Ich habe gerade eine RDP-Verbindung zu einem Server meines Unternehmens hergestellt und wurde auf Windows-Updates aufmerksam gemacht, also klicke ich auf. Dann sehe ich 62 Updates mit hoher Priorität, wobei das letzte Update (entsprechend dem Updateverlauf) am Donnerstag, dem 16. Januar 2014, vor mehr als einem Jahr installiert wurde.
Welche Maßnahmen müssen hier ergriffen werden?
windows-update
OpenCoderX
quelle
quelle
"useful for many other developers"
hat keinen Einfluss auf diese Seite. Diese Website ist nicht als Helpdesk für SO-Benutzer konzipiert. Nennen Sie es grausam, wenn Sie wollen, ich habe den Umfang der Website nicht gemacht.Antworten:
Kurze Antwort - ja. Die meisten Windows-Updates sind sicherheitsrelevant. Wenn Sie nicht über die Patches verfügen, sind Sie anfällig.
Längere Antwort - Sie benötigen ein Verfahren, das diese Art von Dingen abdeckt. Heutzutage ist es seltener, aber manchmal kann ein Patch Dinge kaputt machen oder das Verhalten so ändern, dass es für Ihr Unternehmen kaputt ist. Sie sollten jeden Patch bei seiner Veröffentlichung evaluieren (es gibt einen monatlichen Zeitplan und einige dringende), feststellen, ob Sie den Patch benötigen (wahrscheinlich ja), einige Tests auf Test- / Staging-Servern durchführen, um mögliche Fehler zu untersuchen, und dann das installiert.
Sie sollten sich auch etwas um die Bereitstellung kümmern, da das Patchen des Betriebssystems häufig einen Neustart erfordert. Dies bedeutet häufig, dass der Dienst ausfällt, es sei denn, Sie verfügen über eine gute HA für alle Dienste. Wenn Sie der Meinung sind, dass Sie tagsüber clever sind und Patches ausführen und dann den Neustart verschieben, ist dies keine gute Idee - einige Dateien werden aktualisiert, andere nicht.
Microsoft bietet ein kostenloses Produkt namens WSUS an, mit dem das Patch-Management ein wenig einfacher gestaltet werden kann als die einzelnen Genehmigungen und die Bereitstellung.
Zu Ihrer Information, Sie sollten so etwas für alle Geräteklassen tun, die Sie haben. Firmware für Netzwerkgeräte, Serverhardware, VMware ESXi usw. Diese Patches werden nicht zum Spaß herausgebracht, fast alle beheben Fehler, und viele davon können sicherheitsrelevant sein.
Außerdem sollten Sie jemanden fragen, der in Ihrem technischen Team älter ist als Sie. Wenn Sie der einzige Administrator sind, geht es Ihnen und Ihrer Organisation nicht allzu gut. Nehmen Sie das nicht persönlich, wir müssen alle anfangen, ohne alles zu wissen, was wir sollten - aber wenn dies Ihre Frage ist, sollten Sie nicht die einzige Person sein, die diese Server verwaltet.
quelle
"My dilemma now is what sort of flag do I raise to senior management, because it appears to me that the work is simply not being done. "
- kein Dilemma, Sie teilen Ihrem Chef per E-Mail mit, was Ihnen aufgefallen ist und worüber Sie besorgt sind. Es kann einen legitimen Grund geben, oder es kann einfach Faulheit sein. So oder so, es ist nicht deine Schuld, dass es nicht getan wurde, aber du solltest zumindest Bedenken äußern.Die generische Antwort ist, dass es eine gute Praxis ist, Ihre Server auf dem neuesten Stand zu halten .
Aber achten Sie auf ein paar Dinge:
Aktualisierungen können dazu führen, dass der Server während der Installation langsamer wird, oder sogar zu Ausfallzeiten, wenn ein Neustart erforderlich ist. Sie sollten planen , sie außerhalb der Büroarbeitszeit zu erledigen.
Mit Updates ist ein gewisses Risiko verbunden. Sie können Ihren Server beschädigen oder zu Inkompatibilitäten führen. Sie sind normalerweise vollständig deinstallierbar, aber bei 62 von ihnen sollten Sie auch in Betracht ziehen, ob Sie ein vertrauenswürdiges Backup haben (das sollten Sie auf jeden Fall).
Gibt es einen Grund, warum Sie ein Jahr zu spät für Upgrades sind? Ist dies Ihr erstes Login auf diesem Server seit einem Jahr oder ist etwas anderes kaputt?
Achten Sie besonders auf den berüchtigten Excel-Fehler , der mit einigen Office-Updates im Dezember einhergeht, wenn Ihr Unternehmen Excel-Makros verwendet. Dies gilt jedoch möglicherweise nicht für einen Server, auf dem Office nicht ausgeführt werden sollte.
Viele Systemadministratoren warten einige Tage oder Wochen, bevor sie Updates installieren, um zu prüfen, ob im Internet Probleme mit diesen Updates auftreten. Berücksichtigen Sie bei der Entscheidung, ob Sie warten müssen, die Sicherheitsrisiken, wenn Sie den Server längere Zeit nicht gepatcht lassen.
quelle
Ich weiß, Mfinni hat mich hart geschlagen, aber ich werde nur für WSUS +1 geben. Speziell:
Angenommen, Sie haben mehrere Server, einschließlich Test und Produktion. Nehmen wir auch an, dass der Test eine ähnliche Hardware hat wie die Produktion (was, wie ich weiß, keine sichere Annahme ist, aber gehen wir damit um - es ist nett, aber nicht notwendig). Sie können das folgende Szenario in WSUS einrichten:
Wenn dies nicht offensichtlich ist, werden alle kritischen Patches / Sicherheitspatches für Ihre Server genehmigt, zuerst zum Testen und später für die Produktion angewendet. Ich habe nur einmal gesehen, wie ein Update etwas kritisch brach, aber dies würde Ihnen die Möglichkeit geben, das Patch zurückzusetzen, wenn es im Test fehlschlägt, bevor es auf prod zutrifft.
Was den großen Haufen von Updates auf dem fraglichen Server betrifft, so ist das Patchen ein geringeres Risiko als das Nicht-Patchen. Ich würde jedoch meine Backups überprüfen, bevor ich sie alle anwende, nur für den Fall, dass es so viele gibt. Wenn es sich um eine VM handelt, möchten Sie möglicherweise zuerst einen Snapshot erstellen.
quelle
Dies hängt ganz von Ihrem Unternehmen und den Richtlinien ab, die Sie für die Aktualisierung Ihrer Server festgelegt haben.
Zumindest sollten Sie Sicherheitsupdates installieren und andere Patches wie .NET Framework-Updates zuerst in einer Testumgebung ausführen, bevor Sie Produktionsserver aktualisieren.
quelle
1.
Zu langsam. Sie wurden von zwei anderen, besseren Antworten auf den Punkt gebracht.2.
Es gibt keine Meinung darüber, ob Patches / Sicherheitsupdates installiert werden sollen oder nicht. Das einzige Szenario, in dem ich mir vorstellen kann, dass Sie keine Patches installieren möchten, ist ein Szenario, in dem Sie Ihrem Arbeitgeber etwas abverlangen.3.
"Patch-Verwaltung" ist definitiv ein Thema zu Serverfehlern, obwohl es möglicherweise auch für Superuser aktuell ist.