Chúng ta có nên cài đặt bản cập nhật Windows Security không? [đóng cửa]

Tôi vừa RDP vào một trong các máy chủ của công ty, đã được thông báo về các bản cập nhật Windows, vì vậy tôi nhấp vào. Sau đó, tôi thấy 62 bản cập nhật ưu tiên cao, với bản cập nhật cuối cùng (theo lịch sử cập nhật) đã được cài đặt vào thứ Năm ngày 16 tháng 1 năm 2014, hơn một năm trước.

Những hành động cần phải được thực hiện ở đây?

Câu trả lời ngắn gọn - có. Hầu hết các bản cập nhật Windows đều liên quan đến bảo mật. Không có các bản vá có nghĩa là bạn dễ bị tổn thương.

Câu trả lời dài hơn - bạn cần một thủ tục bao gồm loại điều này. Ngày nay hiếm hơn, nhưng đôi khi một bản vá có thể phá vỡ mọi thứ hoặc thay đổi hành vi theo cách mà nó bị phá vỡ theo như công ty của bạn có liên quan. Bạn nên đánh giá từng bản vá khi nó được phát hành (có lịch trình hàng tháng cộng với một số bản vá khẩn cấp), xác định xem bạn có cần bản vá không (có thể có), thực hiện một số thử nghiệm trên các máy chủ thử nghiệm / phân tích để thực hiện một số giải pháp về sự cố có thể xảy ra các cài đặt.

Bạn cũng nên thực hiện một số lưu ý về việc triển khai, vì vá hệ điều hành thường có nghĩa là khởi động lại, điều này thường có nghĩa là có thời gian ngừng dịch vụ, trừ khi bạn có một số HA tốt cho tất cả các dịch vụ của mình. Nếu bạn nghĩ rằng bạn sẽ thông minh và vá lỗi trong ngày và sau đó hoãn khởi động lại, đó không phải là một ý tưởng tuyệt vời - một số tệp sẽ được cập nhật nhưng những tệp khác thì không.

Microsoft cung cấp một sản phẩm miễn phí có tên WSUS có thể giúp quản lý bản vá dễ dàng hơn một chút so với thực hiện phê duyệt và triển khai từng cái một.

FYI, bạn nên làm điều này cho tất cả các loại thiết bị bạn có. Chương trình cơ sở thiết bị mạng, chương trình cơ sở phần cứng máy chủ, VMware ESXi, v.v. Những bản vá đó không xuất hiện vì sự thú vị của nó, hầu hết tất cả đều giải quyết các lỗi và nhiều trong số chúng có thể liên quan đến bảo mật.

Hơn nữa - bạn nên hỏi ai đó cao cấp hơn bạn trong nhóm kỹ thuật của bạn. Nếu bạn là quản trị viên duy nhất ở đó, bạn và tổ chức của bạn sẽ không hoạt động tốt. Đừng cá nhân, tất cả chúng ta cần bắt đầu mà không cần biết mọi thứ chúng ta nên - nhưng nếu đây là câu hỏi của bạn, bạn không nên là người duy nhất quản lý các máy chủ này.

Câu trả lời chung chung là một cách tốt để giữ cho máy chủ của bạn được cập nhật .

Nhưng hãy chú ý một vài điều:

1. Các bản cập nhật có thể khiến máy chủ chậm chạp trong quá trình cài đặt hoặc thậm chí gây ra một số thời gian chết nếu chúng yêu cầu khởi động lại. Bạn nên có kế hoạch để làm chúng ngoài giờ làm việc.

2. Cập nhật có một số rủi ro liên quan. Họ có thể phá vỡ máy chủ của bạn hoặc gây ra một số sự không tương thích. Chúng thường có thể được gỡ cài đặt hoàn toàn, nhưng với 62 trong số chúng, bạn cũng nên xem xét nếu bạn có một bản sao lưu đáng tin cậy (dù sao bạn cũng nên).

3. Có một lý do tại sao bạn chậm một năm để nâng cấp? Đây có phải là lần đăng nhập đầu tiên của bạn vào máy chủ đó trong một năm hay là một cái gì đó bị hỏng?

4. Đặc biệt chú ý đến lỗi Excel khét tiếng đi kèm với một số bản cập nhật Office tháng 12, nếu công ty của bạn sử dụng macro Excel, nhưng điều này có thể không áp dụng cho máy chủ không nên chạy Office.

5. Nhiều sysadins đợi vài ngày hoặc vài tuần trước khi cài đặt các bản cập nhật, để xem có gì xấu xuất hiện trên Internet liên quan đến các bản cập nhật đó không. Khi quyết định nếu bạn cần chờ đợi, hãy xem xét các rủi ro bảo mật khiến máy chủ không được cập nhật thêm thời gian.

Tôi biết mfinni đã đánh bại tôi, nhưng tôi sẽ tăng +1 cho WSUS. Đặc biệt:

Giả sử rằng bạn có nhiều máy chủ, bao gồm cả thử nghiệm và sản xuất. Chúng ta cũng giả sử rằng thử nghiệm có phần cứng tương tự như sản xuất (tôi không biết đó là một giả định an toàn, nhưng chúng ta hãy làm theo - nó tốt nhưng không cần thiết). Bạn có thể thiết lập kịch bản sau trong WSUS:

1. Kiểm tra máy chủ trong OU riêng của họ. Chính sách nhóm cho biết để cài đặt các bản cập nhật và khởi động lại vào một số thời điểm không bất tiện, như Chủ nhật lúc 3 giờ sáng.
2. Máy chủ prod trong OU hoặc OU khác nhau. Chính sách nhóm nói để tải về và thông báo.
3. Các bản vá được phê duyệt và có thời hạn để cài đặt và khởi động lại máy chủ trong cửa sổ bảo trì theo lịch trình của bạn, vài ngày hoặc một tuần sau khi máy chủ test / dev áp dụng các bản vá.

Điều này không có gì, nếu nó không rõ ràng, là nó chấp thuận tất cả các bản vá bảo mật / bảo mật cho máy chủ của bạn, áp dụng chúng để kiểm tra trước, sau đó áp dụng chúng sau này cho sản xuất. Tôi chỉ thấy một bản cập nhật nghiêm trọng phá vỡ một cái gì đó một lần, nhưng điều này sẽ cho bạn cơ hội quay lại bản vá nếu nó thất bại trong thử nghiệm trước khi áp dụng cho prod.

Đối với hàng đống cập nhật trên máy chủ đang được đề cập, việc vá lỗi có rủi ro thấp hơn so với việc không vá, nhưng tôi sẽ xác minh các bản sao lưu của mình trước khi áp dụng tất cả chỉ trong trường hợp có quá nhiều. Nếu đó là VM, bạn có thể muốn chụp ảnh trước.

Điều này hoàn toàn phụ thuộc vào doanh nghiệp của bạn và chính sách mà bạn đã đặt ra để cập nhật máy chủ của mình.

Ít nhất bạn nên cài đặt các bản cập nhật bảo mật và thực hiện bất kỳ bản vá nào khác như cập nhật khung .NET trong môi trường thử nghiệm trước khi cập nhật máy chủ sản xuất.