Devemos instalar atualizações do Windows Security? [fechadas]

14

Eu apenas usei o RDP em um dos servidores da minha empresa, fui alertado sobre as atualizações do Windows, então cliquei. Em seguida, vejo 62 atualizações de alta prioridade, com a última atualização (de acordo com o histórico de atualizações) instalada na quinta-feira, 16 de janeiro de 2014, há mais de um ano.

Quais ações precisam ser tomadas aqui?

    
por shadowadmin 09.02.2015 / 15:53

4 respostas

30

Resposta curta - sim. A maioria das atualizações do Windows é relacionada à segurança. Não ter os patches significa que você está vulnerável.

Resposta mais longa - você precisa de um procedimento que cubra esse tipo de coisa. É mais raro hoje em dia, mas às vezes um patch pode quebrar as coisas ou mudar o comportamento de tal forma que é quebrado no que diz respeito à sua empresa. Você deve avaliar cada patch quando ele é lançado (há um cronograma mensal mais alguns urgentes), determinar se você precisa do patch (provavelmente sim), fazer alguns testes em servidores de teste / teste para fazer alguma diligência sobre possível quebra, e então fazer as instalações.

Você também deve se preocupar com as implantações, porque a correção do SO geralmente significa reinicialização, o que geralmente significa que há tempo de inatividade do serviço, a menos que você tenha um bom HA para todos os seus serviços. Se você acha que vai ser esperto e corrigir durante o dia e, em seguida, adiar a reinicialização, isso não é uma ótima ideia - alguns arquivos serão atualizados, mas outros não serão.

A Microsoft oferece um produto gratuito chamado WSUS que pode tornar o gerenciamento de patches um pouco mais fácil do que fazer aprovações e implantação, tudo um a um.

FYI, você deveria estar fazendo esse tipo de coisa para todas as classes de dispositivos que você tem. Firmware de dispositivo de rede, firmware de hardware de servidor, VMware ESXi, etc. Esses patches não são lançados para diversão, quase todos eles corrigem bugs, e muitos deles podem estar relacionados à segurança.

Além disso, você deve estar perguntando a alguém que é mais antigo do que você em sua equipe técnica. Se você é o único administrador, você e sua organização não estão indo muito bem. Não leve isso para o lado pessoal, todos nós precisamos começar sem saber tudo o que deveríamos - mas se esta é a sua pergunta, você não deve ser a única pessoa a gerenciar esses servidores.

    
por 09.02.2015 / 15:59
18

A resposta genérica é é uma boa prática manter seus servidores atualizados .

Mas preste atenção em algumas coisas:

  1. As atualizações podem fazer com que o servidor fique lento durante a instalação ou até mesmo cause algum tempo de inatividade, caso precise de reinicializações. Você deve planejar para executá-las fora das horas de trabalho do escritório.

  2. As atualizações têm algum risco associado. Eles podem quebrar seu servidor ou causar alguma incompatibilidade. Eles são geralmente totalmente desinstaláveis, mas com 62 deles você também deve considerar se você tem um backup confiável (você deve, pelo menos).

  3. Existe alguma razão pela qual você está um ano atrasado em atualizações? Este é o seu primeiro acesso a esse servidor em um ano, ou alguma outra coisa está quebrada?

  4. Preste atenção especial ao bug infame do Excel que vem com algumas atualizações de Dezembro do Office, se sua empresa usa macros do Excel, mas isso provavelmente não se aplica a um servidor que não deveria estar executando o Office.

  5. Muitos administradores de sistemas aguardam alguns dias ou semanas antes de instalar as atualizações, apenas para ver se algo de ruim aparece na Internet em relação a essas atualizações. Ao decidir se você precisa esperar, considere os riscos de segurança de deixar o servidor sem correção por mais tempo.

por 09.02.2015 / 16:01
8

Eu sei que o mfinni me derrotou, mas eu estou indo apenas para o +1 no WSUS. Especificamente:

Vamos supor que você tenha vários servidores, incluindo teste e produção. Vamos supor também que o teste tenha hardware similar à produção (o que não é uma suposição segura, eu sei, mas vamos em frente - é bom, mas não é necessário). Você pode configurar o seguinte cenário no WSUS:

  1. Testar servidores em sua própria UO. A política de grupo diz para instalar atualizações e reiniciar em algum horário não inconveniente, como o domingo às 3h.
  2. Produza servidores em uma OU ou UOs diferentes. A política de grupo diz para fazer o download e notificar.
  3. Correções aprovadas e imprescindíveis para instalar e reinicializar os servidores durante a janela de manutenção programada, vários dias ou uma semana depois que os servidores de teste / dev aplicarem patches.

O que isso faz, se não for óbvio, é aprovar todos os patches críticos / de segurança para seus servidores, aplicá-los ao teste primeiro e depois aplicá-los posteriormente à produção. Eu só vi uma atualização criticamente quebrar algo uma vez, mas isso lhe daria a chance de reverter o patch se ele falhar no teste antes de aplicar a prod.

Quanto à grande pilha de atualizações no servidor em questão, o patch é um risco menor do que não aplicar patches, mas eu verificaria meus backups antes de aplicá-los, apenas por precaução, porque há muitos. Se for uma VM, talvez você queira tirar uma foto primeiro.

    
por 10.02.2015 / 16:17
1

Isso depende totalmente da sua empresa e da política que você definiu para atualizar seus servidores.

No mínimo, você deve instalar as atualizações de segurança e executar quaisquer outras correções, como atualizações do .NET Framework, em um ambiente de teste antes de atualizar os servidores de produção.

    
por 09.02.2015 / 16:01