在单个生产 Web 服务器上安装 Windows 更新的最佳做法是什么。该服务器负载相当高,每天的页面浏览量约为 50 万次,目前没有测试机器可以预先测试更新。
我看到很多人建议仅手动安装关键更新。
您的最佳更新做法是什么?
手动还是自动?
是否进行预测试?
部分更新还是全部更新?
频率如何?
我应该在这里考虑任何重要的工作流程吗?
奖励问题
有谁因为没有预先测试更新而遭遇过严重失败吗?
(我想我已经知道这个问题的答案了)
谢谢
答案1
在这种情况下,绝对只安装关键的安全补丁并手动执行。
补丁一发布就检查,并确定您的特定系统漏洞的风险等级。只要
您遵循合理的安全最佳实践(例如禁用未使用的服务、阻止未使用的端口、登录计算机时不浏览互联网等),许多 Microsoft 补丁都无关紧要。
这样就只剩下极少量的远程代码执行漏洞,您应该尽快修补这些漏洞 - 在备份所有内容后,一次修补一个,并准备好测试并在补丁程序破坏任何东西时回滚该补丁。
然而,这并不是一个好地方,您应该在中期内构建一个适当的环境来测试补丁,最好使用第二台生产服务器,以便您可以安全地修补和测试而无需停机。
答案2
自动更新肯定不行。如果你没有开发环境,最好的办法是等待更新,直到你可以研究它们并找出其他人是否有问题,尤其是服务包和汇总。我总是先在我的开发机上预先测试更大的更新。
确保您拥有良好的备份始终是一个好主意,以防更新完全破坏您的环境。
有些评论提到了系统还原。就我个人而言,我不会在生产服务器上使用它们,因为我有可以先破坏的开发机器。
答案3
如果是生产机器,请始终准备一台测试机器以进行测试。您当然稍后会再次使用它,因此不会有任何损失。而且,众所周知,看似微小且无害的更新/补丁会对最坚固的机器造成严重破坏。始终投资于可靠的备份工具。在我看来,Symantec Ghost 和 Backup Exec 都不错。据我所知,Acronis 是另一个不错的工具。然后,由于这只是一台服务器,请选择相关补丁(发布的许多补丁可能与您的机器无关)并将其下载到机器并手动安装。我建议您将评级为“关键”或更高的补丁作为优先级,其他补丁有时可能会延迟(比如一个月左右) - 但不要完全忽略它们。