Windows 보안 업데이트를 설치해야합니까? [닫은]


14

방금 회사 서버 중 하나에 RDP를 설치하고 Windows 업데이트에 대한 알림을 받았으므로 클릭합니다. 그런 다음 1 년 이상 전에 2014 년 1 월 16 일 목요일에 마지막 업데이트 (업데이트 기록에 따라)가 설치된 62 개의 중요 업데이트가 표시됩니다.

여기서 어떤 조치를 취해야합니까?


21
mfinni와 다른 사람들이 실제로 이것에 대답하고 있다는 것을 행운으로 생각하십시오. 그것은 우리 중 하나가 SO에 와서 "코드를 작성할 때 디버깅해야합니까?"와 유사합니다.
TheCleaner

7
@TheCleaner이 질문에 대한 답변은 "코드 디버깅 서비스로 고객을 상향 판매 한 후"입니다.
HopelessN00b

8
@MonkeyZeus "이것이 깨지지 않았다면 ..."이 경우에, "안전하지 않다면, 보안하지 마십시오"라는 의미입니까?

5
"파산하지 않았다면 고치지 마십시오"와 "안전하지 않은 경우에는 고정하지 마십시오"는 본질적으로 반대되는 아이디어를 표현합니다.
user2338816 2019

7
@Lilienthal- "useful for many other developers"이 사이트에는 아무런 관련이 없습니다. 이 사이트는 SO 사용자를위한 헬프 데스크로 설계되지 않았습니다. 원한다면 잔인하다고 부르십시오. 사이트의 범위를 만들지 않았습니다.
TheCleaner

답변:


31

짧은 대답-예. 대부분의 Windows Update는 보안과 관련이 있습니다. 패치가 없으면 취약하다는 의미입니다.

더 긴 대답-이런 종류의 것을 다루는 절차가 필요합니다. 요즘에는 좀 더 드물지만, 때로는 패치로 인해 문제가 발생하거나 회사와 관련하여 문제가 발생하는 방식으로 동작이 변경 될 수 있습니다. 각 패치가 릴리스 될 때 (매월 일정과 긴급한 일정이있을 때) 패치를 평가하고, 패치가 필요한지 결정하고 (아마도 예) 테스트 / 스테이징 서버에서 테스트를 수행하여 잠재적 인 파손에 대해 부지런히 노력해야합니다. 설치.

OS 패치는 종종 재부팅을 의미하기 때문에 배포에 약간의주의를 기울여야합니다. 이는 모든 서비스에 대해 적절한 HA를 얻지 못한 경우 종종 서비스 중단 시간을 의미합니다. 낮 동안 영리하고 패치를 적용한 다음 다시 부팅을 연기한다고 생각하면 좋은 생각이 아닙니다. 일부 파일은 업데이트되지만 다른 파일은 업데이트되지 않습니다.

Microsoft는 WSUS라는 무료 제품을 제공하여 승인 및 배포를 하나씩 수행하는 것보다 패치 관리를 조금 더 쉽게 할 수 있습니다.

참고로, 모든 종류의 장치에 대해 이런 종류의 작업을 수행해야합니다. 네트워크 장치 펌웨어, 서버 하드웨어 펌웨어, VMware ESXi 등.이 패치는 재미로 나오지 않으며 거의 ​​모든 버그를 해결하며 보안 관련 문제 일 수 있습니다.

또한 기술 팀에서 당신보다 상급자에게 물어보아야합니다. 당신이 유일한 관리자라면, 당신과 당신의 조직은 너무 잘하지 않습니다. 개인적으로 생각하지 마십시오. 우리 모두는 우리가해야 할 모든 것을 몰라도 시작할 필요가 있습니다. 그러나 이것이 당신의 질문이라면,이 서버를 관리하는 유일한 사람이되어서는 안됩니다.


