Windowsセキュリティ更新プログラムをインストールする必要がありますか？[閉まっている]

14

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。

この質問を改善したいですか？ 質問を更新することがありますので、話題のサーバー障害のため。

4年前に閉鎖されました。

会社のサーバーの1つにRDPしただけで、Windowsの更新が通知されたので、クリックします。その後、62件の優先度の高い更新プログラムが表示され、最後の更新プログラム（更新履歴による）が1年以上前の2014年1月16日木曜日にインストールされました。

ここで何をする必要がありますか？

windows-update

— OpenCoderX
ソース

21

mfinniや他の人が実際にこれに答えていることを幸運に思う。SOに来て、「コードを書くときはデバッグすべきですか？」と尋ねるのと似ています。

— TheCleaner

7

@TheCleanerその質問に対する答えは、「コードデバッグサービスで顧客をアップセルした後」です。

— HopelessN00b

8

@MonkeyZeus「壊れていない場合...」この場合、「安全でない場合は、安全ではない」という意味ですか？

5

「壊れていない場合は修正しないでください」と「安全でない場合はセキュリティで保護しないでください」は本質的に反対の考えを表しています。

— user2338816

7

@Lilienthal- "useful for many other developers"このサイトには関係ありません。このサイトは、SOユーザー向けのヘルプデスクとしては設計されていません。あなたが望むならそれを残酷と呼ぶ、私はサイトの範囲を作りませんでした。

— TheCleaner

31

短い答え-はい。ほとんどのWindows Updateはセキュリティに関連しています。パッチがないということは、脆弱であることを意味します。

より長い答え-この種のことをカバーする手順が必要です。最近ではまれになっていますが、パッチが原因で問題が発生したり、会社が関係する限り動作が変更されたりすることがあります。リリースされた各パッチを評価し（毎月のスケジュールといくつかの緊急のものがある）、パッチが必要かどうかを判断し（おそらくはい）、テスト/ステージングサーバーでテストを行って、破損の可能性についてある程度の注意を払ってから、インストールします。

また、すべてのサービスに適切なHAがなければ、OSのパッチは再起動を意味することが多く、多くの場合、サービスのダウンタイムがあることを意味するため、展開についても注意を払う必要があります。あなたが日中に賢くてパッチを適用し、その後再起動を延期すると思うなら、それは素晴らしいアイデアではありません-一部のファイルは更新されますが、他のファイルは更新されません。

マイクロソフトは、WSUSと呼ばれる無料の製品を提供しています。この製品を使用すると、承認と展開を1つずつ行うよりもパッチ管理が少し簡単になります。

参考までに、お持ちのすべてのクラスのデバイスに対してこのようなことを行う必要があります。ネットワークデバイスファームウェア、サーバーハードウェアファームウェア、VMware ESXiなど。これらのパッチは面白くないため、ほとんどすべてがバグに対処しており、その多くはセキュリティに関連している可能性があります。

さらに-あなたはあなたの技術チームであなたよりも年上の人に尋ねるべきです。あなたが唯一の管理者である場合、あなたとあなたの組織はあまりうまくいっていません。個人的にそれを受け取らないでください、私たちは私たちがすべきことをすべて知らずに開始する必要があります-しかし、これがあなたの質問であれば、これらのサーバーを管理する唯一の人であってはなりません。

— ムフィニ
ソース

14

速くタイプするろくでなし。>：/

— HopelessN00b

1

雪の日の赤ちゃん。VPNアクセスをオフィスに取得しようとしています。

— mfinni

私はそれらを管理していません。ホストでイベントビューアーのログを表示する必要があったアプリ開発者です。以前に更新アラートに実際に気づきましたが、今回は小さな「x」を逃してバブルをクリックしました。概要ページに移動します。私のジレンマは、仕事が単に行われていないように見えるため、上級管理職にどのような旗を掲げるかです。実際にWSUSがあります。今日まで、私は見たアップデート通知がその週末の面倒を見ると思っていた。

— OpenCoderX

すぐに経営陣に相談してください。システム管理者はいますか？そうした場合、会社のポリシーが「更新プログラムをインストールしない」でない限り、彼らは仕事をしていない可能性があります。システム管理者がいない場合は、管理者に雇用してもらうか、契約してもらいます。おそらく推測できるように、開発者はシステム管理者と同じ目標やスキルセットを持っていないため、ほとんどの人が両方の役割を果たすことはできません/すべきではありません。

— mfinni

10

"My dilemma now is what sort of flag do I raise to senior management, because it appears to me that the work is simply not being done. "

-ジレンマはありません。気づいたことや懸念していることをメールで上司に伝えます。正当な理由がある場合もあれば、単に怠である場合もあります。いずれにせよ、それはあなたのせいではないのですが、少なくとも懸念を表明する必要があります。

