如何制定良好的Windows補丁更新管理機制?
原創【51CTO精選譯文】每當Windows系統發布了新的補丁,大家也許都希望能盡快用到。然而,更新所用到的補丁是不能直接自動提供給用戶的,因為無論這些補丁的作用是添加新功能、修正錯誤還是填補安全漏洞,有一類現實是不能回避的,即補丁會破壞應用程序。
對于IT部門來說,更有意義的做法是利用Windows Server更新服務來對更新進行部署、測試及控制。比起直接讓用戶下載并自動安裝這些補丁,并同時面臨潛在的破壞風險,上述措施無疑更為負責和有效。
當然,我們的最終目的是希望能夠在放手讓補丁自動更新的同時,仍然對該過程保持控制。
預先警告
微軟的更新時間是固定的,也就是我們常說的“補丁星期二”(即每個月的第二個周二),這意味著大家能夠提前為其安排測試計劃。我們可以通過訂閱安全公告的方式提前得到通知,這類通知一般會在更新放出的三個工作日之前發布,并包含該次更新的各項細節——放出通知的這天常常被稱為“恐嚇星期四”。
攻擊者們這時也會得知那些被修復的漏洞的細節,因此對他們來說時間緊迫,必須立即開始設法突破補丁的防護。微軟在周二之外也會不定期地發布各類重要補丁,這種情況往往同樣需要IT部門立即加以關注。
如果各位讀者朋友們所從事的行業需要嚴格的監管制度,或者您的公司總要處理諸多規范類的問題,那么一套適當的補丁更新策略絕對是必要的。
保護薄弱環節
微軟的IT部門必須保證98%的桌面系統都處于最新補丁的保護之下。不過這是對IT部門提出的要求,并非針對產品團隊,因此公司必須在將補丁推出之前找出其對內部應用程序所造成的各種影響。
更新不是廣泛適用的,所以大家需要審查哪些系統需要針對特定漏洞而進行補丁更新。
同時,也并不是所有補丁都必須被立即安裝。新的生產功能往往包含在功能集及服務工具包中而非補丁中,但補丁可能會為執行性能的提升帶來改善。
在任何情況下,補丁的安裝與否都要經過評估。而且在用戶每個月都得接受一批更新并進行系統重啟的條件下,大家一定要權衡好哪些更新并不緊急,可以在經過更長時間的測試后再進行部署(也就是說可以與下一批更新一同進行);而哪些對生產有極大的促進作用,因而應當盡快安裝。
殺毒軟件的更新不需要進行測試及核準,因為對于企業級殺毒軟件系統來說,其默認狀況為每天更新三次。
專用的企業級殺毒軟件系統通常會自動處理更新。如果大家正在通過系統中心配置管理器對Forefront終端保護系統進行管理,該管理器的2012版本提供了這樣的功能:使我們只有選擇特定的定義語言才能使其自動批準更新。
爭分奪秒
少數時候微軟認為某些補丁作用重大,需要盡快推出,因為它們能夠解決嚴重問題。但是,即使并沒有為其預留審核的時間,大家仍然需要提前對其做出評估。
微軟的安全公告及第三方服務將不定期向用戶發布這類補丁的更新提示(而且大家可能會發現第三方廠商對這類關鍵性補丁的建議非常有參考價值)。
盡管部署緊急補丁至關重要,但制訂一套評估策略無疑更應該優先考量。您可能很想馬上更新緊急補丁,但必須先了解這樣做是否會破壞我們常規的業務應用程序。最佳建議是保持軟件的實時審核,這樣一來我們就能清楚地看到哪些系統將會受到影響。
測試,測試,還是測試
測試補丁的方式有幾種。大家可以利用帶有腳本的測試系統,它的功能是覆蓋在系統及應用程序之上或者采取向用戶發布補丁合集這類更為非正式的方法。如果進行測試的部門恰好是IT部門,務必讓他們確保生產應用程序與腳本能夠在共同執行普通任務的過程中契合良好。
規模較大的企業則可能希望分別進行部署,以避免增加對網絡負載的壓力——如果該次更新確實造成損害,分別部署也能同時減少技術支持團隊的壓力。
我們需要跟蹤那些已經被成功安裝的更新。甚至對小型企業來說,也需要一套變更管理系統來記錄補丁內容及更新情況。
如同處理微軟應用程序一樣,我們還將需要為第三方應用程序及網絡設備制訂一套補丁更新策略。類似App-DNA公司的App Titude及ChangeBase公司的AOK這樣的第三方工具能夠幫助我們同時跟蹤多款產品在更新時的狀況,并提供一份詳盡的指南,告訴大家哪些應用程序會在微軟的更新中受到影響。
上面提到的工具無法解除每月一次的更新負擔,但通過它們的幫助,我們至少不必每一次都要從頭開始嘗試解決問題。
原文:http://www.theregister.co.uk/2011/05/30/windows_patch_management/
【編輯推薦】
