套用 Service Pack、Hotfix 與安全性修補程式的最佳做法


作者:Rick Rosato
Technical Account Manager
Microsoft Corporation

摘要

此報告建議一系列部署 Microsoft Service Pack、Hotfix 與安全性修補程式的最佳做法。此文件所包含的資訊衍生自 Microsoft Technical Account Manager、 Microsoft Product Support Services (PSS) 工程師以及為人熟知的 Microsoft 訂閱產品 (如 Microsoft TechNet 與 Microsoft Developer's Network (MSDN))。

簡介

Service Pack、Hotfix 與安全性修補程式為產品更新,以解決已知的問題或提供解決辦法。

尤有甚者,Service Pack 將系統成最新的程式碼基底。架構在最新的程式碼基底之上是相當重要,因為那是 Microsoft 修正問題時最注重的地方。例如,任何在 Windows 2000 上所作的工作是以下一個 Service Pack 為目標,而 Hotfix 則是針對現有的可用程式碼基底而建立。

個別的 Hotfix 與安全性修補程式則應該根據案例的需求來採用。大部分發行的安全性更新是針對用戶端 (經常是瀏覽器) 的問題。可能會與伺服器安裝有關。請評估更新程式後,如果需要才套用。如果不需要,評估套用或不套用的風險。

有關 Service Pack、Hotfix 與安全性修補程式的完整描述,請參閱附錄 A – 定義.

基本的規則是:

「實作 Service Pack、Hotfix 與安全性修補程式的風險應該總是小於不實作的風險。」

以及

「您應該永不會因實作 Service Pack、Hotfix 與安全性修補程式而讓情況更糟。如果不確定,那麼採取步驟以確定移到生產系統時不會有任何疑問。」

以下的指引概述在實作 Service Pack、Hotfix 與安全性修補程式前建議遵循的步驟。您可以遵照逐步的指引來成功地實作任何 Microsoft 所建議的更新。

通用的最佳做法

這些做法可套用於所有的更新程式,不論是 Service Pack、Hotfix 或安全性修補程式。以下所列的通用項目是所有的更新程式都需要執行的必要步驟。此外,有一些針對每一種更新的特定最佳做法會列在各個更新之下。

  • 使用變更控制程序。

好的變更控制步驟會有已辨識的擁有人、顧客輸入的路徑、任何變更的稽核途徑、清楚的通告與審閱期間、測試步驟,以及非常清楚的撤消計畫。變更控制將從頭到尾管理程序。如果目前的程序缺少上述的任何一項,請在進行更新部署前,謹慎地重新考慮。

  • 閱讀所有相關文件。

    在套用任何 Service Pack、Hotfix 或安全性更新程式之前,應該閱讀所有相關的文件,並交由同儕審閱。同儕審閱的工作相當重要,因為可以減少風險,避免某人在評估更新時錯失主要的與相關的重點。

    讀取所有相關聯的文件是評估的第一步:

    • 更新有關聯性,將解決現有的問題。
    • 更新程式的採用不會造成其他問題而危及生產系統。
    • 有與更新相關的相依性 (亦即啟用與停用某些功能才能使更新有效)。
    • 會由更新引起的潛在問題,因為特定的指示可能說明或建議套用 Service Pack、Hotfix 或安全性修補程式之前要先進行一系列的事件或更新。

    與更新程式發行的文件的格式通常是網頁、附加的 Word 文件與 README.TXT 檔案。應該列印出來,並附加到變更控制程序作為支援文件。

    至於與更新程式一起發行的文件,Premier 的客戶可在 Premier 網站搜尋 (https://servicedesk.one.microsoft.com/WRPublic/EN/Consent.asp) 或在公用的 Microsoft Support 站台搜尋 ( http://support.microsoft.com ) 以取得與更新有關的額外發行後資訊。TechNet 也有 "List of Bugs Fixed in <產品名稱> Service Pack <n>" 文章。這是必須參考的重要文件。


  • 僅根據需要套用更新程式。

    對於 Microsoft 更新程式的常有的錯誤觀念之一是更新是必須的與/或緊急的。

    所有的更新程式,不論其種類 (Service Pack、Hotfix 或安全性修補程式),都依「需要」來套用。必須個別評估更新並將之視為重要的可選擇更新。

    特別是安全性修補程式,一般預期一定是緊急的問題,而且必須快速部署。如不嘗試降低其緊急性時,安全性修補程式是幾乎一定是有關的更新。例如,只使用 Windows NT4 的客戶大可忽略 Windows 2000 安全漏洞的修補程式 。但是,如果該問題有相關性,並確實造成安全漏洞,則應該緊急進行評估。

