Sollten Sie einen Neustart erzwingen, nachdem Sie Windows-Updates veröffentlicht haben?

16

Ich stelle fest, dass die meisten Benutzer die Meldung "Es sind Updates für die Installation bereit. Klicken Sie hier, um sie zu installieren" ignorieren, die von WSUS ausgegeben wird. Bis jetzt haben wir die Installation noch nicht erzwungen, aber ich denke darüber nach, die Gruppenrichtlinie zu ändern, um nächtliche Updates zu erzwingen. Dies erfordert manchmal einen Neustart, den ich auch über GP erzwingen möchte.

Ich weiß, dass es Push-Backs von den Benutzern geben wird, frage mich aber, ob dies eine bewährte Methode ist, die verteidigt werden kann. Es scheint das Richtige zu sein, um sicherzustellen, dass PCs auf dem neuesten Stand und sicher sind.

GollyJer
quelle
Jemand sollte wahrscheinlich die Frage wie folgt bearbeiten: "Sollten Sie einen Neustart erzwingen, nachdem Sie Windows-Updates veröffentlicht haben?"
Ward - Reinstate Monica

Antworten:

10

Ich möchte nur kurz auf meine Seifenschachtel für den automatischen Neustart zugreifen: Ich habe die Erfahrung gemacht, dass das Erzwingen eines automatischen Neustarts im Allgemeinen eine schlechte Idee ist.

Wir Systemadministratoren haben oft einen gewissen Aufwand, um sicherzustellen, dass der neueste Patch in der Sekunde, in der er installiert wird, angewendet wurde, da OMG bis dahin das System nicht gepatcht hat . Sie müssen sich jedoch darüber im Klaren sein, dass Systemadministratoren zumindest theoretisch dazu da sind, die Benutzer des Systems in die Lage zu versetzen, ihre Arbeit zu erledigen.

Wenn Sie nach der Installation eines Patches automatisch einen Neustart durchführen und beispielsweise die Systemuhr der Workstation auf 2 Uhr nachts zurückgesetzt wird und der arme Dilbert die Arbeit verliert, haben Sie einen riesigen Fehler gemacht. Meiner Meinung nach ist es ein viel größeres Problem als ein vorübergehend nicht gepatchtes System im Netzwerk.

Nach meiner Erfahrung ist es in der Regel besser, wenn der Benutzer durch eine nicht zu verweigernde Meldung aufgefordert wird, einen Neustart durchzuführen. Lassen Sie sie ihre Arbeit beenden und über Mittag neu starten, oder bitten Sie sie, nachts ihre Workstation herunterzufahren, oder etwas, das gut in Ihre Organisation passt.

Als ich 12 Computerlabore in einem College verwaltete, hatten wir Ausfallzeiten definiert, als wir sicher waren, dass niemand die Maschinen benutzen würde, da die Türen verschlossen waren. Das ist eine Situation, in der das automatische Booten mit Sicherheit in Ordnung ist. es ist nur die autonome erzwungene automatische Arbeitsunterbrechung, die mich nervt.

msanford
quelle
1
Ich bin damit einverstanden, mit Ausnahme des einen Punkts, dass es Ihre Schuld ist, wenn eine Systemuhr in Ihrem Netzwerk falsch ist. :)
mhud
Ja ganz richtig Ich sage nur ...;)
msanford
8

Die automatische Installation verzögert dann den Neustart für die Installation um 30 Minuten. Der Benutzer wird aufgefordert, jetzt neu zu starten. Wenn innerhalb von 30 Minuten keine Antwort erfolgt, wird der Computer neu gestartet. Es gab ein anfängliches Murren, aber das hat sich daran gewöhnt. Wenn sie sich in der Mitte eines Vorgangs befinden, können sie auf "Später neu starten" klicken, um den Neustart bis zu einem guten Zeitpunkt zu verzögern. Sie werden jedoch alle 30 Minuten dazu aufgefordert. Es ist eine gute Balance zwischen einem Neustart der Benutzer und der Tatsache, dass sie niemals die Updates installieren.

