Devemos instalar as atualizações de segurança do Windows? [fechadas]

14

Acabei de fazer o RDP em um dos servidores da minha empresa, fui alertado sobre as atualizações do Windows, então clico. Vejo 62 atualizações de alta prioridade, com a última atualização (de acordo com o histórico de atualizações) instalada na quinta-feira, 16 de janeiro de 2014, há mais de um ano.

Que ações precisam ser tomadas aqui?

OpenCoderX
fonte
21
Considere-se feliz que mfinni e outros estão realmente respondendo a isso. É como se um de nós viesse para o SO e perguntasse "quando eu escrevo código, devo depurá-lo?"
TheCleaner
7
@TheCleaner A resposta para essa pergunta é "depois que você vende o cliente em seus serviços de depuração de código".
HopelessN00b
8
@MonkeyZeus "se não estiver quebrado ...", neste caso, você quer dizer "se não estiver seguro, não está seguro"?
5
"Se não está quebrado, não conserte" e "Se não estiver seguro, não proteja" expressam idéias essencialmente opostas.
user2338816
7
@ Lilienthal - "useful for many other developers"não tem influência neste site. Este site não foi projetado como um serviço de assistência para usuários de SO. Chame de cruel se você quiser, eu não fiz o escopo do site.
TheCleaner

Respostas:

31

Resposta curta - sim. A maioria das atualizações do Windows está relacionada à segurança. Não ter os patches significa que você está vulnerável.

Resposta mais longa - você precisa de um procedimento que cubra esse tipo de coisa. Hoje em dia, é mais raro, mas às vezes um patch pode quebrar coisas ou mudar o comportamento de tal maneira que é quebrado no que diz respeito à sua empresa. Você deve avaliar cada patch quando ele for lançado (há uma programação mensal mais algumas urgentes), determinar se você precisa do patch (provavelmente sim), fazer alguns testes em servidores de teste / preparo para fazer alguma diligência sobre possíveis quebras e, em seguida, fazer as instalações.

Você também deve ter algum cuidado com as implantações, porque a correção do SO geralmente significa reinicialização, o que geralmente significa que há tempo de inatividade do serviço, a menos que você tenha uma boa HA para todos os seus serviços. Se você acha que será inteligente e fará o patch durante o dia e depois adiar a reinicialização, não é uma boa idéia - alguns arquivos serão atualizados, mas outros não.

A Microsoft oferece um produto gratuito chamado WSUS que pode facilitar um pouco o gerenciamento de patches do que aprovar e implantar um por um.

Para sua informação, você deve fazer esse tipo de coisa para todas as classes de dispositivos que possui. Firmware de dispositivo de rede, firmware de hardware de servidor, VMware ESXi, etc. Esses patches não saem por diversão, quase todos eles corrigem bugs e muitos deles podem estar relacionados à segurança.

Além disso - você deve perguntar a alguém mais sênior do que você em sua equipe técnica. Se você é o único administrador, você e sua organização não estão indo muito bem. Não leve isso para o lado pessoal, todos nós precisamos começar sem saber tudo o que devemos - mas se essa é sua pergunta, você não deve ser a única pessoa que gerencia esses servidores.

mfinni
fonte
14
Bastardo de digitação rápida. >: /
HopelessN00b
1
Dia de neve, bebê. Tentando obter acesso VPN no escritório.
Mfnni
Não estou gerenciando-os, sou um desenvolvedor de aplicativos que precisava visualizar alguns logs do visualizador de eventos no host. Na verdade, já havia notado alertas de atualização antes, mas dessa vez perdi o pequeno 'x' e cliquei no balão, levando-me à página de resumo. Meu dilema agora é que tipo de bandeira eu levanto para a gerência sênior, porque me parece que o trabalho simplesmente não está sendo realizado. Na verdade, temos o WSUS. Até hoje, eu apenas assumi que qualquer aviso de atualização que eu vi seria resolvido naquele fim de semana.
OpenCoderX
Fale com a gerência imediatamente. Você possui administradores de sistemas? Se o fizer, eles podem não estar fazendo o trabalho deles, a menos que a política da empresa seja "não instalar atualizações". Se você não possui administradores de sistemas, peça à gerência que contrate alguns ou os contrate. Como você provavelmente pode adivinhar, os desenvolvedores não têm os mesmos objetivos ou habilidades que os administradores de sistemas e a maioria não pode / não deve desempenhar os dois papéis.
Mfnni
10
"My dilemma now is what sort of flag do I raise to senior management, because it appears to me that the work is simply not being done. "- sem dilemas, você diz ao seu chefe por e-mail o que notou e está preocupado. Pode haver uma razão legítima, ou pode ser simplesmente preguiça. De qualquer forma, não é sua culpa que isso não tenha sido feito, mas você deve pelo menos expressar preocupação.
TheCleaner
18

A resposta genérica é que é uma boa prática manter seus servidores atualizados .

Mas preste atenção em algumas coisas:

  1. As atualizações podem fazer com que o servidor fique lento durante a instalação ou até causar algum tempo de inatividade se elas exigirem reinicializações. Você deve planejá -los fora do horário comercial.

  2. As atualizações têm algum risco associado. Eles podem danificar seu servidor ou causar alguma incompatibilidade. Eles geralmente são totalmente desinstaláveis, mas, com 62 deles, você também deve considerar se possui um backup confiável (de qualquer maneira).

