使用 gpo 的防病毒补丁？

Question 1

您可以使用 GPO 软件分配来推出新的 AV 软件。这实际上是确保所有工作站都受到保护的好方法：如果计算机位于具有防病毒策略的 OU 中，则将要安装了防病毒软件。（只需确保，如果您要切换 AV 平台，不要意外地导致在同一组工作站上同时安装多个产品。）

但是，当涉及到签名更新时，您不想使用组策略。签名更新发布得太频繁，因此 GPO 分配不是一种实用的选择。相反，您的 AV 产品需要通过其自己的管理服务器进行自我更新。任何企业 AV 产品都应该内置此功能。

根据个人经验，我不推荐 Symantec 或 McAfee。您可以考虑 ESET 或 Vipre 等性能更好的替代方案。

Answer

您可以使用 GPO 软件分配来推出新的 AV 软件。这实际上是确保所有工作站都受到保护的好方法：如果计算机位于具有防病毒策略的 OU 中，则将要安装了防病毒软件。（只需确保，如果您要切换 AV 平台，不要意外地导致在同一组工作站上同时安装多个产品。）

但是，当涉及到签名更新时，您不想使用组策略。签名更新发布得太频繁，因此 GPO 分配不是一种实用的选择。相反，您的 AV 产品需要通过其自己的管理服务器进行自我更新。任何企业 AV 产品都应该内置此功能。

根据个人经验，我不推荐 Symantec 或 McAfee。您可以考虑 ESET 或 Vipre 等性能更好的替代方案。

Question 2

Microsoft Forefront 客户端安全使用您现有的 WSUS 基础架构发布更新。这是一个优雅的解决方案，因为您可能将 WSUS 修补程序和 AV 签名传递到相同的网络段，并可以使用它在单个服务器的单个端口（80 或 443）上完成所有操作。

相比之下，部署 Sophos 更新需要客户端能够通过几个端口向中央报告服务器报告，并通过 SMB 端口向中央安装 (CI) 节点报告。从跨平面网络的防火墙术语来看，支持这一点的规则库很混乱。

Answer

Microsoft Forefront 客户端安全使用您现有的 WSUS 基础架构发布更新。这是一个优雅的解决方案，因为您可能将 WSUS 修补程序和 AV 签名传递到相同的网络段，并可以使用它在单个服务器的单个端口（80 或 443）上完成所有操作。

相比之下，部署 Sophos 更新需要客户端能够通过几个端口向中央报告服务器报告，并通过 SMB 端口向中央安装 (CI) 节点报告。从跨平面网络的防火墙术语来看，支持这一点的规则库很混乱。

Question 3

通过组策略部署 AV 时，“修补”它的唯一方法是创建一个全新的安装 MSI（确保将内部版本号增加一点），然后以与部署第一个包相同的方式部署它。这将导致在所有适当的机器上进行完整安装，但它们将被修补。

这是GPO软件部署系统的局限性之一。

从个人经验中我知道，SEP 有不增加小补丁版本号的习惯。

到目前为止，微软还没有扩展 WSUS 来支持非微软批准的软件包。

Answer

通过组策略部署 AV 时，“修补”它的唯一方法是创建一个全新的安装 MSI（确保将内部版本号增加一点），然后以与部署第一个包相同的方式部署它。这将导致在所有适当的机器上进行完整安装，但它们将被修补。

这是GPO软件部署系统的局限性之一。

从个人经验中我知道，SEP 有不增加小补丁版本号的习惯。

到目前为止，微软还没有扩展 WSUS 来支持非微软批准的软件包。

相关内容