BEARBEITEN:

Update - leider habe ich die Einstellung verpasst, als ich meine GPO-Einstellung doppelt überprüft habe. Die Aufforderung zum Neustart ist unabhängig konfigurierbar. Sie können also die Verzögerung einstellen, bevor Sie erneut dazu aufgefordert werden. Auch dies ist für eine 2003 Umgebung, sie können Optionen im Jahr 2008 hinzugefügt / geändert haben

Zypher
quelle
Es ist der Teil "Keine Antwort in 30 Minuten", der mir Angst macht (siehe meine Beschimpfungen weiter unten). Vielleicht führen sie eine Telefonkonferenz und ignorieren einfach ihren Computer? Vielleicht sind sie auf der Toilette oder zum Mittagessen und haben ihre ganze Arbeit offen gelassen. Eine davon ist ein manuelles Diff, bei dem der Benutzer eingreifen muss, um es zu speichern.
Msanford
2
Ja, es ist eine konfigurierbare Option. Sie können sie auf 5 Stunden einstellen, wenn Sie möchten. 30 Minuten hat sich in unserer Umgebung bewährt - Sie können dies auch von OU aus tun, sodass Administratoren / Entwickler eine Auszeit von 2 oder 3 Stunden und reguläre Mitarbeiter eine Auszeit von 30 Minuten oder einer Stunde haben können. Wie die meisten anderen Dinge "hängt von Ihrer Umgebung ab". Sie tun dies auch einmal und lassen die Arbeit nicht länger offen, ohne mindestens "Speichern" zu
drücken
4

Da Sie zuerst die Patches testen (nicht wahr?), Wissen Sie, welche einen Neustart des Systems erfordern.

Sie können einen Zeitplan erstellen, der jeden letzten Mi oder Do des Monats enthält, in dem Sie eine E-Mail mit dem Hinweis senden, dass Sie X-Patches bereitstellen müssen, für die ein Neustart des Computers erforderlich ist. Bitte lassen Sie Ihre Maschinen über Nacht an.

Zugegeben, dies ist keine umweltfreundliche Lösung, sondern ermöglicht es Ihnen, die Anforderungen Ihrer Benutzer zu erfüllen und die Systeme auf dem neuesten Stand zu halten.

Für die anderen Patches können Sie die von Zypher bereitgestellte Lösung verwenden.

Wayne
quelle
Das ist überhaupt keine schlechte Idee. Ich bin damit einverstanden, dass es nicht grün zu sein scheint, aber eine der Institutionen, an denen ich gearbeitet habe (ich war ein Benutzer, kein Administrator), hatte die Richtlinie, dass alle Workstations am 24/7/365 belassen werden, falls ein Patch eingehen sollte. oder etwas musste gespenstisch sein, oder was nicht. Das war definitiv nicht grün ...
MSANFORD
2

Ich würde mich auch für die Antworten anderer Leute interessieren. Ich bin nicht in der Lage, einen automatischen Neustart zu implementieren. Es war viel zu lange in der "schlechten Praxis", und die Leute würden sich nicht anpassen. Die Leute hinterlassen ihre E-Mails, auf die sie antworten müssen, um sie zu öffnen usw. Ein plötzlicher Verlust wäre sehr ärgerlich.

Adam Gibbins
quelle
2

Wenn Sie nach einem technischen Grund suchen, ist es "technisch" empfehlenswert, sicherzustellen, dass die Computer sofort gepatcht werden und dass Benutzer die ordnungsgemäße Anwendung von Patches (einschließlich erforderlicher Neustarts) nicht verzögern oder umgehen können.

Ich möchte jedoch darauf hinweisen, dass die Entscheidung, nach der Installation des Patches einen automatischen Systemstart durchzuführen, keine technische, sondern eine geschäftliche Entscheidung ist. Ich denke, der Hauptgrund, warum Systemadministratoren dies bevorzugen, ist, dass es normalerweise viele Stunden dauert, bis einige ungepatchte Systeme infiltriert sind, ohne dass ein geeignetes Quarantänesystem vorhanden ist. Der erzwungene Neustart kann jedoch die Produktivität beeinträchtigen oder inakzeptabel sein, abhängig von der Verwendung der Maschinen (Beispiele hierfür sind POS-Maschinen oder On-Air-Maschinen).

