【51CTO精選譯文】每當(dāng)Windows系統(tǒng)發(fā)布了新的補(bǔ)丁，大家也許都希望能盡快用到。然而，更新所用到的補(bǔ)丁是不能直接自動(dòng)提供給用戶的，因?yàn)闊o論這些補(bǔ)丁的作用是添加新功能、修正錯(cuò)誤還是填補(bǔ)安全漏洞，有一類現(xiàn)實(shí)是不能回避的，即補(bǔ)丁會(huì)破壞應(yīng)用程序。

對(duì)于IT部門來說，更有意義的做法是利用Windows Server更新服務(wù)來對(duì)更新進(jìn)行部署、測試及控制。比起直接讓用戶下載并自動(dòng)安裝這些補(bǔ)丁，并同時(shí)面臨潛在的破壞風(fēng)險(xiǎn)，上述措施無疑更為負(fù)責(zé)和有效。

當(dāng)然，我們的最終目的是希望能夠在放手讓補(bǔ)丁自動(dòng)更新的同時(shí)，仍然對(duì)該過程保持控制。

預(yù)先警告

微軟的更新時(shí)間是固定的，也就是我們常說的“補(bǔ)丁星期二”（即每個(gè)月的第二個(gè)周二），這意味著大家能夠提前為其安排測試計(jì)劃。我們可以通過訂閱安全公告的方式提前得到通知，這類通知一般會(huì)在更新放出的三個(gè)工作日之前發(fā)布，并包含該次更新的各項(xiàng)細(xì)節(jié)——放出通知的這天常常被稱為“恐嚇星期四”。

攻擊者們這時(shí)也會(huì)得知那些被修復(fù)的漏洞的細(xì)節(jié)，因此對(duì)他們來說時(shí)間緊迫，必須立即開始設(shè)法突破補(bǔ)丁的防護(hù)。微軟在周二之外也會(huì)不定期地發(fā)布各類重要補(bǔ)丁，這種情況往往同樣需要IT部門立即加以關(guān)注。

如果各位讀者朋友們所從事的行業(yè)需要嚴(yán)格的監(jiān)管制度，或者您的公司總要處理諸多規(guī)范類的問題，那么一套適當(dāng)?shù)难a(bǔ)丁更新策略絕對(duì)是必要的。

保護(hù)薄弱環(huán)節(jié)

微軟的IT部門必須保證98%的桌面系統(tǒng)都處于最新補(bǔ)丁的保護(hù)之下。不過這是對(duì)IT部門提出的要求，并非針對(duì)產(chǎn)品團(tuán)隊(duì)，因此公司必須在將補(bǔ)丁推出之前找出其對(duