Bạn có nên buộc khởi động lại sau khi đẩy ra các bản cập nhật Windows?

Tôi thấy rằng hầu hết người dùng bỏ qua thông báo "Có bản cập nhật đã sẵn sàng để cài đặt, bấm vào đây để cài đặt" mà WSUS đẩy ra. Cho đến bây giờ chúng tôi vẫn chưa cài đặt nhưng tôi nghĩ về việc thay đổi chính sách nhóm để thực thi cập nhật hàng đêm. Điều này đôi khi sẽ yêu cầu khởi động lại mà tôi cũng muốn thực thi thông qua GP.

Tôi biết sẽ có phản hồi từ người dùng nhưng tôi tự hỏi liệu đây có phải là cách thực hành tốt nhất. Có vẻ như điều đúng đắn cần làm để đảm bảo PC luôn cập nhật và bảo mật.

Tôi chỉ muốn nhận được hộp xà phòng tự động khởi động lại trong một giây: đó là kinh nghiệm của tôi rằng tự động / buộc khởi động lại nói chung là một ý tưởng tồi .

Quản trị viên hệ thống của chúng tôi thường có một chút phức tạp về việc đảm bảo bản vá mới nhất đã được áp dụng lần thứ hai được cài đặt vì OMG cho đến khi đó hệ thống chưa được vá . Tuy nhiên, bạn phải nhận ra rằng quản trị viên hệ thống ít nhất là về mặt lý thuyết là có để cho phép những người sử dụng hệ thống thực hiện công việc của họ.

Nếu bạn tự động khởi động lại sau khi bản vá được cài đặt, và giả sử, đồng hồ hệ thống của máy trạm đã được đặt lại, nghĩ rằng đó là 2 giờ sáng và một số Dilbert đáng thương sẽ mất việc, bạn đã tạo ra một cú hích lớn. Theo tôi, đó là một lỗ hổng lớn hơn nhiều so với việc có một hệ thống tạm thời chưa được vá trên mạng.

Theo kinh nghiệm của tôi, có một số loại tin nhắn không thể bỏ qua yêu cầu người dùng khởi động lại thường là một ý tưởng tốt hơn. Hãy để họ hoàn thành công việc của họ và khởi động lại vào bữa trưa, hoặc yêu cầu họ tắt máy trạm vào ban đêm, hoặc một cái gì đó phù hợp với tổ chức của bạn.

Điều đó đã được nói, khi tôi giúp quản lý 12 phòng thí nghiệm máy tính trong một trường đại học, chúng tôi đã xác định thời gian chết khi chúng tôi biết chắc chắn rằng không ai sẽ sử dụng bất kỳ máy nào vì cửa bị khóa. Đó là một tình huống trong đó autoreboote chắc chắn là ok; nó chỉ là công việc tự động bắt buộc tự động làm tôi khó chịu.

Chúng tôi tự động cài đặt sau đó trì hoãn khởi động lại để cài đặt trong 30 phút - nhắc người dùng khởi động lại ngay bây giờ và nếu không có phản hồi trong 30 phút thì nó sẽ khởi động lại máy. Có một số càu nhàu ban đầu nhưng đã quen với nó. Nếu họ đang ở giữa một cái gì đó, họ có thể nhấp vào "khởi động lại sau" để trì hoãn khởi động lại cho đến khi một thời gian tốt. Nhưng họ sẽ được nhắc cứ sau 30 phút. Đó là một sự cân bằng tốt giữa việc chỉ khởi động lại trên người dùng và họ không bao giờ cài đặt các bản cập nhật.

BIÊN TẬP:

Cập nhật - xin lỗi đã bỏ lỡ cài đặt khi tôi kiểm tra lại cài đặt GPO của mình, lời nhắc Re để khởi động lại có thể cấu hình độc lập. Vì vậy, bạn có thể đặt độ trễ trước khi nó nhắc lại. Ngoài ra, đây là một môi trường năm 2003, họ có thể đã thêm / thay đổi tùy chọn trong năm 2008

Bởi vì bạn đã kiểm tra các bản vá trước tiên (phải không?) Bạn biết những bản nào yêu cầu khởi động lại hệ thống.

Bạn có thể tạo một lịch trình cho biết mỗi wed hoặc cuối cùng của tháng bạn gửi email nói rằng bạn cần triển khai các bản vá X yêu cầu máy phải được khởi động lại. Vui lòng để máy của bạn qua đêm.

Được cho rằng đây không phải là một giải pháp xanh nhưng nó cho phép bạn giải quyết nhu cầu của người dùng và nhu cầu giữ cho các hệ thống được cập nhật.

Đối với các bản vá khác, bạn có thể đi với giải pháp mà Zypher đã đăng.

