Devrions-nous installer les mises à jour de sécurité de Windows? [fermé]

14

Je viens de RDP'd dans l'un des serveurs de mon entreprise, a été alerté des mises à jour de Windows, donc je clique. Ensuite, je vois 62 mises à jour de haute priorité, la dernière mise à jour (selon l'historique des mises à jour) ayant été installée le jeudi 16 janvier 2014, il y a plus d'un an.

Quelles actions doivent être entreprises ici?

windows-update OpenCoderX
la source
21
Considérez-vous chanceux que mfinni et d'autres y répondent. C'est comme si l'un de nous venait sur SO et demandait "quand j'écrirai du code, devrais-je le déboguer?"
TheCleaner
7
@TheCleaner La réponse à cette question est "après avoir vendu au client vos services de débogage de code".
HopelessN00b
8
@MonkeyZeus "si ce n'est pas cassé ..." dans ce cas, vous voulez dire "si ce n'est pas sécurisé, ne le sécurisez pas"?
5
"Si ce n'est pas cassé, ne le réparez pas" et "Si ce n'est pas sûr, ne le sécurisez pas" expriment des idées essentiellement opposées.
user2338816
7
@Lilienthal - "useful for many other developers"n'a aucune incidence sur ce site. Ce site n'est pas conçu comme un helpdesk pour les utilisateurs SO. Appelez ça cruel si vous voulez, je n'ai pas fait la portée du site.
TheCleaner

Réponses:

31

Réponse courte - oui. La plupart des mises à jour Windows sont liées à la sécurité. Ne pas avoir les correctifs signifie que vous êtes vulnérable.

Réponse plus longue - vous avez besoin d'une procédure qui couvre ce genre de chose. C'est plus rare de nos jours, mais parfois un patch peut casser des choses ou changer un comportement de telle sorte qu'il est cassé en ce qui concerne votre entreprise. Vous devriez évaluer chaque correctif lors de sa sortie (il y a un calendrier mensuel plus des urgents), déterminer si vous avez besoin du correctif (probablement oui), faire des tests sur les serveurs de test / de transfert pour faire preuve de diligence concernant les bris potentiels, puis faire les installations.

Vous devez également faire attention aux déploiements, car les correctifs du système d'exploitation signifient souvent un redémarrage, ce qui signifie souvent qu'il y a un temps d'arrêt du service, sauf si vous avez une bonne HA pour tous vos services. Si vous pensez que vous serez intelligent et corrigerez pendant la journée, puis reporterez le redémarrage, ce n'est pas une bonne idée - certains fichiers seront mis à jour mais d'autres pas.

Microsoft propose un produit gratuit appelé WSUS qui peut rendre la gestion des correctifs un peu plus facile que de faire les approbations et le déploiement un par un.

Pour info, vous devriez faire ce genre de chose pour toutes les classes d'appareils que vous avez. Micrologiciel de périphérique réseau, micrologiciel matériel de serveur, VMware ESXi, etc. Ces correctifs ne sortent pas pour le plaisir, presque tous corrigent des bogues et beaucoup d'entre eux peuvent être liés à la sécurité.

De plus - vous devriez demander à quelqu'un qui est plus âgé que vous dans votre équipe technique. Si vous êtes le seul administrateur là-bas, vous et votre organisation ne vous débrouillez pas trop bien. Ne prenez pas cela personnellement, nous devons tous commencer sans savoir tout ce que nous devrions - mais si telle est votre question, vous ne devriez pas être la seule personne à gérer ces serveurs.

