Questa serie di blog in due parti esamina alcune delle migliori pratiche per il patching, combinando ciò che di solito consigliamo e ciò che vediamo fare i nostri partner di successo. Mentre questa serie di blog esamina le migliori pratiche per l’applicazione di patch, se desideri informazioni più specifiche su come implementarle nella tua azienda, pubblicheremo corsi per SolarWinds ® RMM e N-central ® nel prossimo futuro.

Gli aggiornamenti di Windows sono un punto fermo per tutti i provider di servizi gestiti (MSP). Di conseguenza, questo processo spesso richiede molto tempo o è facilmente trascurato. In entrambi i casi, può creare problemi per gli MSP, ma non deve essere un grosso problema.

Nella maggior parte delle piattaforme di monitoraggio e gestione remota (RMM) il patching è flessibile, facile da usare e può essere configurato una volta per la maggior parte o per tutti i dispositivi (anche se il tempo necessario può variare in base alla piattaforma RMM in uso).

Ho scoperto che i partner gestiscono le patch in diversi modi. Oggi suddivideremo il processo in cinque fasi principali e le documenteremo separatamente:

  1. Trovare nuove patch
  2. Approvazione delle patch per l’installazione
  3. Download delle patch
  4. Installare le patch
  5. Riavvio del computer

Tratteremo le prime tre fasi nella prima parte della serie di blog e tratteremo le fasi quattro e cinque nella seconda parte.

1 – Trovare nuove patch

Rilevare nuove patch è la prima fase. A seconda del tuo strumento RMM, potresti avere la possibilità di rilevare patch ogni volta che lo desideri in base a una pianificazione personalizzata o potresti essere costretto a una pianificazione fissa.

Ecco alcune delle cose che vediamo in genere fare dai nostri partner se hanno la flessibilità di personalizzarlo:

  • controllare più volte al giorno (anche ogni ora)
  • controllare quotidianamente
  • controllare alcune volte a settimana o settimanalmente
  • controllare ogni mese o trimestre, ogni volta che intendono farlo

Il rilevamento è qualcosa che potresti voler fare secondo un programma diverso a seconda delle tue esigenze e in base ai dispositivi. Se torniamo indietro di qualche anno, il rilevamento delle patch di Windows XP e Windows 7 era abbastanza intenso per la CPU, quindi era preferibile applicare patch meno frequentemente. Da Windows 8, il rilevamento delle patch è diventato molto più efficiente e di solito non si nota all’utente finale, quindi eseguirlo più frequentemente non è un problema.

Il mio consiglio personale è di rilevare quotidianamente sul desktop e due volte alla settimana o quotidianamente sui server. Alcune persone diranno che questo è eccessivo. Ma con Microsoft che rilascia sempre più aggiornamenti al di fuori del programma delle patch di martedì, un controllo giornaliero ti consentirà di rilevare nuove patch non appena vengono rilasciate. Ciò consente anche di rilevare patch su dispositivi che non sono spesso online.

2 – Approvazioni di patch

Gli approcci all’approvazione delle patch variano ampiamente. Ecco alcuni approcci che abbiamo visto:

  • Approvare manualmente tutte le patch
  • Approvare automaticamente le patch di sicurezza e critiche e altre manualmente
  • Approvare automaticamente tutte le patch

In uno qualsiasi degli scenari precedenti, i tecnici rifiutano gli aggiornamenti dell’unità, li approvano o ne approvano alcuni.

Sapendo questo, è difficile raccomandare un modo unico per andare avanti. Tuttavia, molte persone approvano automaticamente gli aggiornamenti critici e di sicurezza e approvano manualmente diverse altre patch. Mentre molti MSP rifiutano i driver, in genere non consiglio questa pratica poiché i driver spesso contengono correzioni di sicurezza molto importanti.

Se il tuo RMM lo supporta, puoi scegliere di impostare un’approvazione ritardata, che è anche consigliata. Significa che puoi approvare le patch e installarle un minimo di “X” giorni dopo averle scoperte. Raccomandiamo di ritardare l’approvazione sulla maggior parte dei dispositivi. In questo modo permetti ai primi uccelli di ottenere patch il primo giorno e segnalare eventuali bug, dando a Microsoft e terze parti il ​​tempo di estrarre la patch se non funziona e dandoti il ​​tempo di rifiutarla manualmente se lo desideri.

Se si dispone di un gruppo di test, probabilmente il gruppo di test non dovrebbe ritardare le approvazioni, quindi gli aggiornamenti si installano il più rapidamente possibile.

Con l’approvazione manuale, sento spesso che le persone li approvano a mano. Ma a un’analisi più approfondita, le stesse persone semplicemente approvano tutto – o quasi tutto – dando un falso senso di controllo sul processo. Se è quello che fai, potresti prendere in considerazione la possibilità di approvare automaticamente alcuni o tutti loro per risparmiare il tempo di premere il pulsante per approvarli.

Consiglio ancora di leggere gli aggiornamenti ogni mese da un esperto del settore come il nostro secchione di sicurezza Gill Langston per assicurarti di sapere quali aggiornamenti stanno venendo fuori e cosa potresti voler ritardare, installare immediatamente o rifiutare.

3 – Download delle patch

Il download delle patch di solito viene eseguito in anticipo. La maggior parte delle piattaforme RMM supportano le patch di pre-download in un momento opportuno, sia sul dispositivo finale che su un dispositivo centrale per ridurre al minimo la larghezza di banda sulla rete del cliente.

Se l’RMM lo supporta, utilizzare un dispositivo centrale (sonda) per scaricare le patch una volta per sito. Negli ultimi anni, alcune patch hanno superato i 4 GB, quindi memorizzarle nella cache centralmente può fare la differenza su un sito con 100 dispositivi.

Quindi, considera quando vuoi pre-scaricare. Alcuni RMM verranno scaricati non appena saranno approvati, ma se l’RMM supporta la pianificazione, prova a pianificare durante i tempi di consumo più bassi, come di notte, che di solito è al di fuori delle finestre di backup e dell’utilizzo di rete massimo.

Mentre abbiamo trattato molte informazioni, ci sono ancora altre best practice da seguire, quindi rimanete sintonizzati per il mio prossimo articolo. Tratteremo dell’installazione di patch, il riavvio dei dispositivi finali e il monitoraggio e la creazione di report sulle patch.

Se hai creato una politica di automazione e desideri condividerla con la community, non esitare a scrivermi a marcandre.tanguay@solarwinds.com . 

Come sempre, non dimenticare di consultare il ricettario di automazione su www.solarwindsmsp.com/cookbook se sei interessato ad altre politiche di automazione, controlli degli script e servizi personalizzati.

Marc-Andre Tanguay è Head Automation Nerd. Puoi seguirlo su Twitter all’indirizzo  @automation_nerd

FONTE: Solarwinds MSP BLOG – Traduzione N4B SRL Distributore Autorizzato Solarwinds MSP