Czy powinniśmy instalować aktualizacje zabezpieczeń systemu Windows? [Zamknięte]

Właśnie zapisałem RDP na jednym z serwerów mojej firmy, otrzymałem powiadomienie o aktualizacjach systemu Windows, więc klikam. Potem widzę 62 aktualizacje o wysokim priorytecie, a ostatnia aktualizacja (zgodnie z historią aktualizacji) została zainstalowana w czwartek, 16 stycznia 2014 r., Ponad rok temu.

Jakie działania należy tutaj podjąć?

Krótka odpowiedź - tak. Większość aktualizacji systemu Windows jest związana z bezpieczeństwem. Brak łatek oznacza, że ​​jesteś wrażliwy.

Dłuższa odpowiedź - potrzebujesz procedury obejmującej takie rzeczy. W dzisiejszych czasach jest to rzadsze, ale czasami łatka może coś zepsuć lub zmienić zachowanie w taki sposób, że zepsuje się w przypadku Twojej firmy. Powinieneś oceniać każdą łatę po jej wydaniu (jest miesięczny harmonogram i kilka pilnych), ustalić, czy potrzebujesz łatki (prawdopodobnie tak), przeprowadź testy na serwerach testowych / testowych, aby zrobić staranność na temat potencjalnego uszkodzenia, a następnie wykonaj instaluje.

Powinieneś również zachować ostrożność w przypadku wdrożeń, ponieważ łatanie systemu operacyjnego często oznacza ponowne uruchomienie, co często oznacza przestój usługi, chyba że masz dobre HA dla wszystkich swoich usług. Jeśli uważasz, że będziesz sprytny i łatasz w ciągu dnia, a następnie odkładasz ponowne uruchomienie, nie jest to świetny pomysł - niektóre pliki zostaną zaktualizowane, a inne nie.

Microsoft oferuje bezpłatny produkt o nazwie WSUS, który może nieco ułatwić zarządzanie poprawkami niż przeprowadzanie zatwierdzeń i wdrażanie pojedynczo.

Do twojej wiadomości, powinieneś robić coś takiego dla wszystkich klas urządzeń, które posiadasz. Oprogramowanie układowe urządzenia sieciowego, oprogramowanie sprzętowe serwera, VMware ESXi itp. Te łatki nie wychodzą dla zabawy, prawie wszystkie z nich zawierają błędy, a wiele z nich może być związanych z bezpieczeństwem.

Ponadto - w zespole technicznym powinieneś zapytać kogoś, kto jest starszy od ciebie. Jeśli jesteś tam jedynym administratorem, Ty i Twoja organizacja nie ma się dobrze. Nie bierz tego do siebie, wszyscy musimy zacząć, nie wiedząc wszystkiego, co powinniśmy - ale jeśli to twoje pytanie, nie powinieneś być jedyną osobą zarządzającą tymi serwerami.

Ogólna odpowiedź brzmi: dobrą praktyką jest aktualizowanie serwerów .

Ale zwróć uwagę na kilka rzeczy:

1. Aktualizacje mogą powodować spowolnienie serwera podczas instalacji, a nawet powodować pewne przestoje, jeśli wymagają ponownego uruchomienia. Powinieneś planować robić je poza godzinami pracy biura.

2. Aktualizacje wiążą się z pewnym ryzykiem . Mogą one uszkodzić serwer lub spowodować niekompatybilność. Zazwyczaj są w pełni odinstalowalne, ale w przypadku 62 z nich powinieneś również rozważyć, czy masz godną zaufania kopię zapasową (powinieneś i tak).

3. Czy istnieje powód, dla którego spóźniasz się o rok na aktualizacje? Czy to twoje pierwsze logowanie do tego serwera od roku, czy coś jest zepsute?

4. Zwróć szczególną uwagę na niesławny błąd programu Excel, który jest dostarczany z niektórymi grudniowymi aktualizacjami pakietu Office, jeśli Twoja firma korzysta z makr programu Excel, ale prawdopodobnie nie dotyczy to serwera, na którym nie powinien być uruchomiony pakiet Office.

5. Wielu administratorów czeka kilka dni lub tygodni przed instalacją aktualizacji, aby sprawdzić, czy coś złego nie pojawi się w Internecie w związku z tymi aktualizacjami. Przy podejmowaniu decyzji, czy trzeba czekać, należy wziąć pod uwagę ryzyko związane z bezpieczeństwem pozostawiania serwera niepakowanego przez dłuższy czas.

Wiem, że mfinni mnie pobili, ale idę do +1 dla WSUS. Konkretnie:

Załóżmy, że masz wiele serwerów, w tym testowych i produkcyjnych. Załóżmy również, że test ma podobny sprzęt do produkcji (co nie jest bezpiecznym założeniem, wiem, ale chodźmy z nim - jest fajny, ale nie konieczny). W programie WSUS można skonfigurować następujący scenariusz:

1. Testuj serwery we własnej jednostce organizacyjnej. Zasady grupy mówią o instalowaniu aktualizacji i ponownym uruchomieniu komputera w pewnym niewygodnym czasie, takim jak niedziela o 3 nad ranem.
2. Serwery Prod w innej jednostce organizacyjnej lub jednostkach organizacyjnych. Zasady grupy mówią, aby pobrać i powiadomić.
3. Poprawki zostały zatwierdzone, a termin instalacji i ponownego uruchomienia serwerów upłynął w zaplanowanym okresie konserwacji, kilka dni lub tydzień po zastosowaniu poprawek przez serwery testowe / deweloperskie.

Jeśli nie jest to oczywiste, to zatwierdza wszystkie poprawki krytyczne / bezpieczeństwa dla serwerów, stosuje je najpierw do testowania, a następnie stosuje do produkcji. Widziałem tylko aktualizację, która raz krytycznie coś zepsuła, ale dałoby ci to możliwość wycofania łatki, jeśli nie przejdzie testu, zanim zastosuje się do prod.

Jeśli chodzi o duży stos aktualizacji na danym serwerze, łatanie stanowi mniejsze ryzyko niż brak łatania, ale sprawdziłbym moje kopie zapasowe przed zastosowaniem ich wszystkich na wszelki wypadek, ponieważ jest ich tak wiele. Jeśli jest to maszyna wirtualna, możesz najpierw zrobić migawkę.

Jest to całkowicie zależne od Twojej firmy i zasad, które określiłeś dla aktualizacji swoich serwerów.

Przynajmniej powinieneś zainstalować aktualizacje bezpieczeństwa i wykonać wszelkie inne łaty, takie jak aktualizacje .NET Framework w środowisku testowym, zanim zaktualizujesz serwery produkcyjne.