Installare le patch di Windows su Windows 2003


Guida a come installare nel 2022 le patch su un sistema Windows Server 2003 mai aggiornato o di recente installazione.

Necessiti di creare una virtual machine con una vecchia versione di Windows 2003 (con service pack 2) da zero? Potrebbe essere un problema.
Windows 2003 non è più supportato da Microsoft e sono pochi i software nuovi disponibili per questo sistema, ma a volte è necessario installarne uno per fare delle prove di compatibilità o utilizzare un vecchio dispositivo i cui driver sfortunatamente funzionano bene solo qui.

Dopo aver trovato la iso di 2003 o un supporto ottico, bisogna recuperare i driver necessari. Nel caso dell’installazione su virtual machine VMware sono sufficienti, per fortuna, soltanto i VMware Tools. Questi possono essere installati dopo aver installato il sistema operativo.
I VMware Tools 10 (ossia la versione 10) non sono supportati da Windows 2003 per cui è necessario procurarsi una vecchia versione.
Ecco il link: https://packages.vmware.com/tools/esx/6.0p01/windows/. Qui si possono trovare sia quelli per una versione a 32 bit del sistema oppure per la versione a 64 bit.

Dopo l’installazione dei VMware Tools su Windows Server 2003 è necessario riavviare il sistema.

L’installazione delle patch di Windows 2003 in questo momento non è fattibile e avviando la procedura è probabile che esca l’errore 0x80072eff. Infatti, Windows 2003 (SP2) arriva con il vetusto Internet Explorer 6. Questo non permette l’installazione delle patch di sicurezza del sistema per cui è necessario installare Internet Explorer 8 scaricabile da qui.

Internet Explorer 8 per Windows Server 2003 a 32 bit in inglese:

http://download.microsoft.com/download/7/5/0/7507EBD5-0193-4B7F-9F14-9014C7EB5C67/IE8-WindowsServer2003-x86-ENU.exe

Internet Explorer 8 per Windows Server 2003 a 64 bit in inglese:

http://download.microsoft.com/download/7/5/4/754D6601-662D-4E39-9788-6F90D8E5C097/IE8-WindowsServer2003-x64-ENU.exe

Una volta scaricato IE ed installato riavviare il sistema.

Se vi viene restituito l’errore 0x80072efd in quanto non è possibile scaricare https://www.update.microsoft.com/v11/3/legacy/windowsupdate/SelfUpdate/wuident.cab dovete avviare lo scaricamento delle patch con un nuovo url, infatti il link degli aggiornamenti automatici che è impostato nel sistema non funziona correttamente, è opportuno usare questo:

http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=en-us

per cui è sufficiente aprirlo con Internet Explorer 8 permettere l’esecuzione degli active X e procedere con la ricerca delle patch. Quest’operazione prevedere l’installazione di un tool più recente per lo scaricamento dei Windows Update.

KernelCare – kernel security patching rebootless

Secondo appuntamento con le soluzioni per l’applicazione delle patch per il kernel Linux senza necessità di reboot.

Dopo Ksplice di Oracle, in questo episodio presenteremo KernelCare, la tecnologia di CloudLinux, disponibile per svariate distribuzioni ad un costo accessibile (molto più economico di Ksplice). Una licenza per un singolo server costa 45 dollari all’anno.

KernelCare, al momento, è disponibile per:

  • Red hat Entreprise Linux/CentOS 6 e 7,
  • Oracle Linux UEK 6 e 7,
  • Debian 8 e 9,
  • Amazon (Linux) 1 e 2,
  • Ubuntu 14.04, 16.04, 18.04.

Mancano per ora la versione 8 di RHEL/CentOS/Oracle Linux e le ultime Debian e Ubuntu.

Per ottenere KernelCare è sufficiente scaricare lo script di installazione di KernelCare e lasciarlo tramite bash:

curl -s https://repo.cloudlinux.com/kernelcare/kernelcare_install.sh | bash

Poi è necessario registrarsi sul sito, tramite il quale è possibile ottenere una chiave temporanea, valida per 30 giorni, con la quale attivare il periodo di prova di KernelCare.
La chiave di attivazione viene inviata via e-mail all’indirizzo di registrazione.