14
빠른 타이핑 놈. > : /
HopelessN00b

1
눈이 날 아기. 사무실에 VPN 액세스를 시도합니다.
mfinni 2019

나는 그들을 관리하지 않고 호스트에서 이벤트 뷰어 로그를보아야하는 앱 개발자입니다. 실제로 전에 업데이트 알림을 보았지만 이번에는 작은 'x'를 놓치고 거품을 클릭했습니다. 요약 페이지로 연결됩니다. 나의 딜레마는 이제 고위 경영진에게 어떤 종류의 깃발을 올리는가하는 것인데, 그 일은 일이 단순히 끝나지 않고있는 것 같습니다. 실제로 WSUS가 있습니다. 오늘까지 나는 방금 본 업데이트 통지가 그 주말에 처리 될 것이라고 가정했습니다.
OpenCoderX 2016

즉시 경영진과상의하십시오. 시스템 관리자가 있습니까? 그렇게하면 회사 정책이 "업데이트를 설치하지 마십시오"가 아니면 작업을 수행하지 않을 수 있습니다. 시스템 관리자가없는 경우 일부 관리자를 고용하거나 계약을 체결하십시오. 아시다시피 개발자는 시스템 관리자와 동일한 목표 나 기술을 가지고 있지 않으며 대부분 두 역할을 모두 수행 할 수 없습니다.
mfinni 2019

10
"My dilemma now is what sort of flag do I raise to senior management, because it appears to me that the work is simply not being done. "-딜레마 없음, 당신은 당신이 눈치 채고 걱정하는 것을 이메일을 통해 상사에게 알려줍니다. 합법적 인 이유가 있거나 단순히 게으름 일 수 있습니다. 어느 쪽이든, 그것은 당신의 잘못이 아니었지만, 당신은 적어도 우려를 표명해야합니다.
TheCleaner

18

일반적인 대답은 서버를 최신 상태로 유지하는 것이 좋습니다 .

그러나 몇 가지 사항에주의하십시오.

  1. 업데이트로 인해 설치 중에 서버가 느려지거나 재부팅이 필요한 경우 다운 타임이 발생할 수 있습니다. 당신은해야 계획 사무 시간의 그들을 할 수 있습니다.

  2. 업데이트에는 관련 위험이 있습니다. 서버가 손상되거나 비 호환성이 발생할 수 있습니다. 일반적으로 완전히 제거 할 수 있지만 그 중 62 개를 사용하면 신뢰할 수있는 백업이 있는지 고려해야합니다 (어쨌든해야합니다).

  3. 업그레이드가 1 년 늦어진 이유가 있습니까? 이 서버가 1 년 안에 해당 서버에 처음 로그인 했습니까? 아니면 다른 것이 있습니까?

  4. 회사에서 Excel 매크로를 사용하는 경우 일부 12 월 Office 업데이트와 함께 제공 되는 악명 높은 Excel 버그에 특별한주의를 기울이십시오 . 그러나 Office를 실행하지 않아야하는 서버에는 적용되지 않을 수 있습니다.

  5. 많은 sysadmins는 업데이트를 설치하기 전에 며칠 또는 몇 주 정도 기다렸다가 해당 업데이트와 관련하여 인터넷에 문제가 있는지 확인합니다. 대기해야하는지 결정할 때 서버를 패치되지 않은 상태로두면 보안 상 위험 할 수 있습니다.


무슨 "12 월 일부 Office 업데이트와 함께 제공되는 악명 높은 Excel 버그"에 대해 이야기하고 있습니까?
앤드류 메디 코

"일부 사용자의 경우 2014 년 12 월 MS14-082 Microsoft Office 보안 업데이트를 설치 한 후 Form Controls (FM20.dll)가 더 이상 예상대로 작동하지 않습니다." Technet 블로그 게시물 blogs.technet.com/b/the_microsoft_excel_support_team_blog/…에 따라
Shiv

@Shiv : 감사합니다. 링크를 포함하도록 답변을 수정했습니다.
pgr

@pgr, 거기처럼 이 악명 버그?
Pacerier 2019

@Pacerier : 어, 물론입니다. 일반적으로 업데이트 롤백 만하면됩니다. 이건 아니야. 버그로 인해 파일이 "감염"될 수 있습니다. 즉, 잘못된 업데이트 후에 누군가 파일을 열면 갑자기 다른 컴퓨터에서 파일 작동이 중지됩니다. 이 문제를 다루는 것은 실제 PITA였으며 아직 끝나지 않았습니다. 문제가 너무 복잡해서 (최악의 경우 문제가 파일과 함께 이동하는 경우) Microsoft는 여전히 문제를 해결하지 못하고 결정적인 솔루션을 여전히 달성해야합니다 ... 물론 각 시스템 관리자는 자신의 악몽 이야기를 가지고, 이것은 내 것입니다 ... :-)
pgr

