Czy powinniśmy instalować aktualizacje zabezpieczeń systemu Windows? [Zamknięte]

14

Właśnie zapisałem RDP na jednym z serwerów mojej firmy, otrzymałem powiadomienie o aktualizacjach systemu Windows, więc klikam. Potem widzę 62 aktualizacje o wysokim priorytecie, a ostatnia aktualizacja (zgodnie z historią aktualizacji) została zainstalowana w czwartek, 16 stycznia 2014 r., Ponad rok temu.

Jakie działania należy tutaj podjąć?

OpenCoderX
źródło
21
Uważaj się za szczęściarza, że ​​mfinni i inni faktycznie na to odpowiadają. Przypomina to jedno z nas, którzy przychodzą na SO i pytają: „kiedy piszę kod, czy powinienem go debugować?”
TheCleaner,
7
@TheCleaner Odpowiedź na to pytanie brzmi „po tym, jak sprzedasz klientowi usługi debugowania kodu”.
HopelessN00b
8
@MonkeyZeus „jeśli to nie jest zepsute ...” w tym przypadku masz na myśli „jeśli to nie jest bezpieczne, nie zabezpieczaj go”?
5
„Jeśli nie jest zepsute, nie naprawiaj go” i „Jeśli nie jest bezpieczne, nie zabezpieczaj go” wyrażają zasadniczo przeciwne pomysły.
user2338816,
7
@Lilienthal - "useful for many other developers"nie ma wpływu na tę stronę. Ta strona nie jest zaprojektowana jako centrum pomocy dla użytkowników SO. Nazwij to okrutnym, jeśli chcesz, nie podałem zakresu witryny.
TheCleaner,

Odpowiedzi:

31

Krótka odpowiedź - tak. Większość aktualizacji systemu Windows jest związana z bezpieczeństwem. Brak łatek oznacza, że ​​jesteś wrażliwy.

Dłuższa odpowiedź - potrzebujesz procedury obejmującej takie rzeczy. W dzisiejszych czasach jest to rzadsze, ale czasami łatka może coś zepsuć lub zmienić zachowanie w taki sposób, że zepsuje się w przypadku Twojej firmy. Powinieneś oceniać każdą łatę po jej wydaniu (jest miesięczny harmonogram i kilka pilnych), ustalić, czy potrzebujesz łatki (prawdopodobnie tak), przeprowadź testy na serwerach testowych / testowych, aby zrobić staranność na temat potencjalnego uszkodzenia, a następnie wykonaj instaluje.

Powinieneś również zachować ostrożność w przypadku wdrożeń, ponieważ łatanie systemu operacyjnego często oznacza ponowne uruchomienie, co często oznacza przestój usługi, chyba że masz dobre HA dla wszystkich swoich usług. Jeśli uważasz, że będziesz sprytny i łatasz w ciągu dnia, a następnie odkładasz ponowne uruchomienie, nie jest to świetny pomysł - niektóre pliki zostaną zaktualizowane, a inne nie.

Microsoft oferuje bezpłatny produkt o nazwie WSUS, który może nieco ułatwić zarządzanie poprawkami niż przeprowadzanie zatwierdzeń i wdrażanie pojedynczo.

Do twojej wiadomości, powinieneś robić coś takiego dla wszystkich klas urządzeń, które posiadasz. Oprogramowanie układowe urządzenia sieciowego, oprogramowanie sprzętowe serwera, VMware ESXi itp. Te łatki nie wychodzą dla zabawy, prawie wszystkie z nich zawierają błędy, a wiele z nich może być związanych z bezpieczeństwem.

Ponadto - w zespole technicznym powinieneś zapytać kogoś, kto jest starszy od ciebie. Jeśli jesteś tam jedynym administratorem, Ty i Twoja organizacja nie ma się dobrze. Nie bierz tego do siebie, wszyscy musimy zacząć, nie wiedząc wszystkiego, co powinniśmy - ale jeśli to twoje pytanie, nie powinieneś być jedyną osobą zarządzającą tymi serwerami.