Tôi cũng quan tâm đến câu trả lời của người khác về vấn đề này. Tôi không thể thực hiện tự động khởi động lại, nó đã ở trong "thực tiễn xấu" từ lâu và mọi người sẽ không thích nghi. Mọi người để lại email mà họ cần phản hồi để mở vv, đột nhiên mất chúng sẽ rất khó chịu.

Nếu bạn đang tìm kiếm một lý do kỹ thuật, vâng, đó là cách thực hành tốt nhất về mặt kỹ thuật để đảm bảo rằng các máy được vá ngay lập tức và người dùng không thể trì hoãn hoặc phá vỡ ứng dụng vá lỗi thích hợp (bao gồm cả khởi động lại bắt buộc).

Tuy nhiên, tôi sẽ nói rằng quyết định autoreboot sau khi cài đặt bản vá là quyết định kinh doanh, không phải là kỹ thuật. Tôi nghĩ rằng các quản trị viên hệ thống lý do chính có xu hướng ủng hộ nó là nếu một số hệ thống chưa được chỉnh sửa bị xâm nhập, thường phải mất nhiều giờ để dọn dẹp mọi thứ mà không có hệ thống kiểm dịch thích hợp. Tuy nhiên, việc khởi động lại bắt buộc có thể ảnh hưởng đến năng suất hoặc không được chấp nhận tùy thuộc vào cách sử dụng của máy (ví dụ sẽ là máy bán hàng hoặc máy trên không).

Bạn có thể thấy rằng bạn có thể buộc autoreboot vào một phân đoạn của máy mục tiêu của mình nhưng các máy khác có lý do kinh doanh hợp pháp KHÔNG phải autoreboot. Như mọi khi, doanh nghiệp là khách hàng của bạn, vì vậy bạn đưa ra những ưu và nhược điểm với khuyến nghị "thực hành tốt nhất về mặt kỹ thuật" của bạn và để họ đưa ra quyết định.

Trong một số trường hợp, bạn hoàn toàn không thể buộc khởi động lại. Chúng tôi có những người chạy mô phỏng chạy vài ngày trên một số máy. Phần mềm mô phỏng có một vấn đề lớn: nó không lưu kết quả tạm thời. Vì vậy, nếu có khởi động lại trong khi chạy, một khối lượng lớn công việc sẽ bị mất và phải hoàn thành. Hiện tại không có sự thay thế khả thi nào cho việc sử dụng chương trình mô phỏng này, vì vậy chúng tôi trong CNTT phải làm việc xung quanh nó. Trong trường hợp này, chúng tôi đã tạo ra một OU mới không bị các bản cập nhật đẩy ra và chúng tôi đã chuyển tất cả các PC được sử dụng cho các mô phỏng này vào nó.

Một điều tôi cố gắng và thực hiện với việc khởi động lại bắt buộc, là kiểm tra các bản vá mỗi tháng và nếu có yêu cầu khởi động lại, hãy gửi email nhắc nhở vào buổi sáng các bản vá đang bị đẩy ra. Chúng tôi có rất nhiều bữa trưa so le trong suốt cả ngày, vì vậy thời gian 30 phút không đủ dài (ước gì nó có thể dài hơn, nhưng đó là tất cả những gì microsoft cho phép).

Nếu bạn đang triển khai các bản cập nhật, cho phép chúng được đẩy càng sớm càng tốt. Nếu máy yêu cầu khởi động lại, hãy tắt nó cho đến tối hoặc sáng sớm. Nếu mọi người tắt máy tính của họ, bạn có thể ngăn việc tắt máy hoặc thực thi trì hoãn thời gian sớm nhất để khởi động lại khi người dùng cấp nguồn lại cho PC của họ.

Chúng tôi 'khuyến khích (d)' tắt máy tính vào cuối ngày vì lý do tiêu thụ điện năng (tiết kiệm $), do đó các cập nhật sẽ được áp dụng khi tắt máy. Tất nhiên, có một số quyết định không bao giờ tắt máy, nhưng chúng tôi không có quá nhiều máy tính trong văn phòng (Khoảng 80 khách hàng hiện nay chủ yếu chuyển sang các khách hàng mỏng).

Vì tiêu đề của câu hỏi là "thực tiễn tốt nhất" dành riêng cho WSUS, tôi sẽ đề xuất (và điều này hoàn toàn ngoài lề) để đảm bảo bạn chỉ kích hoạt các bản cập nhật mới và không cho phép quá trình tải xuống trong giờ làm việc. Một trong những kỹ thuật viên của chúng tôi đã phát hiện ra một cách sai lầm KHÔNG cho phép tất cả các bản cập nhật trên một trang web có kết nối WAN T1, ouch!