Это скорее общий вопрос.
Большинство людей, использующих компьютер, всегда стараются не отставать от последних обновлений ОС и программного обеспечения, которые они используют, в основном из соображений безопасности. Кроме того, стало намного проще обновиться, например, с От Windows 8 до Windows 10 и сохраните все свои предыдущие данные / настройки без изменений. Обычно считается хорошей практикой регулярно запускать какой-либо менеджер обновлений на устройстве конечного пользователя.
Почему для серверов все иначе, а в некоторых случаях полностью избегают обновлений и исправлений? Конечно, есть проблемы, такие как время простоя при обновлении и возможность того, что обновление что-то сломает, но как обрабатываются обновления, если вы хотите убедиться, что все в безопасности?
Как происходит обновление ОС? Я читал о людях, работающих в средах, работающих под управлением некоторых ОС EoL (например, Windows Server 2008) на серверах, которые подключены к Интернету, но не обновляются или обновляются, потому что «что-то может сломаться».
Насколько я понимаю, вам не следует устанавливать новые обновления ОС так часто, как на свои личные устройства, но вы не можете почти никогда не обновляться, опасаясь потери функциональности.
В случае сохранения систем EoL или неприменения конкретных обновлений некоторые предприятия проводят надлежащий анализ затрат и выгод и принимают меры предосторожности для снижения потенциальных рисков.
А все остальные делают это неправильно. Неважно, намеренно они ничего не делают, ленивы или слишком дешево. Это все еще неправильно.
Один из этих двух методов требует времени и ресурсов, а другой чрезвычайно прост. Вот почему слишком многие организации придерживаются второго подхода.
Самый большой вопрос в том, кто обращается к серверу и насколько он доступен?
Например, если вы запускаете ядро Windows Server только с ролью Hyper-V для размещения виртуальных машин, никто не будет подключаться к серверу и работать на сервере, а удаленный доступ к серверу ограничен, и если все сделано правильно, правильно экранированный, вы можете избежать установки обновлений.
Обновления безопасности выпускаются, потому что была обнаружена уязвимость, которая может позволить кому-либо получить доступ к серверу. Для установки такого обновления обычно требуется перезагрузка, а перезагрузка этого типа сервера означает, что все серверы, которые он размещает, будут отключены на некоторое время, пока не завершится перезагрузка и установка обновлений. Но зачем кому-то исправлять дыры в безопасности, если никто все равно не сможет получить доступ к серверу? Нет пользователей, обращающихся к серверу, которые могут запускать программу, которая может создать уязвимость, и нет других запущенных служб, которые могут потребовать надлежащего обслуживания.
Во всех остальных случаях я бы определенно обновил серверы на регулярной основе, но при этом, как говорится, если у клиента работает сервер RDS (службы удаленных рабочих столов), и он хочет оставаться в системе в течение ночи, он не будет нравится, если сервер перезагружается именно так, поэтому вы должны объяснить, что сервер нуждается в обновлении время от времени, и заказчик может сказать: «Я бы предпочел, чтобы вы не перезагружали сервер, и Я рискну ради этого ».
Помните, клиент всегда король. Они тебе платят. Вы просто объясняете опасность, но если они этого не хотят, то когда что-то идет не так, это тоже их вина.
Тем не менее, есть еще одна проблема, которую необходимо решить.
Я не говорю никогда не устанавливать обновления, но это обычная практика, чтобы устанавливать их по запросу и по личному графику. Причина в том, что некоторые выпускаемые обновления могут принести больше вреда, чем пользы, поэтому компании, как правило, имеют сервер с низким уровнем риска, на котором выполняются все обновления, и как только обновления будут успешно установлены на этом сервере и нормально работать в течение недели или двух только после этого обновления устанавливаются на другие серверы.
Иногда обновление может иметь нежелательные побочные эффекты или даже отказы. Сервер, который важно запустить, не должен просто так получать последние обновления.