[server] Windows 보안 업데이트를 설치해야합니까? [닫은]

Server / 글쓴이

방금 회사 서버 중 하나에 RDP를 설치하고 Windows 업데이트에 대한 알림을 받았으므로 클릭합니다. 그런 다음 1 년 이상 전에 2014 년 1 월 16 일 목요일에 마지막 업데이트 (업데이트 기록에 따라)가 설치된 62 개의 중요 업데이트가 표시됩니다.

여기서 어떤 조치를 취해야합니까?

답변

짧은 대답-예. 대부분의 Windows Update는 보안과 관련이 있습니다. 패치가 없으면 취약하다는 의미입니다.

더 긴 대답-이런 종류의 것을 다루는 절차가 필요합니다. 요즘에는 좀 더 드물지만, 때로는 패치로 인해 문제가 발생하거나 회사와 관련하여 문제가 발생하는 방식으로 동작이 변경 될 수 있습니다. 각 패치가 릴리스 될 때 (매월 일정과 긴급한 일정이있을 때) 패치를 평가하고, 패치가 필요한지 결정하고 (아마도 예) 테스트 / 스테이징 서버에서 테스트를 수행하여 잠재적 인 파손에 대해 부지런히 노력해야합니다. 설치.

OS 패치는 종종 재부팅을 의미하기 때문에 배포에 약간의주의를 기울여야합니다. 이는 모든 서비스에 대해 적절한 HA를 얻지 못한 경우 종종 서비스 중단 시간을 의미합니다. 낮 동안 영리하고 패치를 적용한 다음 다시 부팅을 연기한다고 생각하면 좋은 생각이 아닙니다. 일부 파일은 업데이트되지만 다른 파일은 업데이트되지 않습니다.

Microsoft는 WSUS라는 무료 제품을 제공하여 승인 및 배포를 하나씩 수행하는 것보다 패치 관리를 조금 더 쉽게 할 수 있습니다.

참고로, 모든 종류의 장치에 대해 이런 종류의 작업을 수행해야합니다. 네트워크 장치 펌웨어, 서버 하드웨어 펌웨어, VMware ESXi 등.이 패치는 재미로 나오지 않으며 거의 ​​모든 버그를 해결하며 보안 관련 문제 일 수 있습니다.

또한 기술 팀에서 당신보다 상급자에게 물어보아야합니다. 당신이 유일한 관리자라면, 당신과 당신의 조직은 너무 잘하지 않습니다. 개인적으로 생각하지 마십시오. 우리 모두는 우리가해야 할 모든 것을 몰라도 시작할 필요가 있습니다. 그러나 이것이 당신의 질문이라면,이 서버를 관리하는 유일한 사람이되어서는 안됩니다.

답변

일반적인 대답은 서버를 최신 상태로 유지하는 것이 좋습니다 .

그러나 몇 가지 사항에주의하십시오.

  1. 업데이트로 인해 설치 중에 서버가 느려지거나 재부팅이 필요한 경우 다운 타임이 발생할 수 있습니다. 당신은해야 계획 사무 시간의 그들을 할 수 있습니다.

  2. 업데이트에는 관련 위험이 있습니다. 서버가 손상되거나 비 호환성이 발생할 수 있습니다. 일반적으로 완전히 제거 할 수 있지만 그 중 62 개를 사용하면 신뢰할 수있는 백업이 있는지 고려해야합니다 (어쨌든해야합니다).

  3. 업그레이드가 1 년 늦어진 이유가 있습니까? 이 서버가 1 년 안에 해당 서버에 처음 로그인 했습니까? 아니면 다른 것이 있습니까?

  4. 회사에서 Excel 매크로를 사용하는 경우 일부 12 월 Office 업데이트와 함께 제공 되는 악명 높은 Excel 버그에 특별한주의를 기울이십시오 . 그러나 Office를 실행하지 않아야하는 서버에는 적용되지 않을 수 있습니다.

  5. 많은 sysadmins는 업데이트를 설치하기 전에 며칠 또는 몇 주 정도 기다렸다가 해당 업데이트와 관련하여 인터넷에 문제가 있는지 확인합니다. 대기해야하는지 결정할 때 서버를 패치되지 않은 상태로두면 보안 상 위험 할 수 있습니다.

답변

나는 mfinni가 나를 때려 쳤다는 것을 알고 있지만 WSUS의 경우 +1로 갈 것입니다. 구체적으로 특별히:

테스트 및 프로덕션을 포함하여 여러 서버가 있다고 가정합니다. 테스트가 생산과 비슷한 하드웨어를 가지고 있다고 가정 해 봅시다 (안전한 가정은 아니지만, 함께 가자.하지만 좋은 것은 아닙니다). WSUS에서 다음 시나리오를 설정할 수 있습니다.

  1. 자체 OU에서 서버를 테스트하십시오. 그룹 정책에 따르면 일요일 오전 3시와 같이 불편한 시간에 업데이트를 설치하고 재부팅해야한다고합니다.
  2. 다른 OU 또는 OU에있는 제품 서버 그룹 정책에 따라 다운로드하여 알립니다.
  3. 테스트 / 개발 서버가 패치를 적용한 후 며칠 또는 일주일 동안 예정된 유지 관리 기간 동안 서버를 설치하고 재부팅하기 위해 승인 된 패치 및 마감 기한입니다.

확실하지 않은 경우 서버의 모든 중요 / 보안 패치를 승인하고 먼저 테스트에 적용한 다음 나중에 프로덕션에 적용합니다. 업데이트가 한 번만 심각하게 중단되는 것을 보았지만 패치가 테스트에 적용되기 전에 테스트에 실패하면 패치를 롤백 할 수 있습니다.

문제가되는 서버의 많은 업데이트에 대해서는 패치 적용이 패치하지 않는 것보다 위험이 적지 만 너무 많은 경우를 대비하여 적용하기 전에 백업을 확인합니다. VM 인 경우 먼저 스냅 샷을 생성 할 수 있습니다.

답변

이것은 전적으로 비즈니스와 서버 업데이트를 위해 설정 한 정책에 달려 있습니다.

최소한 프로덕션 서버를 업데이트하기 전에 먼저 테스트 환경에서 보안 업데이트를 설치하고 .NET 프레임 워크 업데이트와 같은 다른 패치를 수행해야합니다.

답변