Sollten wir Windows-Sicherheitsupdates installieren? [geschlossen]

14

Ich habe gerade eine RDP-Verbindung zu einem Server meines Unternehmens hergestellt und wurde auf Windows-Updates aufmerksam gemacht, also klicke ich auf. Dann sehe ich 62 Updates mit hoher Priorität, wobei das letzte Update (entsprechend dem Updateverlauf) am Donnerstag, dem 16. Januar 2014, vor mehr als einem Jahr installiert wurde.

Welche Maßnahmen müssen hier ergriffen werden?

OpenCoderX
quelle
21
Betrachten Sie sich als glücklich, dass Mfinni und andere dies tatsächlich beantworten. Es ist vergleichbar mit einem von uns, der zu SO kommt und fragt: "Wenn ich Code schreibe, soll ich ihn debuggen?"
TheCleaner
7
@TheCleaner Die Antwort auf diese Frage lautet "Nachdem Sie den Kunden für Ihre Code-Debugging-Services verkauft haben".
HopelessN00b
8
@MonkeyZeus "wenn es nicht kaputt ist ..." in diesem Fall meinst du "wenn es nicht sicher ist, nicht sichern"?
5
"Wenn es nicht kaputt ist, reparieren Sie es nicht" und "Wenn es nicht sicher ist, sichern Sie es nicht" drücken im Wesentlichen entgegengesetzte Vorstellungen aus.
user2338816
7
@Lilienthal - "useful for many other developers"hat keinen Einfluss auf diese Seite. Diese Website ist nicht als Helpdesk für SO-Benutzer konzipiert. Nennen Sie es grausam, wenn Sie wollen, ich habe den Umfang der Website nicht gemacht.
TheCleaner

Antworten:

31

Kurze Antwort - ja. Die meisten Windows-Updates sind sicherheitsrelevant. Wenn Sie nicht über die Patches verfügen, sind Sie anfällig.

Längere Antwort - Sie benötigen ein Verfahren, das diese Art von Dingen abdeckt. Heutzutage ist es seltener, aber manchmal kann ein Patch Dinge kaputt machen oder das Verhalten so ändern, dass es für Ihr Unternehmen kaputt ist. Sie sollten jeden Patch bei seiner Veröffentlichung evaluieren (es gibt einen monatlichen Zeitplan und einige dringende), feststellen, ob Sie den Patch benötigen (wahrscheinlich ja), einige Tests auf Test- / Staging-Servern durchführen, um mögliche Fehler zu untersuchen, und dann das installiert.

Sie sollten sich auch etwas um die Bereitstellung kümmern, da das Patchen des Betriebssystems häufig einen Neustart erfordert. Dies bedeutet häufig, dass der Dienst ausfällt, es sei denn, Sie verfügen über eine gute HA für alle Dienste. Wenn Sie der Meinung sind, dass Sie tagsüber clever sind und Patches ausführen und dann den Neustart verschieben, ist dies keine gute Idee - einige Dateien werden aktualisiert, andere nicht.

Microsoft bietet ein kostenloses Produkt namens WSUS an, mit dem das Patch-Management ein wenig einfacher gestaltet werden kann als die einzelnen Genehmigungen und die Bereitstellung.

Zu Ihrer Information, Sie sollten so etwas für alle Geräteklassen tun, die Sie haben. Firmware für Netzwerkgeräte, Serverhardware, VMware ESXi usw. Diese Patches werden nicht zum Spaß herausgebracht, fast alle beheben Fehler, und viele davon können sicherheitsrelevant sein.

Außerdem sollten Sie jemanden fragen, der in Ihrem technischen Team älter ist als Sie. Wenn Sie der einzige Administrator sind, geht es Ihnen und Ihrer Organisation nicht allzu gut. Nehmen Sie das nicht persönlich, wir müssen alle anfangen, ohne alles zu wissen, was wir sollten - aber wenn dies Ihre Frage ist, sollten Sie nicht die einzige Person sein, die diese Server verwaltet.

mfinni
quelle
14
Schneller Bastard. >: /
HopelessN00b
1
Schneetagesbaby. Versucht, VPN-Zugang ins Büro zu bekommen.
mfinni
Ich verwalte sie nicht. Ich bin ein App-Entwickler, der zufällig einige Protokolle der Ereignisanzeige auf dem Host anzeigen musste. Ich habe tatsächlich Update-Warnungen bemerkt, aber dieses Mal habe ich das kleine "x" verpasst und auf die Blase geklickt. Führe mich zur Übersichtsseite. Mein Dilemma ist nun, welche Art von Flagge ich der Geschäftsleitung ziehe, denn es scheint mir, dass die Arbeit einfach nicht erledigt wird. Wir haben tatsächlich WSUS. Bis heute bin ich einfach davon ausgegangen, dass sich jeder Update-Hinweis, den ich gesehen habe, um dieses Wochenende kümmert.
OpenCoderX
Sprechen Sie sofort mit dem Management. Haben Sie Systemadministratoren? In diesem Fall erledigen sie möglicherweise ihre Arbeit nicht, es sei denn, Ihre Unternehmensrichtlinie lautet "Keine Updates installieren". Wenn Sie keine Systemadministratoren haben, beauftragen Sie das Management, einige davon einzustellen oder zu vergeben. Wie Sie wahrscheinlich erraten können, haben Entwickler nicht die gleichen Ziele oder Fähigkeiten wie Systemadministratoren und die meisten können / sollten nicht beide Rollen spielen.
mfinni
10
"My dilemma now is what sort of flag do I raise to senior management, because it appears to me that the work is simply not being done. "- kein Dilemma, Sie teilen Ihrem Chef per E-Mail mit, was Ihnen aufgefallen ist und worüber Sie besorgt sind. Es kann einen legitimen Grund geben, oder es kann einfach Faulheit sein. So oder so, es ist nicht deine Schuld, dass es nicht getan wurde, aber du solltest zumindest Bedenken äußern.
TheCleaner
18

Die generische Antwort ist, dass es eine gute Praxis ist, Ihre Server auf dem neuesten Stand zu halten .

Aber achten Sie auf ein paar Dinge:

  1. Aktualisierungen können dazu führen, dass der Server während der Installation langsamer wird, oder sogar zu Ausfallzeiten, wenn ein Neustart erforderlich ist. Sie sollten planen , sie außerhalb der Büroarbeitszeit zu erledigen.

  2. Mit Updates ist ein gewisses Risiko verbunden. Sie können Ihren Server beschädigen oder zu Inkompatibilitäten führen. Sie sind normalerweise vollständig deinstallierbar, aber bei 62 von ihnen sollten Sie auch in Betracht ziehen, ob Sie ein vertrauenswürdiges Backup haben (das sollten Sie auf jeden Fall).

  3. Gibt es einen Grund, warum Sie ein Jahr zu spät für Upgrades sind? Ist dies Ihr erstes Login auf diesem Server seit einem Jahr oder ist etwas anderes kaputt?

  4. Achten Sie besonders auf den berüchtigten Excel-Fehler , der mit einigen Office-Updates im Dezember einhergeht, wenn Ihr Unternehmen Excel-Makros verwendet. Dies gilt jedoch möglicherweise nicht für einen Server, auf dem Office nicht ausgeführt werden sollte.

  5. Viele Systemadministratoren warten einige Tage oder Wochen, bevor sie Updates installieren, um zu prüfen, ob im Internet Probleme mit diesen Updates auftreten. Berücksichtigen Sie bei der Entscheidung, ob Sie warten müssen, die Sicherheitsrisiken, wenn Sie den Server längere Zeit nicht gepatcht lassen.

pgr
quelle
Über welchen "berüchtigten Excel-Fehler, der mit einigen Office-Updates im Dezember einhergeht" sprechen Sie?
Andrew Medico
"Für einige Benutzer funktionieren die Formularsteuerelemente (FM20.dll) nach der Installation der Microsoft Office-Sicherheitsupdates MS14-082 für Dezember 2014 nicht mehr wie erwartet." gemäß Technet-Blogbeitrag blogs.technet.com/b/the_microsoft_excel_support_team_blog/…
Shiv
@Shiv: danke, ich habe die Antwort so bearbeitet, dass sie deinen Link enthält.
pgr
@pgr, Gibt es nicht wie jede dieser berüchtigten Bugs?
Pacerier
@ Pacerier: eheh, sicher. Normalerweise müssen Sie das Update nur zurücksetzen. Nicht dieser. Dateien können mit dem Fehler "infiziert" werden, dh, jemand öffnet sie nach dem fehlerhaften Update, und plötzlich funktioniert die Datei auf einem anderen Computer nicht mehr. Es war eine echte PITA, die sich mit dieser Sache befasste, und sie ist noch nicht vorbei. Beachten Sie, dass das Problem so komplex geworden ist (im schlimmsten Fall, wenn das Problem mit der Datei auftritt), dass Microsoft NOCH daran arbeitet und eine endgültige Lösung noch zu erzielen ist ... aber natürlich wird es jeder Systemadministrator tun habe seine eigene Albtraumgeschichte, das ist meine ... :-)
pgr
8

