Win10 Client patching (offline PC)

[Slomonon]

Hallo Zusammen,

mich stellt monatlich das Client Management vor eine Herausforderung. Unser Ziel liegt bei 95% Compliancy auf Win10 Patching bezogen.

Nun sind regelmäßig von 500 Clients ca. 100 nicht compliant. Zumeist, weil Rechner 2-4 Wochen nicht eingeschaltet wurden.

Für mich bedeutet das dann, hoffentlich geht der PC via WOL an. Ansonsten ich muss mehrere Gebäude ablaufen, PCs einschalten, Patches installieren, neustarten, warten bis WSUS den Vorgang bemerkt hat und das eben bis zu 100x im Monat. 

 

- Wie haltet Ihr Eure Clients aktuell?

- Welche Compliancy Vorgaben müsst ihr erfüllen?

- Wie geht ihr mit Offline PCs um (die sind spätestens wenn sie eingeschaltet werden, ein Sicherheitsrisiko)?

- Gibt es Tools die den Patchstand prüfen, bevor sie ins Netz gehen? 

 

Danke und Gruß aus Köln

 

 

[Bitschnipser]

Unsere Rechner sind meist mindestens einmal die Woche an. Seltene Fälle gibt es natürlich (Urlaub, Krankheit, sonstige Abwesenheiten, der eine Rechner, der doch nicht so wirklich gebraucht wird) Daher funktioniert das bei uns außerordentlich gut.

Seit Corona: 60 Leute rotierend im HO.
Dann prinzipiell WOL. Compliance haben wir per se keine, sind da aber auch nicht so arg hinterher, dass wir eine bräuchten.

Sind die richtigen Netzwerktreiber für das jeweilige Modell installiert? Die Netzwerktreiber von Businessgeräten können das meistens.
Ausnahmen bilden alte W7-Gurken, die auch nicht so richtige W10-Treiber haben. Da heißt es entweder neue kaufen (sind ja auch ein Sicherheitsrisiko), oder eben andere Software. Ob es sowas gibt wie du es beschreibst weiß ich nicht. Hört sich eher nach Bastellösung an..

[tkreutz2]

Hm - mal laut nachgedacht. Wenn der Patchstatus so wichtig ist und der administrative Aufwand zu hoch wird. Warum setzt man keine Sandbox Lösung ein z.B. Terminal Server + Clients ?

Sicher muss man auch kaufmännisch kalkulieren und bekanntermaßen verschieben sich Kosten in Rechenzentren. Aber wenn Sicherheit das Kriterium ist, muss man vielleicht mal über alternative Infrastruktur nachdenken.

Die Frage in dem Zusammenhang ist halt, ob es 200 physischer Maschinen braucht, die aufwendig gewartet werden müssen.

Bearbeitet 25. Mai 2020 von tkreutz2

[Maniska]

Hat schon mal jemand analysiert, warum immerhin 20% der Rechner so lange aus sind? Werden sie nicht benötigt? Dann kann man sie einsammeln und anderweitig einsetzen, oder zumindest durch ThinClients ersetzen?

- Wie haltet Ihr Eure Clients aktuell?

WSUS, alles was sich länger als 30 Tage nicht gemeldet hat wird genauer unter die Lupe genommen. Also was ist das für ein Rechner, was ist mit dem zugehörigen Kollegen (Krank, Urlaub...), Passt etwas in der Kommunitkation WSUS  - Client nicht...?

Wenn ich nichts finde (auch den Rechner physikalisch nicht) deaktivier ich das Computerkonto so dass sich niemand anmelden kann und schau mal ob und wer schreit, und wann.

- Welche Compliancy Vorgaben müsst ihr erfüllen?

Feste Vorgaben gibt es keine, aber natürlich sind wir hinterher alle Rechner möglichst aktuell zu halten, schon aus Egogründen.

- Wie geht ihr mit Offline PCs um (die sind spätestens wenn sie eingeschaltet werden, ein Sicherheitsrisiko)?

Wie gesagt, einsammeln wenn möglich, ansonsten ersetzen durch ThinClients wo möglich, Computerkonto deaktivieren falls "Schwarzbestand" und bei den restlichen paar Geräten die wirklich so selten aber dann wirklich gebraucht werden die Kröte schlucken.

