Windows Server 2012 R2 WSUS-10:流程概述
本篇文章来大概说一说打补丁的流程,一般来说打补丁的流程分为测试环境测试和生产环境安装两个部分。如果企业规模比较小,没有完善的流程制度,也是有一些打补丁的原则可以遵循的,比如:
对于安全级别为Low以上的各种安全补丁应该分发;
对于操作系统的安全补丁应该分发;
对于各种IE版本安全补丁应该分发;
对于其他各种安全补丁(如Media Player、OutLook Express等)应该分发;
对于状态为Updates修订版本的安全补丁,无需手工批准,系统会自动发布;
那么对于规模稍微复杂的企业来说,除了上述的原则以外,其实我们还可以通过结合流程来更加规范和安全的开展update的更新工作。
微软的最佳实践是补丁至少一个月安装一次。一般微软的安全中心会在每个月的14号左右发送当月的安全公告摘要,WSUS也会在15号左右接收到微软发放的补丁。
下面举一个简单的例子,假如我们的公司有自己的流程管理系统(有电子邮件系统也可以,就是很麻烦)。我们可以通过结合一些流程管理系统来做补丁的测试、审批工作。
(1) 每月由补丁管理员及时检查微软新发布补丁,具体检查的方式是:通过WSUS控制台和登陆technet的安全中心查看公告;
(2) 收到补丁后,补丁管理员会发起一个测试的事件,并将当月收到的补丁分发到测试组(测试组的测试机器由其他部门反馈提供),然后通知各组对相关补丁进行测试(通知的方式可以是通过流程会审,也可以发邮件通知);
下面几张图描述了一个完整的WSUS测试补丁审批过程。
(3) 其他部门在指定的时间内将测试结果进行反馈(可以通过邮件或者流程系统的方式进行反馈);
这里如果测试没有问题的话,我们就会把补丁审批到生产环境,如果有问题的话,先处理补丁问题。
(4) 补丁管理员根据反馈情况对当月补丁进行批准、发放;
下面描述了WSUS往生产环境审批补丁的一个过程。
备注:如果是为生产服务器安装补丁,需提前通知各部门,经同意后为生产服务器安装补丁,并设定计划任务重启服务器,然后提醒各部门在服务器重启完成后,注意检查应用。
当客户端收到补丁后,就可以安装了,一般客户机我们可以通过组策略设置自动下发计划安装,这样就不需要用户手动的干预了。
下面描述了一个客户端收到补丁后,手动安装的情况。
微软的补丁,有些安装完成后是不需要重启服务器或者客户端的,有些是必须重启服务器或者客户端的,下图说明了一个安装更新后不需要重启的情况。
本文出自 “曾垂鑫的技术专栏” 博客,谢绝转载!