Dovresti forzare un riavvio dopo aver inviato gli aggiornamenti di Windows?

Sto scoprendo che la maggior parte degli utenti ignora il messaggio "Ci sono aggiornamenti pronti per essere installati, fai clic qui per installare" che WSUS invia. Fino ad ora non abbiamo forzato l'installazione ma sto pensando di cambiare i criteri di gruppo per imporre aggiornamenti ogni notte. Questo a volte richiederà un riavvio che voglio imporre anche tramite GP.

So che ci sarà un respingimento da parte degli utenti, ma mi chiedo se questa sia la migliore pratica difendibile. Sembra la cosa giusta da fare per garantire che i PC siano aggiornati e sicuri.

Vorrei solo accedere al mio soapbox per il riavvio automatico per un secondo: è stata la mia esperienza che il riavvio / forzamento automatico è generalmente una cattiva idea.

Spesso gli amministratori di sistema hanno un po 'di complessità nell'assicurarsi che l'ultima patch sia stata applicata nel momento in cui è installata perché OMG fino ad allora il sistema non ha patch . Tuttavia, è necessario rendersi conto che gli amministratori di sistema almeno teoricamente sono lì per consentire alle persone che usano il sistema di svolgere il proprio lavoro.

Se riavvii automaticamente una volta installata una patch e, diciamo, l'orologio di sistema della workstation è stato ripristinato, pensando che sono le 2 del mattino, e qualche povero Dilbert perde lavoro, hai fatto un enorme problema. A mio avviso, è un problema molto più grande che avere un sistema temporaneamente senza patch sulla rete.

Nella mia esperienza, avere una sorta di messaggio non liquidabile che dice all'utente di riavviare è di solito un'idea migliore. Lascia che finiscano il loro lavoro e si riavviino durante il pranzo, oppure chiedi loro di chiudere la workstation di notte o qualcosa che si adatta bene alla tua organizzazione.

Detto questo, quando ho aiutato ad amministrare 12 laboratori informatici in un college, avevamo definito i tempi di inattività quando sapevamo per certo che nessuno avrebbe usato nessuna delle macchine perché le porte erano chiuse. Questa è una situazione in cui l'autorebooting è sicuramente ok; è solo l'interruzione autonoma forzata del lavoro automatico che mi infastidisce.

Installiamo automaticamente, quindi ritardiamo il riavvio dell'installazione per 30 minuti - richiede all'utente di riavviare ora e se non ci sono risposte entro 30 minuti, riavvia la macchina. Ci fu un po 'di brontolio iniziale, ma a cui ci siamo abituati. Se si trovano nel mezzo di qualcosa, possono fare clic su "riavvia in seguito" per ritardare il riavvio fino al momento opportuno. Ma verranno richiesti ogni 30 minuti. È un buon equilibrio tra il semplice riavvio degli utenti e il fatto che non installino mai gli aggiornamenti.

MODIFICARE:

Aggiornamento: mi dispiace aver perso l'impostazione quando stavo ricontrollando le mie impostazioni dell'oggetto Criteri di gruppo, il prompt Re per il riavvio è configurabile in modo indipendente. Quindi è possibile impostare il ritardo prima che venga nuovamente richiesto. Anche questo è per un ambiente del 2003, potrebbero aver aggiunto / modificato opzioni nel 2008

Dato che testate prima le patch (non è vero?) Sapete quali richiedono un riavvio del sistema.

È possibile creare un programma che indichi ogni ultimo mercoledì o giovedì del mese in cui si invia un'e-mail in cui si dice che è necessario distribuire X patch che richiedono il riavvio delle macchine. Si prega di lasciare le macchine accese durante la notte.

Certo, questa non è una soluzione ecologica, ma ti consente di aggirare le esigenze dei tuoi utenti e la necessità di mantenere i sistemi aggiornati.

Per le altre patch potresti scegliere la soluzione pubblicata da Zypher.

Sarei interessato anche alle risposte degli altri a questo. Non sono in grado di implementare il riavvio automatico, è stato in "cattiva pratica" da troppo a lungo e le persone non si sarebbero adattate. Le persone lasciano le loro e-mail che devono rispondere per aprire, ecc. Perdere improvvisamente sarebbe molto fastidioso.

Se stai cercando un motivo tecnico, sì, è "tecnicamente" la migliore pratica per garantire che le macchine vengano immediatamente patchate e che gli utenti non possano ritardare o eludere la corretta applicazione delle patch (compresi i riavvii necessari).

Tuttavia, direi che la decisione di autoreboot dopo l'installazione della patch è una decisione aziendale, non tecnica. Penso che il motivo principale per cui gli amministratori di sistema tendano a preferire è che se alcuni sistemi senza patch vengono infiltrati, di solito occorrono lunghe ore per ripulire le cose senza un adeguato sistema di quarantena. Tuttavia, il riavvio forzato può influire sulla produttività o essere inaccettabile a seconda dell'uso delle macchine (esempi potrebbero essere macchine per punti vendita o macchine in onda).

Potresti scoprire che puoi forzare l'avvio automatico su un segmento dei tuoi computer di destinazione, ma altri computer hanno un motivo commerciale legittimo di NON eseguire l'avvio automatico. Come sempre, l'azienda è il tuo cliente, quindi esponi i pro ei contro con la tua raccomandazione "tecnicamente best practice" e lascia che prendano una decisione.

In alcuni casi, non puoi assolutamente forzare un riavvio. Abbiamo persone che eseguono simulazioni che funzionano per alcuni giorni su più macchine. Il software di simulazione ha un grosso problema: non salva i risultati intermedi. Quindi, se c'è un riavvio durante una corsa, un grosso pezzo di lavoro viene perso e deve essere finito. Al momento non esiste alcuna alternativa praticabile all'utilizzo di questo programma di simulazione, quindi noi dell'IT dobbiamo aggirare il problema. In questo caso, abbiamo creato una nuova unità organizzativa che non riceve aggiornamenti e trasferito in essa tutti i PC che vengono utilizzati per queste simulazioni.

Una cosa che provo e faccio con il riavvio forzato, è controllare le patch ogni mese e, se necessario, riavviare, inviare un promemoria via e-mail la mattina dopo che le patch vengono rimosse. Abbiamo molti pranzi scaglionati durante il giorno, quindi la finestra di 30 minuti non è abbastanza lunga (vorrei che potesse essere più lunga, ma questo è tutto ciò che Microsoft consente).

Se si stanno distribuendo gli aggiornamenti, consentire che vengano inviati al più presto. Se la macchina richiede un riavvio, spingerlo fino alla notte o al mattino presto. Se le persone spengono i loro computer, è possibile impedire lo spegnimento della macchina o imporre un ritardo del primo tempo per riavviare quando l'utente riaccende il PC.

"Incoraggiamo (d)" lo spegnimento dei computer alla fine della giornata per motivi di consumo energetico (risparmi $), pertanto gli aggiornamenti verrebbero applicati allo spegnimento. Naturalmente ci sono alcuni che decidono di non spegnersi mai, ma non abbiamo avuto troppi computer in ufficio (circa 80 client ora sono passati principalmente a thin client).

Dato che il titolo della domanda è "best practice" specifico per WSUS, suggerirei (e questo è totalmente fuori dagli schemi) di assicurarmi di abilitare solo gli aggiornamenti necessari e di non abilitare il processo di download durante l'orario di lavoro. Uno dei nostri tecnici ha scoperto il modo sbagliato di NON abilitare tutti gli aggiornamenti su un sito con una connessione WAN T1, ahi!