Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Uptodate software installeren in Windows

25-07-2015, 09:59 door Anoniem, 18 reacties
Als je een van de gangbare Linux distributies hebt, en je voegt een feature toe via de standaard methode van software
installatie, dan kijkt de installer welke software repositories hij heeft (lokale DVD, internet) en installeert automatisch
de nieuwste versie van deze software. En die versie is dan inclusief de uitgekomen security patches die mensen die
de software al eerder geinstalleerd hadden ook binnen krijgen, maar dan via de update functie.

Doe je hetzelfde in Microsoft Windows, dan krijg je altijd eerst de oude kwetsbare versie binnen, en daar ga je mee aan
het werk, en pas de eerste keer dat Windows Update weer in actie komt (automatisch of doordat je deze triggert) dan
gaat die eventuele updates downloaden en aanbrengen. In bepaalde gevallen is het totaal wat er aan updates overheen
gaat een veelvoud van de size van het oorspronkelijke pakket. En het duurt ook nog eens heel lang.

Is er iemand die weet of Microsoft al plannen heeft om dit wat beter te maken?
Bijvoorbeeld in de be-all end-all Windows 10? Ze lopen nu zo langzaamaan wel ERG ver achter...

Voorbeeld: als je in Windows Update het aanbevolen pakket DotNET 4.5.2 installeert, dan zijn er de volgende keer dat
je weer Windows Update doet ineens 8 critical updates! Waarom installeert hij niet meteen een uptodate versie, of
gaat hij toch minstens als je die keuze voor DotNET 4.5.2 maakt meteen al die 9 benodigde paketten downloaden en
installeren?

Deze methode van werken lijkt me een security risico, want veel mensen zullen eerst een tijd met de kwetsbare versie
gaan werken. En doordat het updaten van met name die dingen als DotNET zo achterlijk lang duurt, kost het ook nog
eens heel veel tijd.

Is hun software packaging systeem echt zo brak dat het zo moeilijk is om bij iedere patch meteen even het base
package opnieuw te genereren en klaar te zetten voor de klanten die het vanaf dat moment downloaden als nieuw?
Of kan het ze gewoon niks schelen?
Reacties (18)
25-07-2015, 11:59 door Anoniem
Windows 10 krijgt uiteraard een snellere automatisch update service. Als ik mij niet vergis zullen ze het zelfde doen als bij linux. Windows 10 zal meteen updates uitbrengen zodra er een ernstig lek is gevonden.
25-07-2015, 12:18 door Anoniem
Microsoft is een groot, lomp en log bedrijf met een enorme macht en dito marktpositie.
En denkt nog steeds, net als de meeste politici trouwens, dat het gepeupelte niet beter weet.
Linux is in alle opzichten superieur maar mist alleen nog voldoende installed base op de desktops.
Zelfs als MS het roer omgooit zullen ze te laat zijn.
School je om tot linux prof en verkoop je aandelen MS.
Het is einde verhaal en dat zou wel eens heel snel kunnen gaan.
Enige weken tot maanden na het uitrollen van W10 zullen we dat gaan merken.
25-07-2015, 19:34 door Anoniem
1e: ik vraag me niet af hoe snel er updates uitkomen, maar waarom updates niet verwerkt worden in installatiepakketten.
2e: ik werkte al dik 2 jaar met Linux voordat de eerste serieuze Windows op de markt kwam. ik vraag me alleen af wanneer
Microsoft dit specifieke probleem eventueel gaat aanpakken.
25-07-2015, 21:24 door karma4
Typische Linux adept reacties die niet de richtlijnen voor Linux advocates volgen. http://www.tldp.org/HOWTO/Advocacy-5.html Het diskrediet voor Linux is kwalijk.