mfinni
źródło
14
Drań szybkiego pisania. >: /
HopelessN00b
1
Śnieżny dzień kochanie. Próbuje uzyskać dostęp VPN do biura.
mfinni
Nie zarządzam nimi, jestem programistą aplikacji, który musiał przeglądać niektóre dzienniki przeglądarki zdarzeń na hoście, już wcześniej zauważyłem powiadomienia o aktualizacji, ale tym razem przegapiłem małe „x” i kliknąłem bąbelek, prowadząc mnie do strony podsumowania. Moim dylematem jest obecnie rodzaj flagi, którą podnoszę do wyższej kadry kierowniczej, ponieważ wydaje mi się, że praca po prostu nie jest wykonywana. W rzeczywistości mamy WSUS. Do dzisiaj po prostu zakładałem, że każde powiadomienie o aktualizacji, które zobaczę, zostanie załatwione w ten weekend.
OpenCoderX
Natychmiast porozmawiaj z zarządem. Czy masz administratorów systemów? Jeśli to zrobisz, być może nie wykonają swojej pracy, chyba że w Twojej firmie obowiązują zasady „nie instaluj aktualizacji”. Jeśli nie masz administratorów systemów, poproś zarząd, aby wynajął lub zlecił to. Jak zapewne można się domyślać, deweloperzy nie mają tych samych celów ani umiejętności co sysadmini i większość nie może / nie powinna odgrywać obu ról.
mfinni
10
"My dilemma now is what sort of flag do I raise to senior management, because it appears to me that the work is simply not being done. "- bez dylematu, mówisz szefowi pocztą elektroniczną, co zauważyłeś i jesteś zaniepokojony. Może istnieć uzasadniony powód lub po prostu lenistwo. Tak czy inaczej, to nie twoja wina, że ​​nie zostało to zrobione, ale powinieneś przynajmniej wyrazić zaniepokojenie.
TheCleaner
18

Ogólna odpowiedź brzmi: dobrą praktyką jest aktualizowanie serwerów .

Ale zwróć uwagę na kilka rzeczy:

  1. Aktualizacje mogą powodować spowolnienie serwera podczas instalacji, a nawet powodować pewne przestoje, jeśli wymagają ponownego uruchomienia. Powinieneś planować robić je poza godzinami pracy biura.

  2. Aktualizacje wiążą się z pewnym ryzykiem . Mogą one uszkodzić serwer lub spowodować niekompatybilność. Zazwyczaj są w pełni odinstalowalne, ale w przypadku 62 z nich powinieneś również rozważyć, czy masz godną zaufania kopię zapasową (powinieneś i tak).

  3. Czy istnieje powód, dla którego spóźniasz się o rok na aktualizacje? Czy to twoje pierwsze logowanie do tego serwera od roku, czy coś jest zepsute?

  4. Zwróć szczególną uwagę na niesławny błąd programu Excel, który jest dostarczany z niektórymi grudniowymi aktualizacjami pakietu Office, jeśli Twoja firma korzysta z makr programu Excel, ale prawdopodobnie nie dotyczy to serwera, na którym nie powinien być uruchomiony pakiet Office.

  5. Wielu administratorów czeka kilka dni lub tygodni przed instalacją aktualizacji, aby sprawdzić, czy coś złego nie pojawi się w Internecie w związku z tymi aktualizacjami. Przy podejmowaniu decyzji, czy trzeba czekać, należy wziąć pod uwagę ryzyko związane z bezpieczeństwem pozostawiania serwera niepakowanego przez dłuższy czas.

pgr
źródło
O jakim „niesławnym błędzie programu Excel, który jest dostarczany z niektórymi grudniowymi aktualizacjami pakietu Office”, mówisz?
Andrew Medico,
„W przypadku niektórych użytkowników Form Forms (FM20.dll) nie działają już zgodnie z oczekiwaniami po zainstalowaniu aktualizacji MS14-082 Microsoft Office Security dla grudnia 2014 r.” zgodnie z postem na blogu Technet blogs.technet.com/b/the_microsoft_excel_support_team_blog/…
Shiv
@Shiv: dzięki, zredagowałem odpowiedź, aby dołączyć link.
pgr
@pgr, Czy nie ma ton tych niesławnych błędów?
Pacerier,
@Pacerier: eheh, jasne. Zwykle wszystko, co musisz zrobić, to wycofać aktualizację. Nie ten. Pliki mogą zostać „zainfekowane” błędem, tzn. Ktoś otworzy je po złej aktualizacji i nagle plik przestanie działać na innym komputerze. To była prawdziwa PITA, która sobie z tym poradziła i jeszcze się nie skończyła. Zauważ, że problem stał się tak skomplikowany (w najgorszych przypadkach, gdy problem występuje z plikiem), że Microsoft W dalszym ciągu nad nim pracuje, a ostateczne rozwiązanie jest jeszcze do osiągnięcia ... ale oczywiście każdy sysadmin będzie ma swoją własną koszmarną historię, to moja ... :-)
pgr
8

