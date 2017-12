Het is meer dan een jaar geleden dat Microsoft een overstap maakte en Windows 7-gebruikers dwong naar een nieuw patchsysteem waarbij je individuele updates niet meer kunt kiezen. Experts zeggen dat bedrijven hier nu nog steeds mee worstelen. "Mensen vragen nog steeds om individuele updates, zelfs op Windows 10", zegt Windows patch-expert Susan Bradley. Ze schrijft over dit onderwerp in de Windows Secrets-nieuwsbrief en is moderator van mailinglist PatchManagement.org, waar IT-admins updates en patches bespreken.

Af van losse patches

In het verleden konden Windows-gebruikers kiezen welke patches ze toepasten, maar vorig jaar debuteerde Microsoft een radicaal nieuw uitrolsysteem waarbij er maandelijks cumulatieve updates verschenen. Dat was al het updatebeleid voor Windows 10 en in oktober 2016 ging dat ook gelden voor de twee andere nog ondersteunde besturingssystemen: Windows 7 en 8.1

Niet alleen heeft een cumulatieve update alles in zich van ook alle voorgaande updates, zulke updates worden ook niet meer in delen uitgebracht. Daarom is het niet meer mogelijk om een individuele patch over te slaan: het is alles of niets.

Toen Microsoft de veranderingen aankondigde, en nog voordat de nieuwe soort updates werden uitgebracht, waarschuwden Windows-patchexperts al dat bedrijven mogelijk zouden moeten kiezen tussen patchen - en de pc-omgevingen beveiligd houden - of het potentieel breken van een bedrijfskritieke applicatie of workflow.

14 maanden later

"Het is een reële zorg dat het een issue zal zijn, omdat het bedrijfsproces operationeel moet blijven en we daarom mogelijk niet in staat zullen zijn om de update-rollup te installeren", zei Bradley destijds. "Het resultaat is dat we blootgesteld blijven aan een risico op een aanval."

Onder het eerdere patchbeleid kon een patch die voor problemen zorgde worden uitgesloten - wellicht voor meer testen intern om het probleem op te lossen of om Microsoft meer tijd te geven om een bug te pletten - terwijl andere beveiligingsfixes wel werden toegepast. Inmiddels is het 14 maanden later en hebben bedrijven nog steeds moeite met het alles-of-niets-voorstel.

"Het is een verlengde patchcylcus geworden", zegt Chris Goettl, chef bij beveiligingsbedrijf Ivanti. Hij legt uit dat veel bedrijven werden gedwongen om, althans voor bepaalde systemen, alle patches uit te stellen omdat een codewijziging in de cumulatieve Windows 7-update een kritieke applicatie in de war had geschopt.

Patchen komt stil te liggen

"We zien veel klanten die niet in staat zijn geweest om updates uit te rollen totdat het probleem was opgelost, door ofwel Microsoft of een third party-leverancier", vertelt hij. "Vroeger zeiden admins: 'we rollen alleen de kritieke updates uit en negeren de belangrijke patches', maar die optie is er niet meer. Daarom worden álle updates op een gevoelig systeem niet meer toegepast."

En met alle bedoelt hij ook echt álle: niet alleen de patches van die maand, maar ook alle opvolgende, omdat de cumulatieve updates de gewraakte wijziging bevatten. De bug moet worden opgelost voordat een volgende update - of dat nu de maand erop of zelfs een half jaar verder - kan worden toegepast.

Matrixprinters

Dat zal niet gelden voor alle systemen, maar genoeg om het meer dan een incidenteel probleem te maken. "Ik garandeer je dat er hele configuraties zijn waar geen enkele patch is toegepast." Als voorbeeld van wat Goettl bedoelt, noemt patchspecialist Bradley een issue met de cumulatieve update van november die matrixprinters uit de ondersteuning schrapte.