Mikkisofta, taas.

[Gearloose]

Mikkisoftan uusimmat tietoturvapäivitykset nollaavat ainakin 2003 DC koneen RPC-porttirekisteriasetukset oletuksiin... Voi helvetti. Viikon verran meni aikaa löytää syy domainien välisillä oikeusdelegoinneilla toteutetun Exchangen autentikointiongelmiin. :jaska: :nope: Mua ei juurikaan kiitelty näin puheenjohtajuuskauden alussa. :frown:

 

[ervi]

Näin jälkiviisaana voitaisiin sanoa ettei palvelimiin kannata asennella ihan uusimpia eikä edes niitä toiseksi uusimpia päivityksiä ennen kuin tulee ensikäden tietoa käyttäjiltä

 

[OoPee]

Näin jälkiviisaana voitaisiin sanoa ettei palvelimiin kannata asennella ihan uusimpia eikä edes niitä toiseksi uusimpia päivityksiä ennen kuin tulee ensikäden tietoa käyttäjiltä

Kun vaan oliskin aina noin simppeliä. Nimittäin kun firmoissa on semmosia tietoturvaihmisiä, joiden duunina on mm. se, että ilmoittavat kuinka paljon administraattorilla on aikaa päivittää uusimmat turvallisuuspäivitykset koneelleen, tietenkin se loppupeleissä saattaa jäädä adminin kontolle päättää, että noudattaako ohjeita vaiko ei, mutta en ihan välttämättä haluais olla se kundi, jonka viivyttelyn ansiosta esim. firman servereille on päästy tunkeutumaan

Riippuen siitä kuinka kriittisestä päivityksestä on kyse, vaihtelee se administraattorille suotu asennusaika tunneista viikkoihin.

Kertaakaan ei tosin ainakaan mun aikanani ole Microsoftin tietoturvapäivitykset lyönneet servereitä sen paremmin kuin työasemiakaan polvilleen.

 

[Miguel]

Jos jokainen päivitys pitäisi nuuskia tarkkaan ennen asennusta, niin päivitykset jäävät tekemättä.

 

[Sam]

Kun vaan oliskin aina noin simppeliä. Nimittäin kun firmoissa on semmosia tietoturvaihmisiä, joiden duunina on mm. se, että ilmoittavat kuinka paljon administraattorilla on aikaa päivittää uusimmat turvallisuuspäivitykset koneelleen, tietenkin se loppupeleissä saattaa jäädä adminin kontolle päättää, että noudattaako ohjeita vaiko ei, mutta en ihan välttämättä haluais olla se kundi, jonka viivyttelyn ansiosta esim. firman servereille on päästy tunkeutumaan

Riippuen siitä kuinka kriittisestä päivityksestä on kyse, vaihtelee se administraattorille suotu asennusaika tunneista viikkoihin.

Kertaakaan ei tosin ainakaan mun aikanani ole Microsoftin tietoturvapäivitykset lyönneet servereitä sen paremmin kuin työasemiakaan polvilleen.

Muutaman kerran olen päivityksissä törmännyt vanhan ongelman uusiutumiseen. Esim. päivityksessä .012 on joku bugi korjattu ja sitten se uusiutuu versiossa .015 :jaska: Toisaalta jos kaikki toimisi virheettömästi, jäisi monta IT-hemmoa työttömäksi.

 

[OoPee]

Jos jokainen päivitys pitäisi nuuskia tarkkaan ennen asennusta, niin päivitykset jäävät tekemättä.

Joo kyllä se lähinnä tuppaa menemään niin, että asennan päivitykset parille koekaniinille, tsekkaan boottaako kone, käynnistän ehkä jonkun ohjelman ja sen jälkeen totean, että joo toimii, pistetääs etiäpäin kaikille!

Testaaminen on pelkureita varten

 

[Törni]

Kun vaan oliskin aina noin simppeliä. Nimittäin kun firmoissa on semmosia tietoturvaihmisiä, joiden duunina on mm. se, että ilmoittavat kuinka paljon administraattorilla on aikaa päivittää uusimmat turvallisuuspäivitykset koneelleen, tietenkin se loppupeleissä saattaa jäädä adminin kontolle päättää, että noudattaako ohjeita vaiko ei, mutta en ihan välttämättä haluais olla se kundi, jonka viivyttelyn ansiosta esim. firman servereille on päästy tunkeutumaan

Riippuen siitä kuinka kriittisestä päivityksestä on kyse, vaihtelee se administraattorille suotu asennusaika tunneista viikkoihin.

Kertaakaan ei tosin ainakaan mun aikanani ole Microsoftin tietoturvapäivitykset lyönneet servereitä sen paremmin kuin työasemiakaan polvilleen.

Riippuu tietysti firman koosta. Suuremmissa lafkoissa perusperiaate on se, että päivitykset ohjataan ensin testiverkkoon jossa niitä demotaan joku hetki. Jos mitään ongelmia ei ilmene, ne julkaistaan sen jälkeen vaikka SMS:lla johonkin pieneen osaan organisaatiota ja pilotoidaan jonkun aikaa. Vasta tämän jälkeen päivitykset laitetaan valumaan kaikkiin laitteisiin. Ei yksinkertaisesti ole varaa ottaa sitä riskiä, että päivitys pudotettaisiin kaikkialle heti.