mfinni
la source
14
Salaud à frappe rapide. >: /
HopelessN00b
1
Bébé jour de neige. Essayer d'obtenir un accès VPN au bureau.
mfinni
Je ne les gère pas, je suis un développeur d'applications qui avait besoin d'afficher certains journaux de l'observateur d'événements sur l'hôte, j'ai déjà remarqué des alertes de mise à jour auparavant, mais cette fois j'ai raté le petit «x» et j'ai cliqué sur la bulle, me menant à la page de résumé. Mon dilemme est maintenant de savoir quel type de drapeau dois-je lancer à la haute direction, car il me semble que le travail n'est tout simplement pas fait. Nous avons en fait WSUS. Jusqu'à aujourd'hui, je supposais que tout avis de mise à jour que je verrais serait pris en charge ce week-end.
OpenCoderX
Parlez immédiatement à la direction. Avez-vous des administrateurs système? Si vous le faites, ils pourraient ne pas faire leur travail, sauf si la politique de votre entreprise est de "ne pas installer les mises à jour". Si vous n'avez pas d'administrateur système, demandez à la direction d'en embaucher ou de la sous-traiter. Comme vous pouvez probablement le deviner, les développeurs n'ont pas les mêmes objectifs ou compétences que les administrateurs système et la plupart ne peuvent / ne devraient pas jouer les deux rôles.
mfinni
10
"My dilemma now is what sort of flag do I raise to senior management, because it appears to me that the work is simply not being done. "- pas de dilemme, vous dites à votre patron par e-mail ce que vous avez remarqué et ce qui vous inquiète. Il peut y avoir une raison légitime ou simplement de la paresse. Quoi qu'il en soit, ce n'est pas de votre faute si cela n'a pas été fait, mais vous devriez au moins exprimer votre inquiétude.
TheCleaner
18

La réponse générique est que c'est une bonne pratique de garder vos serveurs à jour .

Mais faites attention à quelques choses:

  1. Les mises à jour peuvent entraîner une lenteur du serveur lors de l'installation ou même provoquer des temps d'arrêt si elles nécessitent un ou des redémarrages. Vous devez prévoir de les faire en dehors des heures de travail.

  2. Les mises à jour comportent certains risques . Ils pourraient casser votre serveur ou provoquer une incompatibilité. Ils sont généralement entièrement désinstallables, mais avec 62 d'entre eux, vous devriez également considérer si vous avez une sauvegarde fiable (vous devriez, de toute façon).

  3. Y a-t-il une raison pour laquelle vous avez un an de retard sur les mises à niveau? S'agit-il de votre première connexion à ce serveur en un an, ou quelque chose d'autre est-il cassé?

  4. Portez une attention particulière au tristement célèbre bogue Excel fourni avec certaines mises à jour de décembre d'Office, si votre entreprise utilise des macros Excel, mais cela ne s'applique probablement pas à un serveur qui ne devrait pas exécuter Office.

  5. De nombreux administrateurs système attendent quelques jours ou quelques semaines avant d'installer les mises à jour, juste pour voir si quelque chose de mal se présente sur Internet concernant ces mises à jour. Lorsque vous décidez si vous devez attendre, tenez compte des risques de sécurité de laisser le serveur sans correctif pendant plus de temps.

pgr
la source
De quel «bug Excel infâme qui vient avec certaines mises à jour de décembre d'Office» parlez-vous?
Andrew Medico
«Pour certains utilisateurs, les contrôles de formulaire (FM20.dll) ne fonctionnent plus comme prévu après l'installation des mises à jour de sécurité Microsoft Office MS14-082 pour décembre 2014.» selon l'article de blog Technet blogs.technet.com/b/the_microsoft_excel_support_team_blog/…
Shiv
@Shiv: merci, j'ai modifié la réponse pour inclure votre lien.
pgr
@pgr, N'y a-t-il pas comme des tonnes de ces infâmes bogues?
Pacerier
@Pacerier: eheh, bien sûr. Habituellement, tout ce que vous avez à faire est d'annuler la mise à jour. Pas celui-ci. Les fichiers peuvent être "infectés" par le bogue, c'est-à-dire que quelqu'un les ouvre après la mauvaise mise à jour et soudain, le fichier cesse de fonctionner sur un autre ordinateur. Cela a été un vrai PITA pour celui-ci, et ce n'est pas encore fini. Notez que le problème est devenu si complexe (dans le pire des cas, lorsque le problème se déplace avec le fichier) que Microsoft y travaille TOUJOURS, et qu'une solution définitive doit encore être trouvée ... mais, bien sûr, chaque administrateur système le fera avoir sa propre histoire de cauchemar, c'est la mienne ... :-)
pgr
8

