Czy należy wymusić ponowne uruchomienie po wypchnięciu aktualizacji systemu Windows?

Zauważyłem, że większość użytkowników ignoruje komunikat „Są gotowe aktualizacje do zainstalowania, kliknij tutaj, aby zainstalować”, który WSUS wypycha. Do tej pory nie wymuszaliśmy instalacji, ale myślę o zmianie zasad grupy, aby wymuszać aktualizacje co noc. Czasami będzie to wymagało ponownego uruchomienia komputera, które chcę wymusić również przez lekarza rodzinnego.

Wiem, że użytkownicy będą reagować na nie, ale zastanawiam się, czy jest to najlepsza praktyka, której można bronić. Wydaje się, że właściwym rozwiązaniem jest zapewnienie aktualności i bezpieczeństwa komputerów.

Chciałbym po prostu włączyć się na sekundę do mojego mydła z automatycznym restartem: z mojego doświadczenia wynika, że ​​automatyczne / wymuszanie ponownego uruchomienia jest ogólnie złym pomysłem.

Administratorzy systemu często mają pewien problem z upewnieniem się, że najnowsza łatka została zastosowana od momentu jej zainstalowania, ponieważ OMG do tego czasu system nie został załadowany . Musisz jednak zdawać sobie sprawę, że administratorzy systemu są przynajmniej teoretycznie, aby umożliwić osobom korzystającym z systemu wykonywanie swojej pracy.

Jeśli automatycznie uruchomisz się ponownie po zainstalowaniu łaty i, powiedzmy, zegar systemowy stacji roboczej został zresetowany, myśląc, że jest druga w nocy, a jakiś biedny Dilbert traci pracę, zrobiłeś ogromny gaf. Moim zdaniem jest to znacznie większy gaf niż posiadanie tymczasowo niezałatanego systemu w sieci.

Z mojego doświadczenia wynika, że ​​lepszym pomysłem jest posiadanie pewnego rodzaju niedopuszczalnej wiadomości z informacją o ponownym uruchomieniu komputera. Pozwól im skończyć pracę i zrestartuj się podczas lunchu lub poproś, aby zamknęli stację roboczą w nocy lub coś, co ładnie pasuje do Twojej organizacji.

To powiedziawszy, kiedy pomogłem zarządzać 12 laboratoriami komputerowymi w college'u, zdefiniowaliśmy przestoje, gdy byliśmy pewni, że nikt nie będzie używał żadnej z maszyn, ponieważ drzwi były zamknięte. Jest to sytuacja, w której autorebootowanie jest z pewnością w porządku; denerwuje mnie tylko autonomiczne wymuszone automatyczne zatrzymanie pracy.

Automatycznie instalujemy, a następnie opóźniamy ponowne uruchomienie instalacji o 30 minut - monituje użytkownika do ponownego uruchomienia teraz, a jeśli nie ma odpowiedzi w ciągu 30 minut, ponownie uruchamia komputer. Początkowo narzekał, ale przyzwyczaili się do tego. Jeśli są w trakcie wykonywania czegoś, mogą kliknąć „Uruchom ponownie później”, aby opóźnić ponowne uruchomienie komputera do momentu, gdy będzie to konieczne. Ale będą monitowane co 30 minut. Jest to dobra równowaga między ponownym uruchomieniem użytkowników a tym, że nigdy nie instalują aktualizacji.

EDYTOWAĆ:

Aktualizacja - przepraszam, brakowało ustawienia, gdy dwukrotnie sprawdzałem ustawienia GPO, monit Re o ponowne uruchomienie można konfigurować niezależnie. Możesz więc ustawić opóźnienie, zanim pojawi się ponownie monit. Dotyczy to również środowiska z 2003 r., Mogły dodać / zmienić opcje w 2008 r

Ponieważ najpierw testujesz łatki (prawda?), Wiesz, które z nich wymagają ponownego uruchomienia systemu.

Możesz stworzyć harmonogram, który mówi, że co ostatnią środę lub czwartek miesiąca wysyłasz wiadomość e-mail z informacją, że musisz wdrożyć łatki X wymagające ponownego uruchomienia komputerów. Zostaw swoje maszyny na noc.

To prawda, że ​​nie jest to ekologiczne rozwiązanie, ale umożliwia obejście potrzeb użytkowników i konieczności aktualizowania systemów.

