Haruskah kita menginstal pembaruan Keamanan Windows? [Tutup]

Saya baru saja RDP masuk ke salah satu server perusahaan saya, diberitahu untuk pembaruan windows, jadi saya klik. Kemudian saya melihat 62 pembaruan prioritas tinggi, dengan pembaruan terakhir (menurut riwayat pembaruan) diinstal pada Kamis, 16 Januari 2014, lebih dari satu tahun yang lalu.

Tindakan apa yang perlu diambil di sini?

Jawaban singkat - ya. Sebagian besar Pembaruan Windows terkait keamanan. Tidak memiliki tambalan berarti Anda rentan.

Jawaban yang lebih panjang - Anda memerlukan prosedur yang mencakup hal semacam ini. Ini lebih jarang akhir-akhir ini, tetapi kadang-kadang tambalan dapat merusak barang-barang, atau mengubah perilaku sedemikian rupa sehingga rusak sejauh menyangkut perusahaan Anda. Anda harus mengevaluasi setiap tambalan saat dirilis (ada jadwal bulanan ditambah yang mendesak), tentukan apakah Anda memerlukan tambalan (mungkin ya), lakukan pengujian pada server uji / pementasan untuk melakukan uji tuntas tentang kemungkinan kerusakan, dan kemudian lakukan menginstal.

Anda juga harus berhati-hati tentang penyebaran, karena patch OS sering berarti me-reboot, yang sering berarti ada downtime layanan, kecuali Anda memiliki HA yang baik untuk semua layanan Anda. Jika Anda berpikir Anda akan pintar dan menambal pada siang hari dan kemudian menunda reboot, itu bukan ide yang bagus - beberapa file akan diperbarui tetapi yang lain tidak.

Microsoft menawarkan produk gratis yang disebut WSUS yang dapat membuat manajemen tambalan sedikit lebih mudah daripada melakukan persetujuan dan penyebaran semuanya satu per satu.

FYI, Anda harus melakukan hal semacam ini untuk semua kelas perangkat yang Anda miliki. Firmware perangkat jaringan, firmware perangkat keras server, VMware ESXi, dll. Tambalan itu tidak keluar untuk bersenang-senang, hampir semuanya mengatasi bug, dan banyak di antaranya yang terkait keamanan.

Selanjutnya - Anda harus bertanya kepada seseorang yang lebih senior dari Anda di tim teknis Anda. Jika Anda adalah satu-satunya admin di sana, Anda dan organisasi Anda tidak bekerja dengan baik. Jangan tersinggung, kita semua harus mulai tanpa mengetahui semua yang seharusnya - tetapi jika ini adalah pertanyaan Anda, Anda seharusnya bukan satu-satunya orang yang mengelola server ini.

Jawaban umum adalah ini merupakan praktik yang baik untuk menjaga server Anda diperbarui .

Tetapi perhatikan beberapa hal:

1. Pembaruan dapat menyebabkan server menjadi lamban selama instalasi, atau bahkan menyebabkan beberapa downtime jika mereka memerlukan reboot. Anda harus merencanakan untuk melakukannya di luar jam kerja kantor.

2. Pembaruan memiliki beberapa risiko yang terkait. Mereka mungkin merusak server Anda, atau menyebabkan beberapa ketidakcocokan. Mereka biasanya sepenuhnya dapat dihapus, tetapi dengan 62 dari mereka Anda juga harus mempertimbangkan jika Anda memiliki cadangan yang dapat dipercaya (Anda harus, bagaimanapun juga).

3. Apakah ada alasan mengapa Anda terlambat upgrade satu tahun? Apakah ini login pertama Anda ke server itu dalam setahun, atau ada yang rusak?

4. Berikan perhatian khusus pada bug Excel yang terkenal yang datang dengan beberapa pembaruan Office Desember, jika perusahaan Anda menggunakan makro Excel, tetapi ini mungkin tidak berlaku untuk server yang seharusnya tidak menjalankan Office.

5. Banyak sysadmin menunggu beberapa hari atau minggu sebelum menginstal pembaruan, hanya untuk melihat apakah ada hal buruk yang muncul di Internet terkait pembaruan tersebut. Ketika memutuskan apakah Anda perlu menunggu, pertimbangkan risiko keamanan meninggalkan server tidak ditonton lebih lama.

Saya tahu mfinni mengalahkan saya, tetapi saya hanya akan memberi +1 untuk WSUS. Secara khusus:

Mari kita asumsikan bahwa Anda memiliki beberapa server, termasuk pengujian dan produksi. Mari kita juga berasumsi bahwa tes memiliki perangkat keras yang mirip dengan produksi (yang bukan asumsi yang aman, saya tahu, tapi mari kita ikuti saja - itu bagus tetapi tidak perlu). Anda bisa mengatur skenario berikut di WSUS:

1. Uji server di OU mereka sendiri. Kebijakan grup mengatakan untuk menginstal pembaruan dan reboot pada waktu yang tidak nyaman, seperti hari Minggu pukul 3 pagi.
2. Menghasilkan server di OU atau OU yang berbeda. Kebijakan grup mengatakan untuk mengunduh dan memberi tahu.
3. Tambalan disetujui, dan tenggat waktu untuk menginstal dan me-reboot server selama jendela pemeliharaan terjadwal Anda, beberapa hari atau seminggu setelah server pengujian / dev menerapkan tambalan.

Apa yang dilakukan, jika tidak jelas, apakah itu menyetujui semua tambalan kritis / keamanan untuk server Anda, menerapkannya untuk menguji terlebih dahulu, dan kemudian menerapkannya nanti untuk produksi. Saya hanya melihat pembaruan secara kritis memecahkan sesuatu sekali, tetapi ini akan memberi Anda kesempatan untuk memutar kembali tambalan jika gagal dalam pengujian sebelum berlaku untuk prod.

Adapun tumpukan besar pembaruan di server yang bersangkutan, menambal adalah risiko yang lebih rendah daripada tidak menambal, tetapi saya akan memverifikasi cadangan saya sebelum menerapkannya semua berjaga-jaga karena ada begitu banyak. Jika itu VM, Anda mungkin ingin mengambil snapshot terlebih dahulu.

Ini sepenuhnya tergantung pada bisnis Anda dan kebijakan yang telah Anda tetapkan untuk memperbarui server Anda.

Paling tidak Anda harus menginstal pembaruan keamanan dan melakukan tambalan lain seperti .NET framework pembaruan dalam lingkungan pengujian terlebih dahulu sebelum memperbarui server produksi.