1 / 23

Patching

Patching. En patch er en fiks for en eller flere feil i et program/operativ system. Ofte sikkerhetsrelatert. I Microsoft-sammenheng har hver patch et nummer og en tilhørende sikkerhetsbulletin. Eks. MS04-011 837001. Microsoftpatcher blir normalt sluppet andre tirsdag hver måned.

chester-lowery
Download Presentation

Patching

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Patching • En patch er en fiks for en eller flere feil i et program/operativ system. Ofte sikkerhetsrelatert. • I Microsoft-sammenheng har hver patch et nummer og en tilhørende sikkerhetsbulletin. Eks. MS04-011 837001. • Microsoftpatcher blir normalt sluppet andre tirsdag hver måned

  2. Hvordan patche • Shavlik, gjøres av USIT og noen steder av LITA • Windows Update, enten manuelt eller automatisk • Manuell installasjon av full-fil patcher fra Microsoft

  3. Office-patcher • Ulike patcher for ulike installasjoner (CD, administrasjonsshare osv) • HFNetChk patcher Office (snart) • Kan bruke full-fil patcher

  4. Andre programmer • Hvis man drifter spesielle løsninger er man selv ansvarlig for å holde systemet oppdatert

  5. Problempatcher • Noen patcher krever spesiell rekkefølge på OS SP/IE SP. • Noen feil er rettet i flere patcher • Noen patcher virker ikke på norsk OS/ multilanguage

  6. Shavliks Hfnetchkpro skanner og patcher alle maskiner i windows-domenet. Windows Update brukes etter LITAS behov. Patching kl. 23.30 Daily rapporterer Windows Patching ved UiO

  7. Hfnetchkpro • Laget av www.shavlik.com • Microsofts hfnetchk og MSBA er levert av Shavlik. • Sjekker registry, fil-navn/versjon/timestamp (og sjekksum) for å avgjøre patchenivå. • Shavlik tester nye patcher. • Kan scanne og legge inn patcher samtidig, kan schedulere scan eller innlegging.

  8. Hfnetchkpro • Informasjon om scan og patching lagres i database. • Flere Hfnetchkpro installasjoner (konsoller) kan kjøre mot samme SQL-database. • AD-integrert. • Dyrt.

  9. Hvorfor HFnetchkpro? • Patching av maskiner stadig mer kritisk. Må kunne patche store mengder maskiner samtidig på et hvilket som helst tidspunkt. • Mulighet til øyeblikkelig innlegging av kritisk patch, sjekk av innlegging og mulighet for å slå av maskiner som ikke får inn patchen. Alt fra ett konsoll. • Hfnetchkpro er direkte rettet mot sikkerhets-patcher. • Hfnetchkpro dekker i tillegg Servicepacks og bla. SQL og Office

  10. Hvorfor HFnetchkpro? • Usit har brukt produktet over lengre tid på servere med god erfaring. • Hurtig, effektiv og kontrollert innlegging (og avinstallering) av patcher • God oversikt • Historikk • Bedre på problem-maskiner enn Windows Update (eks. MS04-007)

  11. Hfnetchkpro versus Windows Update

  12. Hva og når? • Usit skanner alle maskiner i domenet (basert på AD-info) fra kl. 00.00 til 09.00 • Skanner etter manglende patcher ut fra en patche-gruppe • Når nye patcher slippes, legges disse inn på en gruppe testmaskiner • Deretter utvides patche-gruppen med de godkjente nye patchene

  13. Hva og når? • Hver formiddag schedulerers innleggelse av manglende patcher til kl. 23.30. (filkopiering til lokal disk). • Unntak gjøres for svært kritiske patcher (Avgjøres av cert-gruppa) • Daily rapporterer som vanlig om manglende patcher. (Kan hente mer detaljert info fra SQL-basen.) • LITA sjekker maskiner som krangler.

  14. Lokale Hfnetchkpro-installasjoner • Usit har i dag 9 konsoller. • Store miljøer som ønsker å patche selv kan sende en mail til pcadm. Disse må ha en stabil server med minst 2 års stipulert levetid for inst. Lagring i lokal database. • Avhengig av interesse vil flere konsoller skaffes (koster penger…). • Hfnetchkpro Limited edition er gratis, kan patche 10 klienter + 1 server og scanne ubegrenset.

  15. Krav til klientene. • TCP-port 139/445 må være åpne. • Server service, remote registry service og Task Scheduler må kjøre. • Systemroot-sharet må ikke være disablet. • Maskinen skal være i UiO-domenet. • Alle disse krav oppfylles ved å bruke XP-image opplegget (eller ved vanlig installasjon av XP). • Standard klienter skal ikke ha brannvegg.

  16. Problemer • Maskin skrudd av • Ikke nok diskplass • Admin innlogget • Norsk (ikke –engelsk) versjon av OS • Problempatcher (f.eks krever bestemt installeringsrekkefølge på SP/IE-SP) • Ustandardiserte maskiner. • Samme problemer gjelder for Windows Update

  17. Konklusjon • Usit bruker Hfnetchkpro til å scanne og legge inn patcher på Windows-maskiner i UiO-domenet. • Enkelte større miljøer kan ved henvendelse til pcadm få et Hfnetchkpro-konsoll slik at de selv kan utføre patchingen. • Bruk av Windows Update avgjøres av LITA. Tvungen domenepolicy slås av mandag 23.02. • LITA har det endelige ansvar for at sine maskiner er patchet. Daily-rapporter hjelper til med dette.

  18. Konklusjon • Maskiner skal ikke slås av etter arbeidstid. • Begrens admin-rettigheter, logg av. • Maskiner som krangler reinstalleres. • Standardiser, bruk XP-img. • Patching er et krevende område og det vil alltid finnes usikre maskiner. • www.shavlik.com, www.usit.uio.no/it/lita/shavlik

More Related