Patches für Windows-Server - Wie Man

Patches für Windows-Server

Dies ist eine Übersicht über meine Patches für meine Server. Die meisten dieser Ideen lassen sich auch auf die vielen Geschmacksrichtungen von Unix anwenden.Ich gehe nicht auf die Besonderheiten ein. Wenn Sie nicht wissen, wie ein bestimmter Patch angewendet wird oder was er tun wird, sollten Sie sich an den Hersteller der Software oder des Betriebssystems wenden. Was für Microsoft gut geeignet ist, funktioniert unter Solaris oder Adobe möglicherweise nicht so gut. Ich werde dies alles vorwegnehmen, indem ich sage, dass dies meine Erfahrung war, und es gibt fast immer mehr als einen Weg, Dinge zu tun, einschließlich des Patches. Fühlen Sie sich frei, zu antworten und / oder dieser Liste hinzuzufügen, wenn Sie das Gefühl haben, dass etwas fehlt.

8 Schritte insgesamt

Schritt 1: Planen Sie ein Fenster

Dies wird wahrscheinlich für uns Server-Administratoren eine sehr unbequeme Zeit sein (Sonntagmorgen um 3 Uhr morgens ist ziemlich üblich). Dies sollte idealerweise wöchentlich sein. Allerdings sollte es mindestens einmal im Monat sein, da wir normalerweise so oft Patches von Microsoft erhalten. Wenn Sie die Option haben, würde ich dringend empfehlen, mindestens zwei Serverumgebungen zu haben - eine für Tests und eine für die Produktion völlig getrennte. Idealerweise sollten alle Patches in der Testumgebung (und getestet) angewendet werden, BEVOR sie in der Produktionsumgebung angewendet werden. Ich habe an Orten gearbeitet, an denen die Testumgebung Donnerstagnacht um 22:00 Uhr und die Produktion Samstagnacht um Mitternacht war. Der Zeitplan wurde so festgelegt, dass wir bei Bedarf alle zwei Wochen einen Patch erstellen könnten, obwohl sie wirklich nur wollten, dass wir ihre Server einmal im Monat herunterfahren, wenn wir damit durchkommen könnten. Wenn Sie denken, dass Sie es schwenken können, können Sie nachsehen, ob Sie auch in einem wöchentlichen Wartungsfenster arbeiten können, um alles zu beheben, das während der Woche auftritt. Niemand möchte, dass seine Server ausgefallen sind, und die Möglichkeit, hier und dort einige kleinere Korrekturen durchzuführen, sollte dazu beitragen, die Wahrscheinlichkeit eines Ausfalls des Servers zu minimieren. Das Wartungsfenster könnte für das Austauschen ausgefallener Laufwerke in einem Überfall, einen halbnotfallfähigen Neustart, das Aktualisieren des Arbeitsspeichers, das Defragmentieren von Laufwerken und alles, was zu tun ist, sollte die Produktion nicht zu stark beeinträchtigen oder die Server zu lange offline nehmen. Wenn Sie ein separates Fenster für die Wartung haben, haben Sie während des Patch-Fensters mehr Zeit für das eigentliche Patching. In den meisten kleinen Geschäften sind diese beiden Fenster normalerweise gleich.

Schritt 2: Laden Sie die Patches vorab herunter

Wenden Sie sie NICHT an, bis sich das Fenster öffnet. Dadurch sparen Sie Zeit, wenn Sie sie anwenden, da das Patch-Fenster möglicherweise kleiner ist, als Sie möchten. Sie können sie manuell herunterladen oder WSUS (oder etwas anderes) verwenden. Wenn Sie jedoch die Patches vorzeitig auf die Server hochladen, können Sie viel Zeit sparen, solange Ihr Fenster geöffnet ist. Wenn Sie nicht wissen, welche Patches Sie benötigen, steht Ihnen das MBSA-Scantool von Microsoft zur Verfügung, mit dessen Hilfe Sie feststellen können, welche Patches (falls vorhanden) fehlen.

(http://technet.microsoft.com/de-de/security/cc184923)

Schritt 3: Haben Sie eine Checkliste, was in welcher Reihenfolge zu tun ist

Was sind alle Patches, die angewendet werden sollen, und auf welchen Servern wenden Sie diese Patches an? Gibt es jemanden, den Sie benachrichtigen müssen (Ops-Anwendungseigentümer? Usw.), bevor Sie die Server offline schalten und wenn Sie fertig sind und sie wieder online stellen. Ihre Situation könnte sich sehr von der meinen unterscheiden, so dass Sie möglicherweise niemandem etwas sagen müssen, bevor Sie es tun, aber wenn ich arbeite, sind sie irgendwie paranoid bezüglich der Server. Sie müssen also eine E-Mail an das gesamte Unternehmen senden, wenn sie offline sind. Nur weil Sie ein offenes und genehmigtes Patch-Fenster haben, ist dies kein Grund, die Stakeholder nicht zu benachrichtigen. Sie sind wahrscheinlich genauso beschäftigt wie Sie, also tun Sie sich (und ihnen) einen Gefallen und stellen Sie sicher, dass sie es wissen, bevor Sie es tun. Stellen Sie sicher, dass niemand an Ihren Servern angemeldet ist. Es sollte genug Warnung gegeben werden, dass die Server offline geschaltet werden, dass sie nicht angemeldet sind. Ich habe jedoch auch gelernt, dass es besser ist, als sicher zu sein. Alles, was Sie dafür brauchen, ist ein Benutzer, der den falschen Typ eines Batch-Skripts auf Ihrem Server ausführt, um zu verhindern, dass Ihre Patches richtig angewendet werden (oder viel schlimmer, wenn Ihr Server abgespritzt wird).

