1. Cos'è la gestione delle patch di Microsoft Windows?

2. Gestione delle patch dei server Windows

3. Perché la gestione delle patch in Windows è importante?

4. Gestione delle patch per Windows passo dopo passo

5. Le migliori pratiche di gestione delle patch di Windows

6. Strategie di gestione delle patch di Windows

7. Scelta degli strumenti di gestione delle patch per Windows

8. Blog

9. Risorse aggiuntive

Cos'è la gestione delle patch e, nello specifico, la gestione delle patch di Microsoft Windows?

La gestione delle patch consiste nella scansione di computer, dispositivi mobili o altri dispositivi in rete alla ricerca di aggiornamenti software mancanti, noti come "patch", e nel risolvere il problema distribuendo le patch non appena disponibili.

La gestione delle patch di Windows è il processo di gestione delle patch per Microsoft Windows. Le patch sono costituite da codice che viene inserito nel codice di un programma software esistente. In genere si tratta di misure provvisorie fino alla disponibilità di una nuova versione completa del software.

Windows Update è un servizio Microsoft per i sistemi operativi Windows che automatizza il download degli aggiornamenti software di Windows. Il servizio non fornisce solo aggiornamenti software, ma anche antivirus Microsoft. Anche se Microsoft rilascia velocemente le patch di sicurezza, l'applicazione frequente di patch ai server di produzione può avere un effetto negativo sulla produttività e sulla stabilità.

Dal 2003, Microsoft rilascia le patch per i suoi sistemi operativi e altri prodotti software in occasione del "Patch Tuesday" (Martedì delle patch), il secondo martedì di ogni mese. Con il rilascio di Windows 10, Microsoft ha iniziato a rilasciare aggiornamenti cumulativi anche per il nuovo sistema operativo. 

Le patch contengono correzioni per una o più vulnerabilità identificate da numeri assegnati tramite il sistema Common Vulnerabilities and Exposures (CVE), gestito dal National Cybersecurity Federally Funded Research and Development Center (FFRDC).

Il Patch Tuesday consente agli amministratori di sistema di prepararsi ai possibili impatti che l'applicazione delle patch potrebbe causare e di avvertire gli utenti. Quando viene segnalato un problema grave a seguito di una patch, possono verificarsi ripercussioni sui computer in cui viene installata. Il personale IT può rimandare l'installazione della patch incriminata pur continuando a installare le altre, in modo da non perdere le protezioni da esse fornite.

Gli aggiornamenti che raccolgono tutte le correzioni in un'unica patch offrono la comodità di una soluzione integrata, ma tolgono all'amministratore la possibilità di scegliere quali applicare. Può aumentare anche il rischio che si verifichi un'incompatibilità con una particolare configurazione di sistema o con un altro software, che potrebbe far fallire l'aggiornamento o provocare un comportamento indesiderato. Microsoft utilizza il concetto di rollup cumulativo per gli aggiornamenti di sicurezza dei browser Internet Explorer ed Edge.

Gestione delle patch dei server Windows

L'applicazione di patch ai server serve ad acquisire, testare e installare modifiche al codice dei sistemi informatici amministrati per mantenerli aggiornati. Il processo determina anche le patch appropriate per ogni programma e pianifica l'installazione delle patch nei diversi sistemi.

La patch di un server è più complessa di quella di una workstation. I tempi di inattività delle workstation non sono così critici perché le workstation possono essere ripristinate, in caso di problemi gravi, con una patch. Le patch per i server, invece, non riguardano solo il server, ma anche le applicazioni in esecuzione su di esso e il middleware tra le applicazioni. Dato il ruolo critico che i server svolgono per un'organizzazione, i tempi di inattività devono essere ridotti al minimo. Per la maggior parte degli amministratori è importante dare priorità alle patch dei server.

