14 votos

Debemos ser la instalación de actualizaciones de Seguridad de Windows?

Acabo de RDP había en una de mis empresas de servidores, fue alertado de las actualizaciones de windows, así que haga clic. Entonces veo 62 las actualizaciones de alta prioridad, con la última actualización (de acuerdo a la actualización de la historia) fue instalado en jueves, 16 de enero de 2014, más que hace un año.

¿Qué acciones deben ser tomadas aquí?

30voto

mfinni Puntos 29745

Respuesta corta: sí. La mayoría de las Actualizaciones de Windows están relacionados con la seguridad. No tener los parches significa que usted es vulnerable.

Respuesta larga - se necesita un procedimiento que cubre este tipo de cosas. Es más raro en estos días, pero a veces un parche puede romper cosas, o cambiar el comportamiento de tal manera que no es de fiar en cuanto a tu empresa. Usted debe evaluar cada parche cuando es liberado (hay un calendario mensual más urgentes), determinar si usted necesita el parche (probablemente sí), hacer algunas pruebas en la prueba/ensayo servidores para hacer alguna diligencia acerca del potencial de rotura, y luego hacer lo instala.

También debe tener algo de cuidado acerca de las implementaciones, porque OS parches a menudo significa reiniciar, que a menudo significa que no hay tiempo de inactividad del servicio, a menos que tenga algo de bueno HA para todos sus servicios. Si piensas que vas a ser inteligente y revisión durante el día y, a continuación, posponer el reinicio, que no es una gran idea - algunos archivos se actualizarán, pero otros no.

Microsoft ofrece un producto gratuito llamado WSUS que puede hacer la gestión de parches de un poco más fácil que las aprobaciones y la implementación de todos, uno por uno.

Para su INFORMACIÓN, usted debe estar haciendo este tipo de cosas para todas las clases de dispositivo. Red de firmware del dispositivo, servidor de hardware, de firmware, de VMware ESXi, etc. Los parches no salen por la diversión de hacerlo, casi todos ellos de la dirección de errores, y muchos de ellos pueden estar relacionados con la seguridad.

Más - usted debe pedirle a alguien que es más mayor que tú en su equipo técnico. Si eres el administrador único no, a usted y a su organización no están haciendo demasiado bien. No tomarlo personal, todos tenemos que empezar sin saber todo lo que debe - pero si esta es tu pregunta, no debe ser la única persona en la gestión de estos servidores.

18voto

pgr Puntos 330

La respuesta genérica es es una buena práctica para mantener sus servidores actualizados.

Pero preste atención a un par de cosas:

  1. Las actualizaciones pueden provocar el servidor lento durante la instalación, o incluso causar algún tiempo de inactividad en caso de requerir el reinicio(s). Usted debe planear para hacer de ellos de fuera de la oficina en horas de trabajo.

  2. Las actualizaciones tienen algunos riesgos asociados. Se podría romper su servidor, o causa alguna de incompatibilidad. Normalmente son totalmente no se puedan instalar, pero con 62 de ellos también debe considerar si usted tiene una confianza de copia de seguridad (debe, de todos modos).

  3. Hay una razón por la que un año de retraso en las actualizaciones? Es este su primer inicio de sesión en el servidor en un año, o es algo más roto?

  4. Preste especial atención a la infame Excel bug que viene con algunas de diciembre de actualizaciones de Office, si su empresa utiliza las macros de Excel, pero esto probablemente no se aplica a un servidor que no debería estar corriendo de la Oficina.

  5. Muchos administradores de sistemas que esperar unos días o semanas antes de instalar las actualizaciones, solo para ver si algo malo sale en el Internet con respecto a las actualizaciones. A la hora de decidir si usted necesita esperar, considere la posibilidad de riesgos en la seguridad de dejar el servidor no revisados por más tiempo.

8voto

Katherine Villyard Puntos 10812

Sé mfinni se me adelantó, pero yo sólo voy a +1 para WSUS. Específicamente:

Supongamos que usted tiene varios servidores, incluyendo pruebas y de producción. Supongamos también que la prueba ha de hardware similar a la producción (que no es una suposición segura, lo sé, pero vamos a ir con ella-es bueno, pero no es necesario). Usted puede establecer el siguiente escenario en el WSUS:

  1. Servidores de prueba en su propia unidad organizativa. La directiva de grupo dice que para instalar las actualizaciones y reiniciar en algunos de los inconvenientes de tiempo, como la del domingo a las 3 de la madrugada.
  2. Prod servidores en diferentes OU o unidades Organizativas. La directiva de grupo dice descargar y notificar.
  3. Parches aprobado, y deadlined a instalar y reiniciar los servidores durante la ventana de mantenimiento programada, de varios días o una semana después de la prueba/dev servidores de aplicar los parches.

Lo que esto hace, si no es obvio, es la de que apruebe todas las críticas/parches de seguridad para sus servidores, se aplica a prueba primero, y entonces se aplica posterior a la producción. Sólo he visto una actualización crítica romper algo una vez, pero esto le dará una oportunidad de revertir el parche si se produce un error en la prueba antes de que se aplica a la prod.

Como para el gran montón de actualizaciones en el servidor en cuestión, la instalación de parches es un riesgo menor que la no aplicación de parches, pero me gustaría comprobar mis copias de seguridad antes de la aplicación de todos ellos sólo en caso de que debido a que hay tantas. Si se trata de una máquina virtual, es posible que desee tomar una instantánea.

1voto

Vasili Syrakis Puntos 2507

Esto es totalmente de su negocio y la política que ustedes han establecido para la actualización de sus servidores.

Al menos, usted debe instalar las actualizaciones de seguridad y realizar cualquier otros parches similares .NET framework actualizaciones en un entorno de prueba primero antes de actualizar los servidores de producción.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: