Windows Server 2012R2。它仅服务于本地网络:文件服务器和 SQL 数据库。它与互联网隔离,除了更新服务器外,没有端口转发。
问题:让它自动下载并安装更新是一个好主意吗,还是应该手动完成?
(我之所以问这个问题是因为有人声称不需要任何帮助,因为服务器可以自动下载并安装更新,而我声称由于它是一台独立的机器,更新并不那么重要,应该时不时地、批量地、手动地进行更新,以防它们造成损坏。服务器还运行一些遗留软件 - 这些东西可能会损坏。我确实意识到没有一种方法是完美的。)
你能给出建议吗?能详细说明一下吗?
答案1
一般来说,我认为禁用自动更新的唯一原因是当您运行的应用程序由于某些奇怪的原因在重启后无法继续运行。
太多安全架构依赖于保护边界,但一旦边界被攻破,内部网络就很容易受到攻击。这包括个人计算机安装“Beachhead”恶意软件,从而进一步危害网络;VPN 凭据被盗用……等等。
我会启用自动更新,除非有令人信服的理由不这样做 - 例如,服务器上运行的应用程序在重新启动后无法可靠地重新启动,而这听起来不像是这种情况。
答案2
除非计算机与网络断开连接,否则它永远不会真正被隔离。如果有办法从其他计算机使用它的任何服务,那么它就是一个潜在目标。
如果它已连接到网络,请启用自动安全更新。没有例外。
编辑:除非在所有其他可能的解决方案都经过评估、测试并被发现无法管理时作为最后的手段,否则没有例外。