Schritt 4: Die virtuellen Server

Wenn Sie die Host-Hardware für VMs patchen müssen, müssen Sie alle auf dieser Hardware gehosteten VMs sicher ausschalten oder verschieben. Ich habe weder HyperV noch OracleVM gepatcht, aber für VMware und XenServer war fast immer ein Neustart erforderlich. Beachten Sie, dass ein Neustart erforderlich ist und Server auf diesen Hosts nicht verfügbar sind. Achten Sie außerdem darauf, Patches im Vorfeld anzuwenden und dann auf den Neustart des Fensters zu warten. Dies kann dazu führen, dass der Server instabil wird. Ich habe gesehen, dass dies passiert. Denken Sie also daran, dass Sie nach dem Anwenden von Patches einen Neustart durchführen möchten, bevor Sie den Server wieder online stellen und für das Unternehmen / den Client verfügbar sind.

Schritt 5: Wenden Sie den Patch tatsächlich an

Wenn Ihr Fenster geöffnet ist, führen Sie das Skript aus, um die Patches (oder manuell) anzuwenden, die Sie für die Server ausgewählt haben. Wenn Sie mehrere Server mit Patches versehen, sollten Sie die Patches von Ihrer WSUS (oder einem Skript) aus ausführen können, aber ich würde den Vorgang überwachen, um sicherzustellen, dass er wie erwartet ausgeführt wird. Es kann passieren und passieren (ich nenne das Job-Sicherheit) und es ist am besten, wenn Sie es eher früher als später wissen, wann es passiert. Je früher Sie feststellen, dass etwas nicht stimmt, desto besser und je schneller Sie es beheben können, damit die Server wieder für die Benutzer verfügbar sind. Wo ich früher gearbeitet habe, gab es wirklich Geldstrafen für zu lange Laufzeiten in Ihrem Patch-Fenster, und die von uns unterstützten Kunden waren 24/7/365-Kunden. Daher mussten wir sehr vorsichtig sein. Ich hoffe, Sie haben nicht diese Einschränkung, wo Sie arbeiten, aber es wird Ihnen helfen, die Überprüfungszeit (wenn nichts anderes) zu überprüfen, damit Sie sagen können, dass die Server immer verfügbar waren, als sie eigentlich waren.

Schritt 6: Überprüfen Sie, ob die Patches installiert wurden

Bevor Sie die Server wieder in der Produktion freigeben, überprüfen Sie, ob die Patches erfolgreich installiert wurden. Führen Sie das MBSA-Scan-Tool aus und / oder prüfen Sie die Protokolle. Wenn einer von ihnen vermisst wurde, müssen Sie ihn möglicherweise neu starten und es erneut versuchen. Wenn Sie während Ihres Fensters keine Zeit haben, um fehlende Patches erneut anzuwenden, dokumentieren Sie die fehlenden Patches, damit Sie sie im nächsten Fenster anlegen können. Wenn Sie mehrere VM-Hosts patchen und HA aktiviert haben, können Sie möglicherweise die VMs in der Umgebung migrieren, sodass Sie den ESX ohne Auswirkungen auf die Endbenutzer patchen können. Wenn Sie Ihre Auswirkungen auf das Geschäft minimieren können, wird dies für Ihren Chef auch die Zeit für Beförderungen und Erhöhungen sehen.

Schritt 7: Follow-up

Stellen Sie sicher, dass alle erforderlichen Dokumente zum Patching erstellt wurden, informieren Sie die Personen, die benachrichtigt werden müssen, dass Sie fertig sind, und teilen Sie ihnen mit, dass sie ihre Server / Anwendungen wieder haben können.

Schritt 8: Gehen Sie zu dem zurück, was Sie gerade gemacht haben, bevor Sie mit dem Patchen begonnen haben

Schlafen Sie wieder und / oder setzen Sie Ihr regulär geplantes Leben fort.

Ich hoffe, das hilft dabei, zu klären, was ich als ziemlich einfach empfunden habe, sobald es definiert ist. Das Patchen sollte nicht zu schwierig oder zeitaufwändig sein. Bei der Ausführung von Windows-basierten Servern ist dies fast ein notwendiger Teil der Pflege und Bereitstellung Ihrer Server. Wenn Sie Ihre Server auf dem neuesten Stand halten, werden die Exploits und Hacker in Schach gehalten. Ich sage nicht, dass jedes Patch, das sie aus Redmond herausbringen, angewendet werden muss. ganz im Gegenteil. Wenn ein gegebener Patch auf einem Server die Anwendungen beschädigt, die darauf ausgeführt werden, wenden Sie diesen Patch auf keinen Fall an. Deshalb befürworte ich zwei Serverumgebungen.

Die meisten dieser Prozesse lassen sich auch auf andere Betriebssystemvarianten anwenden - die meisten Unix-basierten Betriebssysteme werden nicht so oft mit Updates aktualisiert wie Microsoft. Einige sind sogar so selten wie alle 6 Monate, aber wie immer kann Ihre Laufleistung variieren.

Danke fürs Lesen und Danke für Ihr Feedback!