unattended-upgrades我们过去曾使用 Linux软件包自动在我们的机器上安装关键安全更新。在 Linux 上,该文件/etc/apt/apt.conf.d/50unattended-upgrades显示默认情况下只安装安全更新(其他软件包被注释掉):
// Automatically upgrade packages from these (origin:archive) pairs
Unattended-Upgrade::Allowed-Origins {
"${distro_id}:${distro_codename}-security";
// "${distro_id}:${distro_codename}-updates";
// "${distro_id}:${distro_codename}-proposed";
// "${distro_id}:${distro_codename}-backports";
};
我们希望在 Azure 上的新 Windows Server 2019 服务器上执行同样的事情,但从我的在线研究来看,这似乎不太容易实现。
我查看了 Windows 更新的位置 本地组策略并且看不到仅安装关键安全更新/错误修复的条目。
据我所知,微软在更新方面正在转向一种更加累积的方法——我说的“挑选”安全更新是一种坏的有想法吗?仅使用组策略/注册表是否可行?
我知道有些人使用 WSUS 来挑选更新,并且一直在调查Azure 更新管理 用于自动 VM 客户机修补,但目前处于预览状态,不应用于生产服务器。
最佳做法是什么?理想情况下,我们希望安装关键更新立即地,任何需要的重启都会延迟到每周维护时段。我宁愿不安装功能更新。我知道这些可以推迟,但不能完全禁用。