WSUS가 발표 한 "설치 준비가되었습니다. 여기를 클릭하여 설치하십시오"라는 메시지를 대부분의 사용자가 무시하는 것으로 나타났습니다. 지금까지 우리는 설치를 강요하지 않았지만 밤마다 업데이트를 시행하기 위해 그룹 정책을 변경하려고합니다. 때로는 GP를 통해 시행하려는 재부팅이 필요할 수 있습니다.
사용자로부터 푸시 백이 있지만 이것이 방어 가능한 모범 사례인지 궁금합니다. PC를 최신 상태로 유지하고 보안을 유지하는 것이 옳은 것처럼 보입니다.
답변:
잠깐 동안 자동 재부팅 soapbox를 사용하고 싶습니다. 자동으로 재부팅을 강제하는 것이 일반적으로 나쁜 생각입니다.
시스템 관리자는 OMG 때문에 시스템에 패치가 적용되지 않기 때문에 최신 패치가 설치되는 순간 두 번째 패치가 적용 되도록 하는 데 종종 다소 복잡한 문제가 있습니다. 그러나 시스템 관리자는 이론적으로 시스템을 사용하는 사람들이 자신의 작업을 수행 할 수 있도록해야합니다.
패치가 설치되면 자동으로 다시 부팅하고 워크 스테이션의 시스템 시계가 오전 2 시로 재설정되어 일부 불량한 Dilbert가 작업을 잃어 버렸다고 생각하면 거대한 갭을 만들었습니다. 내 생각에, 그것은 네트워크에 일시적으로 패치되지 않은 시스템을 갖는 것보다 훨씬 큰 개프입니다.
내 경험상, 사용자에게 재부팅하도록 알리는 일종의 해제 할 수없는 메시지를 갖는 것이 일반적으로 더 좋습니다. 업무를 마치고 점심 시간에 다시 부팅하도록하거나 밤에는 워크 스테이션을 종료하거나 조직에 잘 맞는 무언가를 요청하십시오.
즉, 대학에서 12 대의 컴퓨터 실습실을 관리 할 때 문이 잠겨있어 아무도 기계를 사용하지 않을 것임을 확실히 알 때 가동 중지 시간을 정의했습니다. 그것은 자동 재부트가 확실히 괜찮은 상황입니다. 그것은 단지 자율적 인 강제적 인 자동 작업 중단입니다.
자동 설치 후 30 분 동안 설치 재시작이 지연됩니다. 사용자에게 지금 재부팅하라는 메시지가 표시되고 30 분 내에 응답이 없으면 시스템이 재부팅됩니다. 처음에는 불평이 있었지만 익숙해졌습니다. 중간에있는 경우 "나중에 다시 부팅"을 클릭하여 재부팅을 지연시킬 수 있습니다. 그러나 30 분마다 프롬프트가 표시됩니다. 사용자를 재부팅하고 업데이트를 설치하지 않는 것 사이의 균형이 잘 맞습니다.
편집하다:
업데이트-GPO 설정을 두 번 확인할 때 설정이 누락되어 죄송합니다. 재부팅하라는 메시지 다시 표시는 독립적으로 구성 할 수 있습니다. 따라서 메시지가 다시 표시되기 전에 지연을 설정할 수 있습니다. 또한 이것은 2003 년 환경을위한 것이며 2008 년에 옵션을 추가 / 변경했을 수 있습니다.
패치를 먼저 테스트하기 때문에 (그렇지 않습니까?) 시스템을 재부팅해야하는 패치를 알고 있습니다.
머신을 재부팅해야하는 X 패치를 배포해야한다는 이메일을 발송하는 매월 마지막 매주마다 일정을 만들 수 있습니다. 밤새 기계를 켜 두십시오.
이것이 친환경 솔루션은 아니지만 사용자의 요구와 시스템을 최신 상태로 유지해야 할 필요성을 해결할 수 있습니다.
다른 패치의 경우 Zypher가 게시 한 솔루션을 사용할 수 있습니다.
기술적 인 이유를 찾고 있다면 기계를 즉시 패치하고 사용자가 적절한 패치 적용 (필요한 재부팅 포함)을 지연하거나 우회 할 수 없도록하는 것이 "기술적으로"모범 사례입니다.
그러나 패치 설치 후 자동 재부팅 결정은 기술적 인 결정이 아니라 비즈니스 결정이라고 말합니다. 시스템 관리자가 선호하는 경향이있는 주된 이유는 패치되지 않은 일부 시스템에 침투 한 경우 적절한 격리 시스템을 설치하지 않고 정리하는 데 오랜 시간이 걸린다는 것입니다. 그러나 강제 재부트는 머신 사용에 따라 생산성에 영향을 주거나 허용되지 않을 수 있습니다 (예 : POS (Point of Sale) 머신 또는 온에어 머신).
대상 시스템의 한 세그먼트로 자동 재부팅을 강제 할 수 있지만 다른 시스템은 자동 재부팅하지 않는 합법적 인 사업상의 이유가 있습니다. 항상 그렇듯이 비즈니스는 고객이므로 "기술적으로 모범 사례"권장 사항에 따라 장단점을 정리하고 결정을 내릴 수 있습니다.
경우에 따라 재부팅을 절대 수행 할 수 없습니다. 여러 기계에서 며칠 동안 실행되는 시뮬레이션을 실행하는 사람들이 있습니다. 시뮬레이션 소프트웨어에는 큰 문제가 있습니다. 중간 결과를 저장하지 않습니다. 따라서 실행 중 재부팅이 발생하면 많은 작업이 손실되고 완료되어야합니다. 현재이 시뮬레이션 프로그램을 사용할 수있는 대안이 없기 때문에 IT 부서에서이를 해결해야합니다. 이 경우 업데이트를받지 않는 새 OU를 만들었으며 이러한 시뮬레이션에 사용되는 모든 PC를 여기로 옮겼습니다.
업데이트를 배포하는 경우 최대한 빨리 업데이트하십시오. 컴퓨터를 다시 부팅해야하는 경우 밤이나 이른 아침까지 밀어 내십시오. 사람들이 컴퓨터를 종료하면 사용자가 PC 전원을 다시 켤 때 컴퓨터가 종료되지 않도록하거나 가장 빠른 재부팅 시간을 지연시킬 수 있습니다.
전력 소비를 이유로 하루 종일 컴퓨터를 종료하도록 권장합니다 ($ 절약). 따라서 종료시 업데이트가 적용됩니다. 물론 종료하지 않기로 결정한 직원도 있지만 사무실에 컴퓨터가 너무 많지 않았습니다 (현재 80 명의 클라이언트가 대부분 씬 클라이언트로 이동).
질문의 제목은 WSUS에만 해당하는 "모범 사례"이므로 필자는 업무 시간 동안 필요한 업데이트 만 활성화하고 다운로드 프로세스를 활성화하지 않는 것이 좋습니다. 우리 기술 중 하나가 T1 WAN 연결로 사이트의 모든 업데이트를 활성화하지 않는 잘못된 방법을 찾았습니다.