Negli ultimi mesi ho lavorato a distanza con molti partner. Il patching è uno degli argomenti in cui ho sentito che i partner esprimono più interesse negli ultimi tempi. Sembra che la gente voglia migliorare nel patching, cosa per cui sono tutto. Ho molte domande sull’automazione del patching, (leggi i post sulle best practice – PARTE 1 e PARTE 2) quindi ho lavorato alla creazione di un bootcamp di patching. Mentre è in lavorazione, vorrei discutere con voi la pianificazione delle patch.

Una lotta comune che vedo con l’applicazione di patch e la pianificazione riguarda le numerose parti mobili che devono essere programmate in modo logico. A seconda della soluzione di monitoraggio e gestione remota (RMM), potrebbe essere necessario pianificare le seguenti attività:

  • scansione / rilevamento patch
  • pre-download (memorizzazione nella cache)
  • approvazione delle patch (manualmente o automaticamente)
  • installazione di patch
  • riavvio dopo l’applicazione di patch

Tratterò i primi due in questo articolo e gli ultimi tre nel mio prossimo blog.

Indipendentemente dall’RMM che usi (o anche se installi le patch manualmente accedendo a ciascun dispositivo) dovrai eseguire almeno alcune di queste attività.

Scansione / rilevamento patch

Questo è qualcosa che i professionisti IT pianificano in vari modi in base a esigenze e preoccupazioni. Ricordo che l’applicazione di patch su Windows 7 e precedenti era faticosa sui computer. In alcuni casi ha reso il sistema operativo lento e quasi non rispondente. Questa preoccupazione è principalmente un ricordo del passato a causa dei miglioramenti in Windows 8, 10 e Windows Server. Il motore di aggiornamento di Windows è molto più ottimizzato e performante. Ciò significa che è possibile pianificare il rilevamento delle patch quotidianamente (o più spesso se necessario) senza troppi rischi di problemi di prestazioni.

Potresti pensare che le patch settimanali o mensili siano sufficienti e ti chiedi perché dovresti considerare le patch giornaliere o anche due volte al giorno. Ci sono tre ragioni principali per aumentare la frequenza.

  1. Visibilità: è bello sapere cosa è necessario in tempo quasi reale ogni volta che il cliente chiama.
  2. Patch di emergenza: come abbiamo visto nel gennaio 2020 quando alcune patch dovevano essere installate al di fuori del programma normale.
  3. Microsoft AV integrato: rilasciano aggiornamenti molto frequentemente. Se i tuoi clienti utilizzano questa soluzione, dovresti installare gli aggiornamenti non appena vengono pubblicati. Altrimenti, sarebbe come evitare di aggiornare i prodotti AV di terze parti, il che è generalmente una cattiva idea.

Raccomando la scansione due volte al giorno ogni volta che i dispositivi sono online. Questo è necessario per  permettere la scanzione alle persone diverse che lavorano su turni diversi. Se programmi uan scanzione alle 10 del mattino tutti i giorni, ma qualcuno è offline in quel momento dal momento che lavorano nel turno pomeridiano o serale, allora non li intercetterai. Per questo motivo, in genere ti consiglio di rilevare alle 10 e alle 14 su tutti i dispositivi (inclusi server, workstation e laptop).

Patch pre-download

La seconda attività, se supportata dal prodotto RMM, è pre-scaricare o memorizzare nella cache le patch. Ancora una volta, a seconda del prodotto RMM, potresti o meno essere in grado di farlo. È inoltre possibile o meno essere in grado di programmarlo di notte poiché il dispositivo deve in genere essere online per attivare il processo di memorizzazione nella cache. In tal caso, di solito consiglio di programmare la pre-cache quasi all’ora di pranzo per evitare potenziali picchi di traffico di rete verso mezzogiorno. Per workstation e laptop, le 11 di mattina tendono a essere un buon momento. Poiché i server sono in genere online 24 ore su 24, 7 giorni su 7, è possibile pianificarli per un po ‘di notte, ad esempio le 23:00 o l’01: 00 (purché si eviti di impilarlo in cima ad altre attività ad alta intensità di banda come il backup sul cloud e le sincronizzazioni del sito remoto) .

Nel mio prossimo blog tratterò le attività rimanenti, tra cui l’approvazione delle patch, l’installazione delle patch e il riavvio dopo l’applicazione delle patch.

Monitoraggio automatico del malware Vollgar Miner

Vorrei mostrare rapidamente una politica di automazione / servizio di monitoraggio che abbiamo costruito sulla raccomandazione del nostro responsabile della sicurezza, Gill Langston.

Il malware Vollgar Miner è un malware destinato ai server SQL, che può essere presente su alcuni dispositivi dei tuoi clienti a tua insaputa. Abbiamo creato uno script di rilevamento che puoi impostare come servizio personalizzato. Puoi distribuirlo e utilizzarlo su tutti i server SQL dei tuoi clienti e monitorare in caso di infezione.

Ecco il link alla politica di remediation:

https://success.solarwindsmsp.com/kb/solarwinds_n-central/Vollgar-Miner-Detection

Come sempre, non dimenticare di consultare il ricettario di automazione se sei interessato ad altre politiche di automazione, controlli di script e servizi personalizzati.

 

FONTE. Solarwinds MSP BLOG – BY Marc-Andre Tanguay è nerd capo dell’automazione. 

Traduzione N4B SRL – Distributore Autorizzato Solarwinds MSP