W przypadku innych poprawek możesz wybrać rozwiązanie opublikowane przez Zyphera.

Byłbym zainteresowany odpowiedziami innych ludzi również na to. Nie jestem w stanie wdrożyć automatycznego restartu, był w „złej praktyce” zbyt długo i ludzie nie chcieli się przystosować. Ludzie zostawiają swoje e-maile, których potrzebują, aby odpowiedzieć na otwarte itp., Nagle ich utrata byłaby bardzo irytująca.

Jeśli szukasz przyczyny technicznej, tak, najlepszą „technicznie” najlepszą praktyką jest zapewnienie natychmiastowego załatania maszyn oraz że użytkownicy nie mogą opóźniać ani obchodzić właściwego stosowania poprawek (w tym wymaganych ponownych uruchomień).

Chciałbym jednak stwierdzić, że decyzja o automatycznym uruchomieniu po zainstalowaniu łatek jest decyzją biznesową, a nie techniczną. Myślę, że głównym powodem, dla którego administratorzy systemów faworyzują to, że w przypadku infiltracji niektórych niezałatanych systemów jest zwykle długie godziny, aby oczyścić rzeczy bez odpowiedniego systemu kwarantanny. Jednak wymuszony restart może mieć wpływ na wydajność lub być nie do przyjęcia w zależności od użytkowania maszyn (przykładami mogą być maszyny w punktach sprzedaży lub maszyny na antenie).

Może się okazać, że możesz wymusić autoreboot na jednym segmencie komputerów docelowych, ale inne maszyny mają uzasadniony biznesowy powód, aby NIE uruchamiać się automatycznie. Jak zawsze firma jest Twoim klientem, dlatego przedstawiaj zalety i wady zgodnie z zaleceniem „najlepszych praktyk technicznych” i pozwól im podjąć decyzję.

W niektórych przypadkach absolutnie nie można wymusić ponownego uruchomienia komputera. Mamy ludzi, którzy przeprowadzają symulacje, które działają przez kilka dni na kilku maszynach. Oprogramowanie symulacyjne ma duży problem: nie zapisuje wyników pośrednich. Jeśli więc w trakcie biegu nastąpi restart, duża część pracy zostanie utracona i należy ją zakończyć. Obecnie nie ma realnej alternatywy dla korzystania z tego programu symulacyjnego, więc w IT musimy go obejść. W tym przypadku stworzyliśmy nową jednostkę organizacyjną, która nie otrzymuje wypychanych aktualizacji i przenieśliśmy do niej wszystkie komputery PC, które są przyzwyczajone do tych symulacji.

Jedną rzeczą, którą próbuję zrobić z wymuszonym ponownym uruchomieniem, jest sprawdzanie poprawek co miesiąc, a jeśli jakieś wymagają ponownego uruchomienia, wyślij e-mail z przypomnieniem rano, gdy łatki są wypychane. W ciągu dnia mamy wiele rozłożonych obiadów, więc 30-minutowe okno nie jest wystarczająco długie (szkoda, że ​​nie może być dłuższe, ale to wszystko na to pozwala Microsoft).

Jeśli wdrażasz aktualizacje, pozwól, aby były one przekazywane jak najszybciej. Jeśli urządzenie wymaga ponownego uruchomienia, zepchnij to do nocy lub wczesnego rana. Jeśli ludzie wyłączą swoje komputery, możesz zapobiec wyłączeniu komputera lub wymusić opóźnienie najwcześniejszego ponownego uruchomienia komputera, gdy użytkownik ponownie uruchomi komputer.

„Zachęcamy (d)” do wyłączania komputerów pod koniec dnia ze względu na zużycie energii (oszczędzaj $), dlatego aktualizacje byłyby stosowane przy zamykaniu. Oczywiście są tacy, którzy decydują się nigdy nie wyłączać, ale nie mieliśmy zbyt wielu komputerów w biurze (około 80 klientów przeszło teraz głównie na cienkich klientów).

Ponieważ tytuł pytania brzmi „najlepsze praktyki” specyficzne dla WSUS, sugerowałbym (i jest to całkowicie gotowe), aby upewnić się, że włączasz tylko niezbędne aktualizacje i nie włączasz procesu pobierania w godzinach pracy. Jeden z naszych techników odkrył niewłaściwy sposób NIE włączać wszystkich aktualizacji na stronie z połączeniem W1 TAN, ouch!