เราควรติดตั้งโปรแกรมปรับปรุงความปลอดภัยของ Windows หรือไม่ [ปิด]


14

ฉันเพิ่ง RDP จะเป็นหนึ่งในเซิร์ฟเวอร์ของ บริษัท ของฉันได้รับการแจ้งเตือนไปยัง windows updates ดังนั้นฉันจึงคลิก จากนั้นฉันเห็นการอัปเดตลำดับความสำคัญสูง 62 รายการโดยมีการติดตั้งการอัปเดตล่าสุด (ตามประวัติการอัปเดต) ในวันพฤหัสบดีที่ 16 มกราคม 2014 มากกว่าหนึ่งปีที่ผ่านมา

ต้องมีการดำเนินการอะไรบ้างที่นี่


21
พิจารณาตัวเองโชคดีที่ mfinni และคนอื่น ๆ กำลังตอบคำถามนี้ มันคล้ายกับหนึ่งในพวกเราที่มาที่ SO และถามว่า "เมื่อฉันเขียนโค้ดฉันควรจะดีบั๊กหรือไม่?"
TheCleaner

7
@TheCleaner คำตอบสำหรับคำถามนั้นคือ "หลังจากที่คุณเพิ่มยอดขายของลูกค้าในบริการแก้จุดบกพร่องรหัสของคุณ"
HopelessN00b

8
@MonkeyZeus "ถ้ามันไม่พัง ... " ในกรณีนี้คุณหมายถึง "ถ้ามันไม่ปลอดภัยไม่ปลอดภัยหรือไม่"?

5
"ถ้ามันไม่พังไม่ต้องแก้ไข" และ "ถ้ามันไม่ปลอดภัยไม่ปลอดภัย" แสดงความคิดตรงกันข้าม
user2338816

7
@Lilienthal - "useful for many other developers"ไม่มีแบริ่งในเว็บไซต์นี้ ไซต์นี้ไม่ได้ออกแบบมาเป็นฝ่ายช่วยเหลือสำหรับผู้ใช้ SO เรียกว่าโหดร้ายถ้าคุณต้องการฉันไม่ได้ทำให้ขอบเขตของเว็บไซต์
TheCleaner

คำตอบ:


31

คำตอบสั้น ๆ - ใช่ Windows Update ส่วนใหญ่เกี่ยวข้องกับความปลอดภัย การไม่มีแพตช์หมายความว่าคุณมีช่องโหว่

คำตอบอีกต่อไป - คุณต้องมีขั้นตอนที่ครอบคลุมเรื่องแบบนี้ มันยากกว่าในทุกวันนี้ แต่บางครั้งแพทช์สามารถทำลายสิ่งต่าง ๆ หรือเปลี่ยนพฤติกรรมในลักษณะที่มันแตกได้เท่าที่ บริษัท ของคุณเป็นห่วง คุณควรประเมินแพตช์แต่ละตัวเมื่อมันถูกปล่อยออกมา (มีตารางรายเดือนบวกบางอย่างเร่งด่วน) ตรวจสอบว่าคุณต้องการแพตช์ (อาจเป็นใช่) ทำการทดสอบบนเซิร์ฟเวอร์ทดสอบ / การทดสอบเพื่อทดสอบความเสียหายที่อาจเกิดขึ้น การติดตั้ง

คุณควรใช้ความระมัดระวังเกี่ยวกับการปรับใช้เนื่องจากการปะแก้ระบบปฏิบัติการมักจะหมายถึงการรีบูตซึ่งมักจะหมายถึงการหยุดให้บริการเว้นแต่ว่าคุณจะได้รับ HA ที่ดีสำหรับบริการทั้งหมดของคุณ หากคุณคิดว่าคุณจะฉลาดและแก้ไขในระหว่างวันและเลื่อนการรีบูตออกไปนั่นไม่ใช่ความคิดที่ดี - ไฟล์บางไฟล์จะได้รับการอัปเดต

Microsoft เสนอผลิตภัณฑ์ฟรีชื่อ WSUS ที่สามารถทำให้การจัดการโปรแกรมแก้ไขทำได้ง่ายกว่าการอนุมัติและการปรับใช้แบบทีละรายการ

ในปีนี้คุณควรทำสิ่งนี้สำหรับอุปกรณ์ทุกประเภทที่คุณมี เฟิร์มแวร์อุปกรณ์เครือข่ายเฟิร์มแวร์ฮาร์ดแวร์เซิร์ฟเวอร์ VMware ESXi ฯลฯ แพตช์เหล่านั้นไม่ได้ออกมาเพื่อความสนุกของมันเกือบทั้งหมดของพวกเขาจัดการข้อบกพร่องและหลายคนสามารถรักษาความปลอดภัยที่เกี่ยวข้อง

