Чи слід встановлювати оновлення безпеки Windows? [зачинено]


14

Я просто RDP'd на один з моїх серверів компаній, був оповіщений про оновлення Windows, тому я натискаю. Потім я бачу 62 оновлення з високим пріоритетом, останнє оновлення (за історією оновлень) було встановлено в четвер, 16 січня 2014 року, більше року тому.

Які дії тут потрібно вжити?


21
Подумайте, що пощастило, що мфінні та інші насправді відповідають на це. Це схоже на те, що хтось із нас приходить до SO і запитує "коли я пишу код, чи потрібно це налагоджувати?"
TheCleaner

7
@TheCleaner Відповідь на це запитання "після того, як ви продасте клієнта в послугах налагодження коду".
HopelessN00b

8
@MonkeyZeus "якщо він не зламався ..." у цьому випадку ви маєте на увазі "якщо він не захищений, не захищайте його"?

5
"Якщо він не зламався, не виправляйте" та "Якщо він не захищений, не захищайте його" висловлюйте принципово протилежні ідеї.
користувач2338816

7
@Lilienthal - "useful for many other developers"не має стосунку до цього сайту. Цей веб-сайт не розроблений як служба довідки для користувачів SO. Назвіть це жорстоко, якщо хочете, я не зробив рамки сайту.
TheCleaner

Відповіді:


31

Коротка відповідь - так. Більшість оновлень Windows стосуються безпеки. Якщо ви не маєте патчів, це означає, що ви вразливі.

Більш довга відповідь - вам потрібна процедура, яка охоплює такі речі. У наші дні це рідше, але іноді патч може зламати речі або змінити поведінку таким чином, що він порушиться, що стосується вашої компанії. Ви повинні оцінювати кожен патч, коли він випущений (є щомісячний графік плюс деякі термінові), визначте, чи потрібен виправлення (можливо, так), зробіть тестування на тестових / постановочних серверах, щоб зробити певну ретельність щодо потенційного поломки, а потім зробити встановлення.

Ви також повинні проявити певну турботу про розгортання, оскільки виправлення ОС часто означає перезавантаження, що часто означає простої служби, якщо ви не маєте хорошого HA для всіх своїх служб. Якщо ви думаєте, що ви будете розумними та латати протягом дня, а потім відкладете перезавантаження, це не чудова ідея - деякі файли будуть оновлені, а інші не.

Microsoft пропонує безкоштовний продукт під назвою WSUS, який може зробити управління патчем трохи простіше, ніж робити схвалення та розгортання всіх один за одним.

FYI, ви повинні робити такі речі для всіх класів пристроїв, які у вас є. Прошивка мережевого пристрою, прошивка серверного обладнання, VMware ESXi тощо. Ці патчі не виходять для задоволення, майже всі вони адресують помилки, і багато з них можуть бути пов'язані з безпекою.

Далі - вам слід запитати когось, хто старший за вас у вашій технічній команді. Якщо ви єдиний адміністратор там, ви та ваша організація не надто добре. Не сприймайте це особисто, ми всі повинні починати, не знаючи, що нам слід, але якщо це ваше питання, ви не повинні бути єдиною людиною, яка керує цими серверами.


14
Швидко набравши гад. >: /
HopelessN00b

1
Сніговий день дитини. Спроба отримати доступ до VPN в офіс.
mfinni

Я не керую ними, я розробник додатків, якому трапилося переглядати журнали перегляду подій на хості, я фактично раніше помічав сповіщення про оновлення, але цього разу я пропустив маленьке «х» і натиснув міхур, веде мене на сторінку підсумків. Моя дилема зараз полягає в тому, який прапор я піднімаю до вищого керівництва, бо мені здається, що робота просто не робиться. У нас фактично є WSUS. До сьогодні я просто припускав, що будь-яке повідомлення про оновлення, яке я бачив, буде опікуватися цими вихідними.
OpenCoderX

Негайно поговоріть з керівництвом. Чи є у вас системні адміністратори? Якщо ви це зробите, то, можливо, вони не виконують свою роботу, якщо тільки політика вашої компанії не "не встановлюйте оновлення". Якщо у вас немає системних адміністраторів, попросіть менеджмент взяти їх на роботу чи укласти контракт. Як ви, напевно, здогадуєтесь, у розробників немає тих самих цілей або наборів навичок, як у сисадмінів, і більшість не можуть / не повинні грати обох ролей.
mfinni

10
"My dilemma now is what sort of flag do I raise to senior management, because it appears to me that the work is simply not being done. "- ніякої дилеми, ви повідомляєте своєму начальнику по електронній пошті про те, що ви помітили і стурбовані. Може бути законна причина, а може просто лінь. Так чи інакше, це не ваша вина, це не було зроблено, але ви повинні хоча б висловити свою стурбованість.
TheCleaner

18

Загальна відповідь - це хороша практика оновлювати ваші сервери .

Але зверніть увагу на кілька речей:

  1. Оновлення можуть спричинити млявість сервера під час встановлення або навіть спричинити деякий час простою, якщо вони потребують перезавантаження. Ви повинні планувати робити їх поза робочим часом.

  2. Оновлення пов'язані з деяким ризиком . Вони можуть зламати ваш сервер або призвести до несумісності. Зазвичай їх повністю не можна встановити, але з 62 з них ви також повинні врахувати, чи є у вас надійні резервні копії (у будь-якому випадку ви повинні).

