażanie aktualizacji w ramach koncepcji pierścieni z dodatkiem profili aktualizacji.

Umożliwia również wyłączanie z procesu pojedynczych poprawek, jak również całych linii produktowych, a nawet kategorii urządzeń. Dzięki funkcji czarnej listy, ręczna dystrybucja aktualizacji nie jest już potrzebna. Nowe aktualizacje są automatycznie instalowane w fazach, zgodnie z ustalonymi przez dział IT interwałami czasowymi, począwszy od najmniej krytycznego pierścienia.

Profile aktualizacji a standardowe konfiguracje pierścieni Windows

Do pełnego wykorzystania potencjału koncepcji pierścienia i profili aktualizacji baramundi konieczna jest wcześniejsza zmiana standardowej konfiguracji Windows:

  • Zasoby online i WSUS: konieczne jest wyłączenie aktualizacji automatycznych. W przeciwnym razie system zarządzania baramundi nie może sprawować kontroli nad procesem.
  • WSUS: konieczne jest wyłączenie podwójnego skanowania. W przeciwnym razie opóźnienie aktualizacji i inne elementy nie będą działać poprawnie. Należy sprecyzować URL do odpowiedniego systemu w politykach grupowych.

Szczegółową listę wymaganych i zalecanea ustawień, jak również instrukcje konfiguracji, można znaleźć w Bazie Wiedzy baramundi.

Definiowanie pierścieni i tworzenie profili aktualizacji

Pierwszy krok to zdefiniowanie pierścieni właściwych dla firmy w oparciu o własne kryteria, a następnie utworzenie wymaganych profili aktualizacji w baramundi Management Suite. Pomocne są nazwy o rozpoznawalnym znaczeniu i wszelkie dodatkowe komentarze, a także informacje o czasie opóźnienia aktualizacji w dniach.

Rys. 1 – nazwa i czas opóźnienia profilu aktualizacji
Rys. 1 – nazwa i czas opóźnienia profilu aktualizacji

Należy tu zaznaczyć, że aktualizacje definicji nie są opóźniane przez baramundi Management Suite, ponieważ naruszyłoby to działanie programu Windows Defender Antivirus.

Wydawanie klasyfikacji i blokowanie pojedynczych aktualizacji

W następnym kroku należy określić klasyfikacje wydawanych poprawek. Jeżeli to możliwe, aby zapewnić bezpieczeństwo i terminowość, wydawane powinny być łatki należące do wszystkich klasyfikacji.

Rys. 2 – pod uwagę brane są tylko klasyfikacje wybrane w profilu aktualizacji
Rys. 2 – pod uwagę brane są tylko klasyfikacje wybrane w profilu aktualizacji

W zależności od potrzeb, w profilu aktualizacji można blokować całe produkty lub pojedyncze poprawki. Na przykład, jeżeli wtyczka „Microsoft Silverlight” nie powinna być instalowana na firmowych komputerach, można ją zablokować w profilu aktualizacji i wykluczyć z dystrybucji.

Rys. 3 – z profilu aktualizacji można wykluczyć całe linie produktowe
Rys. 3 – z profilu aktualizacji można wykluczyć całe linie produktowe

Rzecz jasna zmiany te mają nie tylko wpływ na dystrybucję, ale również bezpośrednio na zasoby. W dowolnym momencie możesz sprawdzić dla każdego punktu końcowego czy brakuje aktualizacji lub czy są opóźnione bądź zablokowane.

Nie łącz źródeł online i offline

Podsumowanie wszystkich właściwych działań na punktach końcowych znajduje się w kroku „Manage Microsoft updates”. Można tam wybrać zarówno inwentaryzację, jak i aktualizację. Inwentaryzacja powinna znajdować się na liście „do zrobienia” regularnie (przynajmniej raz w tygodniu). Dzięki temu znany jest bieżący status aktualizacji punktu końcowego bez instalowania poprawek.

W obu przypadkach możesz wybrać spośród trzech wymienionych wcześniej źródeł (Microsoft Update Online, Windows Update Online oraz WSUS). Zapewnia to największą możliwą elastyczność. Zalecany jest jednak wybór jednego źródła i konsekwentne jego stosowanie. Łączenie źródeł online i offline jest natomiast zdecydowanie odradzane. Dane z WSUS różnią się czasem od danych z innych źródeł online, co prowadzi do niezgodności. Jest to szczególnie problematyczne w odniesieniu do daty wydania i opóźniona wysyłka poprawki nie zadziała.

Końcowa inwentaryzacja? To konieczność

Do instalacji poprawek służy akcja „Distribute Microsoft updates”. Należy upewnić się, że wybrane jest to samo źródło, które zostało poprzednio wskazane do inwentaryzacji. W wyjątkowych przypadkach możliwe jest wstrzymanie ponownego uruchomienia urządzenia, zwykle wymaganego przy aktualizacjach. Jednakże nie jest to zalecane ze względu na to, że niektóre poprawki mogą nie być prawidłowo rozpoznane aż do momentu następnego uruchomienia. Zwłaszcza aktualizacje systemowe zazwyczaj nie są w pełni zainstalowane do czasu restartu.

