Должны ли мы устанавливать обновления безопасности Windows? [закрыто]

Я просто отправил RDP на один из серверов моей компании, меня предупредили об обновлениях Windows, поэтому я нажимаю. Затем я вижу 62 высокоприоритетных обновления, причем последнее обновление (согласно истории обновлений) было установлено в четверг, 16 января 2014 года, более года назад.

Какие действия нужно предпринять здесь?

Краткий ответ - да. Большинство обновлений Windows связаны с безопасностью. Отсутствие патчей означает, что вы уязвимы.

Более длинный ответ - вам нужна процедура, которая охватывает такие вещи. В наши дни это происходит гораздо реже, но иногда патч может сломать вещи или изменить поведение таким образом, чтобы он сломался, если речь идет о вашей компании. Вам следует оценивать каждый патч, когда он будет выпущен (есть месячный график плюс несколько срочных), определить, нужен ли вам патч (возможно, да), провести некоторое тестирование на тестовых / промежуточных серверах, чтобы сделать некоторые проверки относительно потенциальной поломки, а затем выполнить установки.

Вам также следует проявить некоторую осторожность при развертывании, поскольку исправление ОС часто означает перезагрузку, что часто означает простои службы, если у вас нет хороших HA для всех ваших служб. Если вы думаете, что вы будете умны и исправитесь в течение дня, а затем отложите перезагрузку, это не очень хорошая идея - некоторые файлы будут обновлены, а другие - нет.

Microsoft предлагает бесплатный продукт под названием WSUS, который может немного упростить управление исправлениями, чем согласование и развертывание по одному.

К вашему сведению, вы должны делать такие вещи для всех классов устройств, которые у вас есть. Микропрограмма сетевого устройства, аппаратная прошивка сервера, VMware ESXi и т. Д. Эти патчи не для удовольствия, почти все они исправляют ошибки, и многие из них могут быть связаны с безопасностью.

Далее - вы должны спросить кого-то, кто старше вас в вашей технической команде. Если вы там единственный администратор, то у вас и вашей организации дела идут не очень хорошо. Не принимайте это на свой счет, мы все должны начать, не зная всего, что должны - но если это ваш вопрос, вы не должны быть единственным человеком, управляющим этими серверами.

Общий ответ - это хорошая практика, чтобы обновлять ваши серверы .

Но обратите внимание на несколько вещей:

1. Обновления могут привести к замедлению работы сервера во время установки или даже к простоям, если они требуют перезагрузки. Вы должны планировать делать их в нерабочее время.

2. Обновления связаны с определенным риском . Они могут сломать ваш сервер или вызвать некоторую несовместимость. Они, как правило, полностью деинсталлируемы, но с 62 из них вы должны также рассмотреть, есть ли у вас надежная резервная копия (вы должны, во всяком случае).

3. Есть ли причина, почему вы опаздываете на один год? Это ваш первый вход в систему на этом сервере за год или что-то еще не работает?

4. Обратите особое внимание на печально известную ошибку Excel, которая приходит с некоторыми декабрьскими обновлениями Office, если ваша компания использует макросы Excel, но, вероятно, это не относится к серверу, на котором не должен быть Office.

5. Многие системные администраторы ждут несколько дней или недель, прежде чем устанавливать обновления, просто чтобы посмотреть, не появляется ли что-нибудь плохое в Интернете относительно этих обновлений. Решая, нужно ли вам ждать, рассмотрите риски безопасности, связанные с отсутствием исправлений на сервере в течение большего времени.

Я знаю, что Мфинни победил меня, но я просто собираюсь +1 к WSUS. В частности:

Предположим, у вас есть несколько серверов, включая тестовые и производственные. Давайте также предположим, что тестирование имеет оборудование, аналогичное производственному (я не знаю, что это безопасное предположение, но давайте пойдем с ним - это хорошо, но не обязательно). Вы можете настроить следующий сценарий в WSUS:

1. Тестируйте серверы в собственном подразделении. Групповая политика говорит об установке обновлений и перезагрузке в некоторое неудобное время, например, в воскресенье в 3 часа ночи.
2. Серверы Prod в другой OU или OU. Групповая политика говорит, чтобы загрузить и уведомить.
3. Исправления одобрены, а срок их установки и перезагрузки серверов установлен во время запланированного периода обслуживания, через несколько дней или неделю после того, как тестовые / dev-серверы установят исправления.

Что это делает, если не очевидно, что он одобряет все критические исправления / исправления безопасности для ваших серверов, сначала применяет их для тестирования, а затем применяет их позже к работе. Я видел обновление только один раз, когда что-то критически сломало, но это дало бы вам шанс откатить патч, если он не пройдёт тест до того, как он будет применён к prod.

Что касается большой кучи обновлений на рассматриваемом сервере, исправление представляет собой меньший риск, чем отсутствие исправлений, но я бы проверил свои резервные копии, прежде чем применять их все на всякий случай, потому что их так много. Если это виртуальная машина, вы можете сначала сделать снимок.

Это полностью зависит от вашего бизнеса и политики, установленной вами для обновления ваших серверов.

По крайней мере вы должны установить обновления безопасности и выполнить любые другие исправления, такие как обновления .NET Framework, в среде тестирования, прежде чем обновлять производственные серверы.