Достигли ли исправления Microsoft критической точки?

Когда дело доходит до исправления платформы Windows Server, различных версий Microsoft Windows, Microsoft Office и других приложений Microsoft, мне кажется, что Microsoft сломалась. В прежние времена, которые на самом деле были совсем не так давно, те из нас, кто работает в области управления или поддержки продуктов Microsoft, были уверены, что Microsoft тщательно тестирует исправления, накопительные пакеты, обновления безопасности и другие исправления программного обеспечения, прежде чем выпускать их для распространения. клиенты. Конечно, были случаи, когда что-то неожиданное происходило, и патч, исправляющий что-то, в конечном итоге ломал что-то еще либо в линейке продуктов Microsoft, либо у какого-то стороннего поставщика программного обеспечения. Но в целом казалось, что патчи тестировались, тестировались и снова тестировались, прежде чем их выпустили из амбара на волю. Но в наши дни многие из нас задаются вопросом, не потеряла ли Microsoft — в своем стремлении оттолкнуть своих клиентов от локальных развертываний в свои постоянно расширяющиеся стабильные облачные сервисы, такие как Azure и Office 365 — интерес к инвестированию времени, энергии, и бюджет, необходимый для обеспечения того, чтобы их команды разработчиков производили обновления программного обеспечения, которые не причиняют клиентам больше головной боли, чем решают.

Короче говоря, кажется, что исправление (включая разработку, тестирование, связь и выпуск исправлений) в Microsoft не работает или находится в опасности скорого достижения этого состояния. И вторник исправлений, второй вторник каждого месяца, когда Microsoft выпускает обновления безопасности для исправления ошибок, которые они обнаружили в своих программных продуктах, стал для многих администраторов таким же страшным, как пятница 13-е для тамплиеров, когда Филипп IV арестовал сотни из них. 13 октября 1307 года. Ниже я привел несколько примеров того, что я слышал в последние месяцы от разочаровывающих администраторов, которые работают с продуктами Microsoft и исправляют инфраструктуры на основе Windows, начиная от нескольких компьютеров и заканчивая десятками компьютеров. тысяч развернутых систем. В следующей статье здесь, на TechGenix, я расскажу о некоторых стратегиях смягчения последствий, которым вы можете следовать, и о лучших практиках, которых вы можете придерживаться, чтобы снизить потенциальный риск возникновения кошмара, когда вы устанавливаете исправления для клиентов и серверов Windows в вашей организации.

Истории с полей

Большинство описанных ниже инцидентов произошло в течение последних трех месяцев, и многим из нас кажется, что разработка и управление исправлениями в Microsoft в течение этого периода времени быстро ухудшались. Чтобы защитить личность причастных, я выдумал эти инциденты, изменив личные данные, но все они являются реальными историями в своих технических основах:

• Установил последний Ежемесячный накопительный пакет качества безопасности для Windows 7 для систем на базе x64 на моем Dell Optiplex, и он заморозил систему. Это причиняло мне много горя, потому что это была моя основная рабочая машина, и мне потребовался час, чтобы сделать ее снова загружаемой из точки восстановления. Меня тошнит от того, что Microsoft делает нас своими живыми тестировщиками для своих обновлений программного обеспечения!
• Действительно? Чтобы устранить уязвимость Speculative Store Bypass (SSB) в Windows, связанную с недавно выявленными вариантами Spectre/Meltdown в системах Intel, мне нужно пройти этапы применения обновлений Windows, обеспечивающих поддержку SSBD, а затем вручную загрузить и применить оборудование/ обновления микрокода от OEM-производителя моего устройства, затем вручную измените параметр реестра, чтобы включить отключение обхода спекулятивного хранилища (SSBD) на ЦП, затем запустите сценарий Windows PowerShell, затем… Да ладно! Как можно ожидать, что мы будем делать это вручную для всех компьютеров, которыми мы управляем в нашей сети?
• Из статьи службы поддержки Microsoft о накопительном пакете для Microsoft Exchange: «При попытке вручную установить это обновление для системы безопасности в «обычном режиме» (не запуская обновление от имени администратора) и дважды щелкнув файл обновления (.msp), некоторые файлы не корректно обновляются. При возникновении этой проблемы вы не получаете сообщение об ошибке или какое-либо указание на то, что обновление для системы безопасности установлено неправильно... Чтобы избежать этой проблемы, запустите обновление для системы безопасности в режиме с повышенными привилегиями от имени администратора. Для этого щелкните правой кнопкой мыши файл обновления и выберите «Запуск от имени администратора». Еще раз спасибо, Microsoft, потому что вы не можете щелкнуть правой кнопкой мыши файлы.msp и запустить их от имени администратора. Вместо этого мне нужно поместить MSP-файл во временную папку, открыть командную строку с повышенными правами для этой папки и таким образом запустить MSP-файл. Печаль во благо!
• Из статьи службы поддержки Microsoft об обновлении для Windows 10: «Это обновление включает улучшения надежности компонентов службы обновлений Windows в Windows 10 версий 1507, 1511, 1607, 1703 и 1709… Только определенные сборки Windows 10, версии 1507, 1511., 1607 и 1703 требуют этого обновления». Только определенные сборки? Что строит? Какие критерии? Подобные расплывчатые сообщения относительно выпускаемых ими исправлений бесполезны для таких администраторов, как мы, которые управляют сетями с множеством различных аппаратных конфигураций.

