Windows
單個生產 Web 伺服器上的 Windows 更新
在單個生產 Web 伺服器上安裝 Windows 更新的最佳做法是什麼。該伺服器的負載相當高,每日瀏覽量約為 50 萬,目前沒有測試機器來預測試更新。
我看到很多人建議僅手動安裝關鍵更新..
您的更新最佳實踐是什麼?
- 手動還是自動?
- 預測試與否?
- 一些更新還是全部?
- 多頻繁?
- 我應該在這裡考慮任何重要的工作流程嗎?
獎金問題
- 有沒有人因為不預先測試更新而遇到任何嚴重的失敗?
(我想我已經知道這個問題的答案了)
謝謝
在這種情況下,絕對只能安裝關鍵的安全更新檔並手動進行。
在所有更新檔發布後立即查看它們,並確定您的特定係統存在的漏洞風險級別。
如果您遵循合理的安全最佳實踐(例如禁用未使用的服務、阻止未使用的埠、登錄電腦時不瀏覽 Internet 等),許多 Microsoft 更新檔都是相當不相關的。
這只留下了最少數量的遠端程式碼執行漏洞,您應該盡快修補它們 - 一次一個,在備份所有內容後,並準備好測試和回滾更新檔,如果它破壞了任何東西。
然而,這不是一個好地方,您應該尋求在中期建構一個合適的環境來測試更新檔,最好使用第二台生產伺服器,這樣您就可以安全地進行更新檔和測試而無需停機。