Чи слід встановлювати оновлення безпеки Windows? [зачинено]

Я просто RDP'd на один з моїх серверів компаній, був оповіщений про оновлення Windows, тому я натискаю. Потім я бачу 62 оновлення з високим пріоритетом, останнє оновлення (за історією оновлень) було встановлено в четвер, 16 січня 2014 року, більше року тому.

Які дії тут потрібно вжити?

Коротка відповідь - так. Більшість оновлень Windows стосуються безпеки. Якщо ви не маєте патчів, це означає, що ви вразливі.

Більш довга відповідь - вам потрібна процедура, яка охоплює такі речі. У наші дні це рідше, але іноді патч може зламати речі або змінити поведінку таким чином, що він порушиться, що стосується вашої компанії. Ви повинні оцінювати кожен патч, коли він випущений (є щомісячний графік плюс деякі термінові), визначте, чи потрібен виправлення (можливо, так), зробіть тестування на тестових / постановочних серверах, щоб зробити певну ретельність щодо потенційного поломки, а потім зробити встановлення.

Ви також повинні проявити певну турботу про розгортання, оскільки виправлення ОС часто означає перезавантаження, що часто означає простої служби, якщо ви не маєте хорошого HA для всіх своїх служб. Якщо ви думаєте, що ви будете розумними та латати протягом дня, а потім відкладете перезавантаження, це не чудова ідея - деякі файли будуть оновлені, а інші не.

Microsoft пропонує безкоштовний продукт під назвою WSUS, який може зробити управління патчем трохи простіше, ніж робити схвалення та розгортання всіх один за одним.

FYI, ви повинні робити такі речі для всіх класів пристроїв, які у вас є. Прошивка мережевого пристрою, прошивка серверного обладнання, VMware ESXi тощо. Ці патчі не виходять для задоволення, майже всі вони адресують помилки, і багато з них можуть бути пов'язані з безпекою.

Далі - вам слід запитати когось, хто старший за вас у вашій технічній команді. Якщо ви єдиний адміністратор там, ви та ваша організація не надто добре. Не сприймайте це особисто, ми всі повинні починати, не знаючи, що нам слід, але якщо це ваше питання, ви не повинні бути єдиною людиною, яка керує цими серверами.

Загальна відповідь - це хороша практика оновлювати ваші сервери .

Але зверніть увагу на кілька речей:

1. Оновлення можуть спричинити млявість сервера під час встановлення або навіть спричинити деякий час простою, якщо вони потребують перезавантаження. Ви повинні планувати робити їх поза робочим часом.

2. Оновлення пов'язані з деяким ризиком . Вони можуть зламати ваш сервер або призвести до несумісності. Зазвичай їх повністю не можна встановити, але з 62 з них ви також повинні врахувати, чи є у вас надійні резервні копії (у будь-якому випадку ви повинні).

3. Чи є причина, чому ви запізнюєтесь на оновлення на рік? Це ваш перший вхід на цей сервер за рік, або щось інше зламано?

4. Зверніть особливу увагу на сумнозвісну помилку Excel, яка надходить із деякими грудневими оновленнями Office, якщо ваша компанія використовує макроси Excel, але це, ймовірно, не стосується сервера, на якому не має працювати Office.

5. Багато системних адміністраторів чекають кілька днів або тижнів, перш ніж встановлювати оновлення, лише щоб побачити, чи з’явиться щось негативне в Інтернеті щодо цих оновлень. Вирішуючи, чи потрібно чекати, враховуйте ризики безпеки, якщо сервер не буде виправленим більше часу.

Я знаю, що mfinni побив мене до удару, але я просто збираюся поставити +1 для WSUS. Конкретно:

Припустимо, що у вас є кілька серверів, включаючи тестові та виробничі. Припустимо також, що тест має подібне обладнання до виробництва (що я не є безпечним припущенням, я знаю, але давайте підемо з цим - це приємно, але не потрібно). Ви можете встановити такий сценарій у WSUS:

1. Тестові сервери у власному OU. Групова політика говорить про встановлення оновлень та перезавантаження в якийсь незручний час, наприклад, у неділю о 3 ранку.
2. Продавайте сервери в різних OU або OU. Групова політика говорить про завантаження та сповіщення.
3. Патчі затверджені та терміни встановлення та перезавантаження серверів під час запланованого вікна технічного обслуговування, кілька днів або тиждень після того, як тестові / серверні розробки застосовуватимуть виправлення.

Що це робить, якщо це не очевидно, чи затверджує всі критичні / безпечні виправлення для ваших серверів, застосовує їх для тестування спочатку, а потім застосовує їх до виробництва. Я бачив лише, що оновлення критично зламає щось один раз, але це дасть вам можливість відмовити патч, якщо він не вдасться до тесту, перш ніж застосувати його до prod.

Що стосується великої купи оновлень на розглянутому сервері, виправлення є меншим ризиком, ніж не виправлення, але я би перевірив свої резервні копії, перш ніж застосовувати їх на всякий випадок, оскільки їх так багато. Якщо це VM, ви можете спершу зробити знімок.

Це повністю залежить від вашого бізнесу та політики, яку ви встановили щодо оновлення серверів.

По крайней мере, слід встановити оновлення безпеки та виконати будь-які інші виправлення, такі як .NET Framework Framework, в тестовому середовищі спочатку перед оновленням виробничих серверів.