Sollten wir Windows-Sicherheitsupdates installieren? [geschlossen]

Ich habe gerade eine RDP-Verbindung zu einem Server meines Unternehmens hergestellt und wurde auf Windows-Updates aufmerksam gemacht, also klicke ich auf. Dann sehe ich 62 Updates mit hoher Priorität, wobei das letzte Update (entsprechend dem Updateverlauf) am Donnerstag, dem 16. Januar 2014, vor mehr als einem Jahr installiert wurde.

Welche Maßnahmen müssen hier ergriffen werden?

Kurze Antwort - ja. Die meisten Windows-Updates sind sicherheitsrelevant. Wenn Sie nicht über die Patches verfügen, sind Sie anfällig.

Längere Antwort - Sie benötigen ein Verfahren, das diese Art von Dingen abdeckt. Heutzutage ist es seltener, aber manchmal kann ein Patch Dinge kaputt machen oder das Verhalten so ändern, dass es für Ihr Unternehmen kaputt ist. Sie sollten jeden Patch bei seiner Veröffentlichung evaluieren (es gibt einen monatlichen Zeitplan und einige dringende), feststellen, ob Sie den Patch benötigen (wahrscheinlich ja), einige Tests auf Test- / Staging-Servern durchführen, um mögliche Fehler zu untersuchen, und dann das installiert.

Sie sollten sich auch etwas um die Bereitstellung kümmern, da das Patchen des Betriebssystems häufig einen Neustart erfordert. Dies bedeutet häufig, dass der Dienst ausfällt, es sei denn, Sie verfügen über eine gute HA für alle Dienste. Wenn Sie der Meinung sind, dass Sie tagsüber clever sind und Patches ausführen und dann den Neustart verschieben, ist dies keine gute Idee - einige Dateien werden aktualisiert, andere nicht.

Microsoft bietet ein kostenloses Produkt namens WSUS an, mit dem das Patch-Management ein wenig einfacher gestaltet werden kann als die einzelnen Genehmigungen und die Bereitstellung.

Zu Ihrer Information, Sie sollten so etwas für alle Geräteklassen tun, die Sie haben. Firmware für Netzwerkgeräte, Serverhardware, VMware ESXi usw. Diese Patches werden nicht zum Spaß herausgebracht, fast alle beheben Fehler, und viele davon können sicherheitsrelevant sein.

Außerdem sollten Sie jemanden fragen, der in Ihrem technischen Team älter ist als Sie. Wenn Sie der einzige Administrator sind, geht es Ihnen und Ihrer Organisation nicht allzu gut. Nehmen Sie das nicht persönlich, wir müssen alle anfangen, ohne alles zu wissen, was wir sollten - aber wenn dies Ihre Frage ist, sollten Sie nicht die einzige Person sein, die diese Server verwaltet.

Die generische Antwort ist, dass es eine gute Praxis ist, Ihre Server auf dem neuesten Stand zu halten .

Aber achten Sie auf ein paar Dinge:

1. Aktualisierungen können dazu führen, dass der Server während der Installation langsamer wird, oder sogar zu Ausfallzeiten, wenn ein Neustart erforderlich ist. Sie sollten planen , sie außerhalb der Büroarbeitszeit zu erledigen.

2. Mit Updates ist ein gewisses Risiko verbunden. Sie können Ihren Server beschädigen oder zu Inkompatibilitäten führen. Sie sind normalerweise vollständig deinstallierbar, aber bei 62 von ihnen sollten Sie auch in Betracht ziehen, ob Sie ein vertrauenswürdiges Backup haben (das sollten Sie auf jeden Fall).

3. Gibt es einen Grund, warum Sie ein Jahr zu spät für Upgrades sind? Ist dies Ihr erstes Login auf diesem Server seit einem Jahr oder ist etwas anderes kaputt?

4. Achten Sie besonders auf den berüchtigten Excel-Fehler , der mit einigen Office-Updates im Dezember einhergeht, wenn Ihr Unternehmen Excel-Makros verwendet. Dies gilt jedoch möglicherweise nicht für einen Server, auf dem Office nicht ausgeführt werden sollte.

5. Viele Systemadministratoren warten einige Tage oder Wochen, bevor sie Updates installieren, um zu prüfen, ob im Internet Probleme mit diesen Updates auftreten. Berücksichtigen Sie bei der Entscheidung, ob Sie warten müssen, die Sicherheitsrisiken, wenn Sie den Server längere Zeit nicht gepatcht lassen.

Ich weiß, Mfinni hat mich hart geschlagen, aber ich werde nur für WSUS +1 geben. Speziell:

Angenommen, Sie haben mehrere Server, einschließlich Test und Produktion. Nehmen wir auch an, dass der Test eine ähnliche Hardware hat wie die Produktion (was, wie ich weiß, keine sichere Annahme ist, aber gehen wir damit um - es ist nett, aber nicht notwendig). Sie können das folgende Szenario in WSUS einrichten:

1. Testen Sie Server in ihrer eigenen Organisationseinheit. In der Gruppenrichtlinie wird festgelegt, dass Updates installiert und zu einem nicht unpraktischen Zeitpunkt, z. B. Sonntag um 3 Uhr morgens, neu gestartet werden sollen.
2. Produktserver in einer anderen Organisationseinheit oder in anderen Organisationseinheiten. Die Gruppenrichtlinie fordert zum Herunterladen und Benachrichtigen auf.
3. Von den Patches wurde die Genehmigung erteilt und die Frist für die Installation und den Neustart der Server während des geplanten Wartungsfensters, einige Tage oder eine Woche, nachdem die Test- / Entwickler-Server Patches installiert haben.

Wenn dies nicht offensichtlich ist, werden alle kritischen Patches / Sicherheitspatches für Ihre Server genehmigt, zuerst zum Testen und später für die Produktion angewendet. Ich habe nur einmal gesehen, wie ein Update etwas kritisch brach, aber dies würde Ihnen die Möglichkeit geben, das Patch zurückzusetzen, wenn es im Test fehlschlägt, bevor es auf prod zutrifft.

Was den großen Haufen von Updates auf dem fraglichen Server betrifft, so ist das Patchen ein geringeres Risiko als das Nicht-Patchen. Ich würde jedoch meine Backups überprüfen, bevor ich sie alle anwende, nur für den Fall, dass es so viele gibt. Wenn es sich um eine VM handelt, möchten Sie möglicherweise zuerst einen Snapshot erstellen.

Dies hängt ganz von Ihrem Unternehmen und den Richtlinien ab, die Sie für die Aktualisierung Ihrer Server festgelegt haben.

Zumindest sollten Sie Sicherheitsupdates installieren und andere Patches wie .NET Framework-Updates zuerst in einer Testumgebung ausführen, bevor Sie Produktionsserver aktualisieren.