Назад | Перейти на главную страницу

Стоит ли устанавливать обновления безопасности Windows?

Я только что подключился по протоколу RDP к одному из серверов моей компании, был предупрежден об обновлениях Windows, поэтому я нажимаю. Затем я вижу 62 высокоприоритетных обновления, причем последнее обновление (согласно истории обновлений) было установлено в четверг, 16 января 2014 г., более года назад.

Какие действия здесь нужно предпринять?

Короткий ответ - да. Большинство обновлений Windows связаны с безопасностью. Отсутствие патчей означает, что вы уязвимы.

Более длинный ответ - вам нужна процедура, которая охватывает такого рода вещи. В наши дни это реже, но иногда патч может что-то сломать или изменить поведение таким образом, что он сломан в отношении вашей компании. Вы должны оценивать каждый патч, когда он будет выпущен (есть ежемесячный график плюс несколько срочных), определить, нужен ли вам патч (возможно, да), провести некоторое тестирование на тестовых / промежуточных серверах, чтобы проявить осторожность в отношении потенциальной поломки, а затем сделать установки.

Вы также должны проявлять некоторую осторожность при развертывании, потому что установка исправлений ОС часто означает перезагрузку, что часто означает простои службы, если у вас нет хорошего HA для всех ваших служб. Если вы думаете, что проявите смекалку и исправите в течение дня, а затем отложите перезагрузку, это не лучшая идея - некоторые файлы будут обновлены, а другие нет.

Microsoft предлагает бесплатный продукт под названием WSUS, который может немного упростить управление исправлениями, чем согласование и развертывание по одному.

К вашему сведению, вы должны делать такие вещи для всех классов устройств, которые у вас есть. Прошивка сетевого устройства, прошивка серверного оборудования, VMware ESXi и т. Д. Эти исправления предназначены не для развлечения, почти все они устраняют ошибки, и многие из них могут быть связаны с безопасностью.

Далее - вы должны спросить кого-то, кто старше вас в вашей технической команде. Если вы единственный администратор, у вас и у вашей организации дела обстоят не очень хорошо. Не принимайте это на свой счет, нам всем нужно начинать, не зная всего, что мы должны - но если это ваш вопрос, вы не должны быть единственным человеком, управляющим этими серверами.

Общий ответ: Хорошая практика - постоянно обновлять свои серверы.

Но обратите внимание на несколько вещей:

  1. Обновления могут привести к замедлению работы сервера во время установки или даже к некоторому простою, если они потребуют перезагрузки. Вам следует план делать их в нерабочее время.

  2. Обновления есть некоторый риск связанный. Они могут сломать ваш сервер или вызвать несовместимость. Обычно их можно полностью удалить, но с 62 из них вам также следует подумать, есть ли у вас надежная резервная копия (в любом случае, вам следует).

  3. Есть ли причина, по которой вы опоздали на один год с обновлением? Это ваш первый вход на этот сервер за год или что-то еще не работает?

  4. Обратите особое внимание на печально известная ошибка Excel который поставляется с некоторыми декабрьскими обновлениями Office, если ваша компания использует макросы Excel, но это, вероятно, не относится к серверу, на котором не должен работать Office.

  5. Многие системные администраторы ждут несколько дней или недель перед установкой обновлений, просто чтобы посмотреть, не обнаружится ли что-нибудь плохое в Интернете относительно этих обновлений. Решая, нужно ли вам подождать, подумайте о рисках безопасности, связанных с оставлением сервера без исправлений на большее время.

Я знаю, что mfinni меня опередили, но я просто собираюсь +1 за WSUS. В частности:

Предположим, у вас есть несколько серверов, включая тестовый и производственный. Предположим также, что в тесте есть оборудование, аналогичное производственному (я знаю, что это небезопасное предположение, но давайте продолжим - это приятно, но не обязательно). В WSUS можно настроить следующий сценарий:

  1. Тестируйте серверы в собственном OU. Групповая политика предписывает устанавливать обновления и перезагружаться в любое удобное время, например, в воскресенье в 3 часа ночи.
  2. Серверы Prod в другом OU или OU. Групповая политика говорит, что нужно скачать и уведомить.
  3. Исправления утверждены, и установлен крайний срок для установки и перезагрузки серверов во время запланированного периода обслуживания, через несколько дней или неделю после того, как серверы test / dev применили исправления.

Что это делает, если это не очевидно, так это то, что он утверждает все критические исправления / исправления безопасности для ваших серверов, сначала применяет их для тестирования, а затем применяет их в производственной среде. Я только однажды видел, как обновление что-то критически ломает, но это даст вам возможность откатить патч, если он не прошел тест, прежде чем он будет применен к продукту.

Что касается большой кучи обновлений на рассматриваемом сервере, то установка исправлений представляет меньший риск, чем отсутствие исправлений, но я бы проверил свои резервные копии, прежде чем применять их все, на всякий случай, потому что их так много. Если это виртуальная машина, вы можете сначала сделать снимок.

Это полностью зависит от вашего бизнеса и политики, которую вы установили для обновления своих серверов.

По крайней мере, перед обновлением рабочих серверов вы должны установить обновления безопасности и выполнить любые другие исправления, такие как обновления .NET framework, в тестовой среде.