8

나는 mfinni가 나를 때려 쳤다는 것을 알고 있지만 WSUS의 경우 +1로 갈 것입니다. 구체적으로 특별히:

테스트 및 프로덕션을 포함하여 여러 서버가 있다고 가정합니다. 테스트가 생산과 비슷한 하드웨어를 가지고 있다고 가정 해 봅시다 (안전한 가정은 아니지만, 함께 가자.하지만 좋은 것은 아닙니다). WSUS에서 다음 시나리오를 설정할 수 있습니다.

  1. 자체 OU에서 서버를 테스트하십시오. 그룹 정책에 따르면 일요일 오전 3시와 같이 불편한 시간에 업데이트를 설치하고 재부팅해야한다고합니다.
  2. 다른 OU 또는 OU에있는 제품 서버 그룹 정책에 따라 다운로드하여 알립니다.
  3. 테스트 / 개발 서버가 패치를 적용한 후 며칠 또는 일주일 동안 예정된 유지 관리 기간 동안 서버를 설치하고 재부팅하기 위해 승인 된 패치 및 마감 기한입니다.

확실하지 않은 경우 서버의 모든 중요 / 보안 패치를 승인하고 먼저 테스트에 적용한 다음 나중에 프로덕션에 적용합니다. 업데이트가 한 번만 심각하게 중단되는 것을 보았지만 패치가 테스트에 적용되기 전에 테스트에 실패하면 패치를 롤백 할 수 있습니다.

문제가되는 서버의 많은 업데이트에 대해서는 패치 적용이 패치하지 않는 것보다 위험이 적지 만 너무 많은 경우를 대비하여 적용하기 전에 백업을 확인합니다. VM 인 경우 먼저 스냅 샷을 생성 할 수 있습니다.


1

이것은 전적으로 비즈니스와 서버 업데이트를 위해 설정 한 정책에 달려 있습니다.

최소한 프로덕션 서버를 업데이트하기 전에 먼저 테스트 환경에서 보안 업데이트를 설치하고 .NET 프레임 워크 업데이트와 같은 다른 패치를 수행해야합니다.


2
1.너무 느린. 당신은 다른 두 가지 더 나은 답변으로 펀치를 이겼습니다. 2.패치 / 보안 업데이트 설치 여부에 대한 의견은 없습니다. 패치를 설치하지 않으려는 경우 구상 할 수있는 유일한 시나리오는 고용주로부터 도용하는 시나리오입니다. 3."패치 관리"는 서버 오류 주제이지만, 수퍼 유저에게는 주제 일 수도 있습니다.
HopelessN00b 2019

1
서버 관리자가 SF에서 이것을 요구한다는 것을 알면 인프라가 무섭습니다. 질문의 핵심은 "어떻게해야합니까?"입니다. "관리 / 자동화 / 개선 방법은 무엇입니까?" 패치 관리 범주에 속합니다. 나는 이곳이 전문가를위한 것이라고 생각했다. SU의 소유인 것 같습니다!
Vasili Syrakis

1
이 질문을하는 사람은 그 질문에 대해 상당히 주니어입니다. 그들은 도움이 필요합니다. 그래서이 사이트가 존재합니다. 다른 두 가지 대답은 "예, 자세한 내용과 뉘앙스가 있습니다."입니다.
mfinni 2019

5
나는 더 많은 서버 관리자에 대한 걱정이 될 것 물어 보지 않았다년 동안 업데이트되지 않았습니다 .
Michael Hampton

3
분명히 제기해야 할 것입니다. 지난 12 개월 동안 상당히 중요한 보안 업데이트가있었습니다.
Vasili Syrakis
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.