Acabei de fazer o RDP em um dos servidores da minha empresa, fui alertado sobre as atualizações do Windows, então clico. Vejo 62 atualizações de alta prioridade, com a última atualização (de acordo com o histórico de atualizações) instalada na quinta-feira, 16 de janeiro de 2014, há mais de um ano.
Que ações precisam ser tomadas aqui?
windows-update
OpenCoderX
fonte
fonte
"useful for many other developers"
não tem influência neste site. Este site não foi projetado como um serviço de assistência para usuários de SO. Chame de cruel se você quiser, eu não fiz o escopo do site.Respostas:
Resposta curta - sim. A maioria das atualizações do Windows está relacionada à segurança. Não ter os patches significa que você está vulnerável.
Resposta mais longa - você precisa de um procedimento que cubra esse tipo de coisa. Hoje em dia, é mais raro, mas às vezes um patch pode quebrar coisas ou mudar o comportamento de tal maneira que é quebrado no que diz respeito à sua empresa. Você deve avaliar cada patch quando ele for lançado (há uma programação mensal mais algumas urgentes), determinar se você precisa do patch (provavelmente sim), fazer alguns testes em servidores de teste / preparo para fazer alguma diligência sobre possíveis quebras e, em seguida, fazer as instalações.
Você também deve ter algum cuidado com as implantações, porque a correção do SO geralmente significa reinicialização, o que geralmente significa que há tempo de inatividade do serviço, a menos que você tenha uma boa HA para todos os seus serviços. Se você acha que será inteligente e fará o patch durante o dia e depois adiar a reinicialização, não é uma boa idéia - alguns arquivos serão atualizados, mas outros não.
A Microsoft oferece um produto gratuito chamado WSUS que pode facilitar um pouco o gerenciamento de patches do que aprovar e implantar um por um.
Para sua informação, você deve fazer esse tipo de coisa para todas as classes de dispositivos que possui. Firmware de dispositivo de rede, firmware de hardware de servidor, VMware ESXi, etc. Esses patches não saem por diversão, quase todos eles corrigem bugs e muitos deles podem estar relacionados à segurança.
Além disso - você deve perguntar a alguém mais sênior do que você em sua equipe técnica. Se você é o único administrador, você e sua organização não estão indo muito bem. Não leve isso para o lado pessoal, todos nós precisamos começar sem saber tudo o que devemos - mas se essa é sua pergunta, você não deve ser a única pessoa que gerencia esses servidores.
fonte
"My dilemma now is what sort of flag do I raise to senior management, because it appears to me that the work is simply not being done. "
- sem dilemas, você diz ao seu chefe por e-mail o que notou e está preocupado. Pode haver uma razão legítima, ou pode ser simplesmente preguiça. De qualquer forma, não é sua culpa que isso não tenha sido feito, mas você deve pelo menos expressar preocupação.A resposta genérica é que é uma boa prática manter seus servidores atualizados .
Mas preste atenção em algumas coisas:
As atualizações podem fazer com que o servidor fique lento durante a instalação ou até causar algum tempo de inatividade se elas exigirem reinicializações. Você deve planejá -los fora do horário comercial.
As atualizações têm algum risco associado. Eles podem danificar seu servidor ou causar alguma incompatibilidade. Eles geralmente são totalmente desinstaláveis, mas, com 62 deles, você também deve considerar se possui um backup confiável (de qualquer maneira).
Existe uma razão pela qual você está atrasado um ano em atualizações? Este é o seu primeiro logon no servidor em um ano ou algo mais está quebrado?
Preste atenção especial ao infame bug do Excel que vem com algumas atualizações de dezembro do Office, se sua empresa usa macros do Excel, mas isso provavelmente não se aplica a um servidor que não deveria estar executando o Office.
Muitos administradores de sistemas aguardam alguns dias ou semanas antes de instalar as atualizações, apenas para verificar se há algo de ruim na Internet sobre essas atualizações. Ao decidir se precisa esperar, considere os riscos de segurança de deixar o servidor sem patch por mais tempo.
fonte
Eu sei que o mfinni me venceu, mas só vou marcar +1 no WSUS. Especificamente:
Vamos supor que você tenha vários servidores, incluindo teste e produção. Vamos supor também que o teste tenha hardware semelhante à produção (o que não é uma suposição segura, eu sei, mas vamos em frente - é bom, mas não é necessário). Você pode configurar o seguinte cenário no WSUS:
O que isso faz, se não for óbvio, é aprovar todos os patches críticos / de segurança para seus servidores, aplicá-los ao teste primeiro e depois aplicá-los posteriormente à produção. Eu só vi uma atualização quebrar algo criticamente uma vez, mas isso lhe daria a chance de reverter o patch se ele falhar no teste antes de se aplicar ao prod.
Quanto à grande quantidade de atualizações no servidor em questão, o patch é um risco menor do que o patch, mas eu verificaria meus backups antes de aplicá-los, apenas porque existem muitos. Se for uma VM, convém tirar um instantâneo primeiro.
fonte
Isso depende inteiramente dos seus negócios e da política que você definiu para atualizar seus servidores.
No mínimo, você deve instalar as atualizações de segurança e executar outras correções, como as atualizações da estrutura .NET em um ambiente de teste antes de atualizar os servidores de produção.
fonte
1.
Muito devagar. Você foi derrotado por duas outras respostas melhores.2.
Não há nada baseado em opiniões sobre a instalação ou não de patches / atualizações de segurança. O único cenário que posso imaginar onde você não gostaria de instalar patches seria aquele em que você está roubando do seu empregador.3.
Definitivamente, "Gerenciamento de patches" é um tópico de Falha no servidor, embora também possa ser um tópico para superusuário.