Haruskah kita menginstal pembaruan Keamanan Windows? [Tutup]

14

Saya baru saja RDP masuk ke salah satu server perusahaan saya, diberitahu untuk pembaruan windows, jadi saya klik. Kemudian saya melihat 62 pembaruan prioritas tinggi, dengan pembaruan terakhir (menurut riwayat pembaruan) diinstal pada Kamis, 16 Januari 2014, lebih dari satu tahun yang lalu.

Tindakan apa yang perlu diambil di sini?

OpenCoderX
sumber
21
Anggap diri Anda beruntung bahwa mfinni dan orang lain benar-benar menjawab ini. Ini mirip dengan salah satu dari kita yang datang ke SO dan bertanya "ketika saya menulis kode haruskah saya men-debug-nya?"
TheCleaner
7
@TheCleaner Jawaban untuk pertanyaan itu adalah "setelah Anda meningkatkan pelanggan pada layanan debug-kode Anda."
HopelessN00b
8
@MonkeyZeus "jika tidak rusak ..." dalam hal ini, maksud Anda "jika tidak aman, jangan amankan"?
5
"Jika tidak rusak, jangan memperbaikinya" dan "Jika tidak aman, jangan amankan" mengekspresikan ide-ide yang pada dasarnya berlawanan.
user2338816
7
@Lilienthal - "useful for many other developers"tidak ada kaitannya dengan situs ini. Situs ini tidak dirancang sebagai meja bantuan untuk pengguna SO. Sebut itu kejam jika Anda mau, saya tidak membuat ruang lingkup situs.
TheCleaner

Jawaban:

31

Jawaban singkat - ya. Sebagian besar Pembaruan Windows terkait keamanan. Tidak memiliki tambalan berarti Anda rentan.

Jawaban yang lebih panjang - Anda memerlukan prosedur yang mencakup hal semacam ini. Ini lebih jarang akhir-akhir ini, tetapi kadang-kadang tambalan dapat merusak barang-barang, atau mengubah perilaku sedemikian rupa sehingga rusak sejauh menyangkut perusahaan Anda. Anda harus mengevaluasi setiap tambalan saat dirilis (ada jadwal bulanan ditambah yang mendesak), tentukan apakah Anda memerlukan tambalan (mungkin ya), lakukan pengujian pada server uji / pementasan untuk melakukan uji tuntas tentang kemungkinan kerusakan, dan kemudian lakukan menginstal.

Anda juga harus berhati-hati tentang penyebaran, karena patch OS sering berarti me-reboot, yang sering berarti ada downtime layanan, kecuali Anda memiliki HA yang baik untuk semua layanan Anda. Jika Anda berpikir Anda akan pintar dan menambal pada siang hari dan kemudian menunda reboot, itu bukan ide yang bagus - beberapa file akan diperbarui tetapi yang lain tidak.

Microsoft menawarkan produk gratis yang disebut WSUS yang dapat membuat manajemen tambalan sedikit lebih mudah daripada melakukan persetujuan dan penyebaran semuanya satu per satu.

FYI, Anda harus melakukan hal semacam ini untuk semua kelas perangkat yang Anda miliki. Firmware perangkat jaringan, firmware perangkat keras server, VMware ESXi, dll. Tambalan itu tidak keluar untuk bersenang-senang, hampir semuanya mengatasi bug, dan banyak di antaranya yang terkait keamanan.

Selanjutnya - Anda harus bertanya kepada seseorang yang lebih senior dari Anda di tim teknis Anda. Jika Anda adalah satu-satunya admin di sana, Anda dan organisasi Anda tidak bekerja dengan baik. Jangan tersinggung, kita semua harus mulai tanpa mengetahui semua yang seharusnya - tetapi jika ini adalah pertanyaan Anda, Anda seharusnya bukan satu-satunya orang yang mengelola server ini.

