我只是RDP到我的公司服务器之一,被警告Windows更新,所以我点击。 然后我看到62个高优先级更新,最近一次更新(根据更新历史logging)在2014年1月16日星期四安装了一年多。
这里需要采取什么行动?
简短的回答 – 是的。 大部分的Windows更新都是与安全相关的。 没有补丁意味着你很脆弱。
较长的答案 – 你需要一个涵盖这种事情的程序。 现在这种情况更为罕见,但是有时候一个补丁可能会破坏事情,或者改变行为的方式,以至于公司所担心的情况都会被破坏。 您应该在每个补丁发布时(每个补丁都有一个紧急补丁)进行评估,确定是否需要该补丁(可能是),在testing/临时服务器上进行一些testing以对潜在破坏情况进行一些努力,然后执行安装。
您还应该对部署进行一些关注,因为操作系统补丁通常意味着重新启动,这往往意味着服务停机,除非您已经为您的所有服务获得了一些良好的HA。 如果你认为自己在白天会变得聪明和补丁,然后推迟重启,这不是一个好主意 – 有些文件会被更新,但有些则不会。
微软提供了一个名为WSUS的免费产品,可以使补丁pipe理比逐个审批和部署更容易一些。
仅供参考,你应该为所有types的设备做这样的事情。 networking设备固件,服务器硬件固件,VMware ESXi等等。这些补丁程序并不是为了它的乐趣,几乎所有补丁都会解决错误,其中许多补丁可能与安全性有关。
此外,你应该问技术团队中比你更高的人。 如果你是唯一的pipe理员,那么你和你的组织就不太好。 不要个人承担,我们都需要在不知情的情况下开始 – 但如果这是您的问题,您不应该成为pipe理这些服务器的唯一人员。
通用的答案是保持您的服务器更新是一个很好的做法 。
但要注意几件事情:
更新可能会导致服务器在安装过程中不稳定,甚至在需要重新引导时会导致停机。 你应该计划在办公室工作时间之外做这些事情。
更新有一些相关的风险 。 他们可能会破坏您的服务器,或导致一些不兼容。 他们通常是完全可以卸载的,但是其中62个你也应该考虑是否有一个值得信赖的备份(无论如何你应该)。
你有升级一年的原因吗? 这是你第一次login到该服务器在一年,或者是别的东西坏了?
如果您的公司使用Excelmacros,请特别注意Office的某些12月份更新附带的臭名昭着的Excel错误 ,但这可能不适用于不应运行Office的服务器。
许多系统pipe理员在安装更新之前等待几天或几个星期,只是为了查看互联网上是否有任何不良情况发生。 在决定是否需要等待时,请考虑将服务器留出未安装时间的安全风险。
我知道mfinni击败了我,但我只是要为WSUS +1。 特别:
假设您有多个服务器,包括testing和生产。 我们还假定testing具有类似于硬件的生产(这不是一个安全的假设,我知道,但是让我们一起去吧 – 这很好,但没有必要)。 您可以在WSUS中设置以下scheme:
如果它不明显,它会批准服务器的所有关键/安全修补程序,首先将其应用于testing,然后再将其应用于生产。 我只看到一次更新会严重破坏一次,但如果它在应用于产品之前在testing中失败,这将使您有机会回滚该补丁。
至于服务器上的大量更新,打补丁的风险比不打补丁的要低,但是为了以防万一,为了以防万一,为了以防万一,我将在validation备份前进行validation。 如果是虚拟机,则可能需要先创build一个快照。
这完全取决于您的业务以及您为更新服务器而制定的策略。
在更新生产服务器之前,至less应该安装安全更新并在testing环境中执行任何其他修补程序(如.NET框架更新)。