Microsoft Windows Patching best practice e guida
Gli aggiornamenti per i sistemi che eseguono il sistema operativo Windows e i suoi prodotti sono identificati come Service Pack, Hotfix e Patch di sicurezza. Questi aggiornamenti offrono una soluzione abbastanza veloce e prescritta o una soluzione alternativa per un problema in questione. Tuttavia, questi aggiornamenti indipendentemente dal loro tipo dovrebbero essere applicati solo su una base "necessaria", ad esempio solo quando è in grado di risolvere un problema che disturba un cliente. Inoltre, l'aggiornamento dovrebbe essere valutato prima di essere installato. In breve, non è obbligatorio installare subito gli aggiornamenti.
Procedure consigliate per la patching di Windows
Le patch di sicurezza riducono al minimo i rischi per la sicurezza e altre vulnerabilità. Questi sono analoghi agli hotfix. Microsoft offre principalmente percorsi diversi per ottenere patch di sicurezza del software client per i suoi prodotti. Questi sono:
- Aggiornamento Windows: Fa uso della tecnologia ActiveX per controllare un PC per la più recente protezione di sicurezza e i migliori driver e software installati. Al termine, visualizza un elenco di componenti suggeriti che richiedono l'aggiornamento
- Recenti bollettini sulla sicurezza: Soluzione unica per la ricerca di patch relative alla sicurezza. Permette la ricerca per prodotto o data.
- Pagine di download della patch di sicurezza specifiche del prodotto: Fornisce patch di sicurezza per prodotti specifici. Ad esempio, Internet Explorer (IE) e Office Updates. Le patch di sicurezza della pagina di download di IE differiscono da Windows Update in modo tale che la pagina di download di IE non consente di identificare patch già installate come fa Windows Update.
- Microsoft Download Center (MDC): Consente ricerche per nome prodotto, categoria prodotto o sistema operativo.
- Iscrizione alla notifica via email: Informa un utente sulle ultime patch di sicurezza tramite e-mail proattive. Le patch di sicurezza devono essere installate, che siano seguite queste best practice.
Oltre a questo, Windows 8, e Windows Server 2012, impiegare un metodo di applicazione diverso rispetto alle versioni precedenti.
Le tre forme di aggiornamenti per questi sistemi operativi includono,
- Patch Standalone globale: La patch intende coprire i problemi critici del sistema operativo e viene solitamente rilasciata in varie lingue. È completamente testato prima di rilasciare pubblicamente.
- Patch a rilascio limitato: Include correzioni che vengono generate come risultato di un incidente di assistenza clienti critico e, di conseguenza, richiesto per essere rilasciato in un tempo stabilito.
- Rollup mensile: Fa uno sforzo per servire la famiglia di sistemi operativi Windows 8/2012 ogni mese tramite rollup mensili.
Guida alla patch per Windows 8.1 e Windows Server 2012 R2
1] Installa tutti i rollup disponibili dal milestone precedente, ovvero da Windows 8 a Windows 8.1 o da Windows Server 2012 a Windows Server 2012 R2.
2] Usa Windows Update o Windows Server Update Services. Valuteranno le patch attualmente installate, quali patch sono disponibili, esamineranno le patch sostituite e offriranno un elenco di patch attualmente disponibili.
3] Gli aggiornamenti critici dovrebbero essere testati e installati il prima possibile con priorità elevata.
4] Gli aggiornamenti importanti dovrebbero essere testati non appena possibile e installati non appena possibile.
5] Gli aggiornamenti consigliati e opzionali possono essere rivisti, testati e installati secondo le esigenze, a seconda della convenienza.
Quando si dovrebbe applicare Patch di sicurezza di Windows
- Applicare solo sulla corrispondenza esatta: Applicare la patch di sicurezza solo quando si è certi che l'aggiornamento risolverà il problema riscontrato dall'utente.
- Applica le patch di amministrazione per installare le aree di compilazione: Il post cita, le patch di amministrazione differiscono dalla patch del client e di solito si trovano in una posizione diversa rispetto alle patch sul lato client.
Pertanto, è fondamentale che non solo i client vengano aggiornati in modo retrospettivo con le patch di sicurezza, ma anche le aree create dal client vengono aggiornate per eventuali nuovi client. La maggior parte degli aggiornamenti di sicurezza rilasciati sono per problemi lato client (spesso browser). Può essere così, sono rilevanti per l'installazione di un server completamente o in remoto. Si dovrebbe cercare di ottenere sia la patch di amministrazione che la patch del client poiché la patch client aggiornerà retroattivamente la base del client e la patch di amministrazione probabilmente aggiornerà l'area di build del client sul server.
Il post di blog di Microsoft elenca le best practice per la distribuzione di service pack e patch di sicurezza Microsoft e offre alcuni link di risorse di valore. Per ulteriori informazioni, vedere questo post su TechNet.