Come già detto, Microsoft Windows Updates automatizza il download degli aggiornamenti software. Le aziende che hanno pochi server Windows possono utilizzare lo strumento Microsoft Windows Server Update per distribuire gli aggiornamenti di Windows. Tuttavia, la maggior parte delle organizzazioni ha un ambiente informatico più complesso e finisce per utilizzare più strumenti per completare attività diverse, come le patch del software applicativo Microsoft o le patch del sistema operativo Mac OS.

L'uso di più strumenti è problematico perché ostacola la capacità del team operativo di comprendere il livello di rischio della distribuzione IT. Molte aziende offrono un unico strumento integrato per il patching dei server, in grado di gestire tutti i prodotti Microsoft e i software di terze parti, l'hardware, i computer Mac, i sistemi client e i server.

Perché la gestione delle patch in Windows è importante?

Una corretta gestione delle patch può migliorare notevolmente la sicurezza di un'azienda, risolvendo le vulnerabilità del software e dei sistemi operativi. Ecco alcuni motivi per cui la gestione delle patch è parte fondamentale di quasi tutti i budget IT:

• Sicurezza
  Una corretta gestione delle patch fornisce vantaggi fondamentali in termini di sicurezza. Le violazioni della sicurezza di rete sono spesso causate dalla mancanza di patch nei sistemi operativi e in altre applicazioni. Vengono regolarmente scoperte falle di sicurezza in MS Windows ActiveX, IIS, Internet Explorer e .Net Framework, ad esempio. Installando gli aggiornamenti di sicurezza, si evitano danni al software, perdita di dati e furto di identità. È importante installare rapidamente gli aggiornamenti perché il malware può diffondersi in rete in tempi estremamente brevi.

• Produttività
  A causa di un software difettoso, possono verificarsi arresti anomali del computer con conseguente riduzione della produttività. Una patch, invece, riduce la possibilità di crash e conseguenti tempi di inattività, consentendo ai dipendenti di svolgere le proprie mansioni senza interruzioni.

• Aggiornamenti di funzionalità
  Le patch non riguardano sempre la correzione di bug. Possono anche aggiungere caratteristiche e funzionalità in grado di sfruttare al meglio il software esistente. Microsoft lavora costantemente su nuove caratteristiche e introduce nuove funzionalità mediante patch software, quindi scaricarle e installarle può aiutare a lavorare meglio e in modo più intelligente.

• Rispetto delle normative
  Le minacce informatiche sono diventate comuni ed è per questo che gli enti di regolamentazione impongono alle aziende di applicare le patch più recenti per prevenire queste minacce. L'inosservanza può causare multe e sanzioni, quindi è necessario disporre di una buona strategia di gestione delle patch per rispettare le normative.

• BYOD
  L'emergere del "bring your own device", o BYOD, ha fornito nuove opportunità per i malintenzionati. I dipendenti utilizzano sempre più spesso i loro dispositivi personali e quelli dell'ufficio in modo intercambiabile per svolgere il loro lavoro, il che richiede che anche i dispositivi personali siano adeguatamente protetti. Un buon software di gestione delle patch installa le patch su tutti i dispositivi, indipendentemente dalla loro posizione fisica. In questo modo, vengono risolte molte delle problematiche legate all'utilizzo dei dispositivi personali.

Gestione delle patch per Windows e altre applicazioni di terze parti passo-passo

L'installazione diretta e immediata degli ultimi aggiornamenti non è il processo più efficace di gestione delle patch. Ogni strumento dovrebbe seguire una serie dettagliata di passaggi per garantire che il risultato finale sia economico, efficiente ed efficace.

Ecco alcuni passaggi fondamentali per sviluppare un inventario aggiornato dei dispositivi esistenti:

1. Creare una politica di gestione delle patch.

2. Eseguire regolarmente una scansione della rete e dei dispositivi per identificare le vulnerabilità e le patch mancanti.

3. Testare le patch scaricate in un ambiente di test per verificare la presenza di eventuali incompatibilità o problemi di prestazioni.

4. Applicare le patch a tutta l'azienda solo se non sono emersi problemi durante la fase di test.

5. Creare documentazione e report dettagliati sul download, il test e l'installazione delle patch per le verifiche e la conformità.

