ITSM Round Table Software Update Management Martin Vokurek Lukáš Patka If this presentation is intended for a Workshop, slides 2, 3, 4 should remain in all PPTs. EULA was reviewed by legal for workshops. If there is a different EULA for Assessments, that should be in slide 2. © 2012 Microsoft Corporation Microsoft Confidential
SUM – Otázky k zamyšlení Proč vůbec patchovat? Jak postupovat při patchování, pokud nemáme testovací prostředí Co udělat s aktualizací, která něco rozbila Jak do patchovacího procesu zařadit systém pod zárukou Které z patchovacích oken je lepší a proč: středa 12-13, pátek 18-20, neděle 2-3 ? Jak patchovat systém, který musí být dostupný 24x7? 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Software Update Management Disciplína release managementu SUM - Cíl Software Update Management Disciplína release managementu Úkolem je … („1 – Proč patchujeme?“) 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Software Update Management Disciplína release managementu SUM - Cíl Software Update Management Disciplína release managementu Úkolem je kontrolovaně a spolehlivě udržovat službu/technologii aktuální Neomezujeme se jen na bezpečnostní aktualizace (i když…) 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Microsoft Security Intelligence Report 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Critical Security update missing 82% Proč? Critical Security update missing 82% Important Security updates missing 78 % 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Aktuálnost není priorita Strach Nesahej na to, co funguje Proč? Aktuálnost není priorita Strach Nesahej na to, co funguje Není kde testovat Plánování odstávek Nedůslednost 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Ztráta nebo krádeže dat Zneužití infrastruktury Finanční ztráty Co se může stát? Výpadky Ztráta nebo krádeže dat Zneužití infrastruktury Finanční ztráty Auditní nálezy Nekonzistence prostředí … 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Aktualizace musí být priorita Zapojte vedení Aktualizace jako služba Jak na to? Aktualizace musí být priorita Zapojte vedení Aktualizace jako služba Měření Komunikace s vlastníky systémů Plánujte nedostupnost Najděte si vhodný nástroj Strategie snižování rizik 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Software Update Management SUM Assess Identify Evaluate and Plan Deploy Software Update Management © 2012 Microsoft Corporation Microsoft Confidential
Cílové systémy Zdroje aktualizací Workflow procesu Kalendář(e) Komponenty SUM Cílové systémy Zdroje aktualizací Workflow procesu Kalendář(e) Správa výjimek Role a zodpovědnosti Nástroje Metriky 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Zmapovat konfiguraci cílových systémů Definovat strategii testování Cílové systémy Zmapovat konfiguraci cílových systémů Definovat strategii testování …(2 jak postupovat bez testovacího prostředí?) 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Zmapovat konfiguraci cílových systémů Definovat strategii testování Cílové systémy Zmapovat konfiguraci cílových systémů Definovat strategii testování Stanovit akceptační kritéria Okno pro odstávky Podporovaný HW, SW Rollback řešení – D/R procedura Definovat strategii distribuce 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Servisní mapa © 2012 Microsoft Corporation Microsoft Confidential
Component Failure Impact Analysis © 2012 Microsoft Corporation Microsoft Confidential
Proč vůbec aktualizujeme? Zdroje aktualizací Proč vůbec aktualizujeme? Bezpečnostní rizika Chyby Nová funkcionalita Odkud se aktualizace získávají? Jak často? Hodnocení Závažnost Relevance (MBSA, ACT-UCE) Zodpovědnost * Incident Management, Problem Management 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Hodnocení XYZ Rating Definition Testing Business PC's Process Control Critical Any security patch released outside the normal vendor patch cycle or a patch for a vulnerability currently being exploited (Zero-Day). Minimal Immediate Immediate (minimal interuption) Important A vulnerability whose exploitation could allow the propagation of an Internet worm without user action. Extensive The Thursday of the week following Patch Tuesday. (Nine days after Patch Tuesday) Required ASAP (At Your Discretion) Medium A vulnerability whose exploitation could result in compromise of the confidentiality, integrity, or availability of users data, or of the integrity or availability of processing resources. Low Exploitability is mitigated to a significant degree by factors such as default configuration, auditing, or difficulty of exploitation. At Your Discretion Hodnocení * Incident Management, Problem Management 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Hodnocení XYZ Rating Microsoft Rating Critical Important Medium Low Important Medium Low Moderate, Low * Incident Management, Problem Management 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Workflow procesu 12/27/2018
Workflow procesu assess, test 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Workflow procesu deploy, report 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Různé cykly pro různé služby Kalendář(e) Unifikovaný Různé cykly pro různé služby (Jak patchovat 24x7 systémy?) (Které okno je lepší, středa 12-13, pátek 18-20, neděle 2- 3?) 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Různé cykly pro různé služby Kalendář(e) Unifikovaný Různé cykly pro různé služby Pravidelný (měsíční) Řízený businessem (plánované odstávky) Intervaly pro různé priority 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Kalendář(e) © 2012 Microsoft Corporation Microsoft Confidential 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Kalendář(e) © 2012 Microsoft Corporation Microsoft Confidential 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Nezapomeňte na synchronizační a komunikační body Omezte možnosti volby data/času Ruční správa restartů Instalace v/po pracovní době Rozdělení do vln (a co nové systémy?) Kalendář(e) 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Odmítnuté aktualizace …(3 – co s problémovým fixem?) Správa výjimek Kritické aktualizace Odmítnuté aktualizace …(3 – co s problémovým fixem?) …(4 – jak na systém pod zárukou?) 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Odmítnuté aktualizace Vlastníci systémů odmítají účast Správa výjimek Kritické aktualizace Odmítnuté aktualizace Vlastníci systémů odmítají účast Jednorázové vyřazení z cyklu 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Role a zodpovědnosti 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Vlastníci/správci systémů Vlastníci vztahů s dodavateli/technické kontakty Správci distribučních nástrojů Service Desk Správci služeb Bezpečnostní manažer IT Management Role a zodpovědnosti 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Role a zodpovědnosti Patch Release Manažer Konsoliduje seznam nařízených aktualizací od bezpečnostního manažera Vytváří dokumentaci ke každému balíku aktualizací (RFC) Zajišťuje výrobu distribučních balíků z dodaného seznamu aktualizací Zajišťuje distribuci aktualizací do centrálního testovacího prostředí Iniciuje provedení základní sady testů v centrálním testovacím prostředí Sbírá výsledky testování z centrálního testovacího prostředí Vyzve administrátory segmentů k testování Sbírá výsledky testování v segmentech 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Nástroje © 2012 Microsoft Corporation Microsoft Confidential 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential
Metriky 12/27/2018
Contact Martin Vokurek Lukáš Patka www.microsoft.com/microsoftservices © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION © 2012 Microsoft Corporation Microsoft Confidential
Service Catalog Design Service Level Management Proactive Monitoring Příští kolo 13.6.2014 (pátek) Service Catalog Design Service Level Management Proactive Monitoring Desired Configuration Management 12/27/2018 © 2012 Microsoft Corporation Microsoft Confidential