Chúng ta có nên cài đặt bản cập nhật Windows Security không? [đóng cửa]


14

Tôi vừa RDP vào một trong các máy chủ của công ty, đã được thông báo về các bản cập nhật Windows, vì vậy tôi nhấp vào. Sau đó, tôi thấy 62 bản cập nhật ưu tiên cao, với bản cập nhật cuối cùng (theo lịch sử cập nhật) đã được cài đặt vào thứ Năm ngày 16 tháng 1 năm 2014, hơn một năm trước.

Những hành động cần phải được thực hiện ở đây?


21
Hãy xem xét bản thân bạn may mắn rằng mfinni và những người khác đang thực sự trả lời điều này. Nó giống như một trong số chúng ta đến với SO và hỏi "khi tôi viết mã thì tôi có nên gỡ lỗi không?"
TheCleaner

7
@TheCleaner Câu trả lời cho câu hỏi đó là "sau khi bạn bán hàng cho khách hàng về các dịch vụ sửa lỗi mã của bạn."
HoplessN00b

8
@MonkeyZeus "nếu nó không bị hỏng ..." trong trường hợp này, ý bạn là "nếu nó không an toàn, không bảo mật nó"?

5
"Nếu nó không bị hỏng, đừng sửa nó" và "Nếu nó không an toàn, đừng bảo mật nó" thể hiện những ý tưởng trái ngược nhau.
user2338816

7
@Lilienthal - "useful for many other developers"không có liên quan đến trang web này. Trang web này không được thiết kế như một bộ phận trợ giúp cho người dùng SO. Gọi nó là tàn nhẫn nếu bạn muốn, tôi đã không làm cho phạm vi của trang web.
TheCleaner

Câu trả lời:


31

Câu trả lời ngắn gọn - có. Hầu hết các bản cập nhật Windows đều liên quan đến bảo mật. Không có các bản vá có nghĩa là bạn dễ bị tổn thương.

Câu trả lời dài hơn - bạn cần một thủ tục bao gồm loại điều này. Ngày nay hiếm hơn, nhưng đôi khi một bản vá có thể phá vỡ mọi thứ hoặc thay đổi hành vi theo cách mà nó bị phá vỡ theo như công ty của bạn có liên quan. Bạn nên đánh giá từng bản vá khi nó được phát hành (có lịch trình hàng tháng cộng với một số bản vá khẩn cấp), xác định xem bạn có cần bản vá không (có thể có), thực hiện một số thử nghiệm trên các máy chủ thử nghiệm / phân tích để thực hiện một số giải pháp về sự cố có thể xảy ra các cài đặt.

Bạn cũng nên thực hiện một số lưu ý về việc triển khai, vì vá hệ điều hành thường có nghĩa là khởi động lại, điều này thường có nghĩa là có thời gian ngừng dịch vụ, trừ khi bạn có một số HA tốt cho tất cả các dịch vụ của mình. Nếu bạn nghĩ rằng bạn sẽ thông minh và vá lỗi trong ngày và sau đó hoãn khởi động lại, đó không phải là một ý tưởng tuyệt vời - một số tệp sẽ được cập nhật nhưng những tệp khác thì không.

Microsoft cung cấp một sản phẩm miễn phí có tên WSUS có thể giúp quản lý bản vá dễ dàng hơn một chút so với thực hiện phê duyệt và triển khai từng cái một.

FYI, bạn nên làm điều này cho tất cả các loại thiết bị bạn có. Chương trình cơ sở thiết bị mạng, chương trình cơ sở phần cứng máy chủ, VMware ESXi, v.v. Những bản vá đó không xuất hiện vì sự thú vị của nó, hầu hết tất cả đều giải quyết các lỗi và nhiều trong số chúng có thể liên quan đến bảo mật.

Hơn nữa - bạn nên hỏi ai đó cao cấp hơn bạn trong nhóm kỹ thuật của bạn. Nếu bạn là quản trị viên duy nhất ở đó, bạn và tổ chức của bạn sẽ không hoạt động tốt. Đừng cá nhân, tất cả chúng ta cần bắt đầu mà không cần biết mọi thứ chúng ta nên - nhưng nếu đây là câu hỏi của bạn, bạn không nên là người duy nhất quản lý các máy chủ này.