เพิ่มเติม - คุณควรถามใครบางคนที่อาวุโสกว่าคุณในทีมเทคนิคของคุณ หากคุณเป็นผู้ดูแลระบบเพียงคนเดียวที่นั่นคุณและองค์กรของคุณก็ทำออกมาได้ไม่ดีนัก อย่ารับสิ่งนั้นเป็นการส่วนตัวเราทุกคนต้องเริ่มโดยไม่ทราบว่าเราควรทำอะไร แต่ถ้านี่เป็นคำถามของคุณคุณไม่ควรเป็นคนเดียวที่จัดการเซิร์ฟเวอร์เหล่านี้


14
ไอ้ที่พิมพ์เร็ว >: /
HopelessN00b

1
เด็กวันหิมะตก กำลังพยายามเข้าถึง VPN ในสำนักงาน
mfinni

ฉันไม่ได้จัดการพวกเขาฉันเป็นนักพัฒนาแอปที่เกิดขึ้นต้องดูบันทึกเหตุการณ์ของผู้ดูบนโฮสต์ฉันได้สังเกตเห็นการแจ้งเตือนการอัปเดตก่อนหน้านี้ แต่คราวนี้ฉันพลาด 'x' เล็กน้อยและคลิกฟอง พาฉันไปที่หน้าสรุป ภาวะที่กลืนไม่เข้าคายไม่ออกของฉันตอนนี้คือสิ่งที่ฉันยกธงให้ผู้บริหารระดับสูงเพราะมันปรากฏให้ฉันว่างานไม่ได้ทำ เรามี WSUS จริงๆ จนถึงวันนี้ฉันแค่สันนิษฐานว่าการแจ้งเตือนการอัปเดตใด ๆ ที่ฉันเห็นจะได้รับการดูแลในสุดสัปดาห์นั้น
OpenCoderX

พูดคุยกับฝ่ายบริหารทันที คุณมีผู้ดูแลระบบหรือไม่? หากคุณทำเช่นนั้นพวกเขาอาจไม่ทำงานยกเว้นว่านโยบาย บริษัท ของคุณคือ "ไม่ติดตั้งการอัปเดต" หากคุณไม่มีผู้ดูแลระบบให้จัดการเพื่อจ้างงานหรือทำสัญญา ในขณะที่คุณสามารถเดาได้ว่า devs ไม่มีเป้าหมายหรือชุดทักษะเหมือนกับ sysadmins และส่วนใหญ่ไม่สามารถ / ไม่ควรเล่นทั้งสองบทบาท
mfinni

10
"My dilemma now is what sort of flag do I raise to senior management, because it appears to me that the work is simply not being done. "- ไม่กระอักกระอ่วนคุณบอกเจ้านายของคุณทางอีเมลในสิ่งที่คุณสังเกตเห็นและมีความกังวล อาจมีเหตุผลที่ถูกต้องหรืออาจเป็นเรื่องขี้เกียจ ไม่ใช่ความผิดของคุณที่ไม่ได้ทำ แต่อย่างน้อยคุณควรกังวลเรื่องเสียง
TheCleaner

18

คำตอบทั่วไปคือมันเป็นวิธีที่ดีที่จะให้คุณปรับปรุงเซิร์ฟเวอร์

แต่ให้ความสนใจกับบางสิ่ง:

  1. การอัพเดตอาจทำให้เซิร์ฟเวอร์ซบเซาในระหว่างการติดตั้งหรืออาจทำให้เครื่องหยุดทำงานหากจำเป็นต้องรีบูต คุณควรวางแผนที่จะทำนอกเวลาทำงาน

  2. อัพเดทได้ความเสี่ยงที่เกี่ยวข้อง พวกเขาอาจทำลายเซิร์ฟเวอร์ของคุณหรือทำให้เกิดความไม่ลงรอยกัน พวกเขามักจะถอนการติดตั้งอย่างเต็มที่ แต่ด้วย 62 ของพวกเขาคุณควรพิจารณาว่าคุณมีการสำรองข้อมูลที่น่าเชื่อถือ (คุณควรจะอย่างไรก็ตาม)

  3. มีเหตุผลหรือไม่ที่คุณใช้เวลาหนึ่งปีในการอัพเกรด นี่เป็นครั้งแรกที่คุณล็อกอินเข้าสู่เซิร์ฟเวอร์นั้นในหนึ่งปีหรืออย่างอื่นหัก

