使用 gpo 的防病毒补丁?

使用 gpo 的防病毒补丁?

我可以使用 gpo 来安装防病毒补丁或更新吗?

有什么方法可以扩展 wsus 来实现这一点吗?

答案1

您可以使用 GPO 软件分配来推出新的 AV 软件。这实际上是确保所有工作站都受到保护的好方法:如果计算机位于具有防病毒策略的 OU 中,则将要安装了防病毒软件。(只需确保,如果您要切换 AV 平台,不要意外地导致在同一组工作站上同时安装多个产品。)

但是,当涉及到签名更新时,您不想使用组策略。签名更新发布得太频繁,因此 GPO 分配不是一种实用的选择。相反,您的 AV 产品需要通过其自己的管理服务器进行自我更新。任何企业 AV 产品都应该内置此功能。

根据个人经验,我不推荐 Symantec 或 McAfee。您可以考虑 ESET 或 Vipre 等性能更好的替代方案。

编辑-相关问题:最适合 Windows 域网络的防病毒软件是什么?

答案2

Microsoft Forefront 客户端安全使用您现有的 WSUS 基础架构发布更新。这是一个优雅的解决方案,因为您可能将 WSUS 修补程序和 AV 签名传递到相同的网络段,并可以使用它在单个服务器的单个端口(80 或 443)上完成所有操作。

相比之下,部署 Sophos 更新需要客户端能够通过几个端口向中央报告服务器报告,并通过 SMB 端口向中央安装 (CI) 节点报告。从跨平面网络的防火墙术语来看,支持这一点的规则库很混乱。

答案3

通过组策略部署 AV 时,“修补”它的唯一方法是创建一个全新的安装 MSI(确保将内部版本号增加一点),然后以与部署第一个包相同的方式部署它。这将导致在所有适当的机器上进行完整安装,但它们将被修补。

这是GPO软件部署系统的局限性之一。

从个人经验中我知道,SEP 有不增加小补丁版本号的习惯。

到目前为止,微软还没有扩展 WSUS 来支持非微软批准的软件包。

相关内容