- Gibt es Tools die den Patchstand prüfen, bevor sie ins Netz gehen? 

Es gibt wohl bei diversen NAC Sytemen die Möglichkeit Complianceregeln festzulegen, damit kommen bekannte aber nicht den Regeln entsprechende Geräte in ein Quarantänenetz in dem sie so lange mit sich selbst spielen dürfen, bis alle Patchstände i.O sind.

 

[Slomonon]

vor 19 Stunden schrieb tkreutz2:

Hm - mal laut nachgedacht. Wenn der Patchstatus so wichtig ist und der administrative Aufwand zu hoch wird. Warum setzt man keine Sandbox Lösung ein z.B. Terminal Server + Clients ?

Sicher muss man auch kaufmännisch kalkulieren und bekanntermaßen verschieben sich Kosten in Rechenzentren. Aber wenn Sicherheit das Kriterium ist, muss man vielleicht mal über alternative Infrastruktur nachdenken.

Die Frage in dem Zusammenhang ist halt, ob es 200 physischer Maschinen braucht, die aufwendig gewartet werden müssen.

Wir setzen bereits sehr stark auf Citrix und gewähren bspw. aus dem HO keinen Fileserver Zugriff, der nicht über Citrix läuft. 

Darüber beschweren sich die User natürlich, da der Datentransfer sehr verkompliziert wird. 

 

Sicherlich sind keine 200 Maschinen notwendig - zumindest nicht jederzeit. Durch 24/7 Schichtbetrieb, wechselnde Arbeitsplätze, Notfall- und Präsentationsnotebooks etc., kommen wir auf die hohe Zahl der inaktiven Rechner. 

[Maniska]

vor 16 Stunden schrieb Slomonon:

Notfall- und Präsentationsnotebooks

Diese gehören unter Kontrolle der IT, also dort verwaltet und bei Bedarf auch gepatched. Alles andere was als "Notfallblahfasel" in irgendwelchen Schränken vor sich hin schimmelt ist in meinen Augen Schwarzbestand. Spätesten wenn man dem User die Verantwortung für das Gerät anbietet, dafür dass er es behalten darf, wollen es die meisten nicht mehr.

Kollegen die regelmäßig ein Notebook benötigen sollten auch eins als Arbeitsgerät haben, der Rest kann sich doch mit einem Poolgerät begnügen. Schichtbetrieb kann sich einen Arbeitsplatz (= PC) teilen, und wenn ihr eh Citrix einsetzt, können doch auch dumme TCs als Endgeräte her, die wichtigen Updates passieren dann zentral auf den Terminalservern.

[Bitschnipser]

vor 32 Minuten schrieb Maniska:

Schichtbetrieb kann sich einen Arbeitsplatz (= PC) teilen,

Genau das dachte ich mir auch. Warum brauchen Leute einen Einzelplatz, wenn der dann eine Schicht leer steht, wo jemand anderes sitzen könnte? Man spart sich Bürofläche (+ Nebenkosten), Kabel, Möbel, und natürlich PC/Monitor (+Peripherie)

[Gast ......]

Die Einzelplätze sind nicht das Problem. Eine Schicht oder eine Woche auch nicht.

Wir haben allerdings Externe, die nutzen teilweise ihre Rechner über mehrere Wochen nicht. Bspw. Ingenieure, die nur für bestimmte Projekte ab und an geholt werden.

Dann aber immer ein Notebook neu zu verteilen, würde wieder in enormem Aufwand gipfeln.

 

Meine Überlegung ist aktuell auch noch, ob ich ein Notebook-Rack kaufe, hier die Clients mit Strom und Netzwerk versorge und diese dann durch uns aktuell halte. Durch die Compliancy Vorgaben ist es uns auch nur mit großem Aufwand möglich, Clients einsatzbereit auf Lager zu halten.

[Slomonon]

Gerade eben schrieb Gast ......:

Die Einzelplätze sind nicht das Problem. Eine Schicht oder eine Woche auch nicht.

Wir haben allerdings Externe, die nutzen teilweise ihre Rechner über mehrere Wochen nicht. Bspw. Ingenieure, die nur für bestimmte Projekte ab und an geholt werden.