Ich weiß, Mfinni hat mich hart geschlagen, aber ich werde nur für WSUS +1 geben. Speziell:

Angenommen, Sie haben mehrere Server, einschließlich Test und Produktion. Nehmen wir auch an, dass der Test eine ähnliche Hardware hat wie die Produktion (was, wie ich weiß, keine sichere Annahme ist, aber gehen wir damit um - es ist nett, aber nicht notwendig). Sie können das folgende Szenario in WSUS einrichten:

  1. Testen Sie Server in ihrer eigenen Organisationseinheit. In der Gruppenrichtlinie wird festgelegt, dass Updates installiert und zu einem nicht unpraktischen Zeitpunkt, z. B. Sonntag um 3 Uhr morgens, neu gestartet werden sollen.
  2. Produktserver in einer anderen Organisationseinheit oder in anderen Organisationseinheiten. Die Gruppenrichtlinie fordert zum Herunterladen und Benachrichtigen auf.
  3. Von den Patches wurde die Genehmigung erteilt und die Frist für die Installation und den Neustart der Server während des geplanten Wartungsfensters, einige Tage oder eine Woche, nachdem die Test- / Entwickler-Server Patches installiert haben.

Wenn dies nicht offensichtlich ist, werden alle kritischen Patches / Sicherheitspatches für Ihre Server genehmigt, zuerst zum Testen und später für die Produktion angewendet. Ich habe nur einmal gesehen, wie ein Update etwas kritisch brach, aber dies würde Ihnen die Möglichkeit geben, das Patch zurückzusetzen, wenn es im Test fehlschlägt, bevor es auf prod zutrifft.

Was den großen Haufen von Updates auf dem fraglichen Server betrifft, so ist das Patchen ein geringeres Risiko als das Nicht-Patchen. Ich würde jedoch meine Backups überprüfen, bevor ich sie alle anwende, nur für den Fall, dass es so viele gibt. Wenn es sich um eine VM handelt, möchten Sie möglicherweise zuerst einen Snapshot erstellen.

Katherine Villyard
quelle
1

Dies hängt ganz von Ihrem Unternehmen und den Richtlinien ab, die Sie für die Aktualisierung Ihrer Server festgelegt haben.

Zumindest sollten Sie Sicherheitsupdates installieren und andere Patches wie .NET Framework-Updates zuerst in einer Testumgebung ausführen, bevor Sie Produktionsserver aktualisieren.

Vasili Syrakis
quelle
2
1.Zu langsam. Sie wurden von zwei anderen, besseren Antworten auf den Punkt gebracht. 2.Es gibt keine Meinung darüber, ob Patches / Sicherheitsupdates installiert werden sollen oder nicht. Das einzige Szenario, in dem ich mir vorstellen kann, dass Sie keine Patches installieren möchten, ist ein Szenario, in dem Sie Ihrem Arbeitgeber etwas abverlangen. 3."Patch-Verwaltung" ist definitiv ein Thema zu Serverfehlern, obwohl es möglicherweise auch für Superuser aktuell ist.
HopelessN00b
1
Wenn ich wüsste, dass meine Serveradministratoren dies auf SF abfragen, hätte ich Angst vor meiner Infrastruktur. Der Kern der Frage ist "Was soll ich tun?" nicht so ähnlich wie "Wie verwalte / automatisiere / verbessere ich?" die unter die Kategorie der Patch-Verwaltung fallen würde und so weiter. Ich dachte, dieser Ort wäre für Profis, vielleicht irre ich mich dabei. Scheint nur so, als ob es mir auf SU gehört!
Vasili Syrakis
1
Der Fragesteller ist deutlich jünger, weil er diese Frage stellt. Sie brauchen Hilfe; Deshalb gibt es diese Seite. Die beiden anderen Antworten lauten "Ja, hier sind weitere Details und Nuancen."
mfinni
5
Ich würde mir mehr Sorgen um die Serveradministratoren machen, die ein Jahr lang nicht gefragt und nicht aktualisiert haben .
Michael Hampton
3
Es ist definitiv etwas, das angehoben werden sollte; In den letzten 12 Monaten gab es einige recht wichtige Sicherheitsupdates.
Vasili Syrakis