¿Deberíamos instalar las actualizaciones de seguridad de Windows? [cerrado]

14

Acabo de ingresar a RDP en uno de los servidores de mi empresa, recibí alertas de actualizaciones de Windows, así que hago clic. Luego veo 62 actualizaciones de alta prioridad, con la última actualización (según el historial de actualizaciones) instalada el jueves 16 de enero de 2014, hace más de un año.

¿Qué acciones hay que tomar aquí?

OpenCoderX
fuente
21
Considérese afortunado de que Mfinni y otros realmente estén respondiendo esto. Es similar a que uno de nosotros venga a SO y pregunte "cuando escriba el código, ¿debería depurarlo?"
TheCleaner
77
@TheCleaner La respuesta a esa pregunta es "después de que usted venda al cliente en sus servicios de depuración de código".
HopelessN00b
8
@MonkeyZeus "si no está roto ..." en este caso, quiere decir "si no es seguro, no lo asegure"?
55
"Si no está roto, no lo arregles" y "Si no es seguro, no lo asegures" expresan ideas esencialmente opuestas.
user2338816
77
@Lilienthal: "useful for many other developers"no tiene relación con este sitio. Este sitio no está diseñado como un servicio de asistencia para usuarios de SO. Llámalo cruel si quieres, no hice el alcance del sitio.
TheCleaner

Respuestas:

31

Respuesta corta: sí. La mayoría de las actualizaciones de Windows están relacionadas con la seguridad. No tener los parches significa que eres vulnerable.

Respuesta más larga: necesita un procedimiento que cubra este tipo de cosas. Es más raro en estos días, pero a veces un parche puede romper cosas o cambiar el comportamiento de tal manera que se rompa en lo que respecta a su empresa. Debería evaluar cada parche cuando se lance (hay un cronograma mensual más algunos urgentes), determinar si necesita el parche (probablemente sí), hacer algunas pruebas en los servidores de prueba / preparación para hacer algo de diligencia sobre posibles roturas y luego Las instalaciones.

También debe tener cuidado con las implementaciones, ya que el parcheo del sistema operativo a menudo significa reiniciar, lo que a menudo significa que hay tiempo de inactividad del servicio, a menos que tenga un buen HA para todos sus servicios. Si cree que será inteligente y parcheará durante el día y luego pospondrá el reinicio, no es una gran idea: algunos archivos se actualizarán pero otros no.

Microsoft ofrece un producto gratuito llamado WSUS que puede hacer que la administración de parches sea un poco más fácil que hacer las aprobaciones y la implementación, una por una.

FYI, deberías estar haciendo este tipo de cosas para todas las clases de dispositivos que tienes. El firmware del dispositivo de red, el firmware del hardware del servidor, VMware ESXi, etc. Esos parches no salen por diversión, casi todos corrigen errores, y muchos de ellos pueden estar relacionados con la seguridad.

Además, debe preguntarle a alguien que es más importante que usted en su equipo técnico. Si usted es el único administrador allí, usted y su organización no lo están haciendo muy bien. No lo tome como algo personal, todos debemos comenzar sin saber todo lo que deberíamos, pero si esta es su pregunta, no debería ser la única persona que administra estos servidores.

mfinni
fuente
14
Bastardo de escritura rápida. >: /
HopelessN00b
1
Día de nieve bebé. Intentando obtener acceso VPN a la oficina.
mfinni
No los estoy administrando, soy un desarrollador de aplicaciones que necesitó ver algunos registros del visor de eventos en el host, de hecho, he notado alertas de actualización antes, pero esta vez me perdí la pequeña 'x' e hice clic en la burbuja, llevándome a la página de resumen. Mi dilema ahora es qué tipo de bandera levanto a la alta gerencia, porque me parece que el trabajo simplemente no se está haciendo. En realidad tenemos WSUS. Hasta hoy, simplemente asumí que cualquier aviso de actualización que vi se encargaría de ese fin de semana.
OpenCoderX
Hable con la gerencia de inmediato. ¿Tienes administradores de sistemas? Si lo hace, es posible que no estén haciendo su trabajo, a menos que la política de su empresa sea "no instalar actualizaciones". Si no tiene administradores de sistemas, solicite a la gerencia que contrate a algunos o que los contrate. Como probablemente pueda adivinar, los desarrolladores no tienen los mismos objetivos o conjuntos de habilidades que los administradores de sistemas y la mayoría no puede / no debe desempeñar ambos roles.
mfinni
10
"My dilemma now is what sort of flag do I raise to senior management, because it appears to me that the work is simply not being done. "- Sin dilema, le dices a tu jefe por correo electrónico lo que notaste y te preocupa. Puede haber una razón legítima, o simplemente puede ser pereza. De cualquier manera, no es tu culpa que no se haya hecho, pero al menos debes expresar tu preocupación.
TheCleaner
18

La respuesta genérica es que es una buena práctica mantener actualizados sus servidores .

Pero presta atención a algunas cosas:

  1. Las actualizaciones pueden hacer que el servidor sea lento durante la instalación, o incluso causar algún tiempo de inactividad si requieren reinicio (s). Debe planear hacerlos fuera del horario de oficina.

  2. Las actualizaciones tienen algún riesgo asociado. Pueden romper su servidor o causar alguna incompatibilidad. Por lo general, son completamente desinstalables, pero con 62 de ellos también debe considerar si tiene una copia de seguridad confiable (de todos modos, debería hacerlo).

