NWC Services Blog
Design Pattern for DSM APM 2014
Mit DSM 2014 wurden erstmals die Begriffe "Patch Kategorien" und "Patch Rollout Rules" eingeführt. Um diese neuen Konzepte zu verstehen, ist ersteinmal einiges herumprobieren notwendig. Der folgende Designvorschlag soll den Einstieg in dieses mittlerweile komplexe Thema erleichtern. Es wird folgend ausschliesslich auf die Konfiguration dieser neuen Features eingegangen. Für die vollständige Konfiguration von APM im jeweiligen DSM Umfeld müssen noch diverse weitere Dinge (Installationsreihenfolge von Patchen in Bezug auf Softwarepakete, Definition der Patchziele, Rolloutzyklen, Zusammenarbeit mit WSUS, etc.) betrachtet werden.
Anforderungen (Definition eines klassischen Szenarios):
- Es sollen Windows Server, Windows Terminal Server und Windows Workstations mit Patchen versorgt werden.
- Für jede dieser Gruppen sollen möglichst nur die Patche zugewiesen werden, die für die jeweilge Plattform notwendig sind um die Anzahl der zu verwaltenen Policies pro Plattform möglichst gering zu halten.
- Für jeden Client (aus Sicht DSM sind Server und Workstations als "Clients" zu betrachten) muss die Wahlmöglichkeit bestehen, zwischen einem reinem "Security Patching" und ein "vollen Patching" zu wählen (Da man nicht-kritsche Patche ggf. einer längeren Testphase unterzieht).
- Einzelne Produkte sollen aus dem Patch Vorgang komplett ausgeschlossen werden.
- Es sollen nur Patche ausgerollt werden, die vollständig heruntergeladen sind und nicht durch neuere Patche ersetzt wurden.
- Manuelle Veränderungen an Produkten (z.B. Konfiguration des Adobe Readers) dürfen nicht durch ein APM Paket "zerstört" werden.
- Weiterhin soll der Rollout von Patchen in der Produktion (nach einer angemessenen Testphase) bewußt manuell gestartet werden.
Umsetzung:
- Erstellen der Patch Kategorien "Workstations", "Server" und "Terminal Server". Als Filter wird die Patch Paket Eigenschaft "Product Family" verwendet und alle Produkte angewählt, die für die jeweilge Zielplattform wichtig sind. Hier ist es entscheidend, dass diese Produktauswahl regelmäßig auf Aktualität überprüft wird (-> Outlook Erinnerung).
- Erstellen einer Patch Kategorie "Download incomplete" in der auf die Patch Paket Eigenschaft "Download State" abgefragt wird. Es werden die Werte "Download Pending" und "Not selected" aufgenommen.
- Erstellen einer Patch Kategorie "Not released" in der auf die Software Eigenschaft "Release Status" abgefragt wird. Es werden die Werte "Under construction" und "retired" aufgenommen.
- Erstellen einer Patch Kategorie "Superseeded" in der auf die Patch Paket Eigenschaft "Superseeded" abgefragt wird. Es wird der Wert "Yes" aufgenommen.
- Erstellen einer Patch Mangement Regel mit folgenden Eigenschaften:
- Name = "Workstation - Security Updates - Pilot"
- IsActive = true
- Action = Download & Assign
- Policy Targets = Ein Ziel (Gruppe/Container) das alle Workstations umfasst die als Pilot Clients für Security Updates dienen (i.d.R. eine dynamische Gruppe aufgrund einer Schemaerweiterung)
- Show advanced options = Yes
- Included Patch Categories = Patch Kategorie für Workstations
- Excluded Patch Categories = "Disabled Products", "Download incomplete", "Not released", "Superseeded"
- Classification = "Critical Updates", "Microsoft Security Updates", "Non Microsoft Security Updates"
- Severities = Nach Bedarf (Vorschlag: "Serious", "Critical")
- Activate Policy = True
- Policy Offset = Nach Bedarf
- Languages = Je nach Policy Ziel Definition (Bei Sprachbezogenen Patchen macht der Einsatz von Patch Templates Rules und Sprachbezogenen Zielen Sinn, wenn möglich sollte man diesen Grad von Komplexität aber eher vermeiden)
- Die Schritte aus Punkt 5 werden für Server und Terminal Server mit den je dazugehörigen Patch Kategorien wiederholt. Es werden insgesamt also die folgenden Rollout Rules generiert:
- Workstation - Security Updates - Pilot
- Server - Security Updates - Pilot
- Terminal Server - Security Updates - Pilot
- Die Schritte aus Punkt 5 werden nocheinmal für alle drei Zielpattformen wiederholt, diesmal wird bei Classification und Severity aber alles zugelassen und ein Ziel definiert, was alles Clients umfasst die voll gepatched werden sollen. Dabei werden die folgenden Rollout Rules generiert:
-
Workstation - Full Updates - Pilot
-
Server - Full Updates - Pilot
-
Terminal Server - Full Updates - Pilot
-
- Nun werden 6 weitere Rollout Rules (wie in Punkt 6 & 7) angelegt, die über die identischen Eigenschaften verfügen wie in Punkt 5 definiert. Die Eigenschaft "Activate Policy" ist nun aber auf "false" gesetzt. Dies führt dazu, dass die Policies die durch diese Regel erstellt werden, grundsätzlich inaktiv sind und manuell aktivert werden müssen.
- Workstation - Security Updates - Production
- Server - Security Updates - Production
- Terminal Server - Security Updates - Production
- Workstation - Full Updates - Production
- Server - Full Updates - Production
- Terminal Server - Full Updates - Production
- Für alle Produkte bei denen weitere Anpassungen durchgeführt werden müssen (z.B. Adobe Reader), wird eine Patch Kategorie erstellt und mit einem Patch Template verknüpft, das alle Produktspezifischen Anpassungen enthält.
- Zu empfehlen ist, nach der Synchronisation alle Patche zu markieren und die Eigenschaft "Automatic Patch Assigment" auf "Always" zu setzen um auch bei Änderung der Ziele (oder der Rollout Regeln) neue Policies zu erhalten. Anmerkung: Multiselect ist ein wenig mühsam in der DSMC, hier emfiehlt sich der Einsatz von PSX.
Dieses gesamte Vorgehen kann/muss nun mit bestehenden Konzepten kombiniert werden. Wie schon zuvor erwähnt, soll dies keine Schritt-für-Schritt Anleitung für die Integration von APM darstellen, sondern einem ersten Ansatz zeigen und ein schnelleres Verständnis für die neuen Funktionen von APM fördern.
When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.
Kommentare