14
Tên khốn gõ nhanh. >: /
Vô vọngN00b

1
Ngày tuyết rơi bé. Đang cố gắng truy cập VPN vào văn phòng.
mfinni

Tôi không quản lý chúng, tôi là nhà phát triển ứng dụng cần xem một số nhật ký người xem sự kiện trên máy chủ, tôi thực sự đã nhận thấy thông báo cập nhật trước đây nhưng lần này tôi đã bỏ lỡ 'x' và nhấp vào bong bóng, dẫn tôi đến trang tóm tắt. Vấn đề nan giải của tôi bây giờ là loại cờ nào tôi nâng lên cho quản lý cấp cao, bởi vì nó cho tôi thấy rằng công việc đơn giản là không được thực hiện. Chúng tôi thực sự có WSUS. Cho đến hôm nay tôi chỉ cho rằng bất kỳ thông báo cập nhật nào tôi thấy sẽ được quan tâm vào cuối tuần đó.
OpenCoderX

Nói chuyện với quản lý ngay lập tức. Bạn có quản trị hệ thống không? Nếu bạn làm như vậy, thì họ có thể không thực hiện công việc của họ, trừ khi chính sách của công ty bạn là "không cài đặt bản cập nhật." Nếu bạn không có quản trị viên hệ thống, hãy nhờ quản lý thuê một số hoặc ký hợp đồng. Như bạn có thể đoán, các nhà phát triển không có cùng mục tiêu hoặc kỹ năng như sysadins và hầu hết không thể / không nên đóng cả hai vai trò.
mfinni

10
"My dilemma now is what sort of flag do I raise to senior management, because it appears to me that the work is simply not being done. "- không tiến thoái lưỡng nan, bạn nói với sếp qua email những gì bạn nhận thấy và quan tâm. Có thể có một lý do chính đáng, hoặc có thể đơn giản là sự lười biếng. Dù bằng cách nào, đó không phải là lỗi của bạn, nó không được thực hiện, nhưng ít nhất bạn nên quan tâm bằng giọng nói.
TheCleaner

18

Câu trả lời chung chung là một cách tốt để giữ cho máy chủ của bạn được cập nhật .

Nhưng hãy chú ý một vài điều:

  1. Các bản cập nhật có thể khiến máy chủ chậm chạp trong quá trình cài đặt hoặc thậm chí gây ra một số thời gian chết nếu chúng yêu cầu khởi động lại. Bạn nên có kế hoạch để làm chúng ngoài giờ làm việc.

  2. Cập nhật có một số rủi ro liên quan. Họ có thể phá vỡ máy chủ của bạn hoặc gây ra một số sự không tương thích. Chúng thường có thể được gỡ cài đặt hoàn toàn, nhưng với 62 trong số chúng, bạn cũng nên xem xét nếu bạn có một bản sao lưu đáng tin cậy (dù sao bạn cũng nên).

  3. Có một lý do tại sao bạn chậm một năm để nâng cấp? Đây có phải là lần đăng nhập đầu tiên của bạn vào máy chủ đó trong một năm hay là một cái gì đó bị hỏng?

  4. Đặc biệt chú ý đến lỗi Excel khét tiếng đi kèm với một số bản cập nhật Office tháng 12, nếu công ty của bạn sử dụng macro Excel, nhưng điều này có thể không áp dụng cho máy chủ không nên chạy Office.

  5. Nhiều sysadins đợi vài ngày hoặc vài tuần trước khi cài đặt các bản cập nhật, để xem có gì xấu xuất hiện trên Internet liên quan đến các bản cập nhật đó không. Khi quyết định nếu bạn cần chờ đợi, hãy xem xét các rủi ro bảo mật khiến máy chủ không được cập nhật thêm thời gian.


Bạn đang nói về "lỗi Excel khét tiếng nào đi kèm với một số bản cập nhật tháng 12 của Office"?
Andrew Medico

"Đối với một số người dùng, Điều khiển biểu mẫu (FM20.dll) không còn hoạt động như mong đợi sau khi cài đặt MS14-082 Cập nhật bảo mật Microsoft Office cho tháng 12 năm 2014." theo bài đăng trên blog của Technet blog.technet.com/b/the_microsoft_excel_support_team_blog/ Kẻ
Shiv

@Shiv: cảm ơn, tôi đã chỉnh sửa câu trả lời để bao gồm liên kết của bạn.
pgr

@pgr, Không có hàng tấn những con bọ khét tiếng này sao?
Pacerier

@Pacerier: eheh, chắc chắn rồi. Thông thường tất cả những gì bạn phải làm là khôi phục lại bản cập nhật. Không phải cái này. Các tệp có thể bị "nhiễm" lỗi, tức là ai đó mở chúng sau khi cập nhật xấu và đột nhiên tệp ngừng hoạt động trên một máy tính khác. Đó là một Pita thực sự đối phó với cái này, và nó chưa kết thúc. Lưu ý rằng vấn đề đã trở nên phức tạp (đối với những trường hợp xấu nhất, khi sự cố xảy ra với tệp) mà Microsoft vẫn VẪN làm việc với nó, và vẫn phải đạt được một giải pháp dứt khoát ... nhưng, tất nhiên, mỗi sysadmin sẽ có câu chuyện ác mộng của riêng mình, đây là của tôi ... :-)
pgr

