Re: [FYI] Sasser had minor impact: survey
On Thursday 27 May 2004 03:31, Peter Ross wrote:
> On Wed, 26 May 2004, Ralph Angenendt wrote:
> > Ich habe herausgefunden, dass 100% aller infizierten
> > Desktops geschuetzt gewesen waeren, haette man den passenden
> > Patch rechtzeitig eingespielt
>
> ...
>
> > Dass das in grossen Firmen nicht immer moeglich ist, ist mir
> > auch klar.
>
> Warum nicht?
1. Maschinen sind zum Zeitpunkt des Patchens nicht im Netz.
Insbesondere unsere Vertriebler sind längere Zeit nicht im Hause,
sondern mit ihren Notebooks unterwegs. Notebooks zu patchen,
oder den Patchstand auf Notebooks zu verifizieren, sodaß man
auch nur Aussagen über den Stand solcher Kisten machen kann, ist
ein sehr großes Problem.
Dazu kommt, daß gerade die Eigentümer solcher Kisten oft nicht
die notwendige Ausbildung haben, um die Sicherheit solcher
Kisten beurteilen zu können. Nein, es ist nicht leicht, denen
das beizubringen, die haben vollkommen andere Prioriäten.
2. Maschinen sind zum Zeitpunkt des Patchens nicht im Netz.
Insbesondere unsere QS-Plätze sind entweder n-fach Multiboots mit
einer ganzen Reihe von installierten Betriebssystemen, oder
n-fach Vmwares mit einer ganzen Reihe von Images. Patchen
bedeutet hier, daß für diese Kisten ein neues Images gemacht
wird, und dieses Image dann auf die Platten der Multiboots
gebraten wird. Vorzugsweise dann, wenn nicht gerade ein
Onlinegang ansteht und die QS deswegen auf den Dingern rund um
die Uhr rumrödelt, sondern nachdem die QS für einen Onlinegang
fertig ist.
Wenn ich während eines QS-Session das Image patche, wird die
QS-Session ungültig und die Jungs müssen im Prinzip von vorne
anfangen.
3. Maschinen sind zu keinem Zeitpunkt Teil unseres Netzes.
F&E und QS haben eine Reihe von Plätzen, die nicht Teil des
Firmennetzes sind, sondern isoliert stehen und sich wie
Kundenrechner mit ISDN oder DSL von außen an unsere Dienste
(oder Prelives) connecten. Diese Kisten sind automatisierten
Managementmethoden gar nicht zugänglich (siehe das Kapitel oben
über Images, diesmal aber über DVD anstatt über Netz, damit es
noch ätzender wird, die Dinger zu pflegen). Auch hier kann nur
in bestimmten Wartungswindows gepatched werden, aus denselben
Gründen wie bei den QS Multiboots.
Und das sind nur die Beispiele, die mir sofort einfallen.
> Merkwuerdig, dass die meisten Leute "gross" mit
> "durcheinander" verwechseln. Dabei zwingen gerade groessere
> Mengen zu strukturiertem Arbeiten.
Struktur ist ein Punkt, der ist auch großflächig gegeben. Das
hilft Dir aber nicht, wenn die betreffenden Systeme nicht
anwesend sind -> mobile Devices, wenn sie nicht verändert werden
dürfen -> Reproduzierbarkeit während Testzeiträumen, oder wenn
sie gar nicht Teil der Struktur sind -> externe Geräte.
Kristian
--
To unsubscribe, e-mail: debate-unsubscribe@xxxxxxxxxxxxxx
For additional commands, e-mail: debate-help@xxxxxxxxxxxxxx