winlicli
Goto Top

Bestimmte Server nicht updaten lassen

Hallo zusammen,

da ich im Betrieb oft höre, dass Server die vor allem Datenbanken und ähnliche sensible Technologien hosten nicht geupdatet werden sollen,
frage ich mich, wie man dies sauber und elegant lösen kann, dass diese bestimmten Server keine Updates erhalten sollen.

Damit möchte man das Risiko vermeiden, dass sich plötzlich im System was ändert und die Datenbank nicht mehr korrekt funktioniert.

Wir haben Datenbanken auch auf dem Windows Server 2012R2.

Änderung in der Reg? Eigene GPO für diese bestimmten Server? Einfach keine Updates installieren lassen und keinen Reboot machen?

Wie habt ihr das gelöst, dass empfindliche Systeme nicht geupdatet werden?

Hoffe auf Tipps.

Lg

Content-Key: 330670

Url: https://administrator.de/contentid/330670

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: kaiand1
kaiand1 27.02.2017 um 17:03:03 Uhr
Goto Top
Nun da die ganzen Clients,Server ja auch in der Domaine sind kannst du dies ja per Wsus Server steuern welche Gruppe Updates bekommen sollen sowie auch welche Updates ausgelassen werden.
Dazu hat man für solche Systeme auch Redudante Server wo du das Update Testen kannst ob alles Problemlos danach läuft oder halt nicht.
Ein Testsystem,VM würde diesbezüglich ja auch gehen.
Alles auf Autoupdate stehen zu haben ist Riskant da ja schon öfters Fehlerhafte Updates vom Hersteller rausgegeben wurde...
Mitglied: Dani
Dani 27.02.2017 um 19:04:32 Uhr
Goto Top
Moin,
da ich im Betrieb oft höre, dass Server die vor allem Datenbanken und ähnliche sensible Technologien hosten nicht geupdatet werden sollen,
das hängt doch in erster Linie davon ab, wie a) kritisch die Anwendung ist b) läuft die Anwendung selbst als Cluster c) ist der Hypervisor ebenfalls redudant ausgelegt. Unabhängig davon werden heute fast täglich Sicherheitslücken publik gemacht. Je nach Unternehmensgröße stelle schon das Intranet eine Gefahrenpotenzial dar. Daher halte ich inzwischen von dem Spruch "Never Touch a running system" nichts mehr.

Wie habt ihr das gelöst, dass empfindliche Systeme nicht geupdatet werden?
Das gibt es bei uns nicht mehr. Wir haben ein Lab, welches regelmäßig von der Produktivumgebung gespiegelt wird. Das neue Update wird zuerst dort eingespielt. Keyuser können anschließend diverse Tests durchführen. Ist alles in Ordnung und keine Mängel gefunden, werden alle beteiligen Softwarehersteller angeschrieben und um Stellungnahme (Tests, Erfahrungsberichte) gebeten. Anschließend wir eine Risikobewertung durchgeführt und ein Wartungsfenster (meist sonntags) für die Installation auf den produktiven Systemen beantragt.


Gruß,
Dani
Mitglied: wiesi200
wiesi200 27.02.2017 um 19:21:35 Uhr
Goto Top
@Dani
Nur so aus Neugier, passiert das bei euch mit den Tests bei jedem Sicherheitsupdate oder nur bei Service Packs?
Mitglied: StefanKittel
StefanKittel 27.02.2017 um 19:33:51 Uhr
Goto Top
Hallo,

Du kannst das Thema Updates nicht einfach totschweigen.
Obwohl viele Hersteller das probieren.

Allerdings ist der Aufwand recht groß.
In einer Test-Umgebung alle Updates auf dem Server und Clients testen und erst dann auf dem Live-Systemen installieren.

Es ist immer eine Frage des Verhältnisses.
Wenn 500 PCs nicht mehr gehen weil man keinen Bock hatte ein Update zu testen ist das schlecht.
Auf der anderen Seite ist es sehr aufwendig und einige Dinge kannst Du im Test-Labor nicht finden.

Man sollte sich irgendwo dazwischen bewegen.

Stefan
Mitglied: WinLiCLI
WinLiCLI 28.02.2017 um 08:54:55 Uhr
Goto Top
Danke für eure Antworten.

@Dani

Macht ihr das nach jeder Update Rolle?
Mitglied: Dani
Dani 28.02.2017 um 19:08:24 Uhr
Goto Top
Moin,
Macht ihr das nach jeder Update Rolle?
Update Rolle?

Nur so aus Neugier, passiert das bei euch mit den Tests bei jedem Sicherheitsupdate oder nur bei Service Packs?
Inzwischen bei allem. Es wird natürlich gerade bei Microsoft Patchday versucht, so viel wie möglich auf einmal zu erschlagen. Es hat sich leider gezeigt, dass das QM bei vielen Herstellern mehr und mehr vernachlässig wird.


Gruß,
Dani