Как лучше всего устанавливать обновления Windows на одном рабочем веб-сервере. Сервер довольно сильно загружен, около 500 тысяч просмотров страниц в день, и в настоящее время нет тестовой машины для предварительного тестирования обновлений.
Я видел, как многие рекомендуют вручную устанавливать только критические обновления.
Какая у вас лучшая практика обновления?
Вручную или автоматически?
Предварительное тестирование или нет?
Некоторые обновления или все?
Как часто?
Любой важный рабочий процесс, который я должен здесь рассмотреть?
Бонусный вопрос
Были ли у кого-нибудь серьезные сбои из-за того, что обновления не были предварительно протестированы?
(Думаю, я уже знаю ответ на этот вопрос)
Спасибо
Автомат определенно отсутствует. Если у вас нет среды разработки, лучше всего дождаться обновлений, пока вы не сможете изучить их и выяснить, есть ли проблемы у других, особенно с пакетами обновления и накопительными пакетами. Я всегда предварительно тестирую большие обновления на своих ящиках для разработчиков.
Убедитесь, что у вас есть хорошие резервные копии, - это всегда хорошая идея, если обновление полностью закроет вашу среду.
В некоторых комментариях упоминается восстановление системы. Лично я бы не стал использовать их на производственном сервере, поскольку у меня есть машины для разработчиков, которые могут сломаться первыми.
В этой ситуации обязательно устанавливайте только критические исправления безопасности и делайте это вручную.
Просмотрите все исправления, как только они появятся, и определите, какой уровень риска уязвимости вашей конкретной системы.
Многие исправления Microsoft совершенно неактуальны при условии соблюдения разумных рекомендаций по безопасности (например, отключение неиспользуемых служб, блокировка неиспользуемых портов, отказ от просмотра веб-страниц при входе в систему и т. Д.)
Это оставляет лишь минимальное количество уязвимостей удаленного выполнения кода, которые вы должны исправлять как можно скорее - по одной, после всего резервного копирования, и будьте готовы протестировать и откатить исправление, если оно что-то сломает.
Однако это не лучшее место, и вы должны стремиться создать надлежащую среду для тестирования исправлений в среднесрочной перспективе, предпочтительно со вторым производственным сервером, чтобы вы могли безопасно исправлять и тестировать без простоев.
Если это производственная машина, всегда имейте под рукой тестовую машину, чтобы проверить воду. Вы, конечно, будете использовать его позже, так что никаких потерь. И, казалось бы, небольшие и невинные обновления / исправления, как известно, наносят ущерб даже самым надежным машинам. Всегда инвестируйте в надежный инструмент резервного копирования. IMO, Symantec Ghost и Backup Exec хороши. Acronis, AFAIK, еще один хороший инструмент. Затем, поскольку это только один сервер, выберите соответствующие исправления (многие из выпущенных могут не иметь отношения к вашему компьютеру), загрузить их на компьютер и установить вручную. Я предлагаю вам взять патчи с рейтингом «критические» или выше в качестве приоритета, другие исправления иногда могут быть отложены (скажем, на месяц или около того), но не игнорируйте их полностью.