Você deve forçar uma reinicialização após enviar as atualizações do Windows?

Gostaria apenas de entrar em meu soapbox de reinicialização automática por um segundo: a minha experiência é que automaticamente / forçar uma reinicialização é geralmente uma idéia ruim .

Nós, administradores de sistemas, geralmente temos um pouco de complexidade para garantir que o último patch tenha sido aplicado o segundo que está instalado, porque o OMG até então o sistema não está corrigido . No entanto, você deve perceber que os administradores do sistema, pelo menos teoricamente, estão lá para permitir que as pessoas que usam o sistema façam seu trabalho.

Se você reinicializar automaticamente assim que um patch for instalado e, digamos, o clock do sistema da estação de trabalho tiver sido reiniciado, pensando que são 2h da manhã e algum pobre Dilbert perder o trabalho, você fez um enorme gaff. Na minha opinião, é muito mais complicado do que ter um sistema temporariamente sem patch na rede.

Na minha experiência, ter algum tipo de mensagem não descartável dizendo ao usuário para reiniciar é geralmente uma idéia melhor. Deixem que eles terminem seu trabalho e reiniciem durante o almoço, ou peça para eles desligarem a estação de trabalho durante a noite, ou algo que se encaixe bem em sua organização.

Instalamos automaticamente e atrasamos a reinicialização da instalação por 30 minutos - solicita que o usuário seja reinicializado agora e, se não houver resposta em 30 minutos, a máquina será reinicializada. Houve alguns resmungos iniciais, mas que se acostumaram com isso. Se eles estiverem no meio de algo, eles poderão clicar em "reinicializar mais tarde" para atrasar a reinicialização até um bom momento. Mas eles serão solicitados a cada 30 minutos. É um bom equilíbrio entre apenas reinicializar os usuários e fazer com que eles nunca instalem as atualizações.

EDITAR:

Atualização - desculpe a configuração quando eu estava verificando novamente a configuração do meu GPO, o prompt Re para reinicialização é configurável de forma independente. Então você pode definir o atraso antes que ele seja solicitado novamente. Também isso é para um ambiente de 2003, eles podem ter adicionado / alterado opções em 2008

Como você testa os patches primeiro (não sabe?), você sabe quais precisam de uma reinicialização do sistema.

Você pode criar um agendamento que diga que, a cada ultimo ou quinto dia do mês, você envia um e-mail informando que precisa implantar patches X que exigem que as máquinas sejam reinicializadas. Por favor, deixe suas máquinas durante a noite.

Não se trata de uma solução verde, mas permite que você trabalhe em torno das necessidades de seus usuários e da necessidade de manter os sistemas atualizados.

Para os outros patches, você pode escolher a solução que o Zypher publicou.

Eu estaria interessado nas respostas de outras pessoas para isso também. Eu sou incapaz de implementar a reinicialização automática, tem estado em "má prática" por muito tempo e as pessoas não se adaptam. As pessoas deixam seus e-mails de que precisam para responder, etc. de repente, deixá-las muito irritantes.

Se você está procurando uma razão técnica, sim, é "tecnicamente" a melhor prática para garantir que as máquinas sejam corrigidas imediatamente e que os usuários não possam atrasar ou burlar a aplicação adequada dos patches (incluindo as reinicializações necessárias).

No entanto, eu declararia que a decisão de fazer o autoreboot após as instalações de patch é uma decisão comercial, e não técnica. Eu acho que o principal motivo pelo qual os administradores de sistemas tendem a favorecê-lo é que, se alguns sistemas não corrigidos forem infiltrados, geralmente são necessárias muitas horas para que as coisas sejam limpas sem um sistema de quarentena adequado. No entanto, a reinicialização forçada pode afetar a produtividade ou ser inaceitável, dependendo do uso das máquinas (exemplos seriam máquinas de ponto de venda ou máquinas no ar).

Você pode achar que pode forçar o autoreboot a um segmento de suas máquinas de destino, mas outras máquinas têm um motivo comercial legítimo para NÃO fazer o auto-boot. Como sempre, o negócio é o seu cliente, para que você defina os prós e contras com sua recomendação de "melhor prática técnica" e deixe que eles tomem uma decisão.

Em alguns casos, você absolutamente não pode forçar uma reinicialização. Temos pessoas que executam simulações que funcionam por alguns dias em várias máquinas. O software de simulação tem um grande problema: ele não salva resultados provisórios. Portanto, se houver uma reinicialização durante uma corrida, uma grande parte do trabalho será perdida e terá que ser concluída. Atualmente, não há alternativa viável para o uso deste programa de simulação, portanto, nós, na área de TI, precisamos contorná-lo. Neste caso, criamos uma nova unidade organizacional que não recebe atualizações e movemos todos os PCs que são usados para essas simulações.

Uma coisa que eu tento fazer com a reinicialização forçada, é verificar os patches a cada mês e, se algum deles exigir uma reinicialização, enviar um e-mail de lembrete na manhã em que os patches estão sendo enviados. Temos um monte de almoços escalonados ao longo do dia, então a janela de 30 minutos não é longa o suficiente (gostaria que pudesse ser mais longa, mas isso é tudo que a Microsoft permite).

Se você estiver implantando atualizações, permita que elas sejam enviadas o mais rápido possível. Se a máquina precisar de uma reinicialização, empurre-a até a noite ou de manhã cedo. Se as pessoas desligarem seus computadores, você poderá impedir o desligamento da máquina ou impor um atraso no tempo mais antigo para reinicializar quando o usuário energizar seu PC novamente.

Nós 'encorajamos (d)' desligar os computadores no final do dia por razões de consumo de energia (economizar $), assim as atualizações seriam aplicadas no desligamento. É claro que existem alguns que decidem nunca fechar, mas nós não temos muitos computadores no escritório (cerca de 80 clientes agora se mudam para thin-clients).

Como o título da pergunta é "melhores práticas" específicas para o WSUS, eu sugeriria (e isso é totalmente improvável) para garantir que você ative somente as atualizações necessárias e não habilite o processo de download durante o trabalho. horas. Um de nossos técnicos descobriu o caminho errado para NÃO habilitar todas as atualizações em um site com uma conexão WAN T1, ai!