On Thursday 27 May 2004 03:31, Peter Ross wrote: > On Wed, 26 May 2004, Ralph Angenendt wrote: > > Ich habe herausgefunden, dass 100% aller infizierten > > Desktops geschuetzt gewesen waeren, haette man den passenden > > Patch rechtzeitig eingespielt > > ... > > > Dass das in grossen Firmen nicht immer moeglich ist, ist mir > > auch klar. > > Warum nicht?
1. Maschinen sind zum Zeitpunkt des Patchens nicht im Netz. Insbesondere unsere Vertriebler sind l�ngere Zeit nicht im Hause, sondern mit ihren Notebooks unterwegs. Notebooks zu patchen, oder den Patchstand auf Notebooks zu verifizieren, soda� man auch nur Aussagen �ber den Stand solcher Kisten machen kann, ist ein sehr gro�es Problem. Dazu kommt, da� gerade die Eigent�mer solcher Kisten oft nicht die notwendige Ausbildung haben, um die Sicherheit solcher Kisten beurteilen zu k�nnen. Nein, es ist nicht leicht, denen das beizubringen, die haben vollkommen andere Priori�ten. 2. Maschinen sind zum Zeitpunkt des Patchens nicht im Netz. Insbesondere unsere QS-Pl�tze sind entweder n-fach Multiboots mit einer ganzen Reihe von installierten Betriebssystemen, oder n-fach Vmwares mit einer ganzen Reihe von Images. Patchen bedeutet hier, da� f�r diese Kisten ein neues Images gemacht wird, und dieses Image dann auf die Platten der Multiboots gebraten wird. Vorzugsweise dann, wenn nicht gerade ein Onlinegang ansteht und die QS deswegen auf den Dingern rund um die Uhr rumr�delt, sondern nachdem die QS f�r einen Onlinegang fertig ist. Wenn ich w�hrend eines QS-Session das Image patche, wird die QS-Session ung�ltig und die Jungs m�ssen im Prinzip von vorne anfangen. 3. Maschinen sind zu keinem Zeitpunkt Teil unseres Netzes. F&E und QS haben eine Reihe von Pl�tzen, die nicht Teil des Firmennetzes sind, sondern isoliert stehen und sich wie Kundenrechner mit ISDN oder DSL von au�en an unsere Dienste (oder Prelives) connecten. Diese Kisten sind automatisierten Managementmethoden gar nicht zug�nglich (siehe das Kapitel oben �ber Images, diesmal aber �ber DVD anstatt �ber Netz, damit es noch �tzender wird, die Dinger zu pflegen). Auch hier kann nur in bestimmten Wartungswindows gepatched werden, aus denselben Gr�nden wie bei den QS Multiboots. Und das sind nur die Beispiele, die mir sofort einfallen. > Merkwuerdig, dass die meisten Leute "gross" mit > "durcheinander" verwechseln. Dabei zwingen gerade groessere > Mengen zu strukturiertem Arbeiten. Struktur ist ein Punkt, der ist auch gro�fl�chig gegeben. Das hilft Dir aber nicht, wenn die betreffenden Systeme nicht anwesend sind -> mobile Devices, wenn sie nicht ver�ndert werden d�rfen -> Reproduzierbarkeit w�hrend Testzeitr�umen, oder wenn sie gar nicht Teil der Struktur sind -> externe Ger�te. Kristian -- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