Je sais que mfinni m'a battu au poinçon, mais je vais juste +1 pour WSUS. Plus précisément:

Supposons que vous disposez de plusieurs serveurs, y compris les tests et la production. Supposons également que le test ait un matériel similaire à la production (ce qui n'est pas une hypothèse sûre, je sais, mais allons-y - c'est bien mais pas nécessaire). Vous pouvez configurer le scénario suivant dans WSUS:

  1. Testez les serveurs dans leur propre unité d'organisation. La stratégie de groupe indique d'installer les mises à jour et de redémarrer à une heure non gênante, comme le dimanche à 3 heures du matin.
  2. Serveurs Prod dans une ou plusieurs unités d'organisation différentes. La stratégie de groupe indique de télécharger et de notifier.
  3. Correctifs approuvés et échéance pour installer et redémarrer les serveurs pendant votre fenêtre de maintenance planifiée, plusieurs jours ou une semaine après que les serveurs test / dev ont appliqué les correctifs.

Ce que cela fait, si ce n'est pas évident, c'est qu'il approuve tous les correctifs critiques / de sécurité pour vos serveurs, les applique au test en premier, puis les applique plus tard à la production. Je n'ai vu qu'une mise à jour casser quelque chose de manière critique une fois, mais cela vous donnerait une chance de restaurer le patch s'il échoue au test avant de s'appliquer à prod.

En ce qui concerne le gros tas de mises à jour sur le serveur en question, l'application de correctifs est moins risquée que de ne pas appliquer de correctifs, mais je vérifierais mes sauvegardes avant de les appliquer toutes au cas où il y en aurait tellement. S'il s'agit d'une machine virtuelle, vous voudrez peut-être d'abord prendre un instantané.

Katherine Villyard
la source
1

Cela dépend entièrement de votre entreprise et de la politique que vous avez définie pour la mise à jour de vos serveurs.

À tout le moins, vous devez installer les mises à jour de sécurité et effectuer tout autre correctif comme les mises à jour du framework .NET dans un environnement de test avant de mettre à jour les serveurs de production.

Vasili Syrakis
la source
2
1.Trop lent. Vous avez été battu au poing par deux autres meilleures réponses. 2.Il n'y a rien d'opinion basée sur l'installation ou non des correctifs / mises à jour de sécurité. Le seul scénario que je puisse imaginer où vous ne voudriez pas installer de correctifs serait celui où vous volez votre employeur. 3.La «gestion des correctifs» est certainement un sujet de panne de serveur, bien qu'il puisse également être d'actualité chez super utilisateur.
HopelessN00b
1
Si je savais que mes administrateurs de serveur demandaient cela sur SF, je serais terrifié pour mon infrastructure. Le cœur de la question est "Que dois-je faire?" pas quelque chose qui ressemble à "Comment gérer / automatiser / améliorer?" qui relèverait de la catégorie de la gestion des correctifs et ainsi de suite. Je pensais que cet endroit était réservé aux professionnels, peut-être que je me trompe. On dirait que ça m'appartient à SU!
Vasili Syrakis
1
Le demandeur est clairement assez junior, car il / elle pose cette question. Ils ont besoin d'aide; c'est pourquoi ce site existe. Les deux autres réponses sont «Oui, voici plus de détails et de nuances».
mfinni
5
Je serais plus inquiet pour les administrateurs de serveur qui n'ont pas demandé et n'ont pas mis à jour pendant un an .
Michael Hampton
3
C'est certainement quelque chose qui devrait être soulevé; il y a eu des mises à jour de sécurité assez critiques au cours des 12 derniers mois.
Vasili Syrakis