mfinni
sumber
14
Bajingan mengetik cepat. >: /
HopelessN00b
1
Hari bayi salju. Mencoba mendapatkan akses VPN ke kantor.
mfinni
Saya tidak mengelola mereka, saya seorang pengembang aplikasi yang kebetulan perlu melihat beberapa log penampil acara di tuan rumah, saya benar-benar melihat pemberitahuan pembaruan sebelumnya, tetapi kali ini saya melewatkan sedikit 'x' dan mengklik gelembung, menuntun saya ke halaman ringkasan. Dilema saya sekarang adalah jenis bendera apa yang saya angkat ke manajemen senior, karena bagi saya tampaknya pekerjaan itu tidak dilakukan. Kami sebenarnya memiliki WSUS. Hingga hari ini saya hanya berasumsi bahwa pemberitahuan pembaruan apa pun yang saya lihat akan ditangani akhir pekan itu.
OpenCoderX
Bicaralah dengan manajemen segera. Apakah Anda memiliki administrator sistem? Jika Anda melakukannya, maka mereka mungkin tidak melakukan pekerjaan mereka, kecuali jika kebijakan perusahaan Anda adalah "jangan instal pembaruan." Jika Anda tidak memiliki administrator sistem, minta manajemen untuk menyewa beberapa atau kontrakkan. Seperti yang bisa Anda tebak, pengembang tidak memiliki tujuan atau keahlian yang sama dengan sysadmin dan sebagian besar tidak bisa / tidak boleh memainkan kedua peran tersebut.
mfinni
10
"My dilemma now is what sort of flag do I raise to senior management, because it appears to me that the work is simply not being done. "- tidak ada dilema, Anda memberi tahu atasan Anda melalui email apa yang Anda perhatikan dan khawatirkan. Mungkin ada alasan yang sah, atau mungkin hanya karena malas. Either way, itu bukan kesalahan Anda itu belum dilakukan, tetapi Anda setidaknya harus menyuarakan keprihatinan.
TheCleaner
18

Jawaban umum adalah ini merupakan praktik yang baik untuk menjaga server Anda diperbarui .

Tetapi perhatikan beberapa hal:

  1. Pembaruan dapat menyebabkan server menjadi lamban selama instalasi, atau bahkan menyebabkan beberapa downtime jika mereka memerlukan reboot. Anda harus merencanakan untuk melakukannya di luar jam kerja kantor.

  2. Pembaruan memiliki beberapa risiko yang terkait. Mereka mungkin merusak server Anda, atau menyebabkan beberapa ketidakcocokan. Mereka biasanya sepenuhnya dapat dihapus, tetapi dengan 62 dari mereka Anda juga harus mempertimbangkan jika Anda memiliki cadangan yang dapat dipercaya (Anda harus, bagaimanapun juga).

  3. Apakah ada alasan mengapa Anda terlambat upgrade satu tahun? Apakah ini login pertama Anda ke server itu dalam setahun, atau ada yang rusak?

  4. Berikan perhatian khusus pada bug Excel yang terkenal yang datang dengan beberapa pembaruan Office Desember, jika perusahaan Anda menggunakan makro Excel, tetapi ini mungkin tidak berlaku untuk server yang seharusnya tidak menjalankan Office.

  5. Banyak sysadmin menunggu beberapa hari atau minggu sebelum menginstal pembaruan, hanya untuk melihat apakah ada hal buruk yang muncul di Internet terkait pembaruan tersebut. Ketika memutuskan apakah Anda perlu menunggu, pertimbangkan risiko keamanan meninggalkan server tidak ditonton lebih lama.

pgr
sumber
Apa "bug Excel yang terkenal yang datang dengan beberapa pembaruan Office Desember" yang Anda bicarakan?
Andrew Medico
"Untuk beberapa pengguna, Kontrol Formulir (FM20.dll) tidak lagi berfungsi seperti yang diharapkan setelah menginstal Pembaruan Keamanan Microsoft Office MS14-082 untuk Desember 2014." sesuai Technet, posting blog blogs.technet.com/b/the_microsoft_excel_support_team_blog/…
Shiv
@ Shiv: terima kasih, saya mengedit jawaban untuk menyertakan tautan Anda.
pgr
@ pgr, Apakah tidak ada banyak bug terkenal ini?
Pacerier
@Pacerier: eheh, tentu. Biasanya yang harus Anda lakukan adalah mengembalikan pembaruan. Bukan yang ini. File dapat "terinfeksi" dengan bug, yaitu, seseorang membukanya setelah pembaruan yang buruk, dan tiba-tiba file berhenti bekerja di komputer yang berbeda. Sudah PITA nyata berurusan dengan ini, dan belum berakhir. Perhatikan bahwa masalah telah menjadi sangat kompleks (untuk kasus terburuk, ketika masalah berjalan dengan file) bahwa Microsoft MASIH mengerjakannya, dan solusi definitif masih harus dicapai ... tetapi, tentu saja, setiap sysadmin akan punya cerita mimpi buruknya sendiri, ini milikku ... :-)
hal
8

