如果您将 IT 外包,并且已由托管服务提供商设置了服务器,您建议如何处理 Windows 更新以及在这些机器上运行的软件?
您是否要求他们自动执行并应用所有更新?您是否要求他们进行手动更新,以便评估更新对您正在运行的软件和应用程序(例如您的 .Net 站点或 SQL Server)的影响?最重要的是,您是否要求他们在更新可用时立即应用更新,以便您更安全,还是先等待查看更新是否会导致其他服务器出现问题?假设我们没有任何测试服务器 - 只有一堆生产服务器。
我们在决定一个好的方法时遇到了一些困难,而且没有专门的 IT 部门,甚至没有一个 IT 人员。
答案1
我想不出有什么理由在没有首先测试更新的影响的情况下自动更新生产服务器。
编辑后添加:
随着虚拟化技术的出现,公司可以相当容易地以相对较低的成本和易于设置的设置获得测试环境,而不必购买两台服务器来复制生产环境。
如果你确实无法拥有测试服务器,那么我建议你测试为公司中不太重要的服务器打补丁。选择那些即使需要重建也能承受损失的服务器。
但是永远永远不要自动更新生产服务器。
答案2
如果您进行外包,恕我直言,这个决定是您的服务提供商的责任。您付钱给他们来维护您的系统,最好是签订 SLA。他们将必须决定如何履行此协议。
更一般地讲,盲目地应用所有补丁是一场灾难,因为你永远无法确定补丁不会产生比它应该解决的问题更严重的问题。所以你必须区分:紧急补丁(例如)修复了任何人都可以闯入你的 IIS 服务器的漏洞,当然必须立即应用,但如果你没有立即受到影响,我认为最好至少等待一段时间,看看其他人是否遇到了给定补丁的问题,如果你不能自己测试它(这当然是最好的方法)。简而言之:这取决于...
答案3
谨慎行事,避免风险。Windows Update 已经损害了优秀的应用程序(参见 Skype 2007)。今年早些时候,我们看到
http://www.engadget.com/2010/04/21/mcafee-update--shutting-down-xp-machines/
有趣的是,防病毒签名可能是每个人都会做的事情,即使是那些拥有官方“不自动更新”政策的公司也会自动更新。
但你描述了“没有测试服务器”,所以我猜你所在的组织无论如何都不会进行测试,即使有机会。外包的 IT 部门无法确定更新是否会对你的应用。
因此,考虑到您明显的资源,最好的方法可能是向他们索要定期的软件/操作系统清单,并详细说明其修订版本和补丁级别。当出现问题时,您有机会知道哪些更新导致问题。自动更新可能不会带您进行主要版本升级,因此您仍然可以协调这些升级。
并为自己获取一些测试服务器!:)