我可以使用gpo进行防病毒补丁或更新吗?
有什么办法可以延长wsus来做到这一点?
您可以使用GPO软件分配来推出新的AV软件。 这实际上是确保所有工作站都受到保护的好方法:如果计算机位于具有防病毒策略的OU中, 则会安装防病毒软件。 (只要确保,如果您正在切换AV平台,则不会意外地在同一组工作站上同时安装多个产品。)
但是,签名更新时,您不想使用组策略。 签名更新发布太频繁,GPO分配是一个实际的select。 相反,您的AV产品需要通过自己的pipe理服务器进行更新。 任何企业AV产品都应该内置此function。
根据个人经验,我不推荐赛门铁克或迈克菲。 您可能会将ESET或Vipre等视为性能更佳的替代品。
编辑相关的问题: 什么是Windows域networking的最佳防病毒?
Microsoft Forefront Client Security使用您现有的WSUS基础结构来发布它的更新。 这是一个优雅的解决scheme,因为您可能会将WSUS修补程序和AV签名提供给相同的网段,并且可以通过单个服务器在单个端口(80或443)上使用它完成所有操作。
相比之下,部署Sophos更新要求客户端能够通过几个端口向中央报告服务器报告,并通过SMB端口向中央安装(CI)节点报告。 在防火墙方面,不止是一个扁平的networking,支持这个规则的基础是一团糟。
当通过组策略部署AV时,“修补”它的唯一方法是创build一个全新的安装MSI(确保增加一个内部版本号),然后按照您的第一个软件包一样进行部署。 这将导致在所有适当的机器上完整安装,但它们将被修补。
这是GPO软件部署系统的限制之一。
我从个人的经验中知道,SEP有一个不增加小补丁版本号的习惯。
到目前为止,微软还没有扩展WSUS来支持非微软批准的软件包。