  3. Чи є причина, чому ви запізнюєтесь на оновлення на рік? Це ваш перший вхід на цей сервер за рік, або щось інше зламано?

  4. Зверніть особливу увагу на сумнозвісну помилку Excel, яка надходить із деякими грудневими оновленнями Office, якщо ваша компанія використовує макроси Excel, але це, ймовірно, не стосується сервера, на якому не має працювати Office.

  5. Багато системних адміністраторів чекають кілька днів або тижнів, перш ніж встановлювати оновлення, лише щоб побачити, чи з’явиться щось негативне в Інтернеті щодо цих оновлень. Вирішуючи, чи потрібно чекати, враховуйте ризики безпеки, якщо сервер не буде виправленим більше часу.


Про яку "сумнозвісну помилку в Excel, яка надходить із деякими грудневими оновленнями Office"?
Ендрю Медіко

"Для деяких користувачів контрольні форми (FM20.dll) більше не працюють, як очікувалося, після встановлення MS14-082 оновлень безпеки Microsoft Office у грудні 2014 року." відповідно до Technet-повідомлення в блозі blogs.technet.com/b/the_microsoft_excel_support_team_blog/…
Шив

@Shiv: спасибі, я відредагував відповідь, щоб включити ваше посилання.
пгр

@pgr, Хіба не буває тонни цих сумнозвісних помилок?
Pacerier

@Pacerier: еге, звичайно. Зазвичай все, що вам потрібно зробити, це відкат оновлення. Не цей. Файли можуть "заразитися" помилкою, тобто хтось відкриває їх після поганого оновлення, і раптом файл перестане працювати на іншому комп'ютері. Це справжнє ПДФА, що займається цим, і ще не закінчилося. Зауважте, що ця проблема настільки складна (у найгірших випадках, коли проблема пов’язана з файлом), що Майкрософт ВІНШЕ працює над цим, і остаточне вирішення ще потрібно досягти ... але, звичайно, кожен системний адміністратор буде є своя історія про кошмар, це моє ... :-)
пгр

8

Я знаю, що mfinni побив мене до удару, але я просто збираюся поставити +1 для WSUS. Конкретно:

Припустимо, що у вас є кілька серверів, включаючи тестові та виробничі. Припустимо також, що тест має подібне обладнання до виробництва (що я не є безпечним припущенням, я знаю, але давайте підемо з цим - це приємно, але не потрібно). Ви можете встановити такий сценарій у WSUS:

  1. Тестові сервери у власному OU. Групова політика говорить про встановлення оновлень та перезавантаження в якийсь незручний час, наприклад, у неділю о 3 ранку.
  2. Продавайте сервери в різних OU або OU. Групова політика говорить про завантаження та сповіщення.
  3. Патчі затверджені та терміни встановлення та перезавантаження серверів під час запланованого вікна технічного обслуговування, кілька днів або тиждень після того, як тестові / серверні розробки застосовуватимуть виправлення.

Що це робить, якщо це не очевидно, чи затверджує всі критичні / безпечні виправлення для ваших серверів, застосовує їх для тестування спочатку, а потім застосовує їх до виробництва. Я бачив лише, що оновлення критично зламає щось один раз, але це дасть вам можливість відмовити патч, якщо він не вдасться до тесту, перш ніж застосувати його до prod.

Що стосується великої купи оновлень на розглянутому сервері, виправлення є меншим ризиком, ніж не виправлення, але я би перевірив свої резервні копії, перш ніж застосовувати їх на всякий випадок, оскільки їх так багато. Якщо це VM, ви можете спершу зробити знімок.


1

Це повністю залежить від вашого бізнесу та політики, яку ви встановили щодо оновлення серверів.

По крайней мере, слід встановити оновлення безпеки та виконати будь-які інші виправлення, такі як .NET Framework Framework, в тестовому середовищі спочатку перед оновленням виробничих серверів.


2
1.Занадто повільно. Вас побили на удар двома іншими, кращими відповідями. 2.Немає нічого на основі думки щодо того, встановлювати патчі / оновлення безпеки чи ні. Єдиний сценарій, який я можу передбачити, коли ви не хочете встановлювати патчі, буде той, де ви крадете у свого роботодавця. 3."Керування виправленнями", безумовно, є темою серверних помилок, хоча це може бути також актуальним для супер-користувача.
HopelessN00b

1
Якби я знав, що адміністратори сервера запитують це в СФ, я б злякався своєї інфраструктури. Основою питання є "Що мені робити?" не щось схоже на "Як мені керувати / автоматизувати / покращити?" які підпадали б під категорію управління патчами тощо. Я думав, що це місце призначене для професіоналів, можливо, я помиляюся з цього приводу. Просто здається, що він належить на SU мені!
Василь Сіракіс

1
Запитувач явно досить молодший, тому що він / вона задає це питання. Їм потрібна допомога; саме тому цей сайт існує. Обидві інші відповіді - "Так, тут детальніше та нюанс".
mfinni

5
Мене б більше хвилювали адміністратори сервера, які не запитували і не оновлювали рік .
Майкл Хемптон

3
Це, безумовно, щось, що слід підняти; за останні 12 місяців відбулися досить критичні оновлення безпеки.
Василь Сіракіс
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.