Если вы отдаете ИТ на аутсорсинг и у вас есть серверы, настроенные у поставщика услуг хостинга, как вы рекомендуете обрабатывать обновления Windows, а также программное обеспечение, работающее на этих машинах?
Вы просите их автоматизировать это и применить все обновления? Вы запрашиваете обновление вручную, когда они оценивают влияние обновлений на ваше работающее программное обеспечение и приложения (скажем, ваш сайт на основе .Net или SQL Server)? Самое главное, просите ли вы их немедленно применить обновления, как только они станут доступны, чтобы вы были в большей безопасности, или вы сначала ждете, чтобы увидеть, вызвало ли обновление проблемы с другими серверами? Предположим, что у нас нет тестовых серверов - только несколько производственных серверов.
У нас возникли проблемы с выбором хорошего подхода, и у нас нет выделенного ИТ-отдела или даже одного ИТ-специалиста.
Я не могу придумать причину, по которой когда-либо было бы нормально автоматически обновлять производственный сервер без предварительной проверки воздействия обновления.
Отредактировано для добавления:
С появлением виртуализации компаниям стало довольно легко иметь тестовые среды при относительно низкой стоимости и простоте настройки без необходимости покупать по 2 сервера на каждый сервер для дублирования производственной среды.
Если у вас совершенно не может быть тестовых серверов, то предлагаю вам тест исправления для наименее важных серверов в вашей компании. Выберите серверы, без которых вы можете себе позволить отказаться, если им придется выйти из строя для восстановления.
Но никогда, никогда, никогда не обновляйте производственный сервер автоматически.
Если вы выполняете аутсорсинг, за это решение отвечает ваш поставщик услуг, ИМХО. Вы платите им за обслуживание ваших систем, надеюсь, с SLA. Им предстоит решить, как выполнять это соглашение.
В более общем плане, простое применение всех патчей вслепую - это ожидаемая катастрофа, потому что вы никогда не можете быть уверены, что патч не создаст более серьезную проблему, чем та, которую он должен решить. Таким образом, вы должны различать: аварийный патч, который (в качестве примера) исправляет дыру, которая может позволить кому-либо проникнуть на ваш сервер IIS, конечно же, должна применяться немедленно, но если вы не сразу пострадали, я считаю хорошей практикой по крайней мере, подождите немного и посмотрите, есть ли у других проблемы с данным патчем, если вы не можете проверить его самостоятельно (что, конечно, лучший способ). В двух словах: это зависит от ...
Займитесь этим, осознавая риски. Хорошие приложения пострадали от Центра обновления Windows (см. Skype 2007). Ранее в этом году мы видели
Неудачное обновление McAfee выключает корпоративные компьютеры XP по всему миру
http://www.engadget.com/2010/04/21/mcafee-update--shutting-down-xp-machines/
Самое смешное, что антивирусные сигнатуры, вероятно, обновляют все, даже те компании, у которых есть официальная политика запрета автоматического обновления.
Но вы описали «без тестовых серверов», поэтому я предполагаю, что вы не работаете в организации, которая все равно проводила бы тестирование, даже если бы была возможность. А ИТ-отдел, привлеченный к аутсорсингу, не в лучшем положении, чтобы определить, окажет ли обновление негативное влияние на ваш применение.
Так что, возможно, лучший подход, учитывая ваши очевидные ресурсы, - это запросить у них регулярную инвентаризацию программного обеспечения / операционной системы с подробностями о том, на каком уровне ревизии и исправления находятся вещи. Когда что-то сломается, у вас будет шанс узнать, какие обновления сломали его. Автообновления, скорее всего, не приведут вас к обновлению основной версии, поэтому вы все равно можете их согласовать.
И купите себе несколько тестовых серверов! :)