Как получить доступ к управлению исправлениями Microsoft Windows

В предыдущей статье здесь, на TechGenix, я утверждал, что подход Microsoft к управлению исправлениями достиг критической точки, потому что боль от исправления операционных систем и приложений Windows стала почти невыносимой для многих администраторов. Я сказал, что что-то должно где-то уступить, и в ближайшее время, иначе у тех из нас, у кого Windows развернута в наших организациях, большие проблемы.

Но никто не хочет попасть в беду, поэтому, возможно, мы как администраторы управления исправлениями можем предпринять какие-то смягчающие меры, чтобы предотвратить надвигающуюся гибель. Эти шаги, конечно же, включают в себя как передовые методы управления исправлениями, так и советы инсайдеров о том, как справиться с беспорядком, который Microsoft, похоже, одержим созданием в этой области. Надеемся, что шаги, описанные ниже, дадут вам некоторую передышку, пока Microsoft не поймет, что она должна прекратить использовать своих клиентов в качестве живых тестировщиков для своих обновлений программного обеспечения и переосмыслить весь свой подход к тестированию и выпуску обновлений для Windows и таких приложений, как Microsoft Office.

Подождите неделю, прежде чем применять обновления

Возможно, первое и самое важное, что вы можете сделать в отношении управления исправлениями, — это подождать по крайней мере неделю, прежде чем применять обновление программного обеспечения после его выпуска Microsoft. Это означает, например, что вы должны быть готовы применять исправления примерно через неделю после вторника исправлений, дня, когда Microsoft выпускает новые исправления для Windows и который является вторым (а иногда и четвертым) вторником каждого месяца.

Эта тактика проволочек также должна иметь место, несмотря на любые срочные вопросы Microsoft о конце света в отношении критической важности исправления. Крупные организации выигрывают от этого, предоставляя себе достаточно времени для проверки последствий обновления, применяя его сначала в тестовой среде, которая точно отражает их производственную среду. Предприятия малого и среднего бизнеса (SMB) могут не располагать ресурсами ИТ-персонала, необходимыми для тщательного тестирования исправления перед его применением, но недельное ожидание по-прежнему приносит им пользу, поскольку это дает им время для проверки как Microsoft, так и третьей стороны. сторонние ресурсы, которые могут помочь им определить, может ли применение обновления оказать негативное влияние на их среду. Далее мы сосредоточимся на некоторых из этих дополнительных ресурсов.

Ознакомьтесь с известными проблемами, которые Microsoft определяет для каждого исправления.

Когда Microsoft отправляет уведомление по электронной почте о выпуске нового обновления для системы безопасности, электронное письмо обычно содержит упоминание о любых известных проблемах, выявленных Microsoft в связи с этим обновлением. Например, несколько недель назад я получил электронное письмо от Microsoft от 1 августа с заголовком «Выпуски обновлений безопасности Microsoft», в котором говорилось, что следующие CVE (Common Vulnerabilities and Exposures) претерпели значительное обновление: CVE-2018-8172, которое включает Уязвимость Visual Studio, связанная с удаленным выполнением кода, и CVE-2018-8202, связанная с уязвимостью.NET Framework, связанной с повышением привилегий. Другими словами, Microsoft выпустила обновление для исправления двух предыдущих обновлений, которые не смогли полностью устранить некоторые ранее выявленные уязвимости. В электронном письме Microsoft сообщила, что «объявляет о выпуске обновлений, доступных через каталог Microsoft Update, для устранения известных проблем, с которыми столкнулись некоторые клиенты после установки обновлений безопасности для.NET Framework за июль 2018 года».

Информация о выпущенных обновлениях программного обеспечения также доступна в статьях, опубликованных на веб-сайте службы поддержки Microsoft. Например, в статье под названием «14 августа 2018 г. — KB4343909 (сборка ОС 17134.228)», относящейся к Windows 10 версии 1803, анонсируются обновления для Microsoft HoloLens, обеспечивающие некоторые улучшения качества. Но в статье также указаны некоторые известные проблемы, связанные с обновлением:

Я хочу отметить, что если вы отвечаете за управление исправлениями в своей организации, то вам и вашей команде необходимо уделить время внимательному чтению этих электронных писем с уведомлениями (или просмотреть информацию на страницах поддержки для каждого нового обновления). и особенно раздел «Известные проблемы» в качестве предупреждения о том, может ли применение исправления вызвать больше проблем для вашей среды, чем решить. Так что не ленитесь! Делай свою домашнюю работу!

Просматривайте новости на сторонних сайтах мониторинга исправлений.

К сожалению, у малых предприятий может не быть времени или опыта, чтобы полностью изучить и понять поток информации, ежемесячно поступающей из Редмонда, с описанием новых исправлений, которые они выпускают для исправления более ранних исправлений, которые не исправили ситуацию должным образом. К счастью, перегруженный работой ИТ-специалист в таких организациях прибегает к помощи некоторых отличных технических новостных сайтов, посвященных проблемам, возникающим из-за того, что клиенты применяют новые обновления программного обеспечения. Веб-сайт Вуди Леонхарда Ask Woody — один из лучших источников, к которым ИТ-отдел малого бизнеса может обратиться в отношении того, что может взорваться, если они применят недавно выпущенное обновление программного обеспечения. А в начале этого года Microsoft MVP Сьюзан Брэдли, также известная как «The Patch Lady», теперь регулярно вносит свой вклад в сайт Вуди, и ее статьи могут быть неоценимы для упрощения и разъяснения часто сбивающих с толку сообщений Microsoft об обновлениях ее программного обеспечения. Том Валат, редактор сайта TechTarget, также часто публикует ценный контент о том, что хорошего и плохого в последних исправлениях из Редмонда.

Управление исправлениями: ускорение и замедление

Наконец, хорошей идеей будет изменить недельную задержку установки исправлений, ускорив или замедлив ее. В частности, для ваших наиболее чувствительных систем (например, серверов ключей) вы можете запланировать дополнительную неделю или две, чтобы тщательно проверить потенциальное влияние, которое может возникнуть в результате применения обновления программного обеспечения. Администраторы Microsoft Exchange и администраторы IIS — это два примера тех, кто в прошлом несколько раз сгорал из-за слишком раннего применения нового обновления, что приводило к выходу из строя почтовых систем и ошибкам интернет-магазинов.

С другой стороны, хорошей идеей будет сразу же применить патч к нескольким ключевым системам, чтобы не слишком сильно отставать от того, что делают плохие парни — при условии, конечно, что у вас есть функциональные возможности, позволяющие быстро выполнить обновление. вернуть эти системы, если это будет необходимо. Хотя развертывание исправлений сначала в тестовой среде, отражающей производственную среду, всегда является хорошей идеей, реальность такова, что большинство тестовых сред в конечном итоге сильно отстают от производственных сред, потому что пользователи не выполняют реальную работу на тестовых клиентах, а администраторы не выполняют реальное администрирование. тестовые серверы. Поэтому, пока вы просматриваете кучу писем с обновлениями безопасности от Microsoft и читаете новости на Ask Woody и TechTarget, вы также должны сделать решительный шаг и исправить несколько машин и посмотреть, не сломается ли что-нибудь.

И о да — если ваше беспокойство по поводу управления исправлениями становится невыносимым, всегда есть валиум.