Чи потрібно примусово перезавантажуватися після витіснення оновлень Windows?

Я вважаю, що більшість користувачів ігнорує повідомлення "Є оновлення, готові до встановлення, натисніть тут, щоб встановити", яке WSUS виштовхує. До цих пір ми не змушували встановлювати, але я думаю про те, щоб змінити групову політику, щоб застосовувати оновлення щоночі. Для цього іноді потрібна перезавантаження, яку я хочу також застосувати через GP.

Я знаю, що буде відштовхуватися від користувачів, але мені цікаво, чи це найкраща практика, яку можна захищати. Здається, що правильно зробити, щоб ПК було оновлено та захищено.

Мені просто хотілося б на секунду потрапити на мильну скриньку автоматичного перезавантаження: це був мій досвід, що автоматичне / примусове перезавантаження - це взагалі погана ідея.

У нас системні адміністратори часто мають певну складність щодо того, щоб переконатися, що останній патч застосовано другий, коли він встановлений, оскільки OMG до тих пір система не працює . Однак ви повинні усвідомити, що адміністратори системи принаймні теоретично є для того, щоб люди, які використовують систему, могли робити свою роботу.

Якщо ви автоматично перезавантажуєтесь, коли встановлено патч, і, скажімо, системний годинник робочої станції був скинутий, думаючи, що це 2 години ранку, а якийсь поганий Ділберт втрачає роботу, ви зробили величезний гаф. На мою думку, це набагато більший загроз, ніж тимчасово неперероблена система в мережі.

На моєму досвіді, звичайно краща ідея мати якесь непотрібне повідомлення, яке спонукає користувача перезавантажитись. Дозвольте їм закінчити свою роботу і перезавантажитись за обідом, або попросіть закрити свою робочу станцію вночі, або щось, що гарно вписується у вашу організацію.

Це було сказано, коли я допомагав керувати 12 комп'ютерними лабораторіями в коледжі, ми визначили час простою, коли ми точно знали, що ніхто не збирається використовувати жодну з машин, оскільки двері були зачинені. Це ситуація, коли автозавантаження напевно нормально; мене дратує саме автономна примусова автоматична зупинка роботи.

Ми автоматично встановлюємо, потім затримуємо перезапуск встановлення на 30 хвилин - спонукає користувача перезавантажитись зараз, а якщо немає відповіді через 30 хвилин, він перезавантажує машину. Було якесь початкове бурчання, але до цього звикли. Якщо вони знаходяться в середині чогось, вони можуть натиснути «перезавантажити пізніше», щоб затримати перезавантаження до гарного часу. Але вони будуть підказувати кожні 30 хвилин. Це приємний баланс між простою перезавантаженням користувачів і тим, щоб вони ніколи не встановлювали оновлення.

Редагувати:

Оновлення - вибачте, що пропустив налаштування, коли я двічі перевіряв налаштування GPO, запит Re для перезавантаження самостійно налаштовується. Таким чином, ви можете встановити затримку, перш ніж вона буде запрошена ще раз. Також це стосується навколишнього середовища 2003 року, вони, можливо, додали / змінили варіанти у 2008 році

Оскільки ви протестуєте виправлення спочатку (не знаєте?), Ви знаєте, які з них потребують перезавантаження системи.

Ви можете створити графік, який повідомляє про кожен останній шлюб чи четвер місяця, коли ви надсилаєте електронний лист із повідомленням про те, що вам потрібно розгорнути X патчі, які потребують перезавантаження машин. Залиште свої машини на ніч.

Зрозуміло, що це не зелене рішення, але воно дає змогу заохочувати потреби користувачів та потребувати оновлення систем.

Для інших патчів ви можете розглянути рішення, яке розмістив Zypher.

Мені було б цікаво і відповідей інших людей на це. Я не в змозі здійснити автоматичне перезавантаження, це було "поганою практикою" вже давно і люди не пристосовуються. Люди залишають свої електронні листи, на які вони повинні відповідати відкритими тощо, і раптом їх втрата дуже роздратує.

Якщо ви шукаєте технічну причину, так, це "технічно" найкраща практика гарантувати, що машини будуть виправлені негайно і що користувачі не можуть затримувати або обходити належне застосування патчів (включаючи необхідні перезавантаження).

Однак я зазначу, що рішення про автоматичне завантаження після встановлення патчу є бізнес-рішенням, а не технічним. Я думаю, що основна причина адміністраторів системи, як правило, надає перевагу тому, що якщо деякі незапамповані системи проникнуть, зазвичай потрібно довгі години, щоб очистити речі без належної карантинної системи. Однак примусове перезавантаження може вплинути на продуктивність або бути неприйнятним залежно від використання машин (приклади можуть бути торговими машинами або ефірними машинами).

Ви можете виявити, що ви можете змусити автозавантажувати один сегмент вашої цільової машини, але інші машини мають законну причину бізнесу НЕ перезавантажуватися. Як завжди, бізнес є вашим клієнтом, тому ви викладаєте свої плюси та мінуси з рекомендацією щодо "найкращої технічної практики" та дозволяєте їм приймати рішення.

У деяких випадках ви абсолютно не можете змусити перезавантажити. У нас є люди, які виконують симуляції, які кілька днів працюють на декількох машинах. Програмне забезпечення для моделювання має велику проблему: воно не економить проміжні результати. Отже, якщо під час запуску є перезавантаження, велика частина роботи втрачається і її потрібно закінчити. Наразі не існує життєздатної альтернативи використанню цієї імітаційної програми, тому нам в ІТ-сфері доведеться обійтися. У цьому випадку ми створили новий ОУ, який не отримує оновлення до нього, і ми перемістили в нього всі ПК, які звикли до цих моделювань.

Одне, що я намагаюся зробити з примусовою перезавантаженням, - це перевіряти патчі щомісяця, і якщо такі вимагають перезавантаження, надсилають нагадування електронною поштою, вранці патчі висуваються. Протягом дня у нас є багато поступових обідів, тому 30-хвилинне вікно не надто довге (хотілося б, щоб воно було довше, але це все, що дозволяє мікрософт).

Якщо ви розгортаєте оновлення, дозвольте їх висунути якнайшвидше. Якщо машині потрібна перезавантаження, відключіть її до ночі або раннього ранку. Якщо люди вимикають свої комп’ютери, ви можете запобігти відключенню машини або застосувати затримку, якнайшвидше перезавантажити, коли користувач знову ввімкне комп'ютер.

Ми "заохочуємо (d)" вимикати комп'ютери наприкінці дня з міркувань споживання електроенергії (заощаджуйте $), таким чином оновлення застосовуватимуться при відключенні. Звичайно, є такі, які вирішують ніколи не вимикатись, але у нас не було занадто багато комп'ютерів в офісі (близько 80 клієнтів зараз переважно перейшли на тонких клієнтів).

Оскільки назва питання - "найкращі практики", специфічні для WSUS, я б запропонував (і це зовсім поза стіною), щоб переконатися, що ви включаєте лише необхідні оновлення та не включаєте процес завантаження у робочий час. Один з наших техніків виявив неправильний спосіб НЕ вмикати всі оновлення на сайті з підключенням T1 WAN, ой!