Я просто отправил RDP на один из серверов моей компании, меня предупредили об обновлениях Windows, поэтому я нажимаю. Затем я вижу 62 высокоприоритетных обновления, причем последнее обновление (согласно истории обновлений) было установлено в четверг, 16 января 2014 года, более года назад.
Какие действия нужно предпринять здесь?
windows-update
OpenCoderX
источник
источник
"useful for many other developers"не имеет отношения к этому сайту. Этот сайт не предназначен для поддержки пользователей SO. Если хочешь, называй это жестоким, я не делаю сферу деятельности сайта.Ответы:
Краткий ответ - да. Большинство обновлений Windows связаны с безопасностью. Отсутствие патчей означает, что вы уязвимы.
Более длинный ответ - вам нужна процедура, которая охватывает такие вещи. В наши дни это происходит гораздо реже, но иногда патч может сломать вещи или изменить поведение таким образом, чтобы он сломался, если речь идет о вашей компании. Вам следует оценивать каждый патч, когда он будет выпущен (есть месячный график плюс несколько срочных), определить, нужен ли вам патч (возможно, да), провести некоторое тестирование на тестовых / промежуточных серверах, чтобы сделать некоторые проверки относительно потенциальной поломки, а затем выполнить установки.
Вам также следует проявить некоторую осторожность при развертывании, поскольку исправление ОС часто означает перезагрузку, что часто означает простои службы, если у вас нет хороших HA для всех ваших служб. Если вы думаете, что вы будете умны и исправитесь в течение дня, а затем отложите перезагрузку, это не очень хорошая идея - некоторые файлы будут обновлены, а другие - нет.
Microsoft предлагает бесплатный продукт под названием WSUS, который может немного упростить управление исправлениями, чем согласование и развертывание по одному.
К вашему сведению, вы должны делать такие вещи для всех классов устройств, которые у вас есть. Микропрограмма сетевого устройства, аппаратная прошивка сервера, VMware ESXi и т. Д. Эти патчи не для удовольствия, почти все они исправляют ошибки, и многие из них могут быть связаны с безопасностью.
Далее - вы должны спросить кого-то, кто старше вас в вашей технической команде. Если вы там единственный администратор, то у вас и вашей организации дела идут не очень хорошо. Не принимайте это на свой счет, мы все должны начать, не зная всего, что должны - но если это ваш вопрос, вы не должны быть единственным человеком, управляющим этими серверами.
источник
"My dilemma now is what sort of flag do I raise to senior management, because it appears to me that the work is simply not being done. "- не дилемма, вы говорите своему боссу по электронной почте, что вы заметили и обеспокоены. Там может быть законная причина, или это может быть просто лень. В любом случае, это не ваша вина, что это не было сделано, но вы должны хотя бы высказать озабоченность.Общий ответ - это хорошая практика, чтобы обновлять ваши серверы .
Но обратите внимание на несколько вещей:
Обновления могут привести к замедлению работы сервера во время установки или даже к простоям, если они требуют перезагрузки. Вы должны планировать делать их в нерабочее время.
Обновления связаны с определенным риском . Они могут сломать ваш сервер или вызвать некоторую несовместимость. Они, как правило, полностью деинсталлируемы, но с 62 из них вы должны также рассмотреть, есть ли у вас надежная резервная копия (вы должны, во всяком случае).
Есть ли причина, почему вы опаздываете на один год? Это ваш первый вход в систему на этом сервере за год или что-то еще не работает?
Обратите особое внимание на печально известную ошибку Excel, которая приходит с некоторыми декабрьскими обновлениями Office, если ваша компания использует макросы Excel, но, вероятно, это не относится к серверу, на котором не должен быть Office.
Многие системные администраторы ждут несколько дней или недель, прежде чем устанавливать обновления, просто чтобы посмотреть, не появляется ли что-нибудь плохое в Интернете относительно этих обновлений. Решая, нужно ли вам ждать, рассмотрите риски безопасности, связанные с отсутствием исправлений на сервере в течение большего времени.
источник
Я знаю, что Мфинни победил меня, но я просто собираюсь +1 к WSUS. В частности:
Предположим, у вас есть несколько серверов, включая тестовые и производственные. Давайте также предположим, что тестирование имеет оборудование, аналогичное производственному (я не знаю, что это безопасное предположение, но давайте пойдем с ним - это хорошо, но не обязательно). Вы можете настроить следующий сценарий в WSUS:
Что это делает, если не очевидно, что он одобряет все критические исправления / исправления безопасности для ваших серверов, сначала применяет их для тестирования, а затем применяет их позже к работе. Я видел обновление только один раз, когда что-то критически сломало, но это дало бы вам шанс откатить патч, если он не пройдёт тест до того, как он будет применён к prod.
Что касается большой кучи обновлений на рассматриваемом сервере, исправление представляет собой меньший риск, чем отсутствие исправлений, но я бы проверил свои резервные копии, прежде чем применять их все на всякий случай, потому что их так много. Если это виртуальная машина, вы можете сначала сделать снимок.
источник
Это полностью зависит от вашего бизнеса и политики, установленной вами для обновления ваших серверов.
По крайней мере вы должны установить обновления безопасности и выполнить любые другие исправления, такие как обновления .NET Framework, в среде тестирования, прежде чем обновлять производственные серверы.
источник
1.Слишком медленно. Вы получили удар в ответ на два других, лучших ответов.2.Там нет ничего основанного на мнении о том, устанавливать ли исправления / обновления безопасности или нет. Единственный сценарий, когда вы не захотите устанавливать патчи, - это сценарий, когда вы крадете у своего работодателя.3.«Управление исправлениями» - это, безусловно, тема «Ошибка сервера», хотя она также может быть актуальна для суперпользователя.