我们有一个关键的生产网络服务器,只能在周日早上重新启动。
几乎所有重要的安全补丁在安装后都要求重新启动。我担心周二会发布安全漏洞补丁,而零日漏洞会在 5 天后服务器有机会重新启动之前就破坏服务器。
漏洞是在安装后还是重启后被消除?我是不是太过偏执了?集群是解决这个问题的唯一方法吗?
答案1
答案取决于补丁的类型。例如,如果补丁可以修改注册表,并且可以在修改后立即检测到更改,那么无需重启就没问题。如果补丁明确指出需要重启,那么只有在机器启动后才会完全生效。
最近,大多数 Windows Server 更新都需要在 2008 及更高版本上重新启动。我们制定了一项政策,即更新将在允许重新启动时间的当天发布,因此更新会按顺序进行。我们的更新时间是星期三晚上。我们还有一组关键服务器,我们只能手动进行路径设置。因此,在合适的时间部署软件包并等待操作员确认后再进行安装。
答案2
如果更新需要重新启动,那么更新直到重新启动后才会生效,因此需要重新启动。
答案3
视情况而定。如果补丁需要重新启动才能替换应用补丁时正在使用的文件(如 kernel32.dll),则补丁只有在重新启动后才会生效。