Z drugiej strony, końcowa inwentaryzacja jest mocno zalecana. Zapewnia ona, że obecny status aktualizacji jest prawidłowo przesłany do serwera baramundi Management Server i uwzględniony w ewaluacjach.

Profile aktualizacji są niezbędne

W następnym kroku można zdefiniować specyfikacje aktualizacji:

  • Ręczna konfiguracja: można szczegółowo dostosować wszystkie ustawienia, takie jak klasyfikacja, uwzględnione i wyłączone produkty/poprawki i opóźnienie czasowe.
  • Profil aktualizacji: proces aktualizacji bazuje na ustawieniach w profilu aktualizacji przypisanym do urządzenia końcowego. Jeżeli nie został przypisany żaden profil, krok zadania jest przerywany, a urządzenie nie zostanie zaktualizowane.

Stosowanie profili aktualizacji jest wysoce rekomendowane pod kątem spójnej i przewidywalnej strategii aktualizacji. Ręczna konfiguracja jest zalecane wyłącznie w indywidualnych przypadkach lub na potrzeby testów.

Rzut oka na status aktualizacji

Kolorowy pasek wskazuje bieżący stan urządzenia końcowego. Dodatkowych informacji dostarcza szczegółowa lista właściwych aktualizacji. Ocena ich statusu opiera się na powiązanym profilu aktualizacji – jeśli taki został przypisany. Punkt końcowy uznaje się za aktualny tylko wówczas, gdy wymagane poprawki są zainstalowane, zablokowane lub opóźnione. Bez profilu aktualizacji nie można brać pod uwagę ani blokowania, ani opóźnienia aktualizacji.

Rys. 4 – zainstalowane, opóźnione oraz brakujące poprawki są wymienione wraz ze wszystkimi istotnymi informacjami
Rys. 4 – zainstalowane, opóźnione oraz brakujące poprawki są wymienione wraz ze wszystkimi istotnymi informacjami

Profile aktualizacji oferują więcej niż funkcje udostępniania

Profile aktualizacji służą nie tylko do wydawania/blokowania i opóźniania aktualizacji. Można ich używać również do oceny statusu aktualizacji, np. czy punkt końcowy spełnia wymagania profilu aktualizacji, czy wszystkie punkty końcowe przypisane do profilu aktualizacji są zgodne lub czy zachodzi potrzeba podjęcia działania.

Wyświetlanie statusu aktualizacji punktów końcowych według przynależności do grupy ułatwia ocenę zarówno poszczególnych grup (np. działów) jak i oddziałów (np. lokalizacji). Już na pierwszy rzut oka można zobaczyć czy urządzenia spełniają wymagania profilu aktualizacji, czy i ile aktualizacji brakuje oraz kiedy były ostatnio inwentaryzowane lub aktualizowane. Możliwe jest także filtrowanie według statusu i aktualizacji profilu.

Transparentne procesy oznaczają efektywne zarządzanie aktualizacjami

Zarządzanie aktualizacjami zgodnie z powyższym opisem jest niezbędne w świecie ciągle zmieniającego się oprogramowania. Koncepcja pierścieni wprowadzona przez Microsoft oraz zastosowanie narzędzi automatyzacji oferują skuteczne metody zarządzania aktualizacjami w bezpieczny i ustandaryzowany sposób. Przejrzyste wytyczne, regularne inwentaryzacje i strategiczne użycie profili aktualizacji mają zasadnicze znaczenie dla udanych i dobrze skontrolowanych procesów aktualizacji.

Chroń swoje IT: porady eksperta w zakresie zarządzania podatnościami

Chcesz więcej wskazówek na temat automatycznych aktualizacji i zarządzania lukami bezpieczeństwa? Pobierz nasz bezpłatny biuletyn informacyjny i wzmocnij swoje zabezpieczenia przed złośliwym oprogramowaniem i atakami hakerów!

Pobierz „Automatyczne zarządzanie podatnościami”

Zobacz wszystkie posty

Czytaj więcej

Wpisy 1 do 3 z 3

baramundi software GmbH
 Forschungsallee 3
86159 Augsburg, Germany

+48 735 91 44 54
info(at)baramundi.com

Newsletter

Zapisz się do naszego darmowego anglojęzycznego newslettera już teraz i bądź na bieżąco!

Do rejestracji
Przejrzyj stronę
Stopka redakcyjna | Polityka prywatności | OWH | Odniesienie do płci
© 2024 baramundi software GmbH. All rights reserved.

Jak możemy Ci pomóc?

+48 735 91 44 54

info(at)baramundi.com

30-dniowa wersja testowa Rejestracja do newslettera