Het desktop verhaal is achterhaald. html en de Browser worden de nieuwe (grafische) terminal. Updaten van end devices wordt een non issue. Enterprise omgevingen is wat anders dan de hobby - garage.
25-07-2015, 23:25 door Anoniem
zoek anders even op wat slipstreamen is.

http://lmgtfy.com/?q=iso+slipstream
26-07-2015, 06:17 door Anoniem
Helaas nog geen enkele relevante reactie tot nu toe.
Dat je zelf moet slipstreamen is een ander voorbeeld van wat ik hier bedoel!
Microsoft zou ZELF die ISO files iedere maand moeten updaten zodat als je een ISO download je niet meteen al weer
achter loopt. Waarom doen ze dat niet en laten ze daar de hele wereld zelf mee klooien?

Een Chromebook is inderdaad een verademing maar daar gaat het nu niet om.
26-07-2015, 08:07 door Anoniem
Op zich, op zowel Windows als op OS X, krijg je ook meteen de laatste versie als je het in de 'stores' download. Updaten gaat dan ook automatisch.

Alleen als je zelf iets via een andere manier download krijg je dus het geschetste scenario, maar dat is onder linux niet anders.
26-07-2015, 10:33 door karma4
De relevante vraag voor updates op wat voor manier dan ook is het complete SDLC process met alle afhankelijkheden van de daarvan afhakelijke tools en de business-applicaties die weer daarvan afhankelijk zijn. https://en.wikipedia.org/wiki/Systems_development_life_cycle en https://en.wikipedia.org/wiki/Application_lifecycle_management Hierbij komen alle vragen van continuiteit en data security langs.

Als het enige doel is om wat reacties op thuis/hobby situaties te krijgen in de OS hoek. Dan is het doel OS flaming.
Niet echt zinvol dan wel on topic met (IT) security als hoofd onderwerp op deze site.
26-07-2015, 20:19 door Anoniem
Door karma4:

Als het enige doel is om wat reacties op thuis/hobby situaties te krijgen in de OS hoek. Dan is het doel OS flaming.
Niet echt zinvol dan wel on topic met (IT) security als hoofd onderwerp op deze site.

Opmerkelijk zinnige opmerking uit de mond van iemand die sinds hij hier actief is het maar niet kan laten om als Windows gebruiker onzinnige flames aangaande MAC OS X uit te lokken.

Om vele redenen irritant en onzinnig maar niet in de laatste plaats omdat ie werkelijk de dikke verdwaalde poepblubber op verkeerde plekken aan zicht en daarmee verstand heeft van dat OS.

Een op zich zinnige opmerking dus maar in dit geval bijzonder hypocriet.

Practice what you preach K4, en graag alleen als het een positieve uitwerking heeft op de sfeer op security.nl.
27-07-2015, 09:10 door johanw
Ik hou daar graag zelf controle over, bij veel software (niet alleen windows, onder Androiud kom ik hetzelfde tegen) is de laatste versie bepaald niet de beste: feature bloat of UI changes die je niet wilt, niet meer draaien onder bepaalde versies van het OS, of gewoon buggy zoals de Nvidia drivers die de windows 10 gebruikers niet konden tegenhouden in de update en dus de nodige systemen vernield hebben. Of (veelal onder windows) de laatste versie is (nog) niet gekraakt en doet het dus niet als je die over de bestaande pirate bay editie heenzet.

Onder Linux heb ik tenminste gewoonlijk de optie om zelf vanuit source te installeren buiten het package management om. Onder Android is dat wat meer uitzoeken en kan dat ook, en onder windows 7 gelukkig ook nog. Om dat voor alles te doen is me teveel werk maar voor sommige paketten wil ik dat juist wel.

Onder windows zijn er 3rd party tools die van andere geinstalleerde software uitzoeken of je de laatste versie hebt en zo nee die desgevraagd installeren als je daar behoefte aan hebt.
27-07-2015, 10:08 door Anoniem
Door Anoniem: Op zich, op zowel Windows als op OS X, krijg je ook meteen de laatste versie als je het in de 'stores' download. Updaten gaat dan ook automatisch.

Alleen als je zelf iets via een andere manier download krijg je dus het geschetste scenario, maar dat is onder linux niet anders.

Ok leg me eens uit hoe ik iets 'uit de stores download' bij Windows? Want ik kom niet anders dan dit probleem tegen
hoe ik ook software download bij Microsoft. Ik krijg altijd de originele base release en dan moeten er updates overheen.
ZELFS als ik iets download uit Windows/Microsoft Update. Daar zou ik dat toch niet verwachten.

