Windows Güvenlik güncelleştirmelerini yüklemeli miyiz? [kapalı]

14

Ben sadece benim şirketler sunucularından birine RDP'd, windows güncellemeleri uyarıldı, bu yüzden tıklıyorum. Daha sonra, son güncelleme (güncelleme geçmişine göre) 16 Ocak 2014 Perşembe günü bir yıldan fazla bir süre önce yüklendiğinde 62 yüksek öncelikli güncelleme görüyorum.

Burada hangi önlemlerin alınması gerekiyor?

windows-update 
OpenCoderX
kaynak
21
Kendinizi mfinni ve diğerlerinin buna cevap verdiğinden dolayı şanslı sayın. Birimiz SO geliyor ve "ne zaman kod yazarım ben hata ayıklamalı?"
TheCleaner
7
@TheCleaner Bu sorunun cevabı "müşteriyi kod hata ayıklama hizmetlerinizde sattıktan sonra" olacaktır.
HopelessN00b
8
@MonkeyZeus "eğer kırılmazsa ..." bu durumda, "güvenli değilse, güvenmeyin" anlamına mı geliyor?
5
“Eğer kırılmazsa, tamir etmeyin” ve “Güvenli değilse, güvenceye düşürmeyin” temelde zıt fikirleri ifade eder.
user2338816
7
@Lilienthal - "useful for many other developers"bu sitede herhangi bir etkisi yoktur. Bu site SO kullanıcıları için bir yardım masası olarak tasarlanmamıştır. İsterseniz acımasız olarak adlandırın, sitenin kapsamını yapmadım.
TheCleaner

Yanıtlar:

31

Kısa cevap - evet. Windows Güncelleştirmelerinin çoğu güvenlikle ilgilidir. Yamaların olmaması, savunmasız olduğun anlamına gelir.

Daha uzun cevap - bu tür şeyleri kapsayan bir prosedüre ihtiyacınız var. Bu günlerde daha nadirdir, ancak bazen bir yama işleri kırabilir veya şirketinizle ilgili olarak kırılacak şekilde davranışı değiştirebilir. Her bir yamayı yayınlandığında değerlendirmelisiniz (aylık bir program ve bazı acil olanlar), yamaya ihtiyacınız olup olmadığını belirleyin (muhtemelen evet), potansiyel kırılma hakkında biraz özen göstermek için test / hazırlama sunucularında biraz test yapın ve ardından yükler.

Ayrıca, dağıtımlara biraz dikkat etmelisiniz, çünkü işletim sistemi yama yeniden başlatma anlamına gelir, bu da tüm hizmetleriniz için iyi bir HA'nız yoksa servis kesintisi olduğu anlamına gelir. Gün içinde zeki ve yama yapacağınızı ve yeniden başlatmayı erteleyeceğinizi düşünüyorsanız, bu harika bir fikir değil - bazı dosyalar güncellenecek, ancak diğerleri olmayacak.

Microsoft, yama yönetimini onayları tek tek yapmaktan ve dağıtmaktan biraz daha kolaylaştırabilecek WSUS adlı ücretsiz bir ürün sunuyor.

Bilginize, sahip olduğunuz tüm cihaz sınıfları için bu tür bir şey yapmalısınız. Ağ aygıtı ürün yazılımı, sunucu donanım ürün yazılımı, VMware ESXi, vb. Bu yamalar eğlenmek için ortaya çıkmaz, neredeyse hepsi hataları giderir ve birçoğu güvenlikle ilgili olabilir.

Ayrıca - teknik ekibinizde sizden daha kıdemli birine sormalısınız. Oradaki tek yönetici sizseniz, siz ve kuruluşunuz çok iyi iş görmüyorsunuz. Bunu bizzat almayın, hepimiz yapmamız gereken her şeyi bilmeden başlamalıyız - ancak bu sizin sorunuzsa, bu sunucuları yöneten tek kişi olmamalısınız.

