Windows Patch Management

Pendahuluan

Dalam infrastructure jaringan Windows server, pemasangan Windows patch management adalah sangat diperlukan sekali bagi jaringan business berskala menegah dan besar dan bahkan untuk jaringan berskala enterprise sangat diperlukan sekali. Design yang bagus dari WSUS management ini adalah sangat critical untuk menjaga availability operasional, kepercayaan, dan integritas dari assets informasi dan system-system yang mendukung assets-assets tersebut.

Kenapa Windows patch management?

Design patch management dengan pendekatan pro-active akan membantu setidaknya mengurangi tingkat bahaya (mitigasi) resiko-resiko yang berhubungan dengan kelemahan-kelemahan system anda dan juga untuk menghindari potesi kompromi system jika saja kelemahan-kelemahan ini tidak ditutup secepat mungkin.




 

Micorosoft selalu mengeluarkan patch sekiranya didapati celah kelemahan pada system, dan kita harus meng-update system kita dengan patch tersebut secepatnya. Hacker dan para pembuat virus selalu melihat celah-celah kelemahan ini. Terkadang susah bagi kita untuk menentukan patch yang mana yang harus di terapkan pada suatu system tertentu.

WSUS

Microsoft Windows memberikan solusi WSUS (Windows Server Update Services) management patch ini kepada jaringan business untuk memudahkan penerapan patches yang dirancang secara terpusat management update critical patches ini dengan cara yang konsisten, tepat waktu, tanpa harus sangat membebani proses operasional system business anda.

Sebuah PC Windows saat koneksi ke internet normalnya system Windows update melakukan scanning kepada komputer untuk menemukan update security high-priority, critical update, dan service packs, kemudian melakukan download patches tersebut dan meng-installnya. Hal ini jika system Windows automatic update di actifkan. Jika Windows update automatis ini tidak diaktifkan, computer tersebut mempunya banyak cela sehingga rentan terhadap segala serangan virus dan ancaman internet.

Dalam jaringan business yang besar dengan computer clients yang berjumlah ratusan bahkan ribuan computer Windows, anda bisa bayangkan jika semuanya melakukan download Windows update secara bersamaan ke Internet, maka bandwidth Internet anda akan termakan habis hanya untuk keperluan update windows ini. Untuk itulah management patch Windows WSUS sangat diperlukan buat bisnis anda untuk memusatkan management update patches dalam satu server WSUS.

Server WSUS management system ini akan bertanggungjawab kepada semua critical security update yang didownload langsung dari server Windows update website, kemudian didistribusikan kesemua computer clients secara automatis pada jaringan local anda. Dengan cara ini bandwidth Internet anda akan sangat efficient karena hanya satu server saja yang download langsung dari Internet.

Best Practice Design

Gambar dibawah ini menunjukkan gambaran sederhana bagaimana kerja suatu WSUS server management. Ide dari patch management ini adalah melakukan konfigurasi WSUS server sebagai pusat Windows update server didalam jaringan local anda dimana semua clients Windows mendapatkan update dari nya ketimbang harus download langsung dari internet melalui sambungan koneksi internet.

 

WSUS patch management conceptual diagram

Server WSUS

Pertama anda harus menyiapkan sebuah server Windows yang akan diinstall sebagai WSUS server management. Tidak perlu sebuah server dedicated, bisa digabung dengan server yang lain misal server DHCP atau Antivirus-management server dengan Windows server 2003 atau yang lebih baru.

Kedua anda bisa download file WSUS server versi terbaru dari Windows website disini: WSUS Patch management

Lakukan instalasi dengan petunjuk yang ada, disini tidak akan membahas delik dan detil instalasi WSUS beserta group policy yang diperlukan. Ikuti saja instalasi wizard nya setidaknya default installation akan memadai untuk bisa operasional. Mungkin yang agak sedikit rumit adalah masalah penerapan group policy jika anda belum faham masalah group policy.

Setelah instalasi selesai, anda perlu melakukan konfigurasi management server WSUS ini bagaimana dia akan download Windows update, apakah dari upstream WSUS server lainnya, atau langsung dari Internet. Jika harus download langsung dari internet, akses untuk ke internet juga harus dimungkinkan buat server WSUS ini agar bisa download automatis sesuai schedule yang telah ditentukan.

Dua server WSUS

Didalam jaringan bisnis yang berskala besar atau enterprise, umumnya mereka menerapkan dua buah server WSUS dalam jaringan mereka. Kenapa demikian? Satu server WSUS pertama di konfigurasi langsung download update dari internet sementara server WSUS kedua melakukan upstream ke WSUS server pertama.

Kenapa harus dua server WSUS? Idenya adalah melakukan testing update / patches tersebut kepada mesin development / mesin testing sebelum direlease kepada environment produksi. Server WSUS pertama melakukan download ke Internet dan tidak melakukan distribusi langsung kepada clients computer produksi, melainkan distribusi kepada clients development / test environment. Jika proses roll-out kepada mesin test berjalan mulus maka update pathes tersebut bisa di approve dan bisa di download oleh mesin WSUS kedua untuk bisa didistribusikan kepada production clients. Anda bisa bayangkan kalo semua patches tanpa di test langsung di roll-out ke semua production clients ternyata bikin freeze system, tentunya anda sebagai admin akan mendapatkan masalah besar untuk melakukan roll-back update patches di mesin production.

Saya tidak sedang mendiskusikan detail informasi cara instalasi dan konfigurasi tentang deployment WSUS patch management ini, anda bisa dapatkan langsung di Microsoft Technet tentang WSUS ini.

Ringkasan:

Windows patch management WSUS management system adalah sangat vital sekali untuk diterapkan kepada jaringan computer dengan infrastructure Windows server kelas menengah keatas. Sebagai best practice anda bisa menerapkan 2 WSUS patch management server dimana satu server untuk development, dan satunya lagi untuk production environment.

Lihat juga artikel:




You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.