我正在制定一个计划/策略来pipe理使用Windows Server Update Services的Windows客户端上的修补程序部署。 在制定这个计划时,要考虑哪些重要的事情? 例如, 更新后自动重新启动虽然可能看起来微不足道,但可能会对某些机器产生相当大的影响。 因此,一种解决scheme是,在WSUS中为不应该自动重新启动的机器创build一个单独的修补程序组。 在制定补丁pipe理计划以及如何解决这些问题时,请告诉我一些要记住的事项。 提前致谢
我们保持一个月的时间(这是一个很好的整数),并为不应该自动重启的机器保留一个单独的组。 我们还特意从补丁pipe理系统中排除 Service Pack,IE的新版本以及其他主要升级,并认为这些升级构成了一个重大的升级,您希望能够亲身体验到它的发生,任何需要回应的东西。
你当然应该考虑build立一个能够很好地代表那些不落后一个月(即立即获得补丁)的PCtesting组。 这样一来,如果一个补丁在个人电脑上会引起麻烦,你会很快发现它,并且可以打电话来处理它,而不会影响每一台电脑。
最后,在WSUS中,“更新汇总”是一个独立于“关键和安全更新”的类别,但是最近的一些重要补丁(Conficker,任何人?)被归入该标题下,因此请确保不要错过!
有一个坚实的计划,以恢复。 我会说只是卸载补丁是不是一个好计划。 所以这真的需要整合到您的备份计划。
另外,如果你认为你的安全可以负担得起,你可能会考虑离开几周。 这将使您有机会在应用该补丁之前阅读该补丁,以查看是否有任何应用程序出现问题。
对于我们的WSUS服务器,我为工作站创build了OU,然后在下面将其分解为办公室中的区域。 我们也有一个用于笔记本电脑和成员服务器和域控制器。 然后,我创build了不同的更新视图来满足我的需求,例如,我有一个SQL Server更新类别,Office类别和一个2003类别和一个…当然,我可能有太多的点,但它保持容易阅读。 所以如果在那里有一个不好的补丁,我不会点击批准意外,因为我是按shift键。
另外,从长远来看,我认为跟踪所有已完成的补丁会更容易。