我们应该安装 Windows 安全更新吗？

简短回答 - 是的。大多数 Windows 更新都与安全有关。没有补丁意味着您容易受到攻击。

更长的答案 - 您需要一个涵盖此类事情的程序。现在这种情况比较少见，但有时补丁可能会破坏某些东西，或改变行为，以至于对您的公司而言是破坏性的。您应该在发布每个补丁时对其进行评估（每月发布一次，还有一些紧急补丁），确定您是否需要该补丁（可能需要），在测试/登台服务器上进行一些测试，以尽职调查潜在的破坏性，然后进行安装。

您还应该对部署多加注意，因为操作系统修补通常意味着重新启动，这通常意味着服务会停机，除非您为所有服务提供了良好的高可用性。如果您认为自己很聪明，可以在白天修补，然后推迟重新启动，那么这不是一个好主意 - 有些文件会更新，但其他文件不会。

微软提供了一款名为 WSUS 的免费产品，它可以使补丁管理比逐一进行批准和部署变得更容易一些。

仅供参考，您应该对您拥有的所有类型的设备执行此类操作。网络设备固件、服务器硬件固件、VMware ESXi 等。这些补丁不是为了好玩而发布的，几乎所有补丁都解决了错误，其中许多可能与安全有关。

此外，你应该询问技术团队中比你资历更高的人。如果你是那里唯一的管理员，你和你的组织都做得不太好。不要太在意，我们都需要在不了解所有应该了解的事情的情况下开始——但如果这是你的问题，你不应该是唯一管理这些服务器的人。

一般答案是保持服务器更新是一种很好的做法。

但要注意几点：

1. 更新可能会导致服务器在安装过程中运行缓慢，甚至需要重新启动时导致停机。你应该计划在办公时间之外做这些事。

2. 更新内容有一定的风险相关。它们可能会破坏您的服务器，或导致某些不兼容。它们通常完全不可卸载，但对于其中 62 个，您还应该考虑您是否有值得信赖的备份（无论如何，您应该这样做）。

3. 您为何晚了一年才进行升级？这是您一年来第一次登录该服务器吗？还是有其他问题？

4. 特别注意臭名昭著的 Excel 错误如果您的公司使用 Excel 宏，则该更新会随 Office 12 月的一些更新一起提供，但这可能不适用于不应该运行 Office 的服务器。

5. 许多系统管理员会等待几天或几周才安装更新，只是为了看看互联网上是否会出现与这些更新相关的坏消息。在决定是否需要等待时，请考虑长时间不打补丁对服务器的安全风险。

我知道 mfinni 抢先了一步，但我还是要为 WSUS +1。具体来说：

假设您有多台服务器，包括测试服务器和生产服务器。我们还假设测试服务器的硬件与生产服务器的硬件相似（我知道这不是一个安全的假设，但让我们先假设一下——这很好但不是必需的）。您可以在 WSUS 中设置以下方案：

1. 在自己的 OU 中测试服务器。组策略要求在某个不方便的时间安装更新并重新启动，例如周日凌晨 3 点。
2. 不同 OU 或多个 OU 中的生产服务器。组策略要求下载并通知。
3. 补丁已获批准，并在计划的维护时段内（即测试/开发服务器应用补丁后的几天或一周内）安装和重新启动服务器。

如果不明显的话，它的作用是批准您服务器的所有关键/安全补丁，首先将它们应用于测试，然后将它们应用于生产。我只见过一次更新严重破坏了某些东西，但如果它在应用于生产之前在测试中失败，这将让您有机会回滚补丁。

至于所讨论服务器上的大量更新，打补丁的风险比不打补丁的风险要低，但为了以防万一，我会在应用所有更新之前验证我的备份，因为备份太多了。如果是虚拟机，您可能需要先拍摄快照。

这完全取决于您的业务和您为更新服务器而制定的政策。

在更新生产服务器之前，您至少应该先在测试环境中安装安全更新并执行任何其他修补程序（如 .NET 框架更新）。