Gerenciamento de atualizações de ambiente Windows
A razão pelo qual escrevo este artigo e pelo simples fato de eu querer compartilhar com outros minha atual experiência no processo de gerenciamento de atualizações de sistemas operacionais em ambiente Windows e pela importância que este processo deveria ter e infelizmente não tem. Digo que não tem e posso provar! De maneira não técnica, deixo minhas observações e experiencia empírica em todo o ciclo de atividades nas linhas abaixo.
Nos últimos meses o mundo da tecnologia presenciou ataques virtuais de grande escala que afetaram grandes empresas no Brasil e no exterior. Um dos ataques virtuais de grande repercussão recentemente foi através do ransomware, que é um código malicioso que deixa inacessíveis arquivos e dados dos usuários, geralmente por criptografia e exige algum tipo de “resgate” para tornar os dados acessíveis novamente.
Outra repercussão sobre falhas de segurança da informação foram as vulnerabilidades que afetam diversos processadores fabricados pelas empresas líderes no segmento. Novas falhas são descobertas e exploradas diariamente. Fica evidente duas coisas interessantes: O despreparo dos governos e empresas na adoção e uso de políticas de segurança eficazes e a falta de educação dos usuários no ambiente virtual.
Imaginamos que governos e empresas possuem equipes especializadas em todos os tipos de ramos e que estes trabalham arduamente no combate e prevenção de falhas de segurança de suas instituições não é verdade? Aparentemente esta é uma percepção equivocada, pois, muitas dessas instituições foram afetadas de maneira significativa nestes dois ataques. Parte destes danos podem ser mitigados com ações simples, como ações de atualizações de sistemas operacionais nos ambientes e educação tecnológica para os usuários.
No caso especifico das falhas nos processadores, o usuário não é responsável e nem seria capaz de impedir qualquer ação contra si, porém, muitas das coisas que podem ser feitas a fim de evitar ataques virtuais são negligenciadas.
Este artigo em questão visa tratar das políticas e ações de atualização de sistemas operacionais e suas dificuldades no ambiente corporativo. A adoção de estratégias eficientes alinhadas as peculiaridades da empresa e soluções simples são capazes de poupar muita energia e dinheiro quando pensadas de maneira proativa. Pouco tempo depois da divulgação em larga escala das ameaças e das vulnerabilidades os fabricantes anunciaram pacotes de atualizações que bastam para interromper os planos dos criminosos virtuais.
Vale ressaltar que essas atualizações devem fazer parte da operação padrão de qualquer organização e não uma coisa pontual visando sanar um problema especifico. Quando uma empresa adota medidas rotineiras de atualização do seu ambiente de infraestrutura, em poucas horas ou dias o que era um risco passa a ser uma notícia de um portal.
Se tratando de um ambiente Microsoft, tanto servidores quanto desktops dos usuários devem fazer uso do Windows Server Update Services que é comumente conhecido como WSUS. Este é um serviço disponível nos servidores Windows que permite gerenciar todo o seu ambiente Microsoft Windows em questão de atualizações.
Disponibilizar este serviço e realizar sua correta configuração é apenas a primeira parte do processo de atualização. É preciso definir uma janela de manutenção diária, semanal ou mensal de acordo com o dia-a-dia da sua organização e depois definir de que forma essas atualizações serão aplicadas, ou seja, de maneira imposta ou flexível.
Cada uma dessas maneiras possui naturalmente seus prós e contras. Isso porque caso o modo de operação escolhido seja imposto, ou seja, a atualização irá ocorrer mesmo que o usuário não deseja atualizar naquele momento específico, alguma atividade do usuário talvez fique prejudicada, pois, dificilmente será possível agendar uma janela de manutenção que atenda a todos os departamentos da empresa. Já se o modo de operação for flexível, ou seja, o usuário escolhe quando as atualizações serão aplicadas, então corre o risco dessas atualizações NUNCA ocorrerem, pois, o usuário vai postergar o máximo possível. De ambas as formas haverá dificuldades.
