【邮安全】补丁计划的最佳实践

        小编最近的两篇文章都直指系统补丁的Bug,一个(KB4041676)直接导致Windows 10操作系统宕机;另一个(IOS 10.0)会让苹果用户连不上最新的微软邮件系统。

有个用户在文章下面跟小编吐槽Win10补丁bug一堆,对于那个造成5500台客户端宕机的管理员深表同情。运维无小事,少打一个补丁可能造成WannyCry病毒肆虐,多打一个补丁可能造成全面宕机,背锅的都是运维人员。

微软自身关于服务升级包(Service Pack),热修复(Hotfix)以及安全补丁(Security Patch)是有自己的最佳实践的。对于补丁计划,官方的基本看法是:“安装补丁的风险总比不安装的风险小”以及“打总比不打强,如果你不确定打上后有没有影响,那就去确定移除补丁有没有影响”。

官方的最佳实践一共有以下11个宗旨:

  1. 使用ITIL中的变更管理流程;
  2. 阅读目标补丁的所有的文档;
  3. 根据产品按需选取补丁;
  4. 测试;
  5. 制定完整的卸载计划;
  6. 在域环境下保持所有域控补丁级别的一致性;
  7. 事前备份及为生产系统预留宕机恢复时间;
  8. 如遇无法恢复,有应急预案;
  9. 提前通知Helpdesk及关键用户组;
  10. 避免一次性跨两个服务版本的升级;
  11. 先升级非业务系统。

看到这里,相信所有的SA都已经抓狂了。按照这个流程,我的工作就全部被研究和测试补丁给占满了。

 

 

没办法,既然不能跟着官方节奏打call,我们只好自己凭经验找点捷径。小编总结了六步法则,大家看看有没有实际意义和可操作性。

  1. 制定并更新配置数据库,包括所有生产系统的OS,IP地址,物理位置,负责人和应用维护窗口;
  2. 标准化系统和应用的目标版本。现有版本与目标版本差异越小,后续工作越简单;
  3. 列出当下所有的安全控制设备:路由器、防火墙、入侵探测系统、反病毒系统以及它们的配置信息。这份列表将告诉你如何应对一个漏洞警报。比如你知道OpenSSH是一个漏洞会引发缓存溢出攻击,但在你的设备配置清单里根本就不允许OpenSSH的协议通过任何防火墙,那这就是一个可忽略的漏洞;
  4. 比较漏洞报表与你的配置数据库(包括安全控制设备)。要注意两点:一是你需要一个可靠的系统来收集这些漏洞警报,二是你需要区分哪些漏洞会影响的系统,哪些不会。有些公司专门有人员负责这个筛查工作,而有些公司购买了漏洞报表服务(Vulneralility Reporting Service)。
  5. 风险评级。评估漏洞及其在现有环境中爆发的可能性。可能现有环境中一些服务器有漏洞,但这些服务器其上的系统非核心业务甚至非业务。评级需要考虑三个要素:威胁的严重性,依据网络划分的漏洞的等级(比如会在内网还是在DMZ区域)以及缓解或修复的成本。
  6. 有了上述的准备之后就可以打补丁了。你已经知道你的目标补丁列表了,接下去就是如何在不影响业务的情况下部署它们,当然我们在配置数据库里面已经记录了系统的非业务时间,在这个窗口里人工更新就好了。从成本角度考虑,人为补丁更新一定是最便宜的;但算上人工和系统不可用的时间,昂贵的补丁管理软件似乎也不是不能考虑。

漏洞和补丁管理绝非易事。尤其是在信息化已全面占据了我们的衣食住行,片刻不能停机。通过上述的步骤,相信贵司一定可以在下一个勒索病毒爆发之前守备森严,岿然不慌。

邮才 ∣有才有态度的邮件社区

 

李 章毅
Exchange MVP

李 章毅

找张正经又不装逼的照片挺难的。。。
李 章毅
Exchange MVP
发布于: 浏览:273 次

还没有评论

欢迎参与到我们的技术讨论,问题和分享都可以。