¿Deberíamos instalar las actualizaciones de seguridad de Windows? [cerrado]

Acabo de ingresar a RDP en uno de los servidores de mi empresa, recibí alertas de actualizaciones de Windows, así que hago clic. Luego veo 62 actualizaciones de alta prioridad, con la última actualización (según el historial de actualizaciones) instalada el jueves 16 de enero de 2014, hace más de un año.

¿Qué acciones hay que tomar aquí?

Respuesta corta: sí. La mayoría de las actualizaciones de Windows están relacionadas con la seguridad. No tener los parches significa que eres vulnerable.

Respuesta más larga: necesita un procedimiento que cubra este tipo de cosas. Es más raro en estos días, pero a veces un parche puede romper cosas o cambiar el comportamiento de tal manera que se rompa en lo que respecta a su empresa. Debería evaluar cada parche cuando se lance (hay un cronograma mensual más algunos urgentes), determinar si necesita el parche (probablemente sí), hacer algunas pruebas en los servidores de prueba / preparación para hacer algo de diligencia sobre posibles roturas y luego Las instalaciones.

También debe tener cuidado con las implementaciones, ya que el parcheo del sistema operativo a menudo significa reiniciar, lo que a menudo significa que hay tiempo de inactividad del servicio, a menos que tenga un buen HA para todos sus servicios. Si cree que será inteligente y parcheará durante el día y luego pospondrá el reinicio, no es una gran idea: algunos archivos se actualizarán pero otros no.

Microsoft ofrece un producto gratuito llamado WSUS que puede hacer que la administración de parches sea un poco más fácil que hacer las aprobaciones y la implementación, una por una.

FYI, deberías estar haciendo este tipo de cosas para todas las clases de dispositivos que tienes. El firmware del dispositivo de red, el firmware del hardware del servidor, VMware ESXi, etc. Esos parches no salen por diversión, casi todos corrigen errores, y muchos de ellos pueden estar relacionados con la seguridad.

Además, debe preguntarle a alguien que es más importante que usted en su equipo técnico. Si usted es el único administrador allí, usted y su organización no lo están haciendo muy bien. No lo tome como algo personal, todos debemos comenzar sin saber todo lo que deberíamos, pero si esta es su pregunta, no debería ser la única persona que administra estos servidores.

La respuesta genérica es que es una buena práctica mantener actualizados sus servidores .

Pero presta atención a algunas cosas:

1. Las actualizaciones pueden hacer que el servidor sea lento durante la instalación, o incluso causar algún tiempo de inactividad si requieren reinicio (s). Debe planear hacerlos fuera del horario de oficina.

2. Las actualizaciones tienen algún riesgo asociado. Pueden romper su servidor o causar alguna incompatibilidad. Por lo general, son completamente desinstalables, pero con 62 de ellos también debe considerar si tiene una copia de seguridad confiable (de todos modos, debería hacerlo).

3. ¿Hay alguna razón por la que lleves un año tarde en las actualizaciones? ¿Es este su primer inicio de sesión en ese servidor en un año, o hay algo más roto?

4. Preste especial atención al infame error de Excel que viene con algunas actualizaciones de Office de diciembre, si su empresa usa macros de Excel, pero esto probablemente no se aplica a un servidor que no debería estar ejecutando Office.

5. Muchos administradores de sistemas esperan unos días o semanas antes de instalar actualizaciones, solo para ver si surge algo malo en Internet con respecto a esas actualizaciones. Cuando decida si necesita esperar, considere los riesgos de seguridad de dejar el servidor sin parchear por más tiempo.

Sé que Mfinni me ganó el golpe, pero solo voy a +1 para WSUS. Específicamente:

Supongamos que tiene varios servidores, incluidas las pruebas y la producción. Supongamos también que la prueba tiene un hardware similar a la producción (lo cual no es una suposición segura, lo sé, pero sigamos adelante, es bueno, pero no es necesario). Puede configurar el siguiente escenario en WSUS:

1. Pruebe los servidores en su propia unidad organizativa. La política de grupo dice instalar actualizaciones y reiniciar en algún momento no inconveniente, como el domingo a las 3 a.m.
2. Servidores de producción en una unidad organizativa u unidades organizativas diferentes. La política del grupo dice descargar y notificar.
3. Parches aprobados y con fecha límite para instalar y reiniciar los servidores durante la ventana de mantenimiento programado, varios días o una semana después de que los servidores de prueba / desarrollo apliquen parches.

Lo que esto hace, si no es obvio, es que aprueba todos los parches críticos / de seguridad para sus servidores, los aplica para probar primero y luego los aplica después a la producción. Solo he visto una actualización que rompe críticamente algo una vez, pero esto le daría la oportunidad de revertir el parche si falla en la prueba antes de que se aplique a la producción.

En cuanto a la gran cantidad de actualizaciones en el servidor en cuestión, parchear es un riesgo menor que no parchear, pero verificaría mis copias de seguridad antes de aplicarlas todas por si acaso porque hay muchas. Si se trata de una máquina virtual, es posible que primero desee tomar una instantánea.

Esto depende totalmente de su negocio y la política que ha establecido para actualizar sus servidores.

Como mínimo, debe instalar actualizaciones de seguridad y realizar cualquier otro parche como las actualizaciones de .NET Framework en un entorno de prueba antes de actualizar los servidores de producción.