Continuando la nostra conversazione dalla prima parte di questa serie , programmare il patching può essere una vera sfida. Per farlo, è necessario gestire un gran numero di dispositivi diversi, destreggiarsi tra disponibilità, rispettare una serie di criteri e bilanciare la protezione dell’ambiente con la soddisfazione dei clienti.

In questo blog, tratteremo i seguenti elementi delle attività del processo di patching e come programmarli:

  • approvazione delle patch (manualmente o automaticamente)
  • installazione di patch
  • riavvio dopo l’applicazione di patch

Approvazione delle patch 

Esistono diversi modi per approvare le patch. Sebbene non sia spesso un processo pianificato, ecco alcuni dei modi più comuni in cui vediamo gli MSP approvare le patch:

  • manualmente ogni giorno / settimana / mese
  • automaticamente
  • automaticamente quando vengono rilevati e il resto è manuale
  • automaticamente con un ritardo (se l’RMM lo consente) e il resto è manuale

Nota: alcuni modi per approvare le patch potrebbero essere o non essere disponibili nella piattaforma RMM, ma l’idea generale è la stessa indipendentemente dalla piattaforma utilizzata.

La maggior parte dei clienti con cui parlo approvare le patch è ingombrante. Nessuno ha il tempo di leggere su ogni patch per determinare se vogliono installarlo o meno. Inoltre, quasi nessuno ha il tempo di testare le patch una per una.

Quindi cosa dovresti fare? È comune approvare manualmente tutte le patch. Se questo funziona per te, fallo almeno una volta alla settimana a causa del crescente numero di patch fuori banda che Microsoft continua a rilasciare. Ti consiglio inoltre di approvare e installare automaticamente gli aggiornamenti delle definizioni per Microsoft Defender (l’antivirus gratuito (AV) incorporato di Microsoft) nel caso in cui il tuo cliente lo utilizzi.

Se si desidera approvare automaticamente alcune patch (con o senza ritardo), le persone in genere approvano automaticamente la sicurezza e le patch critiche. Probabilmente dovrai approvarli a prescindere, quindi potresti anche risparmiare tempo e approvarli automaticamente. È quindi possibile rivedere il resto manualmente.

Infine, alcuni partner approvano automaticamente tutto. Questo può essere aggressivo ma se funziona per te, allora fantastico.

Sia che approvi le patch manualmente o automaticamente, prova ad aderire a questi tre principi:

  • Non lasciare le patch non approvate: approvale, rifiutale o impostale come ignorate per assicurarti di avere un rapporto pulito e una dashboard
  • Fallo spesso: controlla almeno una volta alla settimana: il mercoledì è di solito un buon giorno poiché la maggior parte delle patch esce martedì
  • Scrivi una procedura standard: una procedura standard consente a chiunque nel tuo team di fare l’approvazione / il rifiuto in modo affidabile e coerente poiché il processo rimane lo stesso

Installazione di patch

Questo è un altro che ha alcune idee sbagliate. Molte persone dicono di poter installare patch solo di notte nei fine settimana, ma quando vedi mai un laptop acceso di notte durante un fine settimana? se sei come me, il tuo laptop è in una borsa a casa e si è spento il sabato sera.

Fortunatamente, le installazioni di patch odierne non si comportano come una volta. Ai vecchi tempi, vedevamo che le patch erano dirompenti, causavano l’arresto anomalo dei programmi mentre sostituivano i file bloccati e generalmente causavano danni in altri modi. Di recente, le patch sono diventate molto più stabili, richiedendo quasi sempre un riavvio in seguito, quindi la patch può essere installata senza interruzioni poiché non avrà effetto fino al riavvio.

Per questo motivo, posso consigliare di installare patch sui desktop durante il giorno. Se la soluzione di monitoraggio e gestione remota (RMM) la supporta, è possibile eseguire le patch settimanalmente in un giorno a scelta e impostarle per la patch al successivo riavvio del dispositivo nel caso in cui manchi la finestra. È possibile installare patch ogni giorno alle 11:30 (intorno all’ora di pranzo in modo da ridurre al minimo potenziali interruzioni) e installarlo in seguito se l’utente è in viaggio o offline.

Se non ti senti a tuo agio o devi farlo in un momento specifico, segui il tuo processo e la tua procedura per assicurarti di essere in grado di installare patch in modo efficace ed efficiente.

Dal momento che i server sono sempre aperti, l’applicazione di patch nel fine settimana è in genere la migliore. Se hai server in cluster o in gruppi (come avere due controller di dominio) esegui prima uno. Al termine e riavviato, fai l’altro. Ciò minimizzerà eventuali tempi di fermo.

Riavvio

Il riavvio è complicato in quanto influenzerà l’utente. Negli ultimi anni, Microsoft ha introdotto cose come l’avvio rapido e l’ibernazione, il che significa che gli utenti pensano di aver riavviato i loro computer quando in realtà non lo hanno fatto. Poiché la maggior parte delle patch in questi giorni richiede il riavvio, la patch non avrà effetto fino al completo riavvio del dispositivo. Ciò significa che la vulnerabilità di sicurezza che corregge continuerà a essere una vulnerabilità fino a un giorno o una settimana dopo (ogni volta che il dispositivo si riavvia in seguito). Quindi è importante pianificare correttamente il riavvio delle patch.

Per contrastare questo problema, è possibile pianificare un riavvio forzato una volta alla settimana di notte se i dispositivi sono in genere online. Tuttavia, questo non funziona molto bene nella mia esperienza. Per questo motivo, raccomando un paio di altre opzioni. Innanzitutto, è possibile monitorare quanto tempo è trascorso dall’ultimo riavvio e utilizzare un popup automatico per ricordare all’utente di riavviare. In alternativa, è possibile eseguire un riavvio durante il giorno (al mattino presto, a pranzo o alla fine della giornata lavorativa dell’utente). A seconda delle capacità del tuo RMM, puoi consentire loro di ritardare il riavvio, vedere un avviso popup (o meno) o annullarlo.

Come puoi vedere, il patching non è molto complicato da pianificare, ma i partner possono farlo in vari modi. Spero che questa scomposizione possa aiutarti a pensare a come farlo all’interno della tua attività o come migliorare il tuo processo attuale.

Come sempre, non dimenticare di consultare il Cookbook di automazione su www.solarwindsmsp.com/cookbook se sei interessato ad altre politiche di automazione, controlli degli script e servizi personalizzati.

FONTE: Solarwinds MSP BLOG – BY Marc-Andre Tanguay è nerd capo dell’automazione.

Traduzione N4B SRL – Distributore Autorizzato Solarwinds MSP