  3. ¿Hay alguna razón por la que lleves un año tarde en las actualizaciones? ¿Es este su primer inicio de sesión en ese servidor en un año, o hay algo más roto?

  4. Preste especial atención al infame error de Excel que viene con algunas actualizaciones de Office de diciembre, si su empresa usa macros de Excel, pero esto probablemente no se aplica a un servidor que no debería estar ejecutando Office.

  5. Muchos administradores de sistemas esperan unos días o semanas antes de instalar actualizaciones, solo para ver si surge algo malo en Internet con respecto a esas actualizaciones. Cuando decida si necesita esperar, considere los riesgos de seguridad de dejar el servidor sin parchear por más tiempo.

pgr
fuente
¿De qué "infame error de Excel que viene con algunas actualizaciones de Office de diciembre" estás hablando?
Andrew Medico
"Para algunos usuarios, los controles de formulario (FM20.dll) ya no funcionan como se esperaba después de instalar las actualizaciones de seguridad de Microsoft Office MS14-082 para diciembre de 2014". según la publicación de blog de Technet blogs.technet.com/b/the_microsoft_excel_support_team_blog/…
Shiv
@ Shiv: gracias, edité la respuesta para incluir su enlace.
pgr
@pgr, ¿no hay toneladas de estos errores infames?
Pacerier
@Pacerier: eheh, claro. Por lo general, todo lo que tiene que hacer es revertir la actualización. Este no. Los archivos pueden "infectarse" con el error, es decir, alguien los abre después de una mala actualización, y de repente el archivo deja de funcionar en una computadora diferente. Ha sido un verdadero PITA lidiar con este, y aún no ha terminado. Tenga en cuenta que el problema se ha vuelto tan complejo (en el peor de los casos, cuando el problema viaja con el archivo) que Microsoft TODAVÍA está trabajando en él, y aún debe lograrse una solución definitiva ... pero, por supuesto, cada administrador de sistemas lo hará tiene su propia historia de pesadilla, esta es mía ... :-)
pgr
8

Sé que Mfinni me ganó el golpe, pero solo voy a +1 para WSUS. Específicamente:

Supongamos que tiene varios servidores, incluidas las pruebas y la producción. Supongamos también que la prueba tiene un hardware similar a la producción (lo cual no es una suposición segura, lo sé, pero sigamos adelante, es bueno, pero no es necesario). Puede configurar el siguiente escenario en WSUS:

  1. Pruebe los servidores en su propia unidad organizativa. La política de grupo dice instalar actualizaciones y reiniciar en algún momento no inconveniente, como el domingo a las 3 a.m.
  2. Servidores de producción en una unidad organizativa u unidades organizativas diferentes. La política del grupo dice descargar y notificar.
  3. Parches aprobados y con fecha límite para instalar y reiniciar los servidores durante la ventana de mantenimiento programado, varios días o una semana después de que los servidores de prueba / desarrollo apliquen parches.

Lo que esto hace, si no es obvio, es que aprueba todos los parches críticos / de seguridad para sus servidores, los aplica para probar primero y luego los aplica después a la producción. Solo he visto una actualización que rompe críticamente algo una vez, pero esto le daría la oportunidad de revertir el parche si falla en la prueba antes de que se aplique a la producción.

En cuanto a la gran cantidad de actualizaciones en el servidor en cuestión, parchear es un riesgo menor que no parchear, pero verificaría mis copias de seguridad antes de aplicarlas todas por si acaso porque hay muchas. Si se trata de una máquina virtual, es posible que primero desee tomar una instantánea.

Katherine Villyard
fuente
1

Esto depende totalmente de su negocio y la política que ha establecido para actualizar sus servidores.

Como mínimo, debe instalar actualizaciones de seguridad y realizar cualquier otro parche como las actualizaciones de .NET Framework en un entorno de prueba antes de actualizar los servidores de producción.

Vasili Syrakis
fuente
2
1.Demasiado lento. Otros dos mejores respuestas te dieron una paliza. 2.No hay nada basado en la opinión sobre si instalar parches / actualizaciones de seguridad o no. El único escenario que puedo imaginar en el que no querrías instalar parches sería uno en el que le estás robando a tu empleador. 3."La administración de parches" es definitivamente un tema de Falla del servidor, aunque también podría ser de actualidad en superusuario.
HopelessN00b
1
Si supiera que los administradores de mi servidor preguntaban esto en SF, me aterrorizaría mi infraestructura. El núcleo de la pregunta es "¿Qué debo hacer?" no es algo parecido a "¿Cómo administro / automatizo / mejoro?" que entraría en la categoría de gestión de parches, etc. Pensé que este lugar era para profesionales, tal vez me equivoque al respecto. ¡Parece que me pertenece en SU!
Vasili Syrakis
1
El autor de la pregunta es claramente bastante menor, porque él / ella está haciendo esta pregunta. Ellos necesitan ayuda; Por eso existe este sitio. Las otras dos respuestas son "Sí, aquí hay más detalles y matices".
mfinni
55
Estaría más preocupado por los administradores del servidor que no preguntaron y no actualizaron durante un año .
Michael Hampton
3
Definitivamente es algo que debería plantearse; Ha habido algunas actualizaciones de seguridad bastante críticas en los últimos 12 meses.
Vasili Syrakis