Czy należy wymusić ponowne uruchomienie po wypchnięciu aktualizacji systemu Windows?

16

Zauważyłem, że większość użytkowników ignoruje komunikat „Są gotowe aktualizacje do zainstalowania, kliknij tutaj, aby zainstalować”, który WSUS wypycha. Do tej pory nie wymuszaliśmy instalacji, ale myślę o zmianie zasad grupy, aby wymuszać aktualizacje co noc. Czasami będzie to wymagało ponownego uruchomienia komputera, które chcę wymusić również przez lekarza rodzinnego.

Wiem, że użytkownicy będą reagować na nie, ale zastanawiam się, czy jest to najlepsza praktyka, której można bronić. Wydaje się, że właściwym rozwiązaniem jest zapewnienie aktualności i bezpieczeństwa komputerów.

GollyJer
źródło
Ktoś powinien prawdopodobnie zmienić pytanie na „Czy powinieneś wymusić restart po wypchnięciu aktualizacji Windows?”
Totem - Przywróć Monikę

Odpowiedzi:

10

Chciałbym po prostu włączyć się na sekundę do mojego mydła z automatycznym restartem: z mojego doświadczenia wynika, że ​​automatyczne / wymuszanie ponownego uruchomienia jest ogólnie złym pomysłem.

Administratorzy systemu często mają pewien problem z upewnieniem się, że najnowsza łatka została zastosowana od momentu jej zainstalowania, ponieważ OMG do tego czasu system nie został załadowany . Musisz jednak zdawać sobie sprawę, że administratorzy systemu są przynajmniej teoretycznie, aby umożliwić osobom korzystającym z systemu wykonywanie swojej pracy.

Jeśli automatycznie uruchomisz się ponownie po zainstalowaniu łaty i, powiedzmy, zegar systemowy stacji roboczej został zresetowany, myśląc, że jest druga w nocy, a jakiś biedny Dilbert traci pracę, zrobiłeś ogromny gaf. Moim zdaniem jest to znacznie większy gaf niż posiadanie tymczasowo niezałatanego systemu w sieci.

Z mojego doświadczenia wynika, że ​​lepszym pomysłem jest posiadanie pewnego rodzaju niedopuszczalnej wiadomości z informacją o ponownym uruchomieniu komputera. Pozwól im skończyć pracę i zrestartuj się podczas lunchu lub poproś, aby zamknęli stację roboczą w nocy lub coś, co ładnie pasuje do Twojej organizacji.

To powiedziawszy, kiedy pomogłem zarządzać 12 laboratoriami komputerowymi w college'u, zdefiniowaliśmy przestoje, gdy byliśmy pewni, że nikt nie będzie używał żadnej z maszyn, ponieważ drzwi były zamknięte. Jest to sytuacja, w której autorebootowanie jest z pewnością w porządku; denerwuje mnie tylko autonomiczne wymuszone automatyczne zatrzymanie pracy.

msanford
źródło
1
Zgadzam się tutaj, z wyjątkiem jednego punktu, że jeśli zegar systemowy jest nieprawidłowy w twojej sieci, to twoja wina. :)
mhud
Tak, całkiem dobrze! Po prostu mówię ...;)
msanford
8

Automatycznie instalujemy, a następnie opóźniamy ponowne uruchomienie instalacji o 30 minut - monituje użytkownika do ponownego uruchomienia teraz, a jeśli nie ma odpowiedzi w ciągu 30 minut, ponownie uruchamia komputer. Początkowo narzekał, ale przyzwyczaili się do tego. Jeśli są w trakcie wykonywania czegoś, mogą kliknąć „Uruchom ponownie później”, aby opóźnić ponowne uruchomienie komputera do momentu, gdy będzie to konieczne. Ale będą monitowane co 30 minut. Jest to dobra równowaga między ponownym uruchomieniem użytkowników a tym, że nigdy nie instalują aktualizacji.

EDYTOWAĆ:

Aktualizacja - przepraszam, brakowało ustawienia, gdy dwukrotnie sprawdzałem ustawienia GPO, monit Re o ponowne uruchomienie można konfigurować niezależnie. Możesz więc ustawić opóźnienie, zanim pojawi się ponownie monit. Dotyczy to również środowiska z 2003 r., Mogły dodać / zmienić opcje w 2008 r

Zypher
źródło
Przeraża mnie ta część „brak odpowiedzi w ciągu 30 minut” (patrz moje zdanie poniżej;) Może są w trakcie konferencji i po prostu zignorowali swój komputer? Może są w toalecie lub na lunchu i zostawili całą swoją pracę otwartą, powiedzmy, jedną z nich jest ręczna zmiana, która wymaga interwencji użytkownika, aby zapisać?
msanford
2
Tak, jest to konfigurowalne opcje, możesz ustawić na 5 godzin, jeśli chcesz. W naszym środowisku działało 30 minut - możesz to zrobić również przez OU, aby administratorzy / programiści mieli 2 lub 3 godziny przerwy, a stały personel może mieć 30 minut lub godzinę. Jak większość innych rzeczy tego typu „zależy od twojego otoczenia”.
Robią
4

Ponieważ najpierw testujesz łatki (prawda?), Wiesz, które z nich wymagają ponownego uruchomienia systemu.

Możesz stworzyć harmonogram, który mówi, że co ostatnią środę lub czwartek miesiąca wysyłasz wiadomość e-mail z informacją, że musisz wdrożyć łatki X wymagające ponownego uruchomienia komputerów. Zostaw swoje maszyny na noc.

