Я разрабатываю план / стратегию управления развертыванием исправлений на клиентах Windows с помощью служб Windows Server Update Services. Какие важные моменты следует учитывать при разработке этого плана? Например, автоперезагрузка после обновления хотя это может показаться тривиальным, может оказать значительное влияние на некоторые машины. Итак, одним из решений является создание отдельной группы исправлений в WSUS для машин, которые не должны перезагружаться автоматически. Расскажите мне о некоторых вещах, которые следует учитывать при разработке плана управления исправлениями, и о том, как их решить. заранее спасибо
Мы отстаем на месяц (это хорошее круглое число), а также сохраняем отдельную группу для машин, которые не должны автоматически перезагружаться. Мы также прилагаем особые усилия, чтобы исключить пакеты обновлений, новые версии IE и другие важные обновления системы управления исправлениями, с учетом того, что, поскольку они представляют собой серьезное обновление, вы хотите быть физически там, чтобы видеть, как это происходит, и реагировать на все, на что нужно реагировать.
Вам непременно следует подумать о наличии тестовой группы ПК, которые хорошо представляют не задержитесь на месяц (т.е. получите патчи немедленно). Таким образом, если патч вызовет проблемы на уровне ПК, вы узнаете о нем достаточно быстро и сможете узнать, как с ним бороться, не затрагивая каждый компьютер.
Наконец, в WSUS «накопительные пакеты обновлений» - это категория, отдельная от «критических обновлений и обновлений безопасности», но все же некоторые важные недавние исправления (Conficker, кто-нибудь?) Были классифицированы под этим заголовком, поэтому убедитесь, что вы не пропустите его!
Для нашего сервера WSUS я создал организационные единицы для рабочих станций, а затем разделил их на регионы в офисе. У нас также есть один для ноутбуков, рядовых серверов и контроллеров домена. Затем я создал разные представления обновлений, чтобы удовлетворить свои потребности, например, у меня есть категория обновлений SQL Server, категория Office, категория 2003 и ... Конечно, доходит до того, что у меня может быть слишком много, но это позволяет легко читать. Так что, если есть плохой патч, я не нажимаю «Утвердить» случайно, потому что я нажимал Shift.
Плюс ко всему, я думаю, что в долгосрочной перспективе будет легче отслеживать все сделанные исправления.
Имейте твердый план, как вернуться назад. Я бы сказал, что просто удалить патч - это недостаточно хороший план. Так что это действительно нужно интегрировать в ваш план резервного копирования.
Кроме того, если вы думаете, что ваша служба безопасности может себе это позволить, вы можете подумать о том, чтобы отставать на пару недель. Это даст вам возможность прочитать о патче перед его применением, чтобы узнать, не возникли ли проблемы с каким-либо из ваших приложений.