  3. Existe uma razão pela qual você está atrasado um ano em atualizações? Este é o seu primeiro logon no servidor em um ano ou algo mais está quebrado?

  4. Preste atenção especial ao infame bug do Excel que vem com algumas atualizações de dezembro do Office, se sua empresa usa macros do Excel, mas isso provavelmente não se aplica a um servidor que não deveria estar executando o Office.

  5. Muitos administradores de sistemas aguardam alguns dias ou semanas antes de instalar as atualizações, apenas para verificar se há algo de ruim na Internet sobre essas atualizações. Ao decidir se precisa esperar, considere os riscos de segurança de deixar o servidor sem patch por mais tempo.

pgr
fonte
De que "erro infame do Excel que vem com algumas atualizações do Office de dezembro" você está falando?
Andrew Medico
"Para alguns usuários, os Controles de formulário (FM20.dll) não estão mais funcionando conforme o esperado após a instalação do MS14-082, atualizações de segurança do Microsoft Office para dezembro de 2014." de acordo com a publicação no blog da Technet blogs.technet.com/b/the_microsoft_excel_support_team_blog/…
Shiv
@ Shiv: obrigado, eu editei a resposta para incluir o seu link.
pgr 11/02
@ pgr, não existem toneladas desses insetos infames?
Pacerier 12/02
@ Pacerier: eheh, com certeza. Normalmente, tudo o que você precisa fazer é reverter a atualização. Esse não. Os arquivos podem ser "infectados" com o bug, ou seja, alguém os abre após a atualização incorreta e, de repente, o arquivo para de funcionar em outro computador. Tem sido uma verdadeira PITA lidando com essa, e ainda não acabou. Observe que o problema ficou tão complexo (nos piores casos, quando o problema ocorre com o arquivo) que a Microsoft ainda está trabalhando nele, e ainda há uma solução definitiva a ser alcançada ... mas, é claro, cada administrador de sistema tem sua própria história pesadelo, isso é meu ... :-)
pgr
8

Eu sei que o mfinni me venceu, mas só vou marcar +1 no WSUS. Especificamente:

Vamos supor que você tenha vários servidores, incluindo teste e produção. Vamos supor também que o teste tenha hardware semelhante à produção (o que não é uma suposição segura, eu sei, mas vamos em frente - é bom, mas não é necessário). Você pode configurar o seguinte cenário no WSUS:

  1. Servidores de teste em sua própria UO. A política de grupo diz para instalar atualizações e reiniciar em um momento não inconveniente, como domingo às 3h.
  2. Produza servidores em uma OU ou OUs diferentes. A política de grupo diz para baixar e notificar.
  3. Patches aprovados e com prazo para instalar e reinicializar os servidores durante a janela de manutenção agendada, vários dias ou uma semana após os servidores de teste / desenvolvimento aplicarem patches.

O que isso faz, se não for óbvio, é aprovar todos os patches críticos / de segurança para seus servidores, aplicá-los ao teste primeiro e depois aplicá-los posteriormente à produção. Eu só vi uma atualização quebrar algo criticamente uma vez, mas isso lhe daria a chance de reverter o patch se ele falhar no teste antes de se aplicar ao prod.

Quanto à grande quantidade de atualizações no servidor em questão, o patch é um risco menor do que o patch, mas eu verificaria meus backups antes de aplicá-los, apenas porque existem muitos. Se for uma VM, convém tirar um instantâneo primeiro.

Katherine Villyard
fonte
1

Isso depende inteiramente dos seus negócios e da política que você definiu para atualizar seus servidores.

No mínimo, você deve instalar as atualizações de segurança e executar outras correções, como as atualizações da estrutura .NET em um ambiente de teste antes de atualizar os servidores de produção.

Vasili Syrakis
fonte
2
1.Muito devagar. Você foi derrotado por duas outras respostas melhores. 2.Não há nada baseado em opiniões sobre a instalação ou não de patches / atualizações de segurança. O único cenário que posso imaginar onde você não gostaria de instalar patches seria aquele em que você está roubando do seu empregador. 3.Definitivamente, "Gerenciamento de patches" é um tópico de Falha no servidor, embora também possa ser um tópico para superusuário.
HopelessN00b
1
Se eu soubesse que meus administradores de servidor estavam perguntando isso no SF, eu ficaria aterrorizado com minha infraestrutura. O núcleo da pergunta é "O que devo fazer?" não é algo parecido com "Como gerenciar / automatizar / melhorar?" que se enquadram na categoria de gerenciamento de patches e assim por diante. Eu pensei que este lugar era para profissionais, talvez eu esteja errado sobre isso. Apenas parece que pertence a SU para mim!
Vasili Syrakis
1
O solicitante é claramente bastante júnior, porque está fazendo esta pergunta. Eles precisam de ajuda; é por isso que este site existe. As duas outras respostas são "Sim, eis mais detalhes e nuances".
Mfnni
5
Eu ficaria mais preocupado com os administradores de servidor que não pediram e não atualizaram por um ano .
Michael Hampton
3
Definitivamente, é algo que deve ser levantado; houve algumas atualizações de segurança bastante críticas nos últimos 12 meses.
Vasili Syrakis