To prawda, że ​​nie jest to ekologiczne rozwiązanie, ale umożliwia obejście potrzeb użytkowników i konieczności aktualizowania systemów.

W przypadku innych poprawek możesz wybrać rozwiązanie opublikowane przez Zyphera.

Wayne
źródło
To wcale nie jest zły pomysł. Zgadzam się, że może to nie wydawać się zielone, ale jedna z instytucji, w których pracowałem (byłem użytkownikiem, a nie administratorem) wprowadziła politykę nakazującą pozostawienie wszystkich stacji roboczych 24/7/365 na wypadek, gdyby pojawiła się łatka, albo coś musiało być Upiorne, albo co nie. To zdecydowanie nie było zielone ...
msanford
2

Byłbym zainteresowany odpowiedziami innych ludzi również na to. Nie jestem w stanie wdrożyć automatycznego restartu, był w „złej praktyce” zbyt długo i ludzie nie chcieli się przystosować. Ludzie zostawiają swoje e-maile, których potrzebują, aby odpowiedzieć na otwarte itp., Nagle ich utrata byłaby bardzo irytująca.

Adam Gibbins
źródło
2

Jeśli szukasz przyczyny technicznej, tak, najlepszą „technicznie” najlepszą praktyką jest zapewnienie natychmiastowego załatania maszyn oraz że użytkownicy nie mogą opóźniać ani obchodzić właściwego stosowania poprawek (w tym wymaganych ponownych uruchomień).

Chciałbym jednak stwierdzić, że decyzja o automatycznym uruchomieniu po zainstalowaniu łatek jest decyzją biznesową, a nie techniczną. Myślę, że głównym powodem, dla którego administratorzy systemów faworyzują to, że w przypadku infiltracji niektórych niezałatanych systemów jest zwykle długie godziny, aby oczyścić rzeczy bez odpowiedniego systemu kwarantanny. Jednak wymuszony restart może mieć wpływ na wydajność lub być nie do przyjęcia w zależności od użytkowania maszyn (przykładami mogą być maszyny w punktach sprzedaży lub maszyny na antenie).

Może się okazać, że możesz wymusić autoreboot na jednym segmencie komputerów docelowych, ale inne maszyny mają uzasadniony biznesowy powód, aby NIE uruchamiać się automatycznie. Jak zawsze firma jest Twoim klientem, dlatego przedstawiaj zalety i wady zgodnie z zaleceniem „najlepszych praktyk technicznych” i pozwól im podjąć decyzję.

David Archer
źródło
+1 za wzmiankę o decyzjach biznesowych a technicznych (coś, co można przeoczyć w dążeniu do prowadzenia sieci doskonałej technologicznie).
msanford
2

W niektórych przypadkach absolutnie nie można wymusić ponownego uruchomienia komputera. Mamy ludzi, którzy przeprowadzają symulacje, które działają przez kilka dni na kilku maszynach. Oprogramowanie symulacyjne ma duży problem: nie zapisuje wyników pośrednich. Jeśli więc w trakcie biegu nastąpi restart, duża część pracy zostanie utracona i należy ją zakończyć. Obecnie nie ma realnej alternatywy dla korzystania z tego programu symulacyjnego, więc w IT musimy go obejść. W tym przypadku stworzyliśmy nową jednostkę organizacyjną, która nie otrzymuje wypychanych aktualizacji i przenieśliśmy do niej wszystkie komputery PC, które są przyzwyczajone do tych symulacji.

Totem - Przywróć Monikę
źródło
+1 Ponadto stacje symulacyjne nie będą reagować na komunikat „Hej, czy mogę teraz zrestartować komputer”, ponieważ prawdopodobnie użytkownik nie siedzi przy klawiaturze.
msanford
1

Jedną rzeczą, którą próbuję zrobić z wymuszonym ponownym uruchomieniem, jest sprawdzanie poprawek co miesiąc, a jeśli jakieś wymagają ponownego uruchomienia, wyślij e-mail z przypomnieniem rano, gdy łatki są wypychane. W ciągu dnia mamy wiele rozłożonych obiadów, więc 30-minutowe okno nie jest wystarczająco długie (szkoda, że ​​nie może być dłuższe, ale to wszystko na to pozwala Microsoft).

Leroy Clark
źródło
1

Jeśli wdrażasz aktualizacje, pozwól, aby były one przekazywane jak najszybciej. Jeśli urządzenie wymaga ponownego uruchomienia, zepchnij to do nocy lub wczesnego rana. Jeśli ludzie wyłączą swoje komputery, możesz zapobiec wyłączeniu komputera lub wymusić opóźnienie najwcześniejszego ponownego uruchomienia komputera, gdy użytkownik ponownie uruchomi komputer.

Jason B. Shrout
źródło
0

„Zachęcamy (d)” do wyłączania komputerów pod koniec dnia ze względu na zużycie energii (oszczędzaj $), dlatego aktualizacje byłyby stosowane przy zamykaniu. Oczywiście są tacy, którzy decydują się nigdy nie wyłączać, ale nie mieliśmy zbyt wielu komputerów w biurze (około 80 klientów przeszło teraz głównie na cienkich klientów).

Ponieważ tytuł pytania brzmi „najlepsze praktyki” specyficzne dla WSUS, sugerowałbym (i jest to całkowicie gotowe), aby upewnić się, że włączasz tylko niezbędne aktualizacje i nie włączasz procesu pobierania w godzinach pracy. Jeden z naszych techników odkrył niewłaściwy sposób NIE włączać wszystkich aktualizacji na stronie z połączeniem W1 TAN, ouch!

l0c0b0x
źródło