    只有當它提出或修正客戶所經歷的問題時,才應該加以考量。當然,在安裝前仍然需要經過評估。


  • 測試。

    前述的重點真的可以協助您體會 (在安裝之前) 潛在的衝擊,但是進行測試有如「試駕」,並結束更新的套用。

    Service Pack 與 Hotfix 在部署至生產環境前,必須在具代表性的非生產環境中測試。這將可以幫助控制變動所造成的衝擊。
     

  • 計畫解除安裝。

    在可能的情況下,Service Pack、Hotfix 與安全性修補程式必須安裝為必要時可以解除安裝的狀態。

    一般來說,Service Pack 可以解除安裝,所以要確認有足夠的磁碟空間以建立解除安裝的資料夾。
     

  • 網域控制站的一致性。

    所有網域控制站 (Domain Controller, DC) 上的 Service Pack、Hotfix 與安全性修補程式的層級必須一致。網域控制站間不一致的更新層級會造成與 DC 到 DC 之間的同步處理與複寫問題。

    在實際可行的狀況,成員伺服器 (Member Server) 也應該使用與網域控制站同樣的 Service Pack 和 Hotfix 予以更新。
     

  • 擁有可運作的備份並排程生產的停機時間。

    伺服器停機應該加以排程,並應該有完整的備份磁帶與緊急修復磁片,以備需要復原的狀況所需。

    確認有可運作的系統備份。將伺服器復原至先前可運作的安裝時,唯一支援的方法是從備份進行。有關備份與還原程序的詳細資訊,請參考:

    • 『MicrosoftR WindowsR 2000 Server Resource Kit 伺服器操作指引』中的「備份」。
    • 『MicrosoftR WindowsR 2000 Server Resource Kit 伺服器操作指引』中的「修復、復原與還原」。
  • 務必有撤消計畫。

    撤消計畫允許系統與企業恢復到原來的狀態 (在失敗的實作發生前)。重要的是這些步驟要清楚,偶發性的管理也測試過步驟,因為錯誤實作時如果最糟的情況就必須啟用偶發性選項。

    企業或許需要在更新程式沒有解除安裝程序或解除安裝程序失敗時,執行撤消計畫。撤消計畫可能很簡單,如從磁帶還原,或涉及漫長的手動程序。
     

  • 預警服務台與關鍵使用者群組。

    您需要告知服務台人員與支援人員 (如 Microsoft Product Support Service - PSS) 有關進行中的變更,以便他們可以對發生的問題或中斷做好準備。

    為了要將使用者衝擊降到最低,為關鍵使用者群組準備更新是不錯的主意,這將可協助管理使用者的期望。
     

  • 不要落後 2 次以上的 Service Pack。

將不定期的 Service Pack 升級排程為操作維護的一部份,並試著永不落後 2 次以上的 Service Pack。

  • 先以非重要的伺服器為目標。

如果所有在實驗室環境的測試都成功,可能的話,從非重要的伺服器開始部署,然後等到 Service Pack 已經在生產環境 10-14 天後,再移到主要的伺服器。

Service Pack 最佳做法

有很多不錯的 Microsoft TechNet 文章參考 Service Pack 最佳做法。所有您需要知道的內容都可以在下列的文件中找到:

Hotfix 最佳做法

  • Service Pack (SP) 層級的一致性。

    在安裝所有目前的 Service Pack 前,不要部署 Hotfix。Hotfix 與 Service Pack 相關,在部署時應該記住這一點。例如,如果 Hotfix 是用於 Windows 2000 SP2 之後的版本,就需要確認伺服器是否已安裝 SP2。


  • 安裝最新的 SP,而不是多個 Hotfix

    如果要套用多個 Hotfix,而且 Hotfix 是在最新發行的 Service Pack 中,請套用最新的 Service Pack,而不是套用數個 Hotfix。除非與最新 Service Pack 相關的問題會導致伺服器損壞。

安全性修補程式的最佳做法

  • 套用管理修補程式以安裝組建區域。

    相當重要的是,除了用戶端的安全性修補程式是回溯更新外,用戶端組建區域 (build area) 是為每一部用戶端更新。管理修補程式 (admin patch) 是必要的,而且和用戶端修補程式不同。它們需要套用到用戶端組建區域。管理修補程式通常位於和用戶端修補程式不同的位置。例如,管理 Office Security 修補程式位於 http://www.microsoft.com/office/ork/2000/appndx/toolbox.htm 的 Office Resource Kit Toolbox。


  • 只有完全符合才套用。

    只有遇到與該修正程式所解決的問題完全一樣的時候,或情況與您的環境相關時,才套用這些修正程式。


  • 訂閱電子郵件通告。

    訂閱通告別名以接收有關最新安全性修補程式的通告。

結論

當需要安裝 Service Pack、Hotfix 與安全性修補程式時,遵循這些最佳做法是很重要的。它們將指引您成功部署更新程式,如果更新失敗,也能協助您的企業復原。

附錄 A – 定義

Service Pack

Service Pack 修正已知問題並提供工具、驅動程式和更新程式以擴展產品的功能,包括在產品發行後才開發的強化功能。Service Pack 讓您獲取最新的程式碼基底。保持在最新的程式碼基底十分重要,因為那就是修正程式碼的所在。