mfinni
kaynak
14
Hızlı yazan piç. >: /
HopelessN00b
1
Kar günü bebeğim. Ofise VPN erişimi sağlamaya çalışıyor.
mfinni
Onları yönetmiyorum, ana bilgisayardaki bazı olay görüntüleyici günlüklerini görüntülemesi gereken bir uygulama geliştiricisiyim, aslında daha önce güncelleme uyarıları fark ettim ama bu sefer küçük 'x'i kaçırdım ve balonu tıkladım, beni özet sayfasına götürüyor. Benim ikilem şimdi üst yönetime ne tür bir bayrak yükseltiyorum, çünkü bana öyle geliyor ki iş basitçe yapılmıyor. Aslında WSUS'miz var. Bugüne kadar gördüğüm herhangi bir güncelleme bildiriminin o hafta sonu halledileceğini varsaydım.
OpenCoderX
Derhal yönetim ile konuşun. Sistem yöneticiniz var mı? Bunu yaparsanız, şirket politikanız "güncellemeleri yükleme" olmadığı sürece işlerini yapmıyor olabilirler. Sistem yöneticiniz yoksa, bazılarını işe almak veya sözleşme yapmak için yönetime başvurun. Tahmin edebileceğiniz gibi, devs, sistem yöneticileriyle aynı hedeflere veya becerilere sahip değildir ve çoğu her iki rolü de oynamaz / oynamamalıdır.
mfinni
10
"My dilemma now is what sort of flag do I raise to senior management, because it appears to me that the work is simply not being done. "- İkilem yok, patronunuza e-posta yoluyla ne fark ettiğinizi ve endişelerinizi söylersiniz. Yasal bir neden olabilir veya sadece tembellik olabilir. Her iki durumda da, bu sizin hatanız değil, ancak en azından sesli endişe duymalısınız.
TheCleaner
18

Genel cevap, sunucularınızı güncel tutmak için iyi bir uygulamadır .

Ancak birkaç şeye dikkat edin:

  1. Güncelleştirmeler, yükleme sırasında sunucunun yavaşlamasına ve hatta yeniden başlatma gerektirmeleri durumunda bazı kesintilere neden olabilir. Bunları mesai saatleri dışında yapmayı planlamalısınız .

  2. Güncellemelerin bazı riskleri vardır . Sunucunuzu kırabilir veya bazı uyumsuzluklara neden olabilirler. Genellikle tamamen kaldırılabilirler, ancak bunlardan 62'si ile güvenilir bir yedeğiniz olup olmadığını da düşünmelisiniz (yine de).

  3. Yükseltmelere bir yıl geç kalmanızın bir nedeni var mı? Bu, bir yıl içinde o sunucuya ilk girişiniz mi yoksa başka bir şey bozuk mu?

  4. Şirketiniz Excel makroları kullanıyorsa, ancak Office'i çalıştırmaması gereken bir sunucu için geçerli değilse, Office'in bazı Aralık güncellemeleriyle birlikte gelen meşhur Excel hatasına özellikle dikkat edin.

  5. Birçok sistem yöneticisi, güncellemeleri yüklemeden önce, yalnızca bu güncellemelerle ilgili İnternet'te kötü bir şey olup olmadığını görmek için birkaç gün veya hafta bekler. Beklemeniz gerekip gerekmediğine karar verirken, sunucuyu daha uzun süre beklemeden bırakmanın güvenlik risklerini göz önünde bulundurun.

pgr
kaynak
"Office'in bazı Aralık güncellemeleriyle birlikte gelen" rezil Excel hatası "ndan bahsediyorsunuz?
Andrew Medico
"Bazı kullanıcılar için, Aralık 2014 için MS14-082 Microsoft Office Güvenlik Güncelleştirmeleri yüklendikten sonra Form Denetimleri (FM20.dll) beklendiği gibi çalışmıyor." Technet blog yazısına göre blogs.technet.com/b/the_microsoft_excel_support_team_blog/…
Shiv
@Shiv: teşekkürler, cevabınızı bağlantınızı içerecek şekilde düzenledim.
pgr
@pgr, Bu rezil böceklerin tonları gibi değil mi?
Pacerier
@ Pacer: eheh, tabi. Genellikle tek yapmanız gereken güncellemeyi geri almaktır. Bu değil. Dosyalar hata ile "bulaşabilir", yani biri kötü güncellemeden sonra onları açar ve aniden dosya farklı bir bilgisayarda çalışmayı durdurur. Bununla ilgili gerçek bir PITA oldu ve henüz bitmedi. Sorunun o kadar karmaşık olduğuna dikkat edin (en kötü durumlar için, sorun dosyayla yolculuk ettiğinde) Microsoft'un STILL üzerinde çalıştığı ve kesin bir çözümün hala elde edileceği ... ancak elbette her sistemadmin kendi kabus hikayem var, bu benim ... :-)
pgr
8

