题 我们应该安装Windows安全更新吗? [关闭]


我只是RDP进入我的公司服务器之一,被提醒Windows更新,所以我点击。 然后我看到62个高优先级更新,最后一次更新(根据更新历史记录)安装于2014年1月16日星期四,超过一年前。

需要采取什么行动?


14
2018-02-09 14:53




认为自己很幸运,mfinni和其他人实际上正在回答这个问题。这类似于我们中的一个人来到SO并询问“我何时编写代码应该调试它?” - TheCleaner
@TheCleaner这个问题的答案是“在你向代理调试服务销售客户之后”。 - HopelessN00b
@MonkeyZeus“如果没有破坏......”在这种情况下,你的意思是“如果它不安全,不要保护它”?
“如果没有破产,就不要修理它”和“如果不安全,就不要保护它”,表达基本相反的想法。 - user2338816
@Lilienthal - "useful for many other developers" 与此网站无关。此网站不是SO用户的帮助台。如果你愿意,可以称之为残酷,我没有制作网站的范围。 - TheCleaner


答案:


简短的回答 - 是的。大多数Windows更新都与安全性有关。没有补丁意味着你很脆弱。

更长的答案 - 你需要一个涵盖这类事情的程序。现在这种情况更为罕见,但有时补丁可以破坏事物,或改变行为,使其在公司方面受到破坏。您应该在每个补丁发布时对其进行评估(每月都有一个时间表加上一些紧急补丁),确定是否需要补丁(可能是的),对测试/登台服务器进行一些测试以对潜在的破坏做一些努力,然后做安装。

您还应该对部署进行一些关注,因为操作系统修补通常意味着重新启动,这通常意味着服务停机,除非您为所有服务获得了一些良好的HA。如果你认为你在白天聪明和补丁然后推迟重启,这不是一个好主意 - 一些文件将被更新,但其他文件将不会。

Microsoft提供了一个名为WSUS的免费产品,它可以使补丁管理比逐个批准和部署更容易。

仅供参考,您应该为所有类型的设备做这类事情。网络设备固件,服务器硬件固件,VMware ESXi等。这些补丁并不是为了它的乐趣,几乎所有补丁都可以解决错误,其中许多都与安全相关。

此外 - 你应该问技术团队中比你更高级的人。如果您是唯一的管理员,那么您和您的组织的表现并不是很好。不要个人接受,我们都需要在不知道我们应该知道的一切的情况下开始 - 但如果这是你的问题,那么你不应该是管理这些服务器的唯一人。


30
2018-02-09 14:59



快速打字的混蛋。 >:/ - HopelessN00b
雪天宝宝。试图让VPN进入办公室。 - mfinni
我不是在管理它们,我是一个应用程序开发人员,他碰巧需要在主机上查看一些事件查看器日志,我之前已经注意到了更新警报,但这次我错过了小'x'并点击了泡泡,引导我进入摘要页面。我现在面临的困境是,我向高级管理层提出了什么样的旗帜,因为在我看来,这项工作根本就没有完成。我们实际上有WSUS。直到今天,我才假设我看到的任何更新通知都会在那个周末得到照顾。 - shadowadmin
立即与管理层沟通。你有系统管理员吗?如果你这样做,那么他们可能没有做好自己的工作,除非你的公司政策是“不安装更新”。如果您没有系统管理员,请让管理层雇用一些或将其签订合同。正如您可能猜到的那样,开发人员没有与系统管理员相同的目标或技能组合,大多数人不能/不应该同时扮演这两个角色。 - mfinni
"My dilemma now is what sort of flag do I raise to senior management, because it appears to me that the work is simply not being done. "  - 没有进退两难,你通过电子邮件告诉你的老板你注意到了什么,并担心。可能存在合理的原因,或者可能只是懒惰。无论哪种方式,这都不是你的错,但是你至少应该表达你的意见。 - TheCleaner


通用的答案是 保持服务器更新是一种很好的做法

但要注意以下几点:

  1. 更新可能会导致服务器在安装过程中出现缓慢,或者如果需要重新启动,甚至会导致停机。你应该 计划 在办公时间以外完成这些工作。

  2. 更新有 一些风险 相关。它们可能会破坏您的服务器,或导致某些不兼容性。它们通常是完全可卸载的,但是其中有62个你还应该考虑你是否有值得信赖的备份(无论如何你应该)。

  3. 您有升级后一年的原因吗?这是您在一年内首次登录该服务器,还是其他原因被破坏了?

