Devrions-nous installer les mises à jour de sécurité de Windows? [fermé]

Je viens de RDP'd dans l'un des serveurs de mon entreprise, a été alerté des mises à jour de Windows, donc je clique. Ensuite, je vois 62 mises à jour de haute priorité, la dernière mise à jour (selon l'historique des mises à jour) ayant été installée le jeudi 16 janvier 2014, il y a plus d'un an.

Quelles actions doivent être entreprises ici?

Réponse courte - oui. La plupart des mises à jour Windows sont liées à la sécurité. Ne pas avoir les correctifs signifie que vous êtes vulnérable.

Réponse plus longue - vous avez besoin d'une procédure qui couvre ce genre de chose. C'est plus rare de nos jours, mais parfois un patch peut casser des choses ou changer un comportement de telle sorte qu'il est cassé en ce qui concerne votre entreprise. Vous devriez évaluer chaque correctif lors de sa sortie (il y a un calendrier mensuel plus des urgents), déterminer si vous avez besoin du correctif (probablement oui), faire des tests sur les serveurs de test / de transfert pour faire preuve de diligence concernant les bris potentiels, puis faire les installations.

Vous devez également faire attention aux déploiements, car les correctifs du système d'exploitation signifient souvent un redémarrage, ce qui signifie souvent qu'il y a un temps d'arrêt du service, sauf si vous avez une bonne HA pour tous vos services. Si vous pensez que vous serez intelligent et corrigerez pendant la journée, puis reporterez le redémarrage, ce n'est pas une bonne idée - certains fichiers seront mis à jour mais d'autres pas.

Microsoft propose un produit gratuit appelé WSUS qui peut rendre la gestion des correctifs un peu plus facile que de faire les approbations et le déploiement un par un.

Pour info, vous devriez faire ce genre de chose pour toutes les classes d'appareils que vous avez. Micrologiciel de périphérique réseau, micrologiciel matériel de serveur, VMware ESXi, etc. Ces correctifs ne sortent pas pour le plaisir, presque tous corrigent des bogues et beaucoup d'entre eux peuvent être liés à la sécurité.

De plus - vous devriez demander à quelqu'un qui est plus âgé que vous dans votre équipe technique. Si vous êtes le seul administrateur là-bas, vous et votre organisation ne vous débrouillez pas trop bien. Ne prenez pas cela personnellement, nous devons tous commencer sans savoir tout ce que nous devrions - mais si telle est votre question, vous ne devriez pas être la seule personne à gérer ces serveurs.

La réponse générique est que c'est une bonne pratique de garder vos serveurs à jour .

Mais faites attention à quelques choses:

1. Les mises à jour peuvent entraîner une lenteur du serveur lors de l'installation ou même provoquer des temps d'arrêt si elles nécessitent un ou des redémarrages. Vous devez prévoir de les faire en dehors des heures de travail.

2. Les mises à jour comportent certains risques . Ils pourraient casser votre serveur ou provoquer une incompatibilité. Ils sont généralement entièrement désinstallables, mais avec 62 d'entre eux, vous devriez également considérer si vous avez une sauvegarde fiable (vous devriez, de toute façon).

3. Y a-t-il une raison pour laquelle vous avez un an de retard sur les mises à niveau? S'agit-il de votre première connexion à ce serveur en un an, ou quelque chose d'autre est-il cassé?

4. Portez une attention particulière au tristement célèbre bogue Excel fourni avec certaines mises à jour de décembre d'Office, si votre entreprise utilise des macros Excel, mais cela ne s'applique probablement pas à un serveur qui ne devrait pas exécuter Office.

5. De nombreux administrateurs système attendent quelques jours ou quelques semaines avant d'installer les mises à jour, juste pour voir si quelque chose de mal se présente sur Internet concernant ces mises à jour. Lorsque vous décidez si vous devez attendre, tenez compte des risques de sécurité de laisser le serveur sans correctif pendant plus de temps.

Je sais que mfinni m'a battu au poinçon, mais je vais juste +1 pour WSUS. Plus précisément:

Supposons que vous disposez de plusieurs serveurs, y compris les tests et la production. Supposons également que le test ait un matériel similaire à la production (ce qui n'est pas une hypothèse sûre, je sais, mais allons-y - c'est bien mais pas nécessaire). Vous pouvez configurer le scénario suivant dans WSUS:

1. Testez les serveurs dans leur propre unité d'organisation. La stratégie de groupe indique d'installer les mises à jour et de redémarrer à une heure non gênante, comme le dimanche à 3 heures du matin.
2. Serveurs Prod dans une ou plusieurs unités d'organisation différentes. La stratégie de groupe indique de télécharger et de notifier.
3. Correctifs approuvés et échéance pour installer et redémarrer les serveurs pendant votre fenêtre de maintenance planifiée, plusieurs jours ou une semaine après que les serveurs test / dev ont appliqué les correctifs.

Ce que cela fait, si ce n'est pas évident, c'est qu'il approuve tous les correctifs critiques / de sécurité pour vos serveurs, les applique au test en premier, puis les applique plus tard à la production. Je n'ai vu qu'une mise à jour casser quelque chose de manière critique une fois, mais cela vous donnerait une chance de restaurer le patch s'il échoue au test avant de s'appliquer à prod.

En ce qui concerne le gros tas de mises à jour sur le serveur en question, l'application de correctifs est moins risquée que de ne pas appliquer de correctifs, mais je vérifierais mes sauvegardes avant de les appliquer toutes au cas où il y en aurait tellement. S'il s'agit d'une machine virtuelle, vous voudrez peut-être d'abord prendre un instantané.

Cela dépend entièrement de votre entreprise et de la politique que vous avez définie pour la mise à jour de vos serveurs.

À tout le moins, vous devez installer les mises à jour de sécurité et effectuer tout autre correctif comme les mises à jour du framework .NET dans un environnement de test avant de mettre à jour les serveurs de production.