Статья имела бы смысл, если бы производитель исправлял дыры в своих прошивках. Например есть устройство WD My Cloud со старой прошивкой v04.05.00-327, которая «актуальна» и подвержена известной уязвимости, позволяющей получить полные права из сети.
Верить на слово в вопросах безопасности никому нельзя, только с личными перепроверками. Конечно если хочется обезопасить систему настолько, насколько это возможно нам как пользователям. Здесь же сотрудник просто не досмотрел или неправильно понял своих коллег, в чём можно легко убедиться.
Однако KB3125574 не просто так доступен только для ручной установки, WU его не предлагает и автоматически не устанавливает, посмотрите на его известные проблемы, а есть ещё неизвестные вроде проблем с некоторыми драйверами AMD.
2010 работает на XP. Конечно, если использовать какие-то сверхновые фишки более свежих офисов, то теоретически младший их не отобразит, но на практике такое не встречается для обычных рабочих документов, и в более новых есть режим обратной совместимости.
Это как раз не проблема, они обновляются тем же набором для WinXP, а проблемы возникают там, где производители отказываются обновлять свои программы из-за окончания поддержки. Например большинство современных браузеров не будут открывать сайты с алгоритмом подписи сертификатов ECDSA (у Firefox своя реализация и он их нормально открывает), Java плохо поддерживается и многие клиент-банки уже не работают на WinXP (для организаций решается переносом части функций на сервер терминалов) и всё в таком роде. При желании жить можно, но не так комфортно, как на более современных системах.
Какой номер вы хотите, если даже не проверили предложения WU после установки всего двух больших обновлений? И Майкрософт нигде не утверждает, что их достаточно. Вот скриншот WU Win7x86 после установки обновлений только по вашим рекомендациям, из чего видно, что указанных вами трёх обновлений явно недостаточно для полного удовлетворения.
Все программы с исходниками вызывают больше доверия, но не всегда это целесообразно. Мало их просто выложить, чтобы это имело смысл нужно писать большую поэтапную инструкцию, как это всё собирать в конечный продукт, а потом отвечать на бесконечные вопросы «а как переделать что-то для чего-то» или «у меня ничего не получается», и всё равно исходник будет не полным, т. к. будет отсутствовать доступ к личному онлайн-хранилищу переводов на другие языки и масса других нюансов.
Мой комментарий немного не о том, имеется в виду что набор делается не в вакууме, а активно применяется в продакшене на боевых серверах, поэтому качество и безопасность здесь должно быть на первом месте.
Ну а по поводу источника — набор делается давно и подписан, дальше админы уже самостоятельно принимают решение о надёжности по своим критериям. На критически важных серверах и официальные обновления необходимо предварительно тестировать, даже с полным доверием к производителю в продуктах не исключены ошибки.
Можно попробовать дополнительно отключить DEP и PAE, да и в целом посмотреть на ситуацию, однако при такой секретности у вас надежда или на себя, или на производителя программы.
А это софт доступен для посмотреть? Интересно, что же там такое работает на SP2 и не работает на SP3. Пока ещё обновления для SP3 выходят система не совсем мертва, а на многих организациях в виде терминалов и печатных машинок самое то.
Телеметрия не вырезана, а корректно отключена. Разница в том, что при удалении служб и назначенных заданий и установке нового обновления с WU они будут установлены заново, а отключенные так и останутся отключенными — это надёжнее.
DWS Lite не нужен, он вносит лишние (в том числе бесполезные) твики и отключает полезные назначенные задания, не связанные с телеметрией. Хотя если вы явно укажете, какую телеметрию оставляет UpdatePack7R2, это будет проверено и учтено.
Таким образом, после установки указанных трех обновлений, Windows 7 полностью обновлена с учетом всех исправлений стабильности и безопасности на текущий момент.
Попробуйте после этого запустить центр обновлений, удивитесь.
ATA-пароли и не позиционировались как надёжное средство защиты, сама спецификация очень древняя. Другое дело TCG Opal, там при правильной реализации можно на что-то рассчитывать. Но всё равно мы как потребители не можем проверить, есть ли там аппаратные закладки, поэтому самым надёжным будет софтовое шифрование с открытыми исходниками.
Ну а по поводу источника — набор делается давно и подписан, дальше админы уже самостоятельно принимают решение о надёжности по своим критериям. На критически важных серверах и официальные обновления необходимо предварительно тестировать, даже с полным доверием к производителю в продуктах не исключены ошибки.
DWS Lite не нужен, он вносит лишние (в том числе бесполезные) твики и отключает полезные назначенные задания, не связанные с телеметрией. Хотя если вы явно укажете, какую телеметрию оставляет UpdatePack7R2, это будет проверено и учтено.
Просто оставлю это здесь. Сделано сегодня, на одной странице.
Вредный совет.