Dovremmo installare gli aggiornamenti di sicurezza di Windows? [chiuso]

Ho appena eseguito un RDP su uno dei server della mia azienda, sono stato avvisato degli aggiornamenti di Windows, quindi ho fatto clic. Poi vedo 62 aggiornamenti ad alta priorità, con l'ultimo aggiornamento (in base alla cronologia degli aggiornamenti) è stato installato giovedì 16 gennaio 2014, più di un anno fa.

Quali azioni devono essere prese qui?

Risposta breve - sì. La maggior parte degli aggiornamenti di Windows sono legati alla sicurezza. Non avere le patch significa che sei vulnerabile.

Risposta più lunga: è necessaria una procedura che copra questo genere di cose. In questi giorni è più raro, ma a volte una patch può rompere le cose o cambiare il comportamento in modo tale da essere interrotta per quanto riguarda la tua azienda. Dovresti valutare ogni patch quando viene rilasciata (c'è una pianificazione mensile più alcune urgenti), determinare se hai bisogno della patch (probabilmente sì), fare dei test sui server di test / gestione temporanea per fare qualche diligenza sulla potenziale rottura, e poi fare le installazioni.

Dovresti anche prestare molta attenzione alle distribuzioni, perché la patch del sistema operativo spesso significa riavvio, il che spesso significa che ci sono tempi di inattività del servizio, a meno che tu non abbia un buon HA per tutti i tuoi servizi. Se pensi che sarai intelligente e patch durante il giorno e quindi rimandare il riavvio, non è una grande idea: alcuni file verranno aggiornati, ma altri no.

Microsoft offre un prodotto gratuito chiamato WSUS che può rendere la gestione delle patch un po 'più semplice rispetto all'approvazione e alla distribuzione tutte una per una.

Cordiali saluti, dovresti fare questo genere di cose per tutte le classi di dispositivi che hai. Firmware del dispositivo di rete, firmware dell'hardware del server, VMware ESXi, ecc. Quelle patch non escono per il gusto di farlo, quasi tutte riguardano errori e molte di esse possono essere legate alla sicurezza.

Inoltre, dovresti chiedere a qualcuno che è più anziano di te nel tuo team tecnico. Se sei l'unico amministratore lì, tu e la tua organizzazione non state andando troppo bene. Non prenderlo sul personale, tutti dobbiamo iniziare senza sapere tutto ciò che dovremmo - ma se questa è la tua domanda, non dovresti essere l'unica persona a gestire questi server.

La risposta generica è che è buona norma mantenere aggiornati i server .

Ma presta attenzione ad alcune cose:

1. Gli aggiornamenti possono causare un rallentamento del server durante l'installazione o addirittura causare dei tempi di inattività se richiedono il riavvio / i. Dovresti pianificare di farli fuori orario di lavoro.

2. Gli aggiornamenti hanno alcuni rischi associati. Potrebbero danneggiare il server o causare incompatibilità. Di solito sono completamente non installabili, ma con 62 di questi dovresti anche considerare se hai un backup affidabile (dovresti, comunque).

3. C'è un motivo per cui sei in ritardo di un anno per gli aggiornamenti? È il tuo primo accesso a quel server in un anno o qualcos'altro è rotto?

4. Presta particolare attenzione al famigerato bug di Excel fornito con alcuni aggiornamenti di Office di dicembre, se la tua azienda utilizza macro di Excel, ma questo probabilmente non si applica a un server che non dovrebbe eseguire Office.

5. Molti amministratori di sistema attendono alcuni giorni o settimane prima di installare gli aggiornamenti, solo per vedere se qualcosa di brutto si presenta su Internet in merito a tali aggiornamenti. Quando si decide se è necessario attendere, considerare i rischi per la sicurezza di lasciare il server senza patch per più tempo.

So che mfinni mi ha battuto sul pugno, ma sto solo andando a +1 per WSUS. In particolare:

Supponiamo che tu abbia più server, inclusi test e produzione. Supponiamo anche che il test abbia hardware simile alla produzione (il che non è un presupposto sicuro, lo so, ma andiamo con esso - è bello ma non necessario). È possibile impostare il seguente scenario in WSUS:

1. Test server nella propria unità organizzativa. I criteri di gruppo prevedono l'installazione degli aggiornamenti e il riavvio in un momento non scomodo, come la domenica alle 3 del mattino.
2. Prod server in un'unità organizzativa o unità organizzativa diversa. La politica di gruppo dice di scaricare e notificare.
3. Patch approvate e scadenza per l'installazione e il riavvio dei server durante la finestra di manutenzione programmata, diversi giorni o una settimana dopo che i server test / dev applicano patch.

Ciò che fa, se non è ovvio, è che approva tutte le patch critiche / di sicurezza per i server, le applica prima per testarle e poi le applica successivamente alla produzione. Ho visto un aggiornamento interrompere in modo critico qualcosa una volta, ma questo ti darebbe la possibilità di ripristinare la patch se fallisce nel test prima che si applichi al prod.

Per quanto riguarda la grande quantità di aggiornamenti sul server in questione, l'applicazione di patch è un rischio inferiore rispetto all'applicazione di patch, ma verificherei i miei backup prima di applicarli tutti nel caso in cui ce ne siano così tanti. Se si tratta di una macchina virtuale, potresti voler prima fare un'istantanea.

Questo dipende interamente dalla tua azienda e dai criteri che hai definito per l'aggiornamento dei tuoi server.

Come minimo, è necessario installare gli aggiornamenti di sicurezza ed eseguire qualsiasi altra patch come gli aggiornamenti di .NET framework in un ambiente di test prima di aggiornare i server di produzione.