8

Tôi biết mfinni đã đánh bại tôi, nhưng tôi sẽ tăng +1 cho WSUS. Đặc biệt:

Giả sử rằng bạn có nhiều máy chủ, bao gồm cả thử nghiệm và sản xuất. Chúng ta cũng giả sử rằng thử nghiệm có phần cứng tương tự như sản xuất (tôi không biết đó là một giả định an toàn, nhưng chúng ta hãy làm theo - nó tốt nhưng không cần thiết). Bạn có thể thiết lập kịch bản sau trong WSUS:

  1. Kiểm tra máy chủ trong OU riêng của họ. Chính sách nhóm cho biết để cài đặt các bản cập nhật và khởi động lại vào một số thời điểm không bất tiện, như Chủ nhật lúc 3 giờ sáng.
  2. Máy chủ prod trong OU hoặc OU khác nhau. Chính sách nhóm nói để tải về và thông báo.
  3. Các bản vá được phê duyệt và có thời hạn để cài đặt và khởi động lại máy chủ trong cửa sổ bảo trì theo lịch trình của bạn, vài ngày hoặc một tuần sau khi máy chủ test / dev áp dụng các bản vá.

Điều này không có gì, nếu nó không rõ ràng, là nó chấp thuận tất cả các bản vá bảo mật / bảo mật cho máy chủ của bạn, áp dụng chúng để kiểm tra trước, sau đó áp dụng chúng sau này cho sản xuất. Tôi chỉ thấy một bản cập nhật nghiêm trọng phá vỡ một cái gì đó một lần, nhưng điều này sẽ cho bạn cơ hội quay lại bản vá nếu nó thất bại trong thử nghiệm trước khi áp dụng cho prod.

Đối với hàng đống cập nhật trên máy chủ đang được đề cập, việc vá lỗi có rủi ro thấp hơn so với việc không vá, nhưng tôi sẽ xác minh các bản sao lưu của mình trước khi áp dụng tất cả chỉ trong trường hợp có quá nhiều. Nếu đó là VM, bạn có thể muốn chụp ảnh trước.


1

Điều này hoàn toàn phụ thuộc vào doanh nghiệp của bạn và chính sách mà bạn đã đặt ra để cập nhật máy chủ của mình.

Ít nhất bạn nên cài đặt các bản cập nhật bảo mật và thực hiện bất kỳ bản vá nào khác như cập nhật khung .NET trong môi trường thử nghiệm trước khi cập nhật máy chủ sản xuất.


2
1.Quá chậm. Bạn đã đánh bại cú đấm của hai người khác, câu trả lời tốt hơn. 2.Không có ý kiến ​​dựa trên việc có nên cài đặt các bản vá / cập nhật bảo mật hay không. Kịch bản duy nhất tôi có thể hình dung nơi bạn không muốn cài đặt các bản vá sẽ là một trong những nơi bạn đang ăn cắp từ chủ nhân của mình. 3."Quản lý bản vá" chắc chắn là một chủ đề Lỗi Máy chủ, mặc dù nó cũng có thể là chủ đề tại siêu Người dùng.
HoplessN00b

1
Nếu tôi biết quản trị viên máy chủ của tôi đã hỏi điều này trên SF, tôi sẽ kinh hoàng về cơ sở hạ tầng của mình. Cốt lõi của câu hỏi là "Tôi nên làm gì?" không phải cái gì đó giống như "Làm cách nào để tôi quản lý / tự động hóa / cải thiện?" mà sẽ thuộc thể loại quản lý bản vá và như vậy. Tôi nghĩ nơi này là dành cho các chuyên gia, có lẽ tôi đã sai về điều đó. Có vẻ như nó thuộc về SU đối với tôi!
Vasili Syrakis

1
Người hỏi rõ ràng là khá trẻ, bởi vì anh ấy / cô ấy đang hỏi câu hỏi này. Họ cần giúp đỡ; đó là lý do tại sao trang web này tồn tại Cả hai câu trả lời khác là "Có, đây là nhiều chi tiết và sắc thái."
mfinni

5
Tôi sẽ lo lắng hơn về các quản trị viên máy chủ đã không hỏikhông cập nhật trong một năm .
Michael Hampton

3
Đó chắc chắn là một cái gì đó nên được nâng lên; đã có một số cập nhật bảo mật khá quan trọng trong 12 tháng qua.
Vasili Syrakis
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.