  4. 特别注意 臭名昭着的Excel错误 如果您的公司使用Excel宏,那么Office会在12月更新一次,但这可能不适用于不应运行Office的服务器。

  5. 许多系统管理员在安装更新之前等待几天或几周,只是为了查看互联网上是否有关于这些更新的不良内容。在决定是否需要等待时,请考虑使服务器未修补的安全风险更长时间。


18
2018-02-09 15:01



你在谈论什么“一些12月的Office更新带来的臭名昭着的Excel错误”? - Andrew Medico
“对于某些用户,在2014年12月安装MS14-082 Microsoft Office安全更新后,表单控件(FM20.dll)不再按预期工作。”根据Technet博客文章 blogs.technet.com/b/the_microsoft_excel_support_team_blog/... - Shiv
@Shiv:谢谢,我编辑了答案,包括你的链接。 - pgr
@pgr,不是那样的 吨 这些臭名昭着的错误? - Pacerier
@Pacerier:嗯,当然。通常,您只需回滚更新即可。不是这个。文件可能会被错误“感染”,即有人在更新错误后打开它们,突然文件停止在另一台计算机上运行。这是一个真正的PITA处理这个,它还没有结束。请注意,问题已经变得非常复杂(对于最糟糕的情况,当问题随文件传播时),Microsoft仍在继续处理它,并且仍然需要一个明确的解决方案......但是,当然,每个系统管理员都会有他自己的噩梦故事,这是我的... :-) - pgr


我知道mfinni打败了我,但我只是为了WSUS +1。特别:

假设您有多个服务器,包括测试和生产。我们还假设测试具有与生产类似的硬件(这不是一个安全的假设,我知道,但让我们继续它 - 它很好但不是必需的)。您可以在WSUS中设置以下方案:

  1. 在自己的OU中测试服务器。组策略表示安装更新并在非常不方便的时间重新启动,例如周日凌晨3点。
  2. 在不同的OU或OU中生成服务器。组策略说要下载并通知。
  3. 在测试/ dev服务器应用补丁后的几天或一周内,修补程序已批准,并且在您的计划维护时段内安装和重新启动服务器。

这样做,如果不明显,它是否批准您的服务器的所有关键/安全补丁,首先应用它们进行测试,然后将它们应用于生产。我只看到一次更新严重破坏了一次,但如果它在适用于prod之前在测试中失败,这将使你有机会回滚补丁。

至于有问题的服务器上的大量更新,修补比不修补更低的风险,但我会在应用它们之前验证我的备份以防万一因为有这么多。如果是VM,您可能需要先拍摄快照。


8
2018-02-10 15:17





这完全取决于您的业务以及您为更新服务器而制定的策略。

在更新生产服务器之前,您至少应首先安装安全更新并在测试环境中执行.NET框架更新等任何其他修补程序。


1
2018-02-09 15:01



1. 太慢了。你得到了另外两个更好的答案。 2. 关于是否安装补丁/安全更新没有任何意见。我可以设想的唯一一个你不想安装补丁的场景就是你从雇主那里偷东西。 3. “补丁管理”绝对是服务器故障主题,尽管它也可能是超级用户的主题。 - HopelessN00b
如果我知道我的服务器管理员在SF上问这个问题我会害怕我的基础设施。问题的核心是“我该怎么办?”不是类似于“我如何管理/自动化/改进?”这将属于补丁管理等类别。我认为这个地方适合专业人士,也许我错了。看起来它属于SU给我! - Vasili Syrakis
提问者显然相当年轻,因为他/她在问这个问题。他们需要帮助;这就是这个网站存在的原因。其他答案都是“是的,这里有更多细节和细微差别。” - mfinni
我会更担心服务器管理员 没问 和 没有更新一年。 - Michael Hampton♦
这肯定是应该提出的;在过去的12个月里,有一些相当关键的安全更新。 - Vasili Syrakis