首页 > 代码库 > Windows Server 2012 R2 WSUS-10:流程概述

Windows Server 2012 R2 WSUS-10:流程概述

本篇文章来大概说一说打补丁的流程,一般来说打补丁的流程分为测试环境测试和生产环境安装两个部分。如果企业规模比较小,没有完善的流程制度,也是有一些打补丁的原则可以遵循的,比如:

   对于安全级别为Low以上的各种安全补丁应该分发;

   对于操作系统的安全补丁应该分发;

   对于各种IE版本安全补丁应该分发;

   对于其他各种安全补丁(如Media Player、OutLook Express等)应该分发;

   对于状态为Updates修订版本的安全补丁,无需手工批准,系统会自动发布;

那么对于规模稍微复杂的企业来说,除了上述的原则以外,其实我们还可以通过结合流程来更加规范和安全的开展update的更新工作。

微软的最佳实践是补丁至少一个月安装一次。一般微软的安全中心会在每个月的14号左右发送当月的安全公告摘要,WSUS也会在15号左右接收到微软发放的补丁。

下面举一个简单的例子,假如我们的公司有自己的流程管理系统(有电子邮件系统也可以,就是很麻烦)。我们可以通过结合一些流程管理系统来做补丁的测试、审批工作。

(1) 每月由补丁管理员及时检查微软新发布补丁,具体检查的方式是:通过WSUS控制台和登陆technet的安全中心查看公告;

(2) 收到补丁后,补丁管理员会发起一个测试的事件,并将当月收到的补丁分发到测试组(测试组的测试机器由其他部门反馈提供),然后通知各组对相关补丁进行测试(通知的方式可以是通过流程会审,也可以发邮件通知);

下面几张图描述了一个完整的WSUS测试补丁审批过程。

截图121

截图122

截图123

截图124

(3) 其他部门在指定的时间内将测试结果进行反馈(可以通过邮件或者流程系统的方式进行反馈);

这里如果测试没有问题的话,我们就会把补丁审批到生产环境,如果有问题的话,先处理补丁问题。

(4) 补丁管理员根据反馈情况对当月补丁进行批准、发放;

下面描述了WSUS往生产环境审批补丁的一个过程。

截图125

截图127

截图128

截图129

备注:如果是为生产服务器安装补丁,需提前通知各部门,经同意后为生产服务器安装补丁,并设定计划任务重启服务器,然后提醒各部门在服务器重启完成后,注意检查应用。

当客户端收到补丁后,就可以安装了,一般客户机我们可以通过组策略设置自动下发计划安装,这样就不需要用户手动的干预了。

下面描述了一个客户端收到补丁后,手动安装的情况。

截图130

截图132

截图133

截图162

微软的补丁,有些安装完成后是不需要重启服务器或者客户端的,有些是必须重启服务器或者客户端的,下图说明了一个安装更新后不需要重启的情况。

截图163

本文出自 “曾垂鑫的技术专栏” 博客,谢绝转载!