Depois que o modo de operação for escolhido, junto com a janela de manutenção e as corretas configurações do servidor ainda falta observar a técnica a ser usada nas atualizações. Existem ferramentas no mercado que podem ser utilizadas no gerenciamento dessas atualizações, estas ferramentas são conhecidas normalmente pelo seu nome em inglês como Patch management. A própria Microsoft possui uma suíte de produtos que entre outras coisas pode ser usado para este gerenciamento, que é o System Center Configuration Manager – SCCM.
Apesar dessas soluções existirem, o administrador de sistemas pode optar por usar as conhecidas GPO’s (Group Policy ou Diretiva de Grupo) do Windows Server para aplicar as atualizações juntamente com o WSUS. Lembrando que no caso das GPO’s nenhum custo adicional de aquisição de software será necessário.
Problemas durante a aplicação das atualizações
Quanto menos servidores e computadores para serem atualizados melhor é do ponto de vista de gerenciamento. Isto porque quanto maior for a quantidade de usuários na sua empresa, maior será a quantidade de problemas a serem identificados e solucionados. Vamos começar do mais simples ao mais complexo.
Sempre haverá aqueles usuários ausentes como o caso das férias, ou afastado por problemas médicos, gravides ou acidente. Este é o caso mais simples, pois, basta que o time de suporte técnico deixe a máquina ligada para que as políticas sejam aplicadas.
Depois temos o caso dos usuários que não podem de jeito nenhum ser interrompido (caso o modo de operação escolhido seja o flexível). Isso porque este sempre tem um e-mail para enviar ou aquele relatório urgente para entregar.
Na sequência, temos aqueles computadores que por qualquer que seja o motivo não recebe as políticas ou apresentam falhas na atualização do Windows Update. Estes são mais frequentes em sistemas operacionais mais antigos como o Windows 7.
Temos também o caso da máquina que quando atualizada passa a apresentar as mais diversas falhas, como erros de inicialização, travamento, perca de desempenho entre outros. Além de tudo, as máquinas que ficam muito tempo sem ser atualizadas podem levar horas para ligar novamente. Isso impacta na rotina do usuário. Um simples “boot” pode levar horas.
Dependendo da quantidade de computadores de cada empresa, existe o caso em que muitos computadores se encontram devidamente registrados no WSUS mas estão fora da rede ou já foram desativados, por exemplo no estoque ou talvez não existem mais ou então foram transferidas para outras filiais. Um exemplo simples é o uso de notebooks. Estes normalmente ficam foram da empresa e quando o gestor da área solicitar um relatório das atividades de atualização, haverá um gap, pois, as maquinas não estão na rede da empresa ou não foram removidas do servidor WSUS, SCCM ou outro.
Para finalizar as dificuldades da implementação das atualizações, caso seja usado alguma outra tecnologia para apoio a administração de atualizações, estas ferramentas podem apresentar problemas nos agentes (caso do System Center). O fato de usar qualquer ferramenta de apoio não resolve todos os problemas. Isto porque estas ferramentas normalmente usam agentes que por sua vez podem estar corrompidos ou apresentar problemas de comunicação WMI (Windows Management Instrumentation).
Apesar de tudo, caso o problema esteja na máquina do usuário (no caso problemas no Windows Update) é possível que algumas atualizações não ocorram até que o mesmo seja resolvido na máquina.
Por estes e outros motivos que foi comentado no princípio que quanto menor for a quantidade de usuários mais fácil será de administrar o ambiente. Todas estas atividades exigem muito planejamento, paciência e muita organização. Além de tudo, lembre-se que a Microsoft disponibiliza atualizações quase diariamente e quanto mais tardio for a implementação destas, maiores serão as chances de haver um ataque virtual.
Para mitigar os problemas de segurança, a atualização dos computadores são uma pequena parte a ser adotada de forma rotineira. Ainda falta planejar as atualizações dos antivírus da empresa, a educação continuada dos usuários e a necessidade do apoio e cobrança por parte da diretoria para que todas as ações sejam adotadas de forma incisiva, pois, grande parte dos usuários se sentem incomodados quando certas ações precisam ser implementadas e que afetam diretamente o dia-a-dia do usuário.