Anche se questi passaggi possono variare, il punto fondamentale è che gli aggiornamenti non devono essere installati immediatamente non appena si rendono disponibili. Al contrario, occorre seguire un processo stabilito dall'azienda. Un approccio di questo tipo rende più facile rispettare le migliori pratiche di gestione delle patch.

Per una visione leggermente diversa dei processi di gestione delle patch, è possibile consultare il blog: la migliore strategia di gestione delle patch per il 2019.

Le migliori pratiche di gestione delle patch di Windows

La gestione delle patch di Windows è in genere tra le priorità di un amministratore. Se eseguita in modo errato, tuttavia, può rappresentare un rischio per l'azienda anziché un fattore di mitigazione del rischio. Alcune semplici best practice, tuttavia, eliminano facilmente i rischi e assicurano che il processo venga completato in modo rapido ed efficiente.

Ecco alcune best practice specifiche per l'applicazione delle patch su Windows:

• Testare prima di applicare gli aggiornamenti
  Le patch di Windows possono funzionare bene in modo isolato. Tuttavia, nel mondo reale esiste sempre la possibilità di incompatibilità tra una patch e altri software. Quando si distribuiscono patch senza averle adeguatamente testate, si rischia che possano entrare in conflitto con il sistema, causando problemi all'intera azienda. È una buona idea testare l'aggiornamento in un ambiente di prova o su un piccolo gruppo di computer prima di applicarlo all'intera rete.

• Rimanere aggiornati facendo riferimento ai siti di analisi delle patch
  Può essere difficile analizzare la grande quantità di informazioni rilasciate da Microsoft sulle nuove patch - e sulle patch da applicare alle patch precedenti! Una buona idea può essere quella di esaminare i siti di notizie tecnologiche che ospitano discussioni sulle esperienze delle aziende che hanno applicato i nuovi aggiornamenti Microsoft.

• Controllare i problemi di cui Microsoft è a conoscenza per ogni patch
  Quando si ricevono messaggi di posta elettronica da Microsoft relativi a un nuovo aggiornamento di sicurezza, è bene leggere tutte le informazioni incluse sugli eventuali problemi individuati. Ad esempio, Microsoft potrebbe rilasciare una patch del software che risolve una vulnerabilità che non era stata ancora risolta da aggiornamenti precedenti.

• Meglio aspettare ad applicare le patch: potrebbe essere il modo migliore per evitare danni
  Una buona regola è quella di pianificare una settimana di test dopo il rilascio delle patch nel Patch Tuesday di Microsoft. Anche se un'azienda è piccola per eseguire test approfonditi, la settimana extra fornisce il tempo di esaminare le risorse di Microsoft e di terze parti per verificare se l'applicazione della patch possa avere conseguenze negative o meno. Per le patch dei server chiave e di altri sistemi critici, è possibile aggiungere un'ulteriore settimana di test e revisione.

Ecco alcune best practice generali per la gestione delle patch che aiutano un'azienda a migliorare la propria sicurezza e ad avere i propri software sempre aggiornati:

• Sapere cosa si sta facendo
  La gestione delle patch è una parte essenziale del mondo del software ed è importante che il management e il team amministrativo ne comprendano i vantaggi per l'intera organizzazione. Comunicare la natura essenziale della gestione delle patch contribuirà a renderla parte integrante delle attività IT.

• Monitorare lo stato delle patch per tutte le applicazioni
  Occorre essere sempre al corrente della necessità di applicare nuove patch. Il modo più semplice per farlo è utilizzare una soluzione che monitora lo stato delle patch e invia automaticamente una notifica quando sono disponibili. Se il budget è un problema, un'altra possibilità è quella di tenere traccia delle applicazioni utilizzate e controllare periodicamente i rispettivi siti web per verificare la disponibilità di nuovi aggiornamenti.

