元の記事はこちら
なんかヤバそうなアップデートキタコレ。。。
当社ではサーバのパッチは一番新しいものは避けて適用することにしています。
それはもちろんトラブルを回避する為に他ならないのですが、さらに未来のパッチ最新情報をマイクロソフトから入手し、適用するかしないかの査定をするという石橋を叩く所作をしています。
半分、どんぶり勘定的な査定ですが、、、やばそうなものは避けようという姿勢ですね。
そしてADを管理している僕のチームメイトの子(仮:M子)が毎月目を光らせてその情報を追っているときに今回の脆弱性に対する影響を見つけました。
「ADの認証ができなくなるっぽいアップデートっすね!」
当社では過去もパッチによる認証不具合が発生していることからこの手の情報には敏感であった。
そして当時は2024年11月に第2フェーズを迎えるという情報だったため、知ってしまった時点で即行動することを余儀なくされた。
影響を確認!
さっそく影響を確認したところ、早い話
Microsoft「Kerberos認証してくるリソースは全部対象だよ!(はぁと)」
ということらしい
PCはもちろん、Windowsサーバ、そしてLinuxなども無慈悲の対象(涙)
How many?
PCは数千台、これは問題ない。PCには常に当月のパッチを適用しているので大丈夫。
Windowsサーバ、百台オーバーってところ。
当社ではAWSで作ったパッチ適用の仕組みをローテーションで回しており、オンプレミスも含めて充ててるものは充てているのだけれど、ミドルウェアのベンダーサポート契約やらなんやらで都合によりパッチ適用をあえて避けているものもあり。
Linuxサーバ、これはKerberos認証をさせているものはぼぼないんじゃね?という所で、当社では気にしないことにした(‘ω’)
各関係者との調整(めんどい)
ADを管理しているのは僕のチームですが、サーバ管理という観点では別の部署がおります(通称サーバチーム)。
僕もちょっと前はこのチームで仕事をしていたのである程度顔は利くのだけど、そこはそれ。今回Windowsサーバについて調整が必要なことでM子がサーバチームにコンタクトを取る。
当然メール一本で「しくよろ!」って訳にはいかず、打ち合わせしよう!ってことになる。
で、打ち合わせして影響について共有をしたところ、サーバチームのリーダーから
「これはプロジェクトとして立ち上げよう」
というつるの一声。パッチ適用という行為がプロジェクトに昇華した歴史的瞬間であった。
プロジェクト発足!w
といってもTeamsのチームを作り、チャネルで進捗を共有し、隔週で定例会を開く、程度のものである。
あとは本件についてのPowerPoint資料をM子が作ったんだが、関心するほどよくできたものに仕上げてくれた(感謝!) 内容はこんな感じ。
<ざっとこんなもんよ。。。
・今回の脆弱性対応(Kerberos PAC検証)の概要
・ADサーバの認証の動作のおさらい ※説明先がADのプロでないので
・適用スケジュール
・各適用タイミングにおけるメンバサーバへの影響
・メンバサーバ側で適用必須なパッチなど
これらの説明を受けてサーバチームでは自分たちの管理するサーバを全て洗い出し、パッチの適用状況を記載したExcelのリストを作成しチャネルに共有。また定期的な打ち合わせで適用が必要な残りのサーバや今後のスケジュールなどを共有。
正直、それらはサーバチーム内で勝手に話し合ってやってもらえればよいんだけどさ。。。PL(PM?)的な立ち位置だったので言い出せず、ありがたく進捗を見守らせて頂いたのであった。
そして。。。
なんやかんややってるうちに気が付くと第2フェーズが2024年11月→2025年1月に延期。
とはいえ11月をボーダーとして活動していた我々は無事すべてのサーバについてパッチ適用を完了。
一番話がややこしくなったのは前述のベンダーとの契約でパッチ適用をしていなかったサーバだけど、これも話合いで適用できることになった。そもそもパッチ適用で影響がでるミドルウェアがおかしいというか、結局新規でサーバ立てる場合は最新パッチを充てて立てるんでしょ?だったら今パッチ適用してノンサポートになるのはおかしいんじゃないのと。考えたら当たり前の話だ。
2024年11月現在でまだ第2フェーズは来ていないのだが、サーバチームは自分たちの対応に満足したためかプロジェクトの定期打ち合わせも終了した。ええんか。。。
当社ではひと月前のパッチを適用するため第2フェーズの煽りをくらうのは来年の2月となる訳だが、その時にまたこのプロジェクトが(トラブル対応で)活性化していないことを切に祈る。
コメント