Desabilitando o Windows Update e gerenciando patches manualmente

2

Estamos hospedando alguns servidores em uma instalação de colo e organizamos para outra empresa realizar algum trabalho de monitoramento e manutenção de servidores de nossas máquinas. Esse provedor está sugerindo que "desativemos" o Windows Update nos servidores do Windows Server 2008 R2 e usemos alguma ferramenta de terceiros para gerenciar a atualização das máquinas. Eles alegam que isso oferece uma abordagem mais granular ao gerenciamento de patches e que será útil quando crescermos para um número maior de servidores, já que poderemos aplicar facilmente os mesmos patches a todos os servidores ou executar operações em massa como essas .

Editar . A ferramenta de terceiros que eles usarão é Kaseya .

O que você acha? Está desabilitando o Windows Update algo para desaprovação? Ou está tudo bem quando uma ferramenta legítima de terceiros está em vigor? Você tem alguma experiência (boa ou ruim) com esse tipo de configuração? Obrigado.

    
por CesarGon 17.02.2010 / 20:21

3 respostas

5

Não há nada de errado em usar uma ferramenta confiável de terceiros. Na verdade, alguns deles são cabeças e ombros acima do Windows Update / WSUS. Aquelas ferramentas em particular parecem usar um agente, que pessoalmente eu sou muito cauteloso em colocar agentes em servidores, você tem que fazer a devida diligência e provar para você que não afetará seu desempenho.

No entanto, na sua situação, eu gostaria de me sentir confortável com a empresa que você contratou antes de fazer esse tipo de mudança. Faça com que eles assumam o admin primeiro, usando as ferramentas que você está usando, e então, lentamente, integre seus processos à medida que você confia mais neles. Você não quer descobrir daqui a 3 meses que eles apenas fazem um trabalho horrível ao administrar seus servidores e têm que passar pela dor de remover as ferramentas que eles gostam.

    
por 17.02.2010 / 21:01
1

O pessoal do Windows da minha última empresa fez algo semelhante (eles usaram o Hercules, desde que foram devorados por McAfee )

Não há nada de errado com essa abordagem e funcionou muito bem para eles (você tinha a capacidade de não instalar patches que, por exemplo, eram conhecidos por quebrar o MS Exchange, e se um patch não se aplicasse a uma máquina bons relatórios sobre o porquê). O benefício real foi a capacidade de reverter os patches e reverter para o estado anterior do sistema de trabalho, que funcionou de forma bastante confiável nas poucas vezes em que o vi usado.

Eu diria que isso é melhor usado em combinação com uma ferramenta de verificação / auditoria como Nessus , o que é uma boa ideia para Certifique-se de que suas máquinas estejam bem protegidas e razoavelmente bem protegidas.

    
por 17.02.2010 / 21:01
0

Não estou familiarizado com o produto, por isso não posso comentar como é bom ou ruim. No entanto, seria interessante saber quantos servidores constituem "alguns", pois usar um produto de terceiros pode muito bem ser um exagero na sua situação. Eu também tenho uma profunda suspeita de que qualquer empresa externa recomende um produto específico aparentemente do nada, principalmente que seus motivos podem não ser totalmente altruístas. Eles são, por exemplo, revendedores para esse produto e, portanto, para um corte de qualquer lucro potencial (ou um bom contrato de manutenção em andamento)?

Eu diria que você precisa considerar sua situação com cuidado. Se o Windows Update é adequado para os seus requisitos e se você não tem problemas com o seu uso atual, ou se alguma reconfiguração simples é tudo que você precisa, então você realmente tem algum motivo para ir para o próximo nível? Se você precisar intensificar, o WSUS seria adequado ou não? Salte somente se você tiver estabelecido um requisito real real e identificado um retorno genuíno do investimento de usá-lo.

    
por 18.02.2010 / 00:11