• Collaborare con il fornitore di servizi gestiti
  Molti fornitori di servizi gestiti offrono servizi di gestione delle patch per soddisfare le esigenze di diverse aziende. Chi è a corto di tempo o di risorse, può prendere in considerazione questa opzione, in modo da potersi concentrare sul proprio core business mentre le patch saranno gestite da questi fornitori.

• Stabilire un piano di disaster recovery                                                                                                                      Un'altra best practice importante, ma spesso trascurata, è quella di avere pronto un piano di disaster recovery nel caso in cui la gestione delle patch dovesse fallire e causare problemi. I backup sono l'opzione più semplice e possono essere utilizzati anche per mitigare altri rischi, come un'infezione da virus o un'intrusione.

Strategie di gestione delle patch di Windows

Come detto in precedenza, quando si distribuiscono le patch senza averle testate adeguatamente, si rischia che una delle patch possa causare problemi ai sistemi e all'intera azienda. La strategia generale di gestione delle patch consiste nell'individuare prima il tipo di vulnerabilità che una patch dovrebbe risolvere. Quindi occorre determinare il rischio che comporta l'applicazione della patch, come applicarla e quando applicarla.

Una volta effettuata la valutazione del rischio, esistono diverse strategie per affrontare la vulnerabilità.

• Accettare il rischio
  Attendere che Microsoft rilasci una correzione.

• Utilizzare un workaround
  Microsoft potrebbe fornire un modo per aggirare il problema fino a quando non viene resa disponibile una patch. Oppure si potrebbe individuare una soluzione temporanea provvisoria prima di poter valutare una patch.

• Affidarsi a un'assicurazione
  Le assicurazioni possono essere costose, ma forniscono il vantaggio che il rischio può essere trasferito a un'altra azienda' lasciando che sia lei a occuparsi di eventuali problemi.

• Rischiare di applicare la patch o rimuovere il software interessato
  È anche possibile procedere con l'applicazione della patch e sperare che non si verifichino problemi. Oppure rimuovere completamente il software o il componente Windows interessato.

Scelta degli strumenti di gestione automatizzata delle patch per Windows

Alcuni amministratori potrebbero ritenere che le patch raccomandate da Microsoft risolvano la maggior parte delle vulnerabilità. In realtà, la maggior parte degli esperti concorda sul fatto che non ci si può affidare esclusivamente alle patch, agli aggiornamenti e ai service pack forniti da Microsoft. A causa delle vulnerabilità non risolte, molte aziende hanno deciso di ricorrere a strumenti di gestione automatizzata delle patch. I software di gestione delle patch di Windows possono alleggerire la pressione sugli amministratori e migliorare l'efficienza complessiva dei download e dell'installazione delle patch su diversi dispositivi. Grazie ad essi le aziende possono aggiornare tutti i propri endpoint con le patch più recenti, con poca interazione umana, indipendentemente dalle specifiche hardware e dalla posizione geografica.

Come scegliere il software di gestione delle patch giusto, visto il gran numero di strumenti oggi disponibili? Ecco alcune funzionalità che dovrebbero essere presenti in ogni buon software di gestione delle patch automatizzato:

• Deve funzionare su diverse piattaforme e sistemi operativi, compresi i sistemi operativi Microsoft®, MAC OS X® e Linux®, Amazon Web Services (AWS), altre piattaforme cloud e applicazioni di terze parti

• Deve eseguire una scansione dell'intera rete per identificare le patch mancanti tra i diversi software

• Deve scaricare le patch direttamente dai siti dei fornitori

• Deve includere funzionalità di test e distribuzione delle patch

• Deve includere report dettagliati per dare agli amministratori un'idea completa delle patch mancanti, scaricate, testate e installate

• Deve essere facile da installare su tutti i dispositivi, come desktop, laptop e server

• Può essere facilmente integrato con la gestione automatizzata delle patch per risparmiare tempo

• Deve poter generare report sullo stato di ogni aggiornamento e statistiche sulle installazioni e gli aggiornamenti delle patch a scopo di audit

Blog

Risorse GFI per la gestione delle patch di Windows