leidiges Thema Patchen best Praxis

Moderator: MVogt

Post Reply
variosity
Posts: 107
Joined: 27. Nov 2008, 11:45
Location: CH-7000 Chur
Contact:

leidiges Thema Patchen best Praxis

Post by variosity » 02. Jun 2020, 17:05

Hallo Zusammen,
ich befinde mich beim Patchen in einer doch sehr blöden Lage.
Wir haben Version 19.0.3 im Einsatz und Patchen sowohl MS als auch 3rd Party SW.

Wir müssen 2 unterschiedliche Variablen Set fahren, was das ganze zu einem Desaster werden lässt.

Konfig Group ist rein SW-OS Deployment

Zuweisungsgruppen habe ich 2 Ordner:
"Staging" mit folgenden Variablen
SCANTYPE = Scan for Missing and Installed patches. Standard-Einstellung - MI
INSTALL_LAST_APPROVED_PREDECESSOR = Default Yes

"PM" mit angepasstem Fixpaket scheduled auf einen Tag
SCANTYPE = Scan for Missing and Installed patches With disregard Supersedence- MIWS
INSTALL_LAST_APPROVED_PREDECESSOR = Default Yes

Staging ist so gedacht das, das System Secure ist (leider sagt unser Secure Scanner was anders) aber es werden nicht 15 Patches mit 1.5GB installiert.

aus dem Staging wird es nach dem Stagen entfernt, damit die PM neuen Variablen ziehen, was sie leider nicht immer tun :(
Da ansonsten nur der letzte Vorgängerpatch/Service Pack installiert wird. Wenn wir aber beim 3rd Party ist Bsp. Splunk auch Version 7.3.3 wollen es aber schon 7.3.4 und 7.3.5 gibt passiert dort nichts mehr.

Leider ist es immer ein Glücksspiel wann welche Variable zieht. Mal läuft ein Server 2016 mit 60GB C:\ voll durch mal geht im der Speicherplatz aus.

Wenn man INSTALL_LAST_APPROVED_PREDECESSOR auf NO setzt, heisst das er installiert gar nichts mehr sofern es was neueres im Test gibt?

Mit INSTALL_LAST_APPROVED_PREDECESSOR hat man etwas gutes eingeführt aber mit dem letzten Vorgängerpatch das ganze nicht optimal umgesetzt. Es sei denn man kann immer alles aktuell halten wie FireFox etc. aber wo man auch andere Dinge angewiesen ist, hilft es nicht.

Gibt es eine Möglichkeit der Einstellung, installiere alle letzten Patches aus deiner zugewiesenen Patchklasse, auch wenn im Test etwas neues gibt?

Wir werden gezwungen sein Test automatisch freigeben zu können, aber Produktion manuell in eine 2. Klasse rüber zu kopieren damit wir das Ergebnis bekommen was wir brauchen.

Quasi PMTest "include" alle neuen Patches + 3rd Party welche Version wir gerne hätten. 2. Patchklasse PMPRD "include" nach der Testphase alles in PMTEST markieren und in PMPRD zuweisen.
In unserem Clientumfeld ist das leider schon Praxis.

somit ist man vom Automatisieren wieder weg und ein + Punkt für WPM fällt weg :(
Gruss und Dank
Heiko
WPM v21.0.3 UEM 2108.1.2 SFR

Bank on IT - inventx
IT-Partner für führende Finanz- und Versicherungsdienstleister

variosity
Posts: 107
Joined: 27. Nov 2008, 11:45
Location: CH-7000 Chur
Contact:

Re: leidiges Thema Patchen best Praxis

Post by variosity » 10. Jun 2020, 17:34

Ich habe das nochmals getestet, auch wenn nur ein einziger Splunk patch freigegeben ist wird dieser nicht installiert sofern nicht
SCANTYPE = Scan for Missing and Installed patches With disregard Supersedence- MIWS
eingestellt ist, er guckt nach vorhandenen Patches in der DB nicht nach Approved, nicht nach dowload. Da es mittlerweile Version 8 gibt würde nicht einmal der letzte 7er Patch installiert werden. :(
Gruss und Dank
Heiko
WPM v21.0.3 UEM 2108.1.2 SFR

Bank on IT - inventx
IT-Partner für führende Finanz- und Versicherungsdienstleister

mschwarzer
Posts: 108
Joined: 20. Mar 2012, 16:37
Contact:

Re: leidiges Thema Patchen best Praxis

Post by mschwarzer » 30. Jun 2020, 15:04

Wir sind zwar in einer ähnlichen Situation (Patchen MS und 3rd Party) aber ich ich verstehe bei deinem Thread nicht wirklich was du genau machst und vorhast.

variosity
Posts: 107
Joined: 27. Nov 2008, 11:45
Location: CH-7000 Chur
Contact:

Re: leidiges Thema Patchen best Praxis

Post by variosity » 18. Sep 2020, 10:55

Hoi
sorry für die späte Rückmeldung. Als Bsp. im Bereich Splunk gibt es 5 offene Patches für meine Version.
Vers. 1.1
Vers. 1.2
Vers. 1.3
Vers. 1.4
Vers. 1.5
Ich darf aber nur ich darf aber 1.2 installieren, sofern ich nicht Fullpatchen also jeden einzelnen offenen einstelle, installiert er nicht da er nur den aktuellen und einen davor installieren darf. Also würde er nur 1.4 und 1.5 installieren.
Gruss und Dank
Heiko
WPM v21.0.3 UEM 2108.1.2 SFR

Bank on IT - inventx
IT-Partner für führende Finanz- und Versicherungsdienstleister

Post Reply

Return to “Patch Management”

Who is online

Users browsing this forum: No registered users and 9 guests