Должны ли мы устанавливать обновления безопасности Windows? [закрыто]
Я только что подключился по RDP к одному из серверов моей компании, получил предупреждение об обновлениях windows, поэтому я щелкнул. Затем я вижу 62 высокоприоритетных обновления, причем последнее обновление (согласно истории обновлений) было установлено в четверг, 16 января 2014 года, более одного года назад.
Какие действия здесь нужно предпринять?
Короткий ответ - да. Большая часть Windows Updates является связанной безопасностью. Не наличие патчей означает, что Вы уязвимы.
Более длинный ответ - Вам нужна процедура, которая касается этого вида вещи. Это более редко в эти дни, но иногда патч может повредить вещи или изменить поведение таким способом, которым это повреждается, что касается Вашей компании. Необходимо оценивать каждый патч, когда он выпустил (существует ежемесячное расписание плюс некоторые срочные), определите, нужен ли Вам патч (вероятно, да), сделайте некоторое тестирование на серверах теста/подготовки, чтобы сделать некоторое усердие о потенциальной поломке и затем сделать установки.
необходимо также проявить некоторую заботу о развертывании, потому что ОС, исправляющая часто, означает перезагружать, который часто означает, что существует сервисное время простоя, если у Вас нет некоторого хорошего HA для всех Ваших сервисов. Если Вы думаете, что будете умны и исправите в течение дня и затем отложите перезагрузку, это не прекрасная идея - некоторые файлы будут обновлены, но другие не будут.
Microsoft предлагает бесплатный продукт под названием WSUS, который может сделать управление исправлениями немного легче, чем выполнение одобрений и развертывания все один за другим.
к вашему сведению, необходимо делать этот вид вещи для всех классов устройства, которое Вы имеете. Встроенное микропрограммное обеспечение сетевого устройства, встроенное микропрограммное обеспечение серверного оборудования, VMware ESXI, и т.д. Те патчи не выходят ради удовольствия, почти все они обращаются к ошибкам, и многие из них могут быть связанной безопасностью.
Далее - необходимо спрашивать кого-то, кто более старше, чем Вы в Вашей технической команде. Если Вы - единственный администратор там, Вы и Ваша организация не также успеваете. Не берите это лично, все мы должны запустить, не зная все, что мы должны - но если это - Ваш вопрос, Вы не должны быть единственным человеком, управляющим этими серверами.
Универсальный ответ , это - хорошая практика для хранения серверов обновленными .
, Но обращают внимание на несколько вещей:
-
Обновления могут заставить сервер быть вялым во время установки или даже вызвать некоторое время простоя, если они требуют перезагрузки (перезагрузок). Вы должны план сделать их из часов офисной работы.
-
Обновления имеют некоторый риск связанный. Они могли бы повредить Ваш сервер или вызвать некоторую несовместимость. Они являются обычно полностью неустанавливаемыми, но с 62 из них необходимо также рассмотреть, есть ли у Вас защищенное резервное копирование (Вы должны, так или иначе).
-
там причина, почему Вы - один год поздно на обновлениях? Это - Ваше первое, входят в систему того сервера через год, или что-то еще повреждается?
-
Обращают особое внимание на печально известная ошибка Excel , который идет с некоторыми обновлениями в декабре Office, если Ваша компания использует макросы Excel, но это, вероятно, не относится к серверу, который не должен выполнять Office.
-
Многие системные администраторы ожидают несколько дней или недель прежде, чем установить обновления, только видеть, подходит ли что-нибудь плохо в Интернете относительно тех обновлений. При решении, необходимо ли ожидать, считайте угрозы безопасности отъезда сервера неисправленными в течение большего количества времени.
Я знаю, что mfinni бьют меня к перфорации, но я просто иду в +1 для WSUS. Конкретно:
Позволяют нам предположить, что у Вас есть несколько серверов, включая тест и производство. Давайте также предположим, что тест имеет подобные аппаратные средства к производству (который не является безопасным предположением, я знаю, но давайте пойдем с ним - это хорошо, но не необходимо). Вы могли настроить следующий сценарий в WSUS:
- Тестовые серверы в их собственном OU. Групповая политика говорит для установки обновлений и перезагрузки в некоторое ненеудобное время, как воскресенье в 3:00.
- серверы Напоминания в другом OU или OUs. Групповая политика говорит, чтобы загрузить и уведомить.
- Patches, утвержденный, и deadlined, чтобы установить и перезагрузить серверы во время Вашего запланированного окна обслуживания, несколько дней или спустя неделю после того, как, test/dev серверы применяют патчи.
то, Что это делает, если это не очевидно, является этим, утверждает все критические / патчи безопасности для Ваших серверов, применяет их для тестирования сначала и затем применяет их позже к производству. Я только видел, что обновление критически повреждает что-то однажды, но это дало бы Вам шанс откатывать патч, если он перестал работать в тесте, прежде чем он будет применяться к напоминанию.
Что касается большой груды обновлений на рассматриваемом сервере, исправление является более низким риском, чем не исправление, но я проверил бы свои резервные копии прежде, чем применить их всех на всякий случай, потому что существуют так многие. Если это - VM, Вы могли бы хотеть взять снимок сначала.
Это полностью до Вашего бизнеса и политики, которую Вы изложили в обновление Ваших серверов.
По крайней мере необходимо установить обновления системы защиты и выполнить любые другие патчи как обновления платформы.NET в тестовой среде сначала прежде, чем обновить рабочие серверы.