Recusar patches confidenciais para as necessidades da sua empresa

O Patch Manager Plus fornece aos administradores a possibilidade de executar a implantação seletiva de patches confidenciais de uma maneira que atenda às necessidades de conformidade de patches da empresa. Em termos simples os administradores consideram isto útil para:

• Recusar os patches para grupos específicos.
• Recusar atualizações para determinadas aplicações. Por exemplo, aplicações legado.
• Recusar a implantação de patches encontra um "problema" durante o processo de pré-teste.
• Adiar a implantação de patches menos críticos, reusando-os inicialmente.

Excluir patches problemáticos recusando-os

Cada administrador teme aplicar atualizações ou patches que quebrem alguma coisa. Após a implantação de patches em grupos de teste, se um patch resultar em uma falha de aplicação ou sistema operacional, esses patches poderão ser recusados em todos os sistemas até que o respectivo fornecedor de aplicações possa fornecer uma correção correspondente. Há também cenários em que algumas aplicações funcionam somente com uma versão específica do java. Atualizar o Java pode causar a quebra de aplicações críticas, o que pode exigir uma reinstalação completa da aplicação. Assim, a opção Recusar ajuda a evitar a implantação de patches que podem ter problemas sem precedentes nos sistemas cliente.

Recusar patches para aplicações herdadas

Recuse patches, ou seja, essas são aplicações para uso por um sistema operacional ou plataforma de hardware anterior e não requerem mais atualizações de versão/atualizações de segurança. Por exemplo, as aplicações de mainframe eram aplicações legado quando o mundo abraçava redes cliente/servidor. As aplicações do Windows 7 executadas no Windows 8 são chamadas de aplicações legado. Às vezes os patches implantados para instalar a versão mais recente de uma aplicação podem parecer indesejados para redes corporativas. Por exemplo, considere uma equipe de TI de uma organização que acredita que a versão mais recente do Java, se implantada em seus sistemas, pode quebrar determinadas aplicações devido a problemas de incompatibilidade do java. Para atender aos requisitos da empresa, é recomendável impedir que uma aplicação seja atualizada, recusando-os aos grupos personalizados necessários.

Adiar a implantação de patches menos críticos, recusando-os inicialmente

Cada ambiente é diferente. Alguns ambientes instalam apenas atualizações críticas e de segurança, alguns instalam todas as atualizações. Nesses casos, quando automatizamos o gerenciamento de patches, todos os patches ausentes são implantados para direcionar os computadores, independentemente de seu nível de vulnerabilidade. Isso resulta na implantação de patches sem priorizar quais patches vulneráveis precisam ser implementados primeiro e quais patches de menor vulnerabilidade podem ser adiados para implantação. Nesses casos, os administradores podem priorizar a implantação de patches altamente críticos adiando a implantação de patches menos críticos que podem ser recusados temporariamente.

Recusar patches para sistemas críticos, como sistema operacional de servidor (SSL, Exchange Server)

Os sistemas de servidor de patches são fundamentalmente diferentes dos patches das estações de trabalho em termos do escopo dos patches envolvidos. Uma das tarefas mais difíceis com que os administradores de servidor devem lidar é descobrir a prioridade dos patches para servidores. Eles não só lidam com o servidor, mas também com as aplicações executadas nele e com uma série de outras coisas. Se você tiver uma confusão de patches a serem implantados em sistemas de servidor, isso pode causar estragos. Os computadores e servidores críticos para os negócios podem ter horários específicos nos quais as alterações e as reinicializações do computador são permitidas. Portanto, é sempre recomendado priorizar qual patch vai primeiro e quais patches precisam ser recusados para que os sistemas críticos não sejam desacelerados devido a interrupções ou reinicializações abruptas.

Capacidade de reverter patches recusados para implantação

Os patches recusados podem ser movidos de volta da lista Recusar e mais tarde podem ser adicionados para implantação. Portanto, os patches recusados não são removidos de uma vez por todas, mas podem ser revogados para implantação.

O que acontece quando você recusa um patch?

A recusa de um patch resulta no seguinte:

• Quando um patch é recusado, ele não será considerado como um patch ausente
• O patch recusado não será considerado quando o status de integridade do sistema for calculado
• Os patches recusados não serão implantados por meio de tarefas de APD (Automated Patch Deployment).

Etapas para recusar um patch/aplicação/família de patches

Siga as etapas mencionadas abaixo para recusar as etapas envolvidas na redução de patches, aplicações ou uma família de patches:

• Clique na guia Patches no console do Patch Manager Plus
• Clique em Recusar Patch disponível na guia esquerda
• Para recusar patches a um grupo de computadores, clique na opção Selecionar grupo e recusar patches
• Selecionar grupo personalizado: Escolha o grupo de computadores ao qual deseja recusar um patch. Você também pode criar um grupo personalizado clicando em '+'. Depois de selecionar o grupo, clique em Next (Seguinte).
• Selecione patches, aplicações e famílias: Clique em Adicionar patches/Adicionar aplicações/Adicionar família para recusar, selecione os patches/aplicações/família de patches que deseja recusar. Observação: se você recusar uma família de patches, qualquer novo patch que venha como parte da família será automaticamente recusado. Depois de terminar, clique em Next (Seguinte)
• Detalhes do resumo: você pode encontrar o resumo dos passos mencionados acima. Verificação cruzada e Salvar

Você recusou patches com êxito para um grupo de sistemas. Agora você pode ver que os patches rejeitados não serão contados ao calcular a integridade do sistema ou serão calculados como patches ausentes.