Saya tahu mfinni mengalahkan saya, tetapi saya hanya akan memberi +1 untuk WSUS. Secara khusus:

Mari kita asumsikan bahwa Anda memiliki beberapa server, termasuk pengujian dan produksi. Mari kita juga berasumsi bahwa tes memiliki perangkat keras yang mirip dengan produksi (yang bukan asumsi yang aman, saya tahu, tapi mari kita ikuti saja - itu bagus tetapi tidak perlu). Anda bisa mengatur skenario berikut di WSUS:

  1. Uji server di OU mereka sendiri. Kebijakan grup mengatakan untuk menginstal pembaruan dan reboot pada waktu yang tidak nyaman, seperti hari Minggu pukul 3 pagi.
  2. Menghasilkan server di OU atau OU yang berbeda. Kebijakan grup mengatakan untuk mengunduh dan memberi tahu.
  3. Tambalan disetujui, dan tenggat waktu untuk menginstal dan me-reboot server selama jendela pemeliharaan terjadwal Anda, beberapa hari atau seminggu setelah server pengujian / dev menerapkan tambalan.

Apa yang dilakukan, jika tidak jelas, apakah itu menyetujui semua tambalan kritis / keamanan untuk server Anda, menerapkannya untuk menguji terlebih dahulu, dan kemudian menerapkannya nanti untuk produksi. Saya hanya melihat pembaruan secara kritis memecahkan sesuatu sekali, tetapi ini akan memberi Anda kesempatan untuk memutar kembali tambalan jika gagal dalam pengujian sebelum berlaku untuk prod.

Adapun tumpukan besar pembaruan di server yang bersangkutan, menambal adalah risiko yang lebih rendah daripada tidak menambal, tetapi saya akan memverifikasi cadangan saya sebelum menerapkannya semua berjaga-jaga karena ada begitu banyak. Jika itu VM, Anda mungkin ingin mengambil snapshot terlebih dahulu.

Katherine Villyard
sumber
1

Ini sepenuhnya tergantung pada bisnis Anda dan kebijakan yang telah Anda tetapkan untuk memperbarui server Anda.

Paling tidak Anda harus menginstal pembaruan keamanan dan melakukan tambalan lain seperti .NET framework pembaruan dalam lingkungan pengujian terlebih dahulu sebelum memperbarui server produksi.

Vasili Syrakis
sumber
2
1.Terlalu lambat. Anda dikalahkan oleh dua jawaban lain yang lebih baik. 2.Tidak ada yang berdasarkan pendapat tentang apakah akan menginstal tambalan / pembaruan keamanan atau tidak. Satu-satunya skenario yang dapat saya bayangkan di mana Anda tidak ingin memasang tambalan adalah ketika Anda mencuri dari majikan Anda. 3."Manajemen tambalan" jelas merupakan topik Server Fault, meskipun mungkin juga dibicarakan di super User.
HopelessN00b
1
Jika saya tahu admin server saya menanyakan ini di SF saya akan takut untuk infrastruktur saya. Inti dari pertanyaan adalah "Apa yang harus saya lakukan?" bukan sesuatu yang mirip dengan "Bagaimana cara saya mengelola / mengotomatiskan / meningkatkan?" yang akan jatuh di bawah kategori manajemen tambalan dan sebagainya. Saya pikir tempat ini untuk para profesional, mungkin saya salah tentang itu. Sepertinya itu milik SU bagiku!
Vasili Syrakis
1
Penanya jelas cukup junior, karena dia mengajukan pertanyaan ini. Mereka membutuhkan bantuan; itu sebabnya situs ini ada. Kedua jawaban lainnya adalah "Ya, ini detail dan nuansa lebih lanjut."
mfinni
5
Saya akan lebih khawatir tentang admin server yang tidak bertanya dan tidak memperbarui selama setahun .
Michael Hampton
3
Pasti sesuatu yang harus diangkat; telah ada beberapa pembaruan keamanan yang cukup kritis dalam 12 bulan terakhir.
Vasili Syrakis