Dann aber immer ein Notebook neu zu verteilen, würde wieder in enormem Aufwand gipfeln.

 

Meine Überlegung ist aktuell auch noch, ob ich ein Notebook-Rack kaufe, hier die Clients mit Strom und Netzwerk versorge und diese dann durch uns aktuell halte. Durch die Compliancy Vorgaben ist es uns auch nur mit großem Aufwand möglich, Clients einsatzbereit auf Lager zu halten.

Anmeldung vergessen...

[Maniska]

vor 6 Minuten schrieb Gast ......:

Die Einzelplätze sind nicht das Problem. Eine Schicht oder eine Woche auch nicht.

Wir haben allerdings Externe, die nutzen teilweise ihre Rechner über mehrere Wochen nicht. Bspw. Ingenieure, die nur für bestimmte Projekte ab und an geholt werden.

Moment.... Ihr haltet bis zu 20% eurer Arbeitsplätze für Externe bereit?

Vor allem, ihr macht euch Gedanken über die Aktualität der Rechner, deaktiviert aber in Abwesenheit der Externen das Benutzerkonto nicht?

Warum bringen die Externen nicht ihre eigenen Geräte mit, welche dann entweder in ein separates Netz kommen oder bei welchen die Externen schon bei Vertragsabschluss (auf irgendeiner Grundlage kommen die ja) unterschreiben mit aktuell gepatchem System zu kommen inkl Virenscanner?

Würde mir im Traum nicht einfallen derart viele Geräte und Lizenzen für "da brauch ich halt 1x im Monat" vor zuhalten, kostet auch nicht gerade wenig Geld.

Oder eben wie gesagt arbeiten via ThinClients, wenn Citrix eh schon im Haus ist.

Zitat

Dann aber immer ein Notebook neu zu verteilen, würde wieder in enormem Aufwand gipfeln.

Den Aufwand ein Notebook zu Abholung bereitzustellen vs.

Zitat

Für mich bedeutet das dann, hoffentlich geht der PC via WOL an. Ansonsten ich muss mehrere Gebäude ablaufen, PCs einschalten, Patches installieren, neustarten, warten bis WSUS den Vorgang bemerkt hat und das eben bis zu 100x im Monat. 

sehe ich als überschaubar und geringer an. Zumal das eine eine "Latsch hin und mach mal" Aufgabe der IT ist und das andere eine Hohlschuld der jeweiligen Abteilung.

Zitat

Durch die Compliancy Vorgaben ist es uns auch nur mit großem Aufwand möglich, Clients einsatzbereit auf Lager zu halten.

Müssen sie ja nicht sein. Geräte sind z.B. über Outlook buchbar, Buchung min 1 Tag vorher (also auch kein Abends um 18 Uhr noch für morgen um 8 Uhr). Gerät kommt aus dem Schrank, wird ans Quarantänenetz angeschossen, hochgepatcht und kann dann abgeholt werden. Sprich alles was bis 12Uhr reserviert ist kann am selben Tag ab 16 Uhr geholt werden, alles was später reinkommt geht halt erst am nächsten Tag ab 12 Uhr.

[allesweg]

Wieso hat man so viele ungenutzte Geräte?

Wenn der Zugriff von außen via Citrix möglich ist, wozu braucht man dann noch einen zu patchenden Windows-Rechner?

vor einer Stunde schrieb Gast ......:

Meine Überlegung ist aktuell auch noch, ob ich ein Notebook-Rack kaufe, hier die Clients mit Strom und Netzwerk versorge und diese dann durch uns aktuell halte. Durch die Compliancy Vorgaben ist es uns auch nur mit großem Aufwand möglich, Clients einsatzbereit auf Lager zu halten.

Ja, gute Idee. Eine definierte, kleine Zahl Notebooks wird bereit gehalten. Die - noch zu vielen - Geräte kommen durch Einziehen der aktuell im Umlauf befindlichen Geräte, welche seit 4 Wochen nicht mehr aktiv waren. Dann hast du irgendwann deine 100 Geräte rum liegen, gibst aber maximal 20 (?) gleichzeitig aus... Also noch mal 50% Puffer drauf und somit 30 Geräte im Vorrat statt 100 Gefahrenquellen!