Wiem, że mfinni mnie pobili, ale idę do +1 dla WSUS. Konkretnie:

Załóżmy, że masz wiele serwerów, w tym testowych i produkcyjnych. Załóżmy również, że test ma podobny sprzęt do produkcji (co nie jest bezpiecznym założeniem, wiem, ale chodźmy z nim - jest fajny, ale nie konieczny). W programie WSUS można skonfigurować następujący scenariusz:

  1. Testuj serwery we własnej jednostce organizacyjnej. Zasady grupy mówią o instalowaniu aktualizacji i ponownym uruchomieniu komputera w pewnym niewygodnym czasie, takim jak niedziela o 3 nad ranem.
  2. Serwery Prod w innej jednostce organizacyjnej lub jednostkach organizacyjnych. Zasady grupy mówią, aby pobrać i powiadomić.
  3. Poprawki zostały zatwierdzone, a termin instalacji i ponownego uruchomienia serwerów upłynął w zaplanowanym okresie konserwacji, kilka dni lub tydzień po zastosowaniu poprawek przez serwery testowe / deweloperskie.

Jeśli nie jest to oczywiste, to zatwierdza wszystkie poprawki krytyczne / bezpieczeństwa dla serwerów, stosuje je najpierw do testowania, a następnie stosuje do produkcji. Widziałem tylko aktualizację, która raz krytycznie coś zepsuła, ale dałoby ci to możliwość wycofania łatki, jeśli nie przejdzie testu, zanim zastosuje się do prod.

Jeśli chodzi o duży stos aktualizacji na danym serwerze, łatanie stanowi mniejsze ryzyko niż brak łatania, ale sprawdziłbym moje kopie zapasowe przed zastosowaniem ich wszystkich na wszelki wypadek, ponieważ jest ich tak wiele. Jeśli jest to maszyna wirtualna, możesz najpierw zrobić migawkę.

Katherine Villyard
źródło
1

Jest to całkowicie zależne od Twojej firmy i zasad, które określiłeś dla aktualizacji swoich serwerów.

Przynajmniej powinieneś zainstalować aktualizacje bezpieczeństwa i wykonać wszelkie inne łaty, takie jak aktualizacje .NET Framework w środowisku testowym, zanim zaktualizujesz serwery produkcyjne.

Wasilij Syrakis
źródło
2
1.Za wolno. Uderzyły cię dwie inne, lepsze odpowiedzi. 2.Nie ma nic opartego na opiniach, czy instalować łatki / aktualizacje bezpieczeństwa, czy nie. Jedyny scenariusz, jaki mogę sobie wyobrazić, w którym nie chcesz instalować łatek, to taki, w którym kradniesz swojemu pracodawcy. 3.„Zarządzanie poprawkami” jest zdecydowanie tematem dotyczącym awarii serwera, chociaż może być również aktualne w przypadku superużytkownika.
HopelessN00b
1
Gdybym wiedział, że administratorzy mojego serwera pytają o to na SF, byłbym przerażony moją infrastrukturą. Sedno pytania brzmi: „Co powinienem zrobić?” nie coś podobnego do „Jak zarządzać / automatyzować / ulepszać?” które należą do kategorii zarządzania poprawkami i tak dalej. Myślałem, że to miejsce jest dla profesjonalistów, może się mylę. Wygląda na to, że należy do mnie SU!
Wasilij Syrakis
1
Pytający jest wyraźnie młodszy, ponieważ zadaje to pytanie. Oni potrzebują pomocy; dlatego ta strona istnieje. Obie pozostałe odpowiedzi to „Tak, oto więcej szczegółów i niuansów”.
mfinni
5
Byłbym bardziej zaniepokojony administratorami serwerów, którzy nie pytali i nie aktualizowali przez rok .
Michael Hampton
3
To zdecydowanie coś, co należy podnieść; w ciągu ostatnich 12 miesięcy wprowadzono pewne dość krytyczne aktualizacje zabezpieczeń.
Wasilij Syrakis