  

• Из статьи службы поддержки Microsoft об обновлении для Windows 10: «Это обновление включает в себя улучшения надежности компонентов службы обновления Windows в Windows 10 версий 1507, 1511, 1607, 1703 и 1709. Также могут потребоваться шаги для освобождения дискового пространства на устройство, если у вас недостаточно места на диске для установки обновлений Windows». Вы имеете в виду, что он удалит некоторые из моих рабочих файлов, чтобы освободить место для установки обновления? Или только мои временные интернет-файлы? Пожалуйста, будьте более конкретными при общении с нами, что ваши патчи будут делать с нашими машинами!
• Происходит что-то смешное. Когда мы пытаемся исправить наши системы Windows Server 2016, применяются небольшие обновления, но более крупные накопительные обновления терпят неудачу. В журнале ReportingEvents указано, что произошел какой-то тайм-аут, но мы не можем понять, почему.
• Мы только что установили обычные исправления на серверы IIS в нашей тестовой комнате, и теперь у нас периодически возникают проблемы с подключением TLS, когда клиенты пытаются подключиться к этим серверам. Когда мы удаляем исправления.NET, проблемы исчезают. То же самое произошло и в прошлом месяце. К счастью, мы обнаружили это на наших тестовых серверах, прежде чем устанавливать исправления на наши рабочие веб-серверы!
• Только что установил последнее накопительное обновление на несколько десятков систем Windows 10 Pro и обнаружил, что в результате некоторые из них потеряли около 50 ГБ дискового пространства. Посмотрел дальше и обнаружил, что файл подкачки в этих системах огромен. ТС это сделал? Почему?
• Я установил обновление функций v.1803 для Windows 10 на свой Surface Pro и вместо экрана входа в систему получил черный экран с белым курсором мыши. Больше ничего не произошло, и мне пришлось принудительно перезагрузить машину, нажав кнопку питания. Наконец получил экран входа в систему и вошел в систему, но затем вместо рабочего стола экран снова стал черным. Снова вошел в систему, и на этот раз это сработало, и я получил рабочий стол. Однако через несколько входов в систему снова появляется черный экран. Несколько недель спустя я установил последнее накопительное обновление, и теперь моя машина работает нормально. Разве Microsoft не тестировала это обновление функций на своем собственном оборудовании (Surface) перед его выпуском??
• До сих пор исправление KB4345419 определялось WSUS как неприменимое для Windows 10 версии 1709, но теперь оно было одобрено для развертывания. Очевидно, что что-то не так с логикой обнаружения со стороны Microsoft, возможно, в метаданных патча.

Слишком много патчей?

Я думаю, что Microsoft, возможно, не осознавала, что быстрый темп выпуска, который они представили с Windows 10, усложнит их процесс разработки исправлений, потому что вместо того, чтобы просто исправлять одну версию Windows, им придется тестировать свои исправления на нескольких версиях, таких как v. 1703, 1709 и 1803. Я также считаю, что их стратегия выпуска трех видов исправлений для каждого обновления программного обеспечения — полных, дельта- и экспресс-обновлений — могла также способствовать как замешательству их клиентов, так и бремени тестирования при разработке исправлений. команда. В любом случае, для администраторов важно понять, как лучше справляться со стрессами, связанными со вторником исправлений, и я скоро рассмотрю эту тему в следующей статье на этом сайте.