É melhor aplicar as atualizações do Windows aos servidores sem testar ou não? [fechadas]

Navegue suas respostas
3

Encontrei muitas informações sobre a maneira correta de abordar o patch de servidores Windows (por exemplo, Atualizar ou não atualizar? ), mas estou em uma situação em que a maioria dessas informações não é prática no momento.

O que estou procurando é a opção menos ruim em um cenário com recursos limitados. Especificamente, assumindo que estas são minhas únicas opções: devo apenas aplicar cegamente as atualizações do Windows "importantes" (em oposição a "opcionais") aos servidores de produção, ou é melhor não aplicá-las?

Aqui está um pequeno contexto: sou um DBA em uma pequena loja com cerca de 15 servidores hospedando instâncias do SQL Server; as caixas SQL são as únicas com as quais estou preocupado (ou seja, não estou preocupado com caixas do Exchange, controladores de domínio, etc.). Estamos ao vivo 24 horas por dia, mas eu não tenho janelas de manutenção agendadas regularmente (por exemplo, preciso agendar explicitamente uma com o nosso grupo operacional / de suporte se eu precisar reinicializar, etc.).

Estou confortável o suficiente com o gerenciamento de um servidor para conhecer meus limites e não quebrar nada, mas falta conhecimento profundo. Eu conversei com os caras da rede / servidor sobre isso, mas eles essencialmente me disseram que não temos um processo ou política para isso e que eu deveria usar o meu melhor julgamento. Então eles sabem que é um problema, mas é apenas um problema que não será resolvido tão cedo. Eu não tenho as habilidades ou tempo para implementar uma boa solução sozinha, estou apenas tentando minimizar o meu risco tanto quanto posso com os recursos que tenho hoje. Filosoficamente, estou inclinado a aplicar os patches, mas admito que provavelmente não entendo completamente os riscos de fazê-lo.

Para resumir na forma de uma pergunta que possa ser respondida: é mais seguro remendar cegamente, ou não corrigir nada?

Estou aberto a outras opções, mas elas precisam ser tão fáceis e flexíveis quanto aplicar manualmente as atualizações do Windows de maneira mais ou menos ad hoc. (isso é uma droga, eu sei, mas é a minha realidade no momento e para o futuro próximo)

    
por user163107 05.03.2013 / 23:55

3 respostas

8

or not patch at all?

Isso simplesmente não é uma opção nos dias de hoje. Seu sistema quase certamente será comprometido em algum momento se você não aplicar os patches de segurança necessários. A única questão real é quanto tempo você pode esperar após o lançamento de um patch até você precisar instalá-lo.

patch blindly

O ideal seria testar, mas se você não conseguir testar, ao menos diminua o possível dano certificando-se de ter um sistema de backup e restauração extremamente bem testado. Então, quando uma atualização quebrar, você poderá se recuperar dela. Então você deve ser capaz de tolerar algum tempo de inatividade para as atualizações serem aplicadas.

    
por 06.03.2013 / 00:06
1

Em geral, eu geralmente aplico os patches de atualização do Windows diretamente. Embora eu tenha excelentes backups, e também tenho um ponto de restauração que eu poderia recorrer. Como geralmente existem patches de segurança significativos, eu não esperaria muito tempo.

Quanto ao teste, bem, não descobri que geralmente posso testar bem qualquer coisa com uma variedade de itens diferentes, como o Windows, sem um tempo significativo. E, novamente, com um perfil de alta segurança e excelentes backups, não posso esperar. Eu geralmente não tive um problema. É provavelmente aconselhável fazer seus servidores de desenvolvimento primeiro e trabalhar com os servidores de produção, apenas para ser prudente.

Uma nota, os patches podem abrir uma irregularidade diferente daquela em que você está passando.

Assim você tem sua resposta .... depende!

    
por 06.03.2013 / 00:06
0

Nos comentários, você já tem um bom processo de backup / restauração disponível por meio do recurso de instantâneo do seu hipervisor. Com cuidado, estes são indespensíveis para a aplicação de atualizações não testadas.

A resposta do Zoredache realmente cobre as suas bases antes da atualização. Não cobre as conseqüências imediatas. O que você realmente precisa, além disso, é uma maneira pronta para colocar seus sistemas em seus limites depois de concluídos. Uma coisa é ter uma atualização não testada antes de ser instalada. Deixá-lo não testado depois de ter a capacidade de fazer algo sobre isso é outra completamente diferente.

Minha sugestão sobre SQL é escrever um aplicativo simulado (supondo que você tenha um front-end) ou uma maneira pronta de disparar seus procedimentos armazenados comuns e verificar se os resultados são os esperados. Minha experiência com atualizações relacionadas ao SQL sempre foi (de qualquer maneira) centrada em não iniciar o serviço ou em uma das principais funções de nossos aplicativos terem um problema. Ter uma farsa salvou meu bacon várias vezes nos últimos 10 anos.

    
por 06.03.2013 / 05:53

Tags

Script de bash: monitore o hotfolder e arquivos parciais Executa vários comandos através do SSH como sudo