È mai sicuro installare patch in parallelo su un sistema operativo Windows? Quando devo riavviare dopo ogni patch?

Naviga le tue risposte
0

Mi viene in mente che non tutti gli installatori sono a conoscenza l'un l'altro (Windows Update, contro alcuni programmi di installazione di hotfix e service pack) e bloccano l'esecuzione simultanea.

Ad esempio, sono in grado di eseguire contemporaneamente le correzioni di Windows Update Security e gli aggiornamenti cumulativi di Exchange Server.

Dato questo esempio e che è del tutto possibile che una patch scritta male sovrascriva una chiave di registro runonce (invece di aggiungere una stringa multi-valore), mi chiedo se è possibile per un amministratore rendere inconsapevolmente una patch di sicurezza inutilizzabile a causa di patch simultanee.

La mia domanda è quando si sa che è sicuro (o esplicitamente pericoloso) eseguire patch in parallelo o non riavviarsi dopo ogni patch (eseguendo le necessarie azioni di pulizia)?

    
posta random65537 17.10.2013 - 06:46
fonte

1 risposta

2

Il fraseggio della tua domanda è molto confuso. " È mai sicuro installare patch in parallelo su un sistema operativo Windows?" . Sì, a volte è sicuro. È sempre sicuro ed è facile conoscerli "a volte"? No.

Nel registro di Windows, è presente una sottochiave denominata PendingFileRenameOperations . Gestisce le situazioni in cui determinate operazioni vengono eseguite sui file mentre sono bloccate e le esegue quando vengono rilasciati i file e, in particolare, dopo un riavvio. Le installazioni di Windows Update (incluse le correzioni di sicurezza dei bollettini sulla sicurezza installati in modo indipendente) fanno ampio uso di questa funzione per applicare tali patch / correzioni. "Che cosa potrebbe andare storto?", Chiedi. Bene, vediamo questo esempio:

  1. Hai installato Security Fix # 1 che contiene (tra le altre cose) File_A versione 0.3 che dovrebbe sostituire il% bloccatoFile_A versione 0.1, l'operazione viene aggiunta alla coda Rinomina file in sospeso (menzionata in precedenza).

  2. Senza un riavvio, hai installato Security Fix # 2 che contiene (tra le altre cose) File_A versione 0.2 (vulnerabile), perché il tuo file è bloccato, l'operazione viene aggiunta alla coda (ricorda, a questo punto, prima del riavvio, hai ancora la versione 0.1 di quel file).

  3. Dopo il riavvio, le operazioni in coda vengono eseguite sul tuo file nel rispettivo ordine. File_A viene prima sostituito con la versione 0.3 e sostituito con la versione 0.2 (vulnerabile).

Se avessi riavviato tra queste due correzioni, il programma di installazione sarebbe stato in grado di verificare la versione del file reale su disco e impedire che la versione 0.3 venisse sostituita dalla versione 0.2. Poiché il file su disco è in realtà 0.1, l'installer non ha avuto dubbi.

Microsoft ha un piccolo e accurato strumento chiamato Qfecheck che passa attraverso le correzioni di sicurezza e gli aggiornamenti installati e si assicura che siano " re installato correttamente e non si è verificata alcuna situazione di questo tipo. Se utilizzato in un grande ambiente in batch, è molto utile per generare report automatici sullo stato della patch di tutti i computer di una società.

Ma aspetta, c'è dell'altro! Microsoft ha anche un altro strumento molto pulito chiamato QChain . Si assicura di avere sempre l'ultima versione del file nella coda delle operazioni in sospeso. Ecco come usarlo:

  1. Esegui gli aggiornamenti con l'opzione -z per impedire il riavvio.

  2. Esegui QChain.exe

  3. Reboot.

Questo è tutto!

    
risposta data 17.10.2013 - 09:34
fonte

Leggi altre domande sui tag

E 'possibile scansionare un host remoto in un'altra rete se conosco una porta che viene aperta? attacchi di avvio a freddo