我正在制定计划/策略,以使用 Windows Server Update Services 管理 Windows 客户端上的补丁部署。制定此计划时需要考虑哪些重要事项?例如,更新后自动重启虽然这看起来微不足道,但可能会对某些机器产生相当大的影响。因此,一种解决方案是在 WSUS 中为不应自动重启的机器创建一个单独的补丁组。告诉我在制定补丁管理计划时需要注意的一些事项以及如何解决它们。提前致谢
答案1
我们延迟一个月(这是一个不错的整数),并为不应自动重启的机器保留一个单独的组。我们还专门努力排除服务包、IE 的新版本以及补丁管理系统中的其他主要升级,认为由于这些构成了重大升级,因此您希望亲自到场见证其发生,并对任何需要响应的问题做出响应。
你当然应该考虑拥有一组能够很好地代表实际情况的 PC 测试组不延迟一个月(即立即获得补丁)。这样,如果补丁在 PC 级别上造成问题,您将很快发现它,并可以决定如何处理它而不会影响每台 PC。
最后,在 WSUS 中,“更新汇总”是与“关键和安全更新”分开的类别,但一些重要的最新补丁(Conficker,有人知道吗?)被归类在该标题下,因此请确保您不会错过它!
答案2
制定一个可靠的恢复计划。我认为仅仅卸载补丁并不是一个好的计划。因此,这确实需要整合到您的备份计划中。
此外,如果您认为您的安全可以承受,您可以考虑晚几周。这将使您有机会在应用补丁之前阅读有关补丁的信息,看看是否会导致您的任何应用程序出现问题。
答案3
对于我们的 WSUS 服务器,我为工作站创建了 OU,然后在其下将其划分为办公室区域。我们还为笔记本电脑、成员服务器和域控制器创建了 OU。然后,我创建了更新的不同视图以满足我的需求,例如,我有一个 SQL Server 更新类别、一个 Office 类别和一个 2003 类别和一个... 当然,我可能会有太多的更新,但这样可以保持易于阅读。因此,如果存在不良补丁,我不会因为按住 Shift 键而意外单击“批准”。
另外从长远来看,我认为这样可以更容易地跟踪所有已完成的修补工作。