小编最近的两篇文章都直指系统补丁的Bug,一个(KB4041676)直接导致Windows 10操作系统宕机;另一个(IOS 10.0)会让苹果用户连不上最新的微软邮件系统。
有个用户在文章下面跟小编吐槽Win10补丁bug一堆,对于那个造成5500台客户端宕机的管理员深表同情。运维无小事,少打一个补丁可能造成WannyCry病毒肆虐,多打一个补丁可能造成全面宕机,背锅的都是运维人员。
微软自身关于服务升级包(Service Pack),热修复(Hotfix)以及安全补丁(Security Patch)是有自己的最佳实践的。对于补丁计划,官方的基本看法是:“安装补丁的风险总比不安装的风险小”以及“打总比不打强,如果你不确定打上后有没有影响,那就去确定移除补丁有没有影响”。
官方的最佳实践一共有以下11个宗旨:
- 使用ITIL中的变更管理流程;
- 阅读目标补丁的所有的文档;
- 根据产品按需选取补丁;
- 测试;
- 制定完整的卸载计划;
- 在域环境下保持所有域控补丁级别的一致性;
- 事前备份及为生产系统预留宕机恢复时间;
- 如遇无法恢复,有应急预案;
- 提前通知Helpdesk及关键用户组;
- 避免一次性跨两个服务版本的升级;
- 先升级非业务系统。
看到这里,相信所有的SA都已经抓狂了。按照这个流程,我的工作就全部被研究和测试补丁给占满了。
没办法,既然不能跟着官方节奏打call,我们只好自己凭经验找点捷径。小编总结了六步法则,大家看看有没有实际意义和可操作性。
- 制定并更新配置数据库,包括所有生产系统的OS,IP地址,物理位置,负责人和应用维护窗口;
- 标准化系统和应用的目标版本。现有版本与目标版本差异越小,后续工作越简单;
- 列出当下所有的安全控制设备:路由器、防火墙、入侵探测系统、反病毒系统以及它们的配置信息。这份列表将告诉你如何应对一个漏洞警报。比如你知道OpenSSH是一个漏洞会引发缓存溢出攻击,但在你的设备配置清单里根本就不允许OpenSSH的协议通过任何防火墙,那这就是一个可忽略的漏洞;
- 比较漏洞报表与你的配置数据库(包括安全控制设备)。要注意两点:一是你需要一个可靠的系统来收集这些漏洞警报,二是你需要区分哪些漏洞会影响的系统,哪些不会。有些公司专门有人员负责这个筛查工作,而有些公司购买了漏洞报表服务(Vulneralility Reporting Service)。
- 风险评级。评估漏洞及其在现有环境中爆发的可能性。可能现有环境中一些服务器有漏洞,但这些服务器其上的系统非核心业务甚至非业务。评级需要考虑三个要素:威胁的严重性,依据网络划分的漏洞的等级(比如会在内网还是在DMZ区域)以及缓解或修复的成本。
- 有了上述的准备之后就可以打补丁了。你已经知道你的目标补丁列表了,接下去就是如何在不影响业务的情况下部署它们,当然我们在配置数据库里面已经记录了系统的非业务时间,在这个窗口里人工更新就好了。从成本角度考虑,人为补丁更新一定是最便宜的;但算上人工和系统不可用的时间,昂贵的补丁管理软件似乎也不是不能考虑。
漏洞和补丁管理绝非易事。尤其是在信息化已全面占据了我们的衣食住行,片刻不能停机。通过上述的步骤,相信贵司一定可以在下一个勒索病毒爆发之前守备森严,岿然不慌。
Latest posts by 李 章毅 (see all)
- 混合云集成方案Azure Arc - 2020年3月28日
- 【全网首播:Azure大全】11. 开发人员工具与Azure Stack - 2020年2月22日
- 【全网首播:Azure大全】10. 安全性与标识 - 2020年2月22日
发布于:
浏览:2770 次
还没有评论