Güvenlik açıklarının %60'ı zamanında yamalanmadığı için sömürülüyor. 100 bilgisayarın her birinde manuel güncelleme imkânsız. Merkezi patch yönetimi şart. Bu rehberde Microsoft ortamı için stratejileri anlatıyoruz.
Patch Yönetimi Neden Kritik?
Microsoft her ay 'Patch Tuesday' ile onlarca güvenlik yaması yayınlar. Çoğu CVE-listeleri zaten kötü amaçlı yazılım kitlerine eklenmiş olur — zamanında patch yoksa hedef sizsiniz.
Ransomware vakalarının %80'i, tam patch'lenmiş sistemde başarısız olurdu. Tek bir patch'siz sunucu = ağ üzerinde lateral movement = full compromise.
WSUS — Klasik Çözüm
Windows Server Update Services Microsoft'un ücretsiz, on-premise patch dağıtım çözümüdür. Tüm Windows + Office güncellemelerini merkezi olarak yönetir.
Kurulum: Windows Server'a Role ekle > WSUS > Senkron > Bilgisayar grupları oluştur > Onay politikaları. 200-1000 bilgisayar için ideal.
Intune — Modern Cloud Yaklaşımı
Microsoft Intune (artık Endpoint Manager) bulut tabanlı, evden çalışanlar için ideal. VPN'siz bilgisayarlar bile yönetilebilir.
Update Rings ile aşamalı dağıtım (önce IT pilot, sonra %10, sonra %50, sonra %100). Bant genişliği yönetimi (Delivery Optimization).
SCCM/MECM — Enterprise
Microsoft Endpoint Configuration Manager — büyük kurumsal için. Patch'in yanı sıra yazılım dağıtımı, OS deployment, uyum raporları.
1000+ cihaz için, kompleks ihtiyaçlar olan kurumlarda kullanılır. Yüksek öğrenme eğrisi.
3. Taraf Uygulama Patch'leri
WSUS sadece Microsoft güncellemeleri yapar. Chrome, Firefox, Java, Adobe gibi 3. taraf uygulamalar için Patch My PC, ManageEngine Patch Manager, Action1 kullanılır.
Otomatik patch %100 değil — pilot dönem her zaman gerekir. Smyrna Bilgi Teknolojileri olarak İzmir'deki müşterilere WSUS + Patch My PC veya Intune kurulumu yapıyoruz.
Sıkça Sorulan Sorular
Patch dağıtım sırası nasıl olmalı?
1) IT pilot (3-5 cihaz), 2) Test grubu (%10), 3) Pilot kullanıcılar (%30), 4) Genel kullanıcılar (%60). Aşamalı dağıtım sorunları erken yakalar.
Üretim sunucularına patch ne zaman uygulanır?
Bakım pencerelerinde (cumartesi gece, pazartesi tatil). Önce test ortamında deneyin. Reboot gereken patch'lerde önceden bildirim yapın.
Patch Tuesday gece geliyor, hemen uygulamak gerekir mi?
Hayır. 7-14 gün test bekleyin. Microsoft bazen kötü patch yayınlar (örn. KB5034441 BitLocker recovery prompt'u). İlk dalga sorunları erken kullanıcılardan öğrenirsiniz.
Yardıma mı ihtiyacınız var?
İzmir Bayraklı merkezli ekibimiz aynı gün yerinde müdahale ediyor.
+90 542 767 00 29 Teklif Alİlgili konular: Active Directory En İyi Uygulamalar · Group Policy GPO