Właśnie zapisałem RDP na jednym z serwerów mojej firmy, otrzymałem powiadomienie o aktualizacjach systemu Windows, więc klikam. Potem widzę 62 aktualizacje o wysokim priorytecie, a ostatnia aktualizacja (zgodnie z historią aktualizacji) została zainstalowana w czwartek, 16 stycznia 2014 r., Ponad rok temu.
Jakie działania należy tutaj podjąć?
windows-update
OpenCoderX
źródło
źródło
"useful for many other developers"nie ma wpływu na tę stronę. Ta strona nie jest zaprojektowana jako centrum pomocy dla użytkowników SO. Nazwij to okrutnym, jeśli chcesz, nie podałem zakresu witryny.Odpowiedzi:
Krótka odpowiedź - tak. Większość aktualizacji systemu Windows jest związana z bezpieczeństwem. Brak łatek oznacza, że jesteś wrażliwy.
Dłuższa odpowiedź - potrzebujesz procedury obejmującej takie rzeczy. W dzisiejszych czasach jest to rzadsze, ale czasami łatka może coś zepsuć lub zmienić zachowanie w taki sposób, że zepsuje się w przypadku Twojej firmy. Powinieneś oceniać każdą łatę po jej wydaniu (jest miesięczny harmonogram i kilka pilnych), ustalić, czy potrzebujesz łatki (prawdopodobnie tak), przeprowadź testy na serwerach testowych / testowych, aby zrobić staranność na temat potencjalnego uszkodzenia, a następnie wykonaj instaluje.
Powinieneś również zachować ostrożność w przypadku wdrożeń, ponieważ łatanie systemu operacyjnego często oznacza ponowne uruchomienie, co często oznacza przestój usługi, chyba że masz dobre HA dla wszystkich swoich usług. Jeśli uważasz, że będziesz sprytny i łatasz w ciągu dnia, a następnie odkładasz ponowne uruchomienie, nie jest to świetny pomysł - niektóre pliki zostaną zaktualizowane, a inne nie.
Microsoft oferuje bezpłatny produkt o nazwie WSUS, który może nieco ułatwić zarządzanie poprawkami niż przeprowadzanie zatwierdzeń i wdrażanie pojedynczo.
Do twojej wiadomości, powinieneś robić coś takiego dla wszystkich klas urządzeń, które posiadasz. Oprogramowanie układowe urządzenia sieciowego, oprogramowanie sprzętowe serwera, VMware ESXi itp. Te łatki nie wychodzą dla zabawy, prawie wszystkie z nich zawierają błędy, a wiele z nich może być związanych z bezpieczeństwem.
Ponadto - w zespole technicznym powinieneś zapytać kogoś, kto jest starszy od ciebie. Jeśli jesteś tam jedynym administratorem, Ty i Twoja organizacja nie ma się dobrze. Nie bierz tego do siebie, wszyscy musimy zacząć, nie wiedząc wszystkiego, co powinniśmy - ale jeśli to twoje pytanie, nie powinieneś być jedyną osobą zarządzającą tymi serwerami.
źródło
"My dilemma now is what sort of flag do I raise to senior management, because it appears to me that the work is simply not being done. "- bez dylematu, mówisz szefowi pocztą elektroniczną, co zauważyłeś i jesteś zaniepokojony. Może istnieć uzasadniony powód lub po prostu lenistwo. Tak czy inaczej, to nie twoja wina, że nie zostało to zrobione, ale powinieneś przynajmniej wyrazić zaniepokojenie.Ogólna odpowiedź brzmi: dobrą praktyką jest aktualizowanie serwerów .
Ale zwróć uwagę na kilka rzeczy:
Aktualizacje mogą powodować spowolnienie serwera podczas instalacji, a nawet powodować pewne przestoje, jeśli wymagają ponownego uruchomienia. Powinieneś planować robić je poza godzinami pracy biura.
Aktualizacje wiążą się z pewnym ryzykiem . Mogą one uszkodzić serwer lub spowodować niekompatybilność. Zazwyczaj są w pełni odinstalowalne, ale w przypadku 62 z nich powinieneś również rozważyć, czy masz godną zaufania kopię zapasową (powinieneś i tak).
Czy istnieje powód, dla którego spóźniasz się o rok na aktualizacje? Czy to twoje pierwsze logowanie do tego serwera od roku, czy coś jest zepsute?
Zwróć szczególną uwagę na niesławny błąd programu Excel, który jest dostarczany z niektórymi grudniowymi aktualizacjami pakietu Office, jeśli Twoja firma korzysta z makr programu Excel, ale prawdopodobnie nie dotyczy to serwera, na którym nie powinien być uruchomiony pakiet Office.
Wielu administratorów czeka kilka dni lub tygodni przed instalacją aktualizacji, aby sprawdzić, czy coś złego nie pojawi się w Internecie w związku z tymi aktualizacjami. Przy podejmowaniu decyzji, czy trzeba czekać, należy wziąć pod uwagę ryzyko związane z bezpieczeństwem pozostawiania serwera niepakowanego przez dłuższy czas.
źródło
Wiem, że mfinni mnie pobili, ale idę do +1 dla WSUS. Konkretnie:
Załóżmy, że masz wiele serwerów, w tym testowych i produkcyjnych. Załóżmy również, że test ma podobny sprzęt do produkcji (co nie jest bezpiecznym założeniem, wiem, ale chodźmy z nim - jest fajny, ale nie konieczny). W programie WSUS można skonfigurować następujący scenariusz:
Jeśli nie jest to oczywiste, to zatwierdza wszystkie poprawki krytyczne / bezpieczeństwa dla serwerów, stosuje je najpierw do testowania, a następnie stosuje do produkcji. Widziałem tylko aktualizację, która raz krytycznie coś zepsuła, ale dałoby ci to możliwość wycofania łatki, jeśli nie przejdzie testu, zanim zastosuje się do prod.
Jeśli chodzi o duży stos aktualizacji na danym serwerze, łatanie stanowi mniejsze ryzyko niż brak łatania, ale sprawdziłbym moje kopie zapasowe przed zastosowaniem ich wszystkich na wszelki wypadek, ponieważ jest ich tak wiele. Jeśli jest to maszyna wirtualna, możesz najpierw zrobić migawkę.
źródło
Jest to całkowicie zależne od Twojej firmy i zasad, które określiłeś dla aktualizacji swoich serwerów.
Przynajmniej powinieneś zainstalować aktualizacje bezpieczeństwa i wykonać wszelkie inne łaty, takie jak aktualizacje .NET Framework w środowisku testowym, zanim zaktualizujesz serwery produkcyjne.
źródło
1.Za wolno. Uderzyły cię dwie inne, lepsze odpowiedzi.2.Nie ma nic opartego na opiniach, czy instalować łatki / aktualizacje bezpieczeństwa, czy nie. Jedyny scenariusz, jaki mogę sobie wyobrazić, w którym nie chcesz instalować łatek, to taki, w którym kradniesz swojemu pracodawcy.3.„Zarządzanie poprawkami” jest zdecydowanie tematem dotyczącym awarii serwera, chociaż może być również aktualne w przypadku superużytkownika.