Pienemmillä puulaakeilla ei tietenkään ole resursseja toimia edellä kuvatulla tavalla. Siellä pitää keksiä erilainen toimintatapa.

 

[Törni]

Voi helvetti. Viikon verran meni aikaa löytää syy domainien välisillä oikeusdelegoinneilla toteutetun Exchangen autentikointiongelmiin.

Kertoisitko hieman tarkemmin. Sattuneesta syystä kiinnostaa hieman.

 

[Gearloose]

Kertoisitko hieman tarkemmin. Sattuneesta syystä kiinnostaa hieman.

Jos rpc-liikenne pyörii vakioporteissa ei tule ongelmaa. Jos taas liikenne on eri metsien dc-koneiden tai backend-palvelimien välillä pakotettu uusiin portteihin, saattaa käydä niin että asetukset nollaantuvat. Ei tietty ole iso juttu korjata regeditillä, mutta vian löytäminen ei ollut helppoa. Tässä tapauksessa asetukset nollautuivat vain toisessa dc:ssä ja autentikointi toimi niillä joiden työasema sattui kirjautumaan toiseen. Tämä riitti kyykyttämään mm. toisessa metsässä olevan backend-palvelimen security-logit, system managerin jne. Siitä huolimatta palvelut ja kannat pysyivät nätisti pystyssä. Kovin loogista näin jälkikäteen ajatellen.

Päivityksiä oli testattu etukäteen, mutta testiympäristössä ei ongelmaa esiintynyt. Nyt kolmen organisaation päivityksien jälkeen, kahdessa on vähintään yksi dc-kone menny puihin. Mitään syytä tuohon en ole keksinyt, eikä Microsoftin konsulteillakaan ollut asiaan sanottavaa...

Tosiaan tietoturvapäälliköillä tjms. on paljonkin sanottavaa nykyään päivitystiheyksiin. MBSA on tehnyt asiasta vähän turhankin helppoa, vaikka helpottaa se toki omaakin työtä.

 

[Teme-84]

Pistetäänpäs vaikka tähän.. Windows-päivityksiä kun yritin katsella niin jotain ihme virheilmoitusta pukkaa.

 

[OoPee]

Pistetäänpäs vaikka tähän.. Windows-päivityksiä kun yritin katsella niin jotain ihme virheilmoitusta pukkaa.

Jos haluut, että kansa ryhtyy arvailemaan niitä virheilmotuksia, niin perusta polli

 

[Teme-84]

Niin no siis se ei vaan suostu kertomaan edes onko niitä uusia päivityksiä ladattavissa. Tulee vaan "Sivu ei näy sivustossa tapahtuneen virheen vuoksi." Enpä tiiä mistä virheestä on kysymys kun aiemmin on aina toiminut.

 

[OoPee]

Niin no siis se ei vaan suostu kertomaan edes onko niitä uusia päivityksiä ladattavissa. Tulee vaan "Sivu ei näy sivustossa tapahtuneen virheen vuoksi." Enpä tiiä mistä virheestä on kysymys kun aiemmin on aina toiminut.

Ehkä siellä sivustolla on tosiaankin virhe, odottele päivä ja kokeile uudestaan. On tommosta ennenkin sattunu, mikä tosin ei välttämättä tarkoita, etteikö se vika tällä kertaa vois olla sunkin masiinassasi.

 

[Matxi]

Muutaman kerran olen päivityksissä törmännyt vanhan ongelman uusiutumiseen. Esim. päivityksessä .012 on joku bugi korjattu ja sitten se uusiutuu versiossa .015 :jaska: Toisaalta jos kaikki toimisi virheettömästi, jäisi monta IT-hemmoa työttömäksi.

IT-heebojen salaliitto? Tehdään kuppasia ohjelmia ja päivityksiä että saadaan kavereiden suojatyöpaikat pidettyä!

 

[Teme-84]

Ehkä siellä sivustolla on tosiaankin virhe, odottele päivä ja kokeile uudestaan. On tommosta ennenkin sattunu, mikä tosin ei välttämättä tarkoita, etteikö se vika tällä kertaa vois olla sunkin masiinassasi.

Näin amatöörinä hankala kuvitella että vika olisi meikäläisen koneessa, kuitenkin kone pyörii ainakin ilman ongelmia..

 

[OoPee]

Näin amatöörinä hankala kuvitella että vika olisi meikäläisen koneessa, kuitenkin kone pyörii ainakin ilman ongelmia..

Kyllä se voi olla siinä sun koneessaskin, vaikka kaikki muu toimiskin.

Jos ei edelleenkään pelitä, niin kokeiles tätä:
start -> run -> cmd
Avautuneeseen dos-ikkunaan seuraavat komennot:
proxycfg -d
net stop wuauserv
net start wuauserv

Tolla kikalla oon duunissa saannu parikin konetta taas päivittelemään ittensä IE:n kautta. En tosin nyt muista ulkoa, että oliko se virhe just tuo mikä sulla.

 

[OoPee]

Mikä myös kannattaa tsekata on se, että onko sun konees kellonajat ja päiväykset oikein. Noi Windowsin päivitykset eivät välttämättä toimi, jos nuo ovat persiillään.