  4. ให้ความสนใจเป็นพิเศษกับข้อผิดพลาด Excel ที่น่าอับอายที่มาพร้อมกับการอัปเดตของ Office ธันวาคมในเดือนธันวาคมหาก บริษัท ของคุณใช้มาโคร Excel แต่สิ่งนี้อาจไม่ได้ใช้กับเซิร์ฟเวอร์ที่ไม่ควรใช้ Office

  5. ผู้ดูแลระบบจำนวนมากรอสักสองสามวันหรือหลายสัปดาห์ก่อนที่จะติดตั้งการอัปเดตเพียงเพื่อดูว่ามีอะไรไม่ดีเกิดขึ้นบนอินเทอร์เน็ตเกี่ยวกับการอัปเดตเหล่านั้น เมื่อตัดสินใจว่าคุณต้องรอหรือไม่ให้พิจารณาความเสี่ยงด้านความปลอดภัยในการปล่อยเซิร์ฟเวอร์ไม่ได้รับการแก้ไขเป็นเวลานาน


คุณกำลังพูดถึง "ข้อผิดพลาด Excel ที่น่าอับอายที่มาพร้อมกับการอัปเดตบางอย่างของ Office เดือนธันวาคม"
Andrew Medico

"สำหรับผู้ใช้บางรายการควบคุมแบบฟอร์ม (FM20.dll) จะไม่ทำงานตามที่คาดไว้หลังจากติดตั้ง MS14-082 Microsoft Office Security Updates สำหรับเดือนธันวาคม 2014" ตามโพสต์บล็อกของ Technet blogs.technet.com/b/the_microsoft_excel_support_team_blog/ ......
ชีฟ

@Shiv: ขอบคุณฉันได้แก้ไขคำตอบเพื่อรวมลิงค์ของคุณ
pgr

@pgr, ไม่ได้มีเหมือนตันของบักที่น่าอับอายเหล่านี้หรือไม่
Pacerier

@Pacerier: eheh แน่นอน โดยทั่วไปสิ่งที่คุณต้องทำคือย้อนกลับการอัปเดต ไม่ใช่อันนี้. ไฟล์สามารถ "ติดเชื้อ" โดยมีข้อบกพร่องคือบางคนเปิดขึ้นหลังจากการอัปเดตไม่ดีและทันใดนั้นไฟล์ก็หยุดทำงานบนคอมพิวเตอร์เครื่องอื่น มันเป็น PITA ที่แท้จริงในการจัดการกับสิ่งนี้และมันยังไม่จบ โปรดสังเกตว่าปัญหามีความซับซ้อนมาก (สำหรับกรณีที่เลวร้ายที่สุดเมื่อเกิดปัญหาเดินทางกับไฟล์) ว่า Microsoft กำลังทำงานอยู่และวิธีการแก้ปัญหาที่ชัดเจนยังคงสามารถทำได้ ... แต่แน่นอนว่าระบบดูแลระบบแต่ละอันจะ มีเรื่องฝันร้ายของตัวเองนี่คือของฉัน ... :-)
pgr

8

ฉันรู้ว่า mfinni ทุบตีฉันจนชกแล้ว แต่ฉันจะ +1 ให้กับ WSUS โดยเฉพาะ:

สมมติว่าคุณมีเซิร์ฟเวอร์หลายเครื่องรวมถึงการทดสอบและการใช้งานจริง ลองสมมติว่าการทดสอบมีฮาร์ดแวร์ที่คล้ายคลึงกับการผลิต (ซึ่งไม่ใช่ข้อสมมติฐานที่ปลอดภัยฉันรู้ แต่ลองไปกับมัน - มันดี แต่ไม่จำเป็น) คุณสามารถตั้งค่าสถานการณ์จำลองต่อไปนี้ใน WSUS:

  1. ทดสอบเซิร์ฟเวอร์ใน OU ของตนเอง นโยบายกลุ่มบอกว่าจะติดตั้งการอัปเดตและรีบูตในเวลาที่ไม่สะดวกเช่นวันอาทิตย์เวลาตี 3
  2. เซิร์ฟเวอร์ Prod ใน OU หรือ OU อื่น นโยบายกลุ่มแจ้งว่าจะดาวน์โหลดและแจ้งเตือน
  3. โปรแกรมแก้ไขได้รับการอนุมัติและกำหนดเวลาให้ติดตั้งและรีบูตเซิร์ฟเวอร์ในช่วงเวลาการบำรุงรักษาตามกำหนดของคุณหลายวันหรือหนึ่งสัปดาห์หลังจากเซิร์ฟเวอร์ทดสอบ / dev ใช้โปรแกรมแก้ไข