Mfinni'nin beni yumruk attığını biliyorum, ama WSUS için + 1'leyeceğim. özellikle:

Test ve üretim dahil olmak üzere birden çok sunucunuz olduğunu varsayalım. Ayrıca, testin üretime benzer bir donanıma sahip olduğunu varsayalım (bu güvenli bir varsayım değil, biliyorum, ama gidelim - güzel ama gerekli değil). WSUS'de aşağıdaki senaryoyu ayarlayabilirsiniz:

  1. Sunucuları kendi OU'larında test edin. Grup politikası güncellemeleri yüklediğini ve rahatsız edici olmayan bir zamanda (örneğin sabah 3'te) yeniden başlattığını söylüyor.
  2. Farklı bir OU veya OU'daki Prod sunucuları. Grup ilkesi indirip bildirmeyi söylüyor.
  3. Düzeltme ekleri onaylandı ve test / geliştirme sunucuları düzeltme eklerini uyguladıktan birkaç gün veya bir hafta sonra, zamanlanmış bakım pencereniz sırasında sunucuları yüklemek ve yeniden başlatmak için son tarih.

Bu açık değilse, sunucularınız için tüm kritik / güvenlik yamalarını onaylar, önce test etmek için uygular ve daha sonra bunları üretime uygular. Bir güncellemenin kritik bir şeyi bir kez kırdığını gördüm, ancak bu, prod için geçerli olmadan önce testte başarısız olursa yamayı geri alma şansı verecektir.

Söz konusu sunucudaki güncellemelerin büyük yığınına gelince, yama, yama yapmamaktan daha düşük bir risktir, ancak çok fazla olduğu için hepsini kullanmadan önce yedeklerimi doğrularım. Bu bir VM ise, önce bir anlık görüntü almak isteyebilirsiniz.

Katherine Villyard
kaynak
1

Bu tamamen işletmenize ve sunucularınızı güncellemek için belirlediğiniz politikaya bağlıdır.

En azından üretim sunucularını güncellemeden önce, güvenlik güncelleştirmelerini yüklemeli ve .NET framework güncelleştirmeleri gibi diğer düzeltme eklerini bir test ortamında gerçekleştirmelisiniz.

Vasili Syrakis
kaynak
2
1.Çok yavaş. Daha iyi, daha iyi iki cevapla yumruk attı. 2.Düzeltme eklerinin / güvenlik güncelleştirmelerinin yüklenip yüklenmeyeceğine dair görüş tabanlı bir şey yoktur. Yama yüklemek istemeyeceğiniz tek senaryo, işvereninizden çaldığınız senaryo olacaktır. 3."Yama yönetimi" kesinlikle bir Sunucu Hatası konusudur, ancak süper Kullanıcı'da da güncel olabilir.
HopelessN00b
1
Sunucu yöneticilerimin SF üzerinde bunu sorduğunu bilseydim altyapım için dehşete düşmüş olurdum. Sorunun özü "Ne yapmalıyım?" "Nasıl yönetirim / otomatikleştirebilirim / geliştirebilirim?" yama yönetimi kategorisine girer vb. Burası profesyoneller için düşündüm, belki bu konuda yanılıyorum. Bana SU'ya ait gibi görünüyor!
Vasili Syrakis
1
Asker açıkça genç, çünkü bu soruyu soruyor. Yardıma ihtiyaçları var; bu yüzden bu site var. Diğer her iki yanıt da "Evet, işte daha fazla ayrıntı ve nüans."
mfinni
5
Ben sormadı ve bir yıl için güncelleme vermedi sunucu yöneticileri hakkında daha endişe olacaktır .
Michael Hampton
3
Kesinlikle yükseltilmesi gereken bir şey; son 12 ay içinde oldukça kritik güvenlik güncellemeleri yapıldı.
Vasili Syrakis
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.