Dopo aver ottenuto la chiave è sufficiente lanciare questo comando, seguito dalla chiave (asteriscata):

kcarectl --register a***************o

Dopo aver registrato la propria licenza del software, si può procedere all’installazione delle patch con il comando:

kcarectl --update

Il risultato del comando dovrebbe essere “Kernel is safe”.

Prima di lanciare l’update delle patch, e dopo.

Per avere informazioni circa il “punto” (level) di patching si può usare il comando:

kcarectl --uname

Questo è necessario perchè il classico uname non restituisce variazioni. Neppure dopo il riavvio del sistema.

Infatti è bene precisare che Kernelcare, rispetto ad altre soluzioni come Kspice, applica le patch di sicurezza (solo sicurezza, no funzionalità) al kernel attivo sul sistema mentre per installare realmente un kernel nuovo è necessario farlo con metodi tradizionali (yum update o apt upgrade); questo significa che se installate solo le patch di Kernelcare al riavvio del sistema vi troverete lo stesso kernel con le patch Kernelcare, non un kernel nuovo.

Kernelcare di default installa automaticamente le patch di sicurezza ogni 4 ore per cui se desiderate disattivare tale funzionalità, potete ricorrere alla modifica del file /etc/sysconfig/kcare/kcare.conf trasformando AUTO_UPDATE=True in AUTO_UPDATE=False

L’aggiornamento del sistema operativo, kernel compreso, senza riavvio

Se c’è una cosa che i sistemi GNU/Linux erano decenni avanti rispetto alla controparte Windows è la gestione del patching.
Un sistemista Windows passava nottate intere a fare il cosidetto WSUS, ossia l’applicazione delle patch di sicurezza e funzionalità, di Windows; senza contare che ogni tot numero di patch installate si doveva riavviare il sistema.

Organizzandosi in una pianificazione trimestrale o semestrale, si finiva per installare oltre la decina di aggiornamenti alla volta riguardanti solo il software Microsoft: Office, Silverlight, .Net Framework, SQL server, Exchange e ovviamente anche quelli relativi il sistema operativo. Poi rimanevano i programmi di terze parti come Adobe, Java. Un incubo.

Con le distribuzioni GNU/Linux tutto è molto più semplice, l’operazione di upgrade è molto rapida: potendo utilizzare un repository software interno, la discriminante la fa la CPU del server e la velocità del disco rigido. Un tempo sicuramente inferiore a quello del patching di Windows a parità di hardware.
Quindi il sistemista Linux rispetto a quello Windows specialmente per sistemi critici da presidiare, lavora meno ore.

L’unica cosa che probabilmente era migliorabile nelle distribuzioni del pinguino era la necessità di dover riavviare la macchina dopo l’installazione di un nuovo kernel.
Un unico riavvio, a fonte dei multipli riavvii necessari a Windows, che però era migliorabile ed eliminabile con un po’ di sforzo; tutto questo per portare l’uptime dei sistemi verso quell’agognato 99,99% su base annua che significa un downtime complessivo di poco inferiore ai 53 minuti all’anno. Possibile?

Oggi, nel 2019, installare le patch di sicurezza e di funzionalità in sistemi GNU/Linux è possibile anche senza riavvio, pur aggiornando il kernel.

Storicamente la prima soluzione, nata circa 10 anni fa, che consente di aggiornare il kernel di un server Linux senza interrompere i processi del sistema e senza riavvio, è Ksplice.
La tecnologia Ksplice fu acquisita da Oracle nel 2011 e implementata, a pagamento, sulla distribuzione Oracle Linux, derivata da Red Hat. Questo ha fatto sì che i maggiori produttori di distribuzioni Linux commerciali Red Hat e SuSE si mettessero in corsa per trovare una loro soluzione. Così sono nati Kpatch (di Red Hat) e Kgraph (di SuSE).
Dalle due soluzioni, ovviamente opensource, come sintesi nel 2016 è nata la versione di Canonical Ubuntu chiamata Livepatch.
Livepatch è gratuita per uso personale fino a 3 sistemi ed è attivabile tramite registrazione sul sito di Ubuntu: https://auth.livepatch.canonical.com/. In seguito è arrivata KernelCare di CloudLinux che ha permesso di attivare la tecnologia su CentOS, Debian e altre distribuzioni.