Möglicherweise stellen Sie fest, dass Sie einen automatischen Systemstart für ein Segment Ihrer Zielcomputer erzwingen können, andere Computer jedoch einen legitimen geschäftlichen Grund haben, keinen automatischen Systemstart durchzuführen. Wie immer ist das Geschäft Ihr Kunde, daher legen Sie die Vor- und Nachteile mit Ihrer Empfehlung für "technisch bewährte Verfahren" fest und lassen sie eine Entscheidung treffen.

David Archer
quelle
+1 für die Erwähnung von geschäftlichen und technischen Entscheidungen (etwas, das bei der Suche nach einem technisch perfekten Netzwerk übersehen werden kann).
msanford
2

In einigen Fällen können Sie einen Neustart absolut nicht erzwingen. Wir haben Leute, die Simulationen ausführen, die einige Tage lang auf mehreren Maschinen laufen. Die Simulationssoftware hat ein großes Problem: Sie speichert keine Zwischenergebnisse. Wenn also während eines Laufs ein Neustart durchgeführt wird, geht ein großer Teil der Arbeit verloren und muss erneut ausgeführt werden. Es gibt derzeit keine Alternative zur Verwendung dieses Simulationsprogramms, daher müssen wir in der IT daran arbeiten. In diesem Fall haben wir eine neue Organisationseinheit erstellt, die keine Aktualisierungen erhält, und alle PCs, die für diese Simulationen verwendet werden, in diese Organisationseinheit verschoben.

Ward - Wiedereinsetzung von Monica
quelle
+1 Außerdem reagieren Ihre Simulationsstationen nicht auf die Meldung "Hey, kann ich jetzt neu starten", da wahrscheinlich kein Benutzer an der Tastatur sitzt.
msanford
1

Eine Sache, die ich mit dem erzwungenen Neustart versuche, ist, die Patches jeden Monat zu überprüfen und, falls ein Neustart erforderlich ist, am Morgen, an dem die Patches herausgeschickt werden, eine Erinnerungs-E-Mail zu versenden. Wir haben den ganzen Tag über viele gestaffelte Mittagessen, so dass das 30-Minuten-Fenster nicht lang genug ist (ich wünschte, es könnte länger sein, aber das ist alles, was Microsoft erlaubt).

Leroy Clark
quelle
1

Wenn Sie Updates bereitstellen, lassen Sie diese so schnell wie möglich übertragen. Wenn der Computer neu gestartet werden muss, drücken Sie dies bis in die Nacht oder in den frühen Morgenstunden. Wenn Benutzer ihre Computer herunterfahren, können Sie das Herunterfahren des Computers verhindern oder eine Verzögerung des frühesten Neustarts erzwingen, wenn der Benutzer seinen PC erneut einschaltet.

Jason B Shrout
quelle
0

Wir empfehlen (d), die Computer am Ende des Tages aus Stromverbrauchsgründen herunterzufahren (sparen Sie $), sodass Updates beim Herunterfahren angewendet werden. Natürlich gibt es einige, die sich dafür entscheiden, niemals herunterzufahren, aber wir hatten nicht zu viele Computer im Büro (ca. 80 Clients sind jetzt hauptsächlich auf Thin Clients umgestiegen).

Da es sich bei dem Titel der Frage um "Best Practices" handelt, die für WSUS spezifisch sind, würde ich vorschlagen (und dies ist völlig unkonventionell), sicherzustellen, dass Sie nur die erforderlichen Aktualisierungen aktivieren und den Download-Prozess nicht während der Arbeitszeit aktivieren. Einer unserer Techniker hat den falschen Weg gefunden, NICHT alle Aktualisierungen auf einer Site mit einer T1-WAN-Verbindung zu aktivieren, autsch!

l0c0b0x
quelle