每当Windows系统发布了新的补丁大家也许都希望能尽快用到然而更新所用到的补丁是不能直接自动提供给用户的因为无论这些补丁的作用是添加新功能修正错误还是填补安全漏洞有一类现实是不能回避的即补丁会破坏应用程序 对于IT部门来说更有意义的做法是利用Windows Server更新服务来对更新进行部署测试及控制比起直接让用户下载并自动安装这些补丁并同时面临潜在的破坏风险上述措施无疑更为负责和有效 当然我们的最终目的是希望能够在放手让补丁自动更新的同时仍然对该过程保持控制 预先警告 微软的更新时间是固定的也就是我们常说的补丁星期二(即每个月的第二个周二)这意味着大家能够提前为其安排测试计划我们可以通过订阅安全公告的方式提前得到通知这类通知一般会在更新放出的三个工作日之前发布并包含该次更新的各项细节放出通知的这天常常被称为恐吓星期四 攻击者们这时也会得知那些被修复的漏洞的细节因此对他们来说时间紧迫必须立即开始设法突破补丁的防护微软在周二之外也会不定期地发布各类重要补丁这种情况往往同样需要IT部门立即加以关注 如果各位读者朋友们所从事的行业需要严格的监管制度或者您的公司总要处理诸多规范类的问题那么一套适当的补丁更新策略绝对是必要的 保护薄弱环节 微软的IT部门必须保证%的桌面系统都处于最新补丁的保护之下不过这是对IT部门提出的要求并非针对产品团队因此公司必须在将补丁推出之前找出其对内部应用程序所造成的各种影响 更新不是广泛适用的所以大家需要审查哪些系统需要针对特定漏洞而进行补丁更新 同时也并不是所有补丁都必须被立即安装新的生产功能往往包含在功能集及服务工具包中而非补丁中但补丁可能会为执行性能的提升带来改善 在任何情况下补丁的安装与否都要经过评估而且在用户每个月都得接受一批更新并进行系统重启的条件下大家一定要权衡好哪些更新并不紧急可以在经过更长时间的测试后再进行部署(也就是说可以与下一批更新一同进行)而哪些对生产有极大的促进作用因而应当尽快安装 杀毒软件的更新不需要进行测试及核准因为对于企业级杀毒软件系统来说其默认状况为每天更新三次 专用的企业级杀毒软件系统通常会自动处理更新如果大家正在通过系统中心配置管理器对Forefront终端保护系统进行管理该管理器的版本提供了这样的功能使我们只有选择特定的定义语言才能使其自动批准更新 争分夺秒 少数时候微软认为某些补丁作用重大需要尽快推出因为它们能够解决严重问题但是即使并没有为其预留审核的时间大家仍然需要提前对其做出评估 微软的安全公告及第三方服务将不定期向用户发布这类补丁的更新提示(而且大家可能会发现第三方厂商对这类关键性补丁的建议非常有参考价值) 尽管部署紧急补丁至关重要但制订一套评估策略无疑更应该优先考量您可能很想马上更新紧急补丁但必须先了解这样做是否会破坏我们常规的业务应用程序最佳建议是保持软件的实时审核这样一来我们就能清楚地看到哪些系统将会受到影响 测试测试还是测试 测试补丁的方式有几种大家可以利用带有脚本的测试系统它的功能是覆盖在系统及应用程序之上或者采取向用户发布补丁合集这类更为非正式的方法如果进行测试的部门恰好是IT部门务必让他们确保生产应用程序与脚本能够在共同执行普通任务的过程中契合良好 规模较大的企业则可能希望分别进行部署以避免增加对网络负载的压力如果该次更新确实造成损害分别部署也能同时减少技术支持团队的压力 我们需要跟蹤那些已经被成功安装的更新甚至对小型企业来说也需要一套变更管理系统来记录补丁内容及更新情况 如同处理微软应用程序一样我们还将需要为第三方应用程序及网络设备制订一套补丁更新策略类似AppDNA公司的App Titude及ChangeBase公司的AOK这样的第三方工具能够帮助我们同时跟蹤多款产品在更新时的状况并提供一份详尽的指南告诉大家哪些应用程序会在微软的更新中受到影响 上面提到的工具无法解除每月一次的更新负担但通过它们的帮助我们至少不必每一次都要从头开始尝试解决问题 |