补丁计划的最佳实践

        小编最近的两篇文章都直指系统补丁的Bug，一个（KB4041676）直接导致Windows 10操作系统宕机；另一个（IOS 10.0）会让苹果用户连不上最新的微软邮件系统。

有个用户在文章下面跟小编吐槽Win10补丁bug一堆，对于那个造成5500台客户端宕机的管理员深表同情。运维无小事，少打一个补丁可能造成WannyCry病毒肆虐，多打一个补丁可能造成全面宕机，背锅的都是运维人员。

微软自身关于服务升级包（Service Pack），热修复（Hotfix）以及安全补丁（Security Patch）是有自己的最佳实践的。对于补丁计划，官方的基本看法是：“安装补丁的风险总比不安装的风险小”以及“打总比不打强，如果你不确定打上后有没有影响，那就去确定移除补丁有没有影响”。

官方的最佳实践一共有以下11个宗旨：

1. 使用ITIL中的变更管理流程；
2. 阅读目标补丁的所有的文档；
3. 根据产品按需选取补丁；
4. 测试；
5. 制定完整的卸载计划；
6. 在域环境下保持所有域控补丁级别的一致性；
7. 事前备份及为生产系统预留宕机恢复时间；
8. 如遇无法恢复，有应急预案；
9. 提前通知Helpdesk及关键用户组；
10. 避免一次性跨两个服务版本的升级；
11. 先升级非业务系统。

看到这里，相信所有的SA都已经抓狂了。按照这个流程，我的工作就全部被研究和测试补丁给占满了。

没办法，既然不能跟着官方节奏打call，我们只好自己凭经验找点捷径。小编总结了六步法则，大家看看有没有实际意义和可操作性。

1. 制定并更新配置数据库，包括所有生产系统的OS，IP地址，物理位置，负责人和应用维护窗口；
2. 标准化系统和应用的目标版本。现有版本与目标版本差异越小，后续工作越简单；
3. 列出当下所有的安全控制设备：路由器、防火墙、入侵探测系统、反病毒系统以及它们的配置信息。这份列表将告诉你如何应对一个漏洞警报。比如你知道OpenSSH是一个漏洞会引发缓存溢出攻击，但在你的设备配置清单里根本就不允许OpenSSH的协议通过任何防火墙，那这就是一个可忽略的漏洞；
4. 比较漏洞报表与你的配置数据库（包括安全控制设备）。要注意两点：一是你需要一个可靠的系统来收集这些漏洞警报，二是你需要区分哪些漏洞会影响的系统，哪些不会。有些公司专门有人员负责这个筛查工作，而有些公司购买了漏洞报表服务（Vulneralility Reporting Service）。
5. 风险评级。评估漏洞及其在现有环境中爆发的可能性。可能现有环境中一些服务器有漏洞，但这些服务器其上的系统非核心业务甚至非业务。评级需要考虑三个要素：威胁的严重性，依据网络划分的漏洞的等级（比如会在内网还是在DMZ区域）以及缓解或修复的成本。
6. 有了上述的准备之后就可以打补丁了。你已经知道你的目标补丁列表了，接下去就是如何在不影响业务的情况下部署它们，当然我们在配置数据库里面已经记录了系统的非业务时间，在这个窗口里人工更新就好了。从成本角度考虑，人为补丁更新一定是最便宜的；但算上人工和系统不可用的时间，昂贵的补丁管理软件似乎也不是不能考虑。

漏洞和补丁管理绝非易事。尤其是在信息化已全面占据了我们的衣食住行，片刻不能停机。通过上述的步骤，相信贵司一定可以在下一个勒索病毒爆发之前守备森严，岿然不慌。