Service Pack 讓產品保持在最新狀態,並延伸及更新電腦的功能。Service Pack 包括更新程式、系統管理工具、驅動程式與額外的元件。所有內容都包裝在一起以方便下載。

Service Pack 針對特定的產品,所以每一種產品都有自己的 Service Pack。但是,針對特定產品並不表示它們是 SKU (Stock-Keeping Unit) 專用。例如,Windows NT 4.0 Server 與 Workstation 就使用同一個 Service Pack。

Service Pack 有累積性,每一個新的 Service Pack 都含有所有之前的 Service Pack 修正以及任何新的修正。在安裝最新的 Service Pack 之前,並不需要安裝之前的 Service Pack。例如,SP6a 包含所有在 SP 1、2、3、4、5 和 6 的修正。

Hotfix 或 QFE

QFE (Quick Fix Engineering) 是 Microsoft 內一個製作「Hotfix」產品程式碼修補程式的事業部,這些產品提供給經驗重大問題、無可行變通方法的個別客戶使用。

Hotfix 不是給一般安裝使用,因為它們在建立時並沒有經過廣泛的測試。Microsoft 的 Hotfix 支援以企業等級的客戶為目標,設計為重要任務之軟體系統提供更高層級的安全性。

一組 Hotfix 會不定期地會納入經過激烈測試,然後讓其他客戶使用的 Service Pack。

Hotfix 不經過迴歸測試。Hotfix 非常特別─如果經歷與其處理的問題完全一樣的問題,應該只套用一個 Hotfix,而且使用該軟體版本最新的 Service Pack。

評估問題以找出潛在錯誤修正時所應符合的一般準則為:

  • 造成客戶過度的工作或收益損失。
  • 沒有合理、顧客可接受的變通方法存在。
  • 給予 Premier 帳戶的優先順序。

Microsoft 提供完整的 n-1 QFE 支援。這指的是我們將支援產品目前發售的版本以及其先前的版本。「版本」定義為有新增加功能的新發行,而且不包括被嚴格認定為維護版本的「A」層級版本。例如,如果 3.5 版被 3.5A 取代,錯誤修正不會在 3.5 版中,因為 3.5A 是維護版本。另一方面,如果 4.21 版被 6.0 版取代 (功能發行),錯誤修正會持續針對 4.21 版,直到發行另一版本為止。如果沒有產品更新 (如 LAN Manager),那麼將持續進行錯誤修正,直到流通量明顯減少。我們會在至少六週以前通知客戶將中斷 QFE 支援。

安全性修補程式

安全性修補程式消除安全性的弱點。要侵入系統的攻擊者可以利用這些弱點。安全性修補程式類似於 Hotfix,但如果情形符合,則必定要使用修補程式,而且需要快速部署。

大部分已發行的安全性修補程式是針對用戶端的問題 (通常是瀏覽器)。它們可能與伺服器的安裝有關。您需要取得管理修補程式與用戶端修補程式,因為用戶端修補程式會回溯進行用戶端基底的更新,而管理修補程式會更新在伺服器上的用戶端組建區域。

下面有有關安全性修補程式的不錯文章:

如上面提到的,「管理」修補程式的所在位置與用戶端修補程式不同。例如,管理 Office Security 修補程式位於 http://www.microsoft.com/office/ork/2000/appndx/toolbox.htm 上的 Office Resource Kit Toolbox。

也需要注意 Microsoft 有四個主要區域可以取得產品的用戶端軟體的安全性修補程式。這表示如果使用者可存取網際網路的話,就可以用下列的四種機制之一來更新電腦。

  • Windows Update http://windowsupdate.microsoft.com/ 。這個網站使用 ActiveX 技術來掃描 PC 以便知道所安裝的產品,並根據最新與正確的版本顯示需要升級的元件清單。
  • 最近的安全性公告可以在 http://www.microsoft.com/technet/security/current.aspx 上找到。這是搜尋單純與安全性相關的修補程式的最佳地方,尤其是網站已升級,允許以產品或日期搜尋。
  • 您也可以造訪產品專用的安全性修補程式下載網頁。可用的有 Internet Explorer (IE)Office 產品。IE 的下載網頁是一個簡單的長期安全性修補程式清單,您可以輕鬆按下清單取得所需的修補程式。但是並不像 WU,這裡並沒有工具可辨識已安裝的修補程式。
  • 最後,使用關鍵字「security_patch」搜尋 Microsoft 下載中心 (Microsoft Download Center, MDC) 中與安全性相關的修補程式。MDC 允許以產品名稱、產品種類或作業系統搜尋。不巧的是,不能同時使用關鍵字與這些類型搜尋。所以不如安全性公告網頁的搜尋機制有效。如果只是瀏覽,或如果以上的方法都無法產生適當的結果,再使用這個網頁。


顯示: