【51CTO精选译文】每当Windows系统发布了新的补丁,大家也许都希望能尽快用到。然而,更新所用到的补丁是不能直接自动提供给用户的,因为无论这些补丁的作用是添加新功能、修正错误还是填补安全漏洞,有一类现实是不能回避的,即补丁会破坏应用程序。
对于IT部门来说,更有意义的做法是利用Windows Server更新服务来对更新进行部署、测试及控制。比起直接让用户下载并自动安装这些补丁,并同时面临潜在的破坏风险,上述措施无疑更为负责和有效。
当然,我们的最终目的是希望能够在放手让补丁自动更新的同时,仍然对该过程保持控制。
预先警告
微软的更新时间是固定的,也就是我们常说的“补丁星期二”(即每个月的第二个周二),这意味着大家能够提前为其安排测试计划。我们可以通过订阅安全公告的方式提前得到通知,这类通知一般会在更新放出的三个工作日之前发布,并包含该次更新的各项细节——放出通知的这天常常被称为“恐吓星期四”。
攻击者们这时也会得知那些被修复的漏洞的细节,因此对他们来说时间紧迫,必须立即开始设法突破补丁的防护。微软在周二之外也会不定期地发布各类重要补丁,这种情况往往同样需要IT部门立即加以关注。
如果各位读者朋友们所从事的行业需要严格的监管制度,或者您的公司总要处理诸多规范类的问题,那么一套适当的补丁更新策略绝对是必要的。
保护薄弱环节
微软的IT部门必须保证98%的桌面系统都处于最新补丁的保护之下。不过这是对IT部门提出的要求,并非针对产品团队,因此公司必须在将补丁推出之前找出其对内部应用程序所造成的各种影响。
更新不是广泛适用的,所以大家需要审查哪些系统需要针对特定漏洞而进行补丁更新。
同时,也并不是所有补丁都必须被立即安装。新的生产功能往往包含在功能集及服务工具包中而非补丁中,但补丁可能会为执行性能的提升带来改善。
在任何情况下,补丁的安装与否都要经过评估。而且在用户每个月都得接受一批更新并进行系统重启的条件下,大家一定要权衡好哪些更新并不紧急,可以在经过更长时间的测试后再进行部署(也就是说可以与下一批更新一同进行);而哪些对生产有极大的促进作用,因而应当尽快安装。
杀毒软件的更新不需要进行测试及核准,因为对于企业级杀毒软件系统来说,其默认状况为每天更新三次。
专用的企业级杀毒软件系统通常会自动处理更新。如果大家正在通过系统中心配置管理器对Forefront终端保护系统进行管理,该管理器的2012版本提供了这样的功能:使我们只有选择特定的定义语言才能使其自动批准更新。
争分夺秒
少数时候微软认为某些补丁作用重大,需要尽快推出,因为它们能够解决严重问题。但是,即使并没有为其预留审核的时间,大家仍然需要提前对其做出评估。
微软的安全公告及第三方服务将不定期向用户发布这类补丁的更新提示(而且大家可能会发现第三方厂商对这类关键性补丁的建议非常有参考价值)。
尽管部署紧急补丁至关重要,但制订一套评估策略无疑更应该优先考量。您可能很想马上更新紧急补丁,但必须先了解这样做是否会破坏我们常规的业务应用程序。最佳建议是保持软件的实时审核,这样一来我们就能清楚地看到哪些系统将会受到影响。
测试,测试,还是测试
测试补丁的方式有几种。大家可以利用带有脚本的测试系统,它的功能是覆盖在系统及应用程序之上或者采取向用户发布补丁合集这类更为非正式的方法。如果进行测试的部门恰好是IT部门,务必让他们确保生产应用程序与脚本能够在共同执行普通任务的过程中契合良好。
规模较大的企业则可能希望分别进行部署,以避免增加对网络负载的压力——如果该次更新确实造成损害,分别部署也能同时减少技术支持团队的压力。
我们需要跟踪那些已经被成功安装的更新。甚至对小型企业来说,也需要一套变更管理系统来记录补丁内容及更新情况。
如同处理微软应用程序一样,我们还将需要为第三方应用程序及网络设备制订一套补丁更新策略。类似App-DNA公司的App Titude及ChangeBase公司的AOK这样的第三方工具能够帮助我们同时跟踪多款产品在更新时的状况,并提供一份详尽的指南,告诉大家哪些应用程序会在微软的更新中受到影响。
上面提到的工具无法解除每月一次的更新负担,但通过它们的帮助,我们至少不必每一次都要从头开始尝试解决问题。
原文:http://www.theregister.co.uk/2011/05/30/windows_patch_management/
【编辑推荐】