我发现大多数用户都忽略了 WSUS 推送的“有更新可供安装,单击此处安装”消息。到目前为止,我们还没有强制安装,但我正在考虑更改组策略以强制每晚更新。这有时需要重新启动,我也想通过 GP 强制执行。
我知道用户会反对,但我想知道这是否是可辩护的最佳实践。这似乎是确保 PC 保持最新和安全的正确做法。
答案1
我只想就自动重启问题发表一下看法:根据我的经验,自动/强制重启通常是一种坏的主意。
我们系统管理员经常对确保已应用最新补丁感到有些复杂安装后立即修复,因为天哪,直到那时系统才有补丁。但是,您必须意识到系统管理员至少在理论上是为了让使用系统的人们能够开展工作。
如果在安装补丁后自动重新启动,并且工作站的系统时钟已重置,认为现在是凌晨 2 点,而某个可怜的呆伯特丢失了工作,那么您就犯了一个大错误。在我看来,这比网络上有一个暂时未打补丁的系统要严重得多。
根据我的经验,最好使用某种不可忽略的消息来告诉用户重新启动。让他们完成工作并在午餐时间重新启动,或者要求他们在晚上关闭工作站,或者采用适合您组织的其他方法。
话虽如此,当我帮助管理一所大学的 12 个计算机实验室时,我们定义了停机时间,因为门是锁着的,我们确信没有人会使用任何机器。在这种情况下,自动重启肯定没问题;只是自动强制停止工作让我很恼火。
答案2
我们自动安装,然后将安装重启延迟 30 分钟 - 提示用户立即重启,如果 30 分钟内没有响应,则重新启动机器。最初有些抱怨,但已经习惯了。如果他们正在做某事,他们可以点击“稍后重启”以将重启延迟到合适的时间。但每 30 分钟就会提示一次。这在用户重启和永远不安装更新之间取得了很好的平衡。
编辑:
更新 - 抱歉,当我仔细检查我的 GPO 设置时错过了设置,重新启动的 Re 提示是可独立配置的。因此,您可以设置再次提示之前的延迟。此外,这是针对 2003 环境的,他们可能在 2008 年添加/更改了选项
答案3
因为您确实首先测试了补丁(不是吗?),所以您知道哪些补丁需要重新启动系统。
您可以创建一个计划,规定每个月的最后一个星期三或星期四发送一封电子邮件,说明您需要部署 X 个需要重新启动计算机的补丁。请让您的机器整夜开机。
当然,这不是一个绿色解决方案,但它确实使您能够满足用户的需求并保持系统更新。
对于其他补丁,您可以采用 Zypher 发布的解决方案。
答案4
如果您正在寻找技术原因,是的,从“技术上”讲,最佳做法是确保立即修补机器,并且用户不能延迟或规避补丁的正确应用(包括所需的重新启动)。
不过,我要说的是,补丁安装后自动重启的决定是一项业务决策,而不是技术决策。我认为系统管理员倾向于这样做的主要原因是,如果一些未打补丁的系统被入侵,在没有适当的隔离系统的情况下,通常需要很长时间才能清理干净。然而,强制重启可能会影响生产力或不可接受,具体取决于机器的使用情况(例如销售点机器或广播机器)。
您可能会发现,您可以强制目标计算机的某个部分自动重启,但其他计算机有正当的商业理由不自动重启。一如既往,业务是您的客户,因此您可以列出“技术最佳实践”建议的利弊,让他们做出决定。