สิ่งนี้จะทำอย่างไรถ้ายังไม่ชัดเจนว่าจะอนุมัติแพตช์ความปลอดภัย / ความปลอดภัยที่สำคัญทั้งหมดสำหรับเซิร์ฟเวอร์ของคุณหรือไม่ใช้กับพวกเขาเพื่อทดสอบก่อน ฉันเพิ่งเห็นการอัปเดตเป็นช่วงสำคัญอย่างยิ่งที่จะหยุดพัก แต่สิ่งนี้จะทำให้คุณมีโอกาสย้อนกลับการแก้ไขหากการทดสอบล้มเหลวก่อนที่จะนำไปใช้กับผลิตภัณฑ์

สำหรับกองใหญ่ของการปรับปรุงบนเซิร์ฟเวอร์ที่เป็นปัญหาการแพตช์มีความเสี่ยงต่ำกว่าการไม่ทำการปะแก้ แต่ฉันจะตรวจสอบการสำรองข้อมูลของฉันก่อนที่จะใช้ทั้งหมดในกรณีเนื่องจากมีจำนวนมาก หากเป็น VM คุณอาจต้องการถ่ายภาพก่อน


1

สิ่งนี้ขึ้นอยู่กับธุรกิจของคุณและนโยบายที่คุณกำหนดไว้สำหรับการอัพเดตเซิร์ฟเวอร์ของคุณ

อย่างน้อยที่สุดคุณควรติดตั้งการปรับปรุงความปลอดภัยและดำเนินการกับโปรแกรมแก้ไขอื่น ๆ เช่น. NET Framework updates ในสภาพแวดล้อมการทดสอบก่อนที่จะทำการอัพเดทเซิร์ฟเวอร์ที่ใช้งานจริง


2
1.ช้าเกินไป. คุณได้คำตอบที่ดีกว่า 2.ไม่มีอะไรที่อิงความเห็นเกี่ยวกับว่าจะติดตั้งโปรแกรมปรับปรุง / ความปลอดภัยหรือไม่ สถานการณ์เดียวที่ฉันสามารถจินตนาการได้ว่าคุณไม่ต้องการติดตั้งแพตช์จะเป็นที่ที่คุณขโมยจากนายจ้างของคุณ 3."การจัดการแพตช์" เป็นหัวข้อที่แน่นอนที่สุดของความผิดพลาดของเซิร์ฟเวอร์ถึงแม้ว่ามันจะเป็นหัวข้อที่ผู้ใช้ระดับสูง
HopelessN00b

1
ถ้าฉันรู้ว่าผู้ดูแลระบบเซิร์ฟเวอร์ของฉันถามเรื่องนี้ใน SF ฉันกลัวโครงสร้างพื้นฐานของฉันมาก แก่นแท้ของคำถามคือ "ฉันควรทำอย่างไรดี" ไม่ใช่สิ่งที่คล้ายกับ "ฉันจะจัดการ / อัตโนมัติ / ปรับปรุงได้อย่างไร" ซึ่งจะอยู่ภายใต้หมวดหมู่ของการจัดการแพทช์และอื่น ๆ ฉันคิดว่าสถานที่นี้เหมาะสำหรับมืออาชีพบางทีฉันอาจผิด ดูเหมือนว่ามันจะเป็นของ SU สำหรับฉัน!
Vasili Syrakis

1
ผู้ถามเห็นได้ชัดว่าค่อนข้างจูเนียร์เพราะเขา / เธอกำลังถามคำถามนี้ พวกเขาต้องการความช่วยเหลือ นั่นเป็นเหตุผลที่เว็บไซต์นี้มีอยู่ ทั้งสองคำตอบคือ "ใช่นี่คือรายละเอียดเพิ่มเติมและแตกต่างกันนิดหน่อย"
mfinni

5
ผมจะมีความกังวลเกี่ยวกับผู้ดูแลระบบเซิร์ฟเวอร์ที่ไม่ได้ถามและไม่ได้อัปเดตสำหรับปี
Michael Hampton

3
เป็นสิ่งที่ควรยกขึ้นแน่นอน มีการปรับปรุงความปลอดภัยที่สำคัญพอสมควรในช่วง 12 เดือนที่ผ่านมา
Vasili Syrakis
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.