En ik wil helemaal geen OS war uitlokken, ik wil alleen weten hoe dit bij Windows zit en gaf alleen de vergelijking hoe het
bij veel Linux distributies werkt om aan te geven wat ik bedoel.
27-07-2015, 10:19 door Mysterio
Yep, hoe Microsoft het nu doet is ronduit irritant. Hebben ze gelukkig ook zelf door, maar tot nu toe hadden ze er geen prioriteit aan gegeven. Je zou zeggen dat na een schone installatie met een oude Windows (whatever) OEM DVD je klaar bent na het installeren van het laatste servicepack en een paar recente updates... maar helaas. Bereid je voor op een paar dagen updates downloaden en installeren.

Dat is hoe het de thuisgebruiker vergaat. Laat helder zijn dat er genoeg trucjes zijn om het wat vlotter te laten verlopen, echter moet je het niet bij Microsoft zoeken. Microsoft is er vrij helder in geweest niet verantwoordelijk te zijn voor software van derden. Zelfs in zoverre dat ze geen programma's aanbieder die het updaten of installeren zouden vereenvoudigen. Snap ik wel, want voor je het weet komt de EU weer met een boete om de hoek of heb je zeurende gebruikers dat Microsoft hun computer heeft verkloot omdat derde ontwikkelaars brakke software hebben uitgebracht.

Ik heb wel hoop op de nieuwe weg die is ingeslagen met een soort van app store. Het blijft lastig omdat Windows een platform biedt voor ontelbaar veel applicaties. De vergelijking met ander OS-en is aantrekkelijk maar niet te doen. Het is een bus vergelijken met een tractor... beiden prima in hun eigen vakgebied. Ik hoop wel dat Microsoft en Apple leren van de Linux community's (en andersom) want er is op alle terreinen nog veel winst te halen.
27-07-2015, 10:48 door Anoniem
Door Mysterio:\Laat helder zijn dat er genoeg trucjes zijn om het wat vlotter te laten verlopen, echter moet je het niet bij Microsoft zoeken. Microsoft is er vrij helder in geweest niet verantwoordelijk te zijn voor software van derden. Zelfs in zoverre dat ze geen programma's aanbieder die het updaten of installeren zouden vereenvoudigen.

LET OP: ik heb het NIET over software van derden, ik heb het uitsluitend over software van Microsoft!
Dat Microsoft voor Windows geen repository van software van derden kan maken zoals Linux distributeurs dat kunnen,
dat snap ik heel goed. Maar Windows en Office en DotNET en al die paketten die via Microsoft Update worden bijgewerkt
daar doen ze dat ook niet voor. En dat snap ik niet!
27-07-2015, 15:12 door Rolfieo
Door Anoniem:
LET OP: ik heb het NIET over software van derden, ik heb het uitsluitend over software van Microsoft!
Dat Microsoft voor Windows geen repository van software van derden kan maken zoals Linux distributeurs dat kunnen,
dat snap ik heel goed. Maar Windows en Office en DotNET en al die paketten die via Microsoft Update worden bijgewerkt
daar doen ze dat ook niet voor. En dat snap ik niet!
Voor Office is er de mogelijkheid al. Je kan een installatie slipstreamen. Of je neemt de Office 365 variant, die altijd de laatste versie geupdate versie bevat.

Windows is helaas niet haalbaar, immers de meeste hebben gewoon een ISO liggen, welke men gebruikt om een machine te herinstalleren. Updaten is dus eigenlijk niet mogelijk.
27-07-2015, 15:21 door Mysterio
Door Anoniem:
Door Mysterio:\Laat helder zijn dat er genoeg trucjes zijn om het wat vlotter te laten verlopen, echter moet je het niet bij Microsoft zoeken. Microsoft is er vrij helder in geweest niet verantwoordelijk te zijn voor software van derden. Zelfs in zoverre dat ze geen programma's aanbieder die het updaten of installeren zouden vereenvoudigen.

LET OP: ik heb het NIET over software van derden, ik heb het uitsluitend over software van Microsoft!
Dat Microsoft voor Windows geen repository van software van derden kan maken zoals Linux distributeurs dat kunnen,
dat snap ik heel goed. Maar Windows en Office en DotNET en al die paketten die via Microsoft Update worden bijgewerkt
daar doen ze dat ook niet voor. En dat snap ik niet!
Ik ook niet.
27-07-2015, 15:41 door Anoniem
Door Rolfieo:
Windows is helaas niet haalbaar, immers de meeste hebben gewoon een ISO liggen, welke men gebruikt om een machine te herinstalleren. Updaten is dus eigenlijk niet mogelijk.

Ok, waar kan ik bij Microsoft een ISO downloaden van een recente Windows versie inclusief alle service packs en
updates zoals die er waren op een recente datum (ten hoogste 3 maanden geleden)?

Nergens toch? Ja je kunt hem zelf maken. Waardoor miljoenen gebruikers dat zelf moeten doen. Waarom kan
Microsoft dat niet eenmalig regelen dan?

Maar dat was de vraag ook niet. De vraag is waarom er niet een kantenklare setup.exe of msi file te downloaden is van
een recente office versie of een recente DotNET maar dan MET de updates er al in?
Alleen RTM versies die je dan zelf moet updaten. Waardeloos toch?
27-07-2015, 20:24 door karma4
De ISO download is bedoeld voor recovery als de hele boel stuk is. [ur] http://www.microsoft.com/en-us/software-recovery [/url]

Ziehier het "succesverhaal".
- in den beginne kon je met een paar commando's en copy only deploy het hele systeem in de lucht krijgen
Technische kennis is ongewenst. stop de floppy (CD/DVD) er in een kind kan de was doen.
- Iedereen wil zijn eigen smaak en configuratie dat regelen we wel met een setup programma.
Maken we zo dat het automatisch start en er geen technische kennis voor nodig is.
- O ja updates die zijn ook nog nodig. Maken we zo dat...
Daar kun je beter technici voor in huis hebben voor de planning.
Kun je ook uitbesteden bij desktoproviders die zich daarop richten. Daar is een fantastische markt voor.
De ontwikkeling is een gevolg van de wensen door algemeen management.


Thuisgebruikers en hobbyisten, die kunnen het of het standard menu volgen zoals bij de mac donalds of zelf gaan prutsen. Al je echt een Burger King wilt en veel geld hebt kun je een mac pakken voor het standaard menu dat zo fantastisch is dat niemand om wat anders vraagt.

Nee Linux is niet echt een verademing integendeel, yum rpm puppet neem wat en een leverancier komt met weer wat anders. Moet het eerst het onleedproces in om het zelf te gaan repackagen ("corrigeren"). Niemand wordt daar blij van.
Met alle spanningen die daar het gevolg van zijn een problematisch SLC/ALM gebeuren. Nog iemand een (d)bistrootje?
28-07-2015, 10:33 door [Account Verwijderd] - Bijgewerkt: 28-07-2015, 10:34
Thuisgebruikers zitten inderdaad vast aan minstens een dag updaten/rebooten/updaten na een verse installatie.. Je kunt het OS geloof ik tegenwoordig wel met SP1 etc geslipstreamed krijgen maar zaken als .net gaan echt belabberd :(

In de enterprise omgeving werk je natuurlijk met een WSUS server, en deze verwijdert wél de oude (obsolete) updates als je het goed inricht. Maar zelf dan ben je met een W7 installatie nog een uurtje of 2-3 aan het updaten.

Geheel geslipstreamed is vaak een heleboel werk, waar uitrollen van werkplekken "geen tijd vergt" want: deployment tools. Taak slepen naar een groep computers, paar uurtjes later is het klaar. Geen omkijken naar. Alles slipstreamen komt volgens mij niet vaak voor.

Ik hoop dat ze met W10 en de nieuwe manier van updaten eea verbeteren maar heb er niet veel vertrouwen in.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.