Plano de Operações de Gerenciamento de Patch

1

Estou desenvolvendo um plano / estratégia para gerenciar a implantação de patches em clientes Windows usando o Windows Server Update Services. Quais são as coisas importantes a considerar no desenvolvimento deste plano? Por exemplo, reinicialização automática após uma atualização , embora possa parecer trivial, pode ter um impacto considerável em algumas máquinas. Portanto, uma solução é criar um grupo de patch separado no WSUS para máquinas que não devem ser reinicializadas automaticamente. Diga-me algumas coisas para ter em mente ao desenvolver um plano de gerenciamento de patches e como resolvê-los. Agradecemos antecipadamente

    
por BlueGene 09.06.2009 / 16:41

3 respostas

5

Ficamos um mês atrasados (é um ótimo número redondo) e também mantemos um grupo separado para máquinas que não devem ser reinicializadas automaticamente. Também fazemos um esforço específico para excluir service packs, novas versões do IE e outras atualizações importantes do sistema de gerenciamento de patches, considerando que, como elas constituem uma grande atualização, você deseja estar lá fisicamente veja isso acontecendo e responda a qualquer coisa que precise responder.

Você certamente deve considerar ter um grupo de teste de PCs que seja uma boa representação do que está por aí que não fica um mês atrasado (ou seja, obtenha os patches imediatamente). Dessa forma, se um patch causar problemas no nível do PC, você descobrirá o problema com rapidez suficiente e poderá fazer chamadas sobre como lidar com ele sem afetar todos os PCs.

Por fim, no WSUS, "atualizações cumulativas" são uma categoria separada de "atualizações críticas e de segurança", mas alguns patches recentes e vitais (Conficker, alguém?) foram classificados nesse cabeçalho, portanto, não perca !

    
por 09.06.2009 / 17:39
1

Tenha um plano sólido para reverter. Eu diria que apenas desinstalar o patch não é um bom plano. Então, realmente, isso precisa ser integrado ao seu plano de backup.

Além disso, se você acha que sua segurança pode pagar, você pode pensar em ficar algumas semanas atrasado. Isso lhe dará a chance de ler sobre o patch antes de aplicá-lo, para ver se causou problemas em algum dos seus aplicativos.

    
por 09.06.2009 / 16:48
1

Para nosso servidor WSUS, criei UOs para as estações de trabalho e, em seguida, divido-as em regiões no escritório. Também temos um para laptops e servidores membros e controladores de domínio. Em seguida, criei diferentes visualizações das atualizações para atender às minhas necessidades, por exemplo, tenho uma categoria de atualização do SQL Server e categoria Office e uma categoria 2003 e um ... Claro que chega ao ponto em que posso ter muitos, mas facilita a leitura. Então, se houver uma falha ruim, não clico em aprovar por acidente, porque eu estava clicando com o botão shift.

Além disso, no longo prazo, acho que será mais fácil acompanhar todos os patches realizados.

    
por 09.06.2009 / 17:47