Elke werkdag behandelt Computable een onderwerp waarover lezers kunnen discussiëren. Vandaag over het komende einde van Microsofts Patch Tuesday. Windows 10 krijgt constant updates.
Microsoft zet een punt achter zijn maandelijkse patchrondes, nadat het al de vooraankondiging ervan heeft stopgezet. Patch Tuesday doet al sinds eind 2003 dienst voor het regelmatig uitbrengen van updates en bugfixes voor Microsoft-producten. Met ingang van Windows 10 is Patch Tuesday niet meer. In plaats daarvan krijgt de volgende versie van Windows constant updates, zodra Microsoft die af heeft. Windows-topman Terry Myerson spreekt van een ‘gestage stroom aan innovatie’ die dan elke maand komt gedurende de dagen van die maand.
Beheerders krijgen nog wel de optie om een soort van patchdag aan te houden. Hiervoor moeten zij de update-instellingen van Windows zetten op de ‘langzame ring’. Daarbij krijgen ze updates (inclusief patches) in een minder hoog tempo binnen dan bij de ‘snelle ring’. De technische previews van Windows 10 ontvangen updates via ditzelfde systeem. Patch Tuesday was ooit handig voor beheerders om overzicht te hebben, maar de (in)securitypraktijk van nu maakt het onhandig. Wat vind jij?
Het vraagt om een andere manier van beheer je zult niet meer periodiek maar dagelijks moeten controleren op updates of alerts laten afgaan.
Voor een beheerder lijkt het mij handig om controle te houden op de flow aan updates. Je wilt immers een stabiele infrastructuur waarbij de impact van de patches en updates getest en goedgekeurd zijn alvorens deze beschikbaar te maken en/of te deployen binnen de IT-omgeving.
Probleem is de frequente herstarts die je moet uitvoeren na het doorvoeren van de updates. Om de impact op de productieomgeving zo klein mogelijk te houden voer ik die veelal ’s avonds laat uit. Probleem is dan weer dat de back-up dan ook gaat lopen en ik dus heel voorzichtig tussen alle tijdwindows moet manoeuvreren.
Overigens is het frustrerend dat ik op de een of andere manier voor mijn W2012-servers geen meldingen meer krijg DAT er updates klaar staan om geïnstalleerd te worden. Iemand enig idee hoe en waar ik dat eenvoudig kan controleren?
Wolter stelt dat dit een andere manier van beheer vraagt, grappig dat definitie hiervan – zoals ik eerder al stelde – het in operationele staat brengen en houden betekent. Aanbrengen van patches, zeker als het nieuwe functionaliteiten betreft, is een vorm van wijzigingsbeheer en ergens heb ik het idee dat Microsoft zich met dit soort plannen diskwalificeert als serieuze ‘Enterprise’ oplossing als we kijken naar discussie aangaande Windows XP doordat kosten van verandering nu eenmaal hoog zijn. Een gestage stroom aan innovatie klinkt als ‘Continuous Delivery’ wat dus problemen oplevert met ‘Continuous Integration’ als we overwegen dat meeste omgevingen hybride zijn, hiermee bedoel ik dat er meestal geen sprake is van een single-vendor beleid.
Deze zin: “Windows-topman Terry Myerson spreekt van een ‘gestage stroom aan innovatie’ die dan elke maand komt gedurende de dagen van die maand” geeft een voor beheerders ongewenste flow aan.
Patches, fixes voor (beveiligings)problemen wil je zo snel mogelijk hebben. Innovaties, het toevoegen van functionaliteit, heeft voor beheer geen prioriteit.
Voor alles, dus patches en innovatie, wil je zelf het installatiemoment bepalen, nadat je op basis van de documentatie de impact hebt bepaald.