— TheCleaner

18

一般的な答えは、サーバーを常に最新の状態に保つことです。

ただし、いくつかのことに注意してください。

更新により、インストール中にサーバーの動作が遅くなったり、再起動が必要な場合はダウンタイムが発生したりする場合があります。勤務時間外にそれらを行うことを計画する必要があります。
更新にはリスクが伴います。サーバーが破損したり、非互換性が生じる可能性があります。通常、これらは完全にアンインストールできますが、そのうち62を使用して、信頼できるバックアップがあるかどうかを検討する必要があります（とにかくすべきです）。
アップグレードに1年遅れる理由はありますか？これは1年でそのサーバーに初めてログインしたのですか、それとも他の何かが壊れていますか？
会社がExcelマクロを使用している場合、Officeの12月の更新に伴う悪名高いExcelのバグに特に注意してください。ただし、Officeを実行してはならないサーバーにはおそらく適用されません。
多くのシステム管理者は、更新をインストールする前に数日または数週間待機し、それらの更新に関してインターネット上で何か悪いことが起こるかどうかを確認します。待機する必要があるかどうかを判断するときは、サーバーにパッチを適用しないままにしておくことのセキュリティ上のリスクを考慮してください。

— PGR
ソース

「Officeの12月の更新プログラムに付属するExcelの悪名高いバグ」とは何ですか？

— アンドリューメディコ

「一部のユーザーでは、2014年12月のMS14-082 Microsoft Officeセキュリティアップデートをインストールした後、フォームコントロール（FM20.dll）が期待どおりに動作しなくなりました。」Technetのブログ投稿blogs.technet.com/b/the_microsoft_excel_support_team_blog/によると…

— Shiv

@Shiv：ありがとう、リンクを含めるように回答を編集しました。

— pgr

@pgr、これらの悪名高いバグはたくさんありませんか？

— Pacerier

@Pacerier：ええ、確かに。通常、あなたがしなければならないのは、更新をロールバックすることです。これじゃない。ファイルはバグで「感染」する可能性があります。つまり、不正な更新後に誰かがそれらを開くと、突然、ファイルが別のコンピューターで動作しなくなります。これは、これを扱う本当のPITAであり、まだ終わっていません。問題が非常に複雑になっていることに注意してください（最悪の場合、問題がファイルに付随する場合）。Microsoftはまだ作業中です。彼自身の悪夢のような物語があります、これは私のものです... :

— pgr

8

mfinniが私を打ち負かしたことは知っていますが、WSUSで+1するだけです。具体的には：

テストと実稼働を含む複数のサーバーがあると仮定しましょう。また、テストには実稼働環境と同様のハードウェアがあると仮定します（これは安全な仮定ではありませんが、それでいいのですが、必要ではありません）。WSUSで次のシナリオを設定できます。

独自のOUでサーバーをテストします。グループポリシーでは、日曜日の午前3時など、都合の悪い時間に更新プログラムをインストールして再起動するように指示されています。
異なるOUのProdサーバー。グループポリシーは、ダウンロードして通知するように指示しています。
test / devサーバーがパッチを適用してから数日または1週間後の、スケジュールされたメンテナンス期間中にサーバーをインストールして再起動するパッチが承認され、期限が切れました。

明らかでない場合、これが行うことは、サーバーのすべての重要/セキュリティパッチを承認し、最初にテストに適用し、その後本番に適用することです。更新プログラムが致命的に何かを壊すのを一度だけ見たことがありますが、これはprodに適用される前にテストで失敗した場合にパッチをロールバックする機会を与えてくれます。

問題のサーバー上の大量の更新については、パッチを適用する方がパッチを適用しない場合よりもリスクは低くなりますが、万が一の場合に備えて、すべてを適用する前にバックアップを検証します。VMの場合、最初にスナップショットを作成することをお勧めします。

— キャサリン・ビリヤード
ソース

1

これは完全にあなたのビジネスとあなたのサーバーを更新するためにあなたが設定したポリシー次第です。

少なくとも、運用環境のサーバーを更新する前に、最初にテスト環境でセキュリティ更新プログラムをインストールし、.NETフレームワーク更新などの他のパッチを実行する必要があります。

— ヴァシリ・シラキス
ソース

2

1.遅すぎる。あなたは他の2つのより良い答えによってパンチに打ち勝ちました。 2.パッチ/セキュリティアップデートをインストールするかどうかについて意見に基づくものはありません。パッチをインストールしたくない場合に想定できる唯一のシナリオは、雇用主から盗み出しているシナリオです。 3.「パッチ管理」は、間違いなくサーバー障害のトピックですが、スーパーユーザーでも話題になります。

— HopelessN00b

1

サーバー管理者がSFでこれを要求していることを知っていたら、インフラストラクチャが怖くなります。質問の核心は「何をすべきか」です。「どのように管理/自動化/改善するか」に似たものではありません。パッチ管理などのカテゴリに分類されます。この場所は専門家向けだと思っていましたが、間違っているかもしれません。SUに属しているようです。

— ヴァシリシラキス

1

彼/彼女はこの質問をしているので、質問者は明らかにかなり後輩です。彼らには助けが必要です。それがこのサイトが存在する理由です。他の答えは両方とも「はい、ここに詳細とニュアンスがあります」です。

— mfinni

5

私はより多くのサーバー管理者を心配されるだろう聞いていなかったし、今年のために更新されませんでした。

— マイケルハンプトン

3

これは間違いなく提起されるべきものです。過去12か月間にかなり重要なセキュリティアップデートがいくつかありました。

— ヴァシリシラキス