我刚刚 RDP 进入我公司的一台服务器,收到 Windows 更新的警报,所以我点击了。然后我看到 62 个高优先级更新,最后一次更新(根据更新历史记录)安装于 2014 年 1 月 16 日星期四,一年多以前。
这里需要采取什么措施?
mfi*_*nni 31
简短的回答 - 是的。大多数 Windows 更新都与安全相关。没有补丁意味着你很脆弱。
更长的答案-您需要一个涵盖此类事情的程序。现在这种情况越来越少,但有时补丁可能会破坏某些东西,或者改变行为,以至于就您的公司而言,它已被破坏。您应该在每个补丁发布时对其进行评估(每个月的时间表加上一些紧急补丁),确定您是否需要该补丁(可能是),在测试/暂存服务器上进行一些测试以对潜在的破坏进行一些调查,然后执行安装。
您还应该注意部署,因为操作系统修补通常意味着重新启动,这通常意味着服务停机,除非您的所有服务都具有良好的 HA。如果您认为自己会聪明地在白天打补丁,然后推迟重启,这不是一个好主意 - 一些文件会更新,但其他文件不会。
Microsoft 提供了一种名为 WSUS 的免费产品,它可以使补丁管理比逐一审批和部署更容易一些。
仅供参考,您应该为您拥有的所有类别的设备执行此类操作。网络设备固件、服务器硬件固件、VMware ESXi 等。这些补丁并不是为了好玩而出现的,它们几乎都解决了错误,其中许多可能与安全相关。
此外 - 您应该询问技术团队中比您更高级的人。如果您是那里唯一的管理员,那么您和您的组织就做得不太好。不要把这一点放在个人身上,我们都需要在不知道我们应该知道的一切的情况下开始 - 但如果这是您的问题,那么您不应该是管理这些服务器的唯一人。
pgr*_*pgr 18
一般的答案是保持服务器更新是一个很好的做法。
但要注意以下几点:
更新可能会导致服务器在安装过程中运行缓慢,或者如果需要重新启动甚至会导致一些停机时间。你应该计划在办公室工作时间之外做这些事情。
更新有一些相关的风险。它们可能会破坏您的服务器,或导致某些不兼容。它们通常是完全可以卸载的,但是对于其中的 62 个,您还应该考虑是否有值得信赖的备份(无论如何您应该这样做)。
您是否有任何原因导致升级晚了一年?这是您一年内第一次登录该服务器,还是其他问题?
如果您的公司使用 Excel 宏,请特别注意Office 12 月更新带来的臭名昭著的 Excel 错误,但这可能不适用于不应运行 Office 的服务器。
许多系统管理员在安装更新之前等待几天或几周,只是想看看 Internet 上是否会出现与这些更新有关的任何错误。在决定是否需要等待时,请考虑让服务器长时间不打补丁的安全风险。
我知道 mfinni 击败了我,但我只想为 WSUS +1。具体来说:
假设您有多个服务器,包括测试和生产。我们还假设测试具有与生产类似的硬件(我知道这不是一个安全的假设,但让我们继续——这很好但不是必需的)。您可以在 WSUS 中设置以下场景:
如果它不明显,它的作用是批准您服务器的所有关键/安全补丁,首先将它们应用于测试,然后将它们应用于生产。我只见过一次更新严重破坏了某些东西,但是如果它在应用于 prod 之前在测试中失败,这将使您有机会回滚补丁。
至于有问题的服务器上的大量更新,打补丁的风险比不打补丁的风险低,但我会在应用所有备份之前验证我的备份,以防万一,因为有太多。如果是虚拟机,您可能需要先拍摄快照。
| 归档时间: |
|
| 查看次数: |
8628 次 |
| 最近记录: |