禁用 Windows 更新并手动管理补丁

禁用 Windows 更新并手动管理补丁

我们在托管设施中托管了几台服务器,并已安排另一家公司对我们的机器进行一些监控和服务器维护工作。该提供商建议我们“关闭”Windows Server 2008 R2 服务器中的 Windows 更新,并使用一些第三方工具来管理机器的更新。他们声称这提供了一种更精细的补丁管理方法,并且当我们的服务器数量增加时,它将非常有用,因为我们将能够轻松地将相同的补丁应用于所有服务器或执行类似的批量操作。

编辑他们将使用的第三方工具是加濑屋

你怎么看?禁用 Windows 更新是一件令人不快的事情吗?或者当使用合法的第三方工具时可以吗?你有过这种设置的经历(好的或坏的)吗?谢谢。

答案1

使用受信任的第三方工具并没有什么问题。事实上,其中一些工具比 Windows Update/WSUS 好很多。这些工具似乎使用代理,我个人对将代理放到服务器上非常谨慎,你必须尽职尽责,并向你证明它不会影响你的性能。

但是,就你的情况而言,在采取这种行动之前,我希望先与你签约的公司取得联系。让他们先接管管理工作,使用你正在使用的工具,然后随着你对他们的信任度越来越高,再慢慢整合他们的流程。你不会想在 3 个月后才发现他们在管理你的服务器方面做得很糟糕,而且还要忍受删除他们喜欢的工具的痛苦。

答案2

我上一家公司的 Windows 员工也做了类似的事情(他们使用了 Hercules,被 McAfee 收购后

这种方法本身并没有什么问题,而且对他们来说效果很好(例如,你可以不安装已知会破坏 MS Exchange 的补丁,如果补丁无法应用于机器,你会得到很好的报告,说明原因)。真正的好处是可以回滚补丁并恢复到以前的工作系统状态,我看到它使用过几次,效果相当可靠。

我要指出的是,最好将其与扫描/审计工具结合使用,例如涅索斯,无论如何,这都是一个好主意,以确保您的机器得到良好的修补并且相当安全。

答案3

我对该产品不熟悉,因此无法评论其好坏。不过,我很想知道多少台服务器才算“少数”,因为使用第三方产品可能对您来说有些过度。我还对任何外部公司毫无预兆地推荐特定产品深表怀疑,主要是因为他们的动机可能并非完全无私。例如,他们是否是该产品的经销商,因此可以从任何潜在利润中分一杯羹(或获得丰厚的持续维护合同)?

我想说你需要仔细考虑你的情况。如果原版 Windows Update 正好满足你的要求,并且你对当前使用没有任何问题,或者你只需​​要进行一些简单的重新配置,那么你真的有理由升级到下一个级别吗?如果你确实需要升级,WSUS 是否足够?只有当你确定了实际需求并确定了使用它的真正投资回报时,才可以升级。

相关内容