自从在我现在工作的地方开始工作以来,我一直在与我的老板和同事在更新系统方面进行无休止的斗争。
我当然完全同意,任何更新(无论是固件、操作系统还是应用程序)都不应在发布后立即应用,但我也坚信,如果供应商发布它,至少应该有某种原因;最常见的原因通常是修复一些错误......这也许你现在没有遇到,但如果你不跟上,你可能很快就会遇到。
对于安全修复尤其如此;例如,如果有人只是简单地应用一个已经可用数月的补丁,那么臭名昭著的SQL Slammer蠕虫就会无害。
我完全赞成在部署更新之前测试和评估更新;但我强烈不同意“如果它没有坏就不要碰它”的系统管理方法,当我发现生产 Windows 2003 SP1 或 ESX 3.5 Update 2 系统时,它真的伤害了我,我能得到的唯一答案是“它正在起作用,我们不想破坏它”。
你怎么看待这件事?你的政策
是什么?如果您的公司政策与您的政策不符,您的公司政策
是什么?
固件更新(BIOS、存储等)呢?
主要的操作系统更新(服务包)呢?
较小的操作系统更新怎么样?
应用程序更新呢?
我的主要兴趣当然是更新服务器,因为客户端补丁管理通常更简单,并且有众所周知的工具和最佳实践来处理它。
Chr*_*rpe 10
在确定修补策略时,应平衡安全性和敏捷性与稳定性和正常运行时间。您对此的回推方法应该是“好吧,但您需要知道我们现在面临这些服务器受到威胁并导致我们的数据被盗或服务器无法运行的风险”和“好的,但您需要知道这会影响我们的供应商对该系统的支持,以及未来让该系统与新系统交互的能力”。
针对长期“不破产,不更新”的心态,您应该明确:
希望这会给你一些影响力,并祝你好运说服上述人士认真对待事情。与往常一样,建立一份书面记录,证明您已告知管理层他们所承担的风险。
| 归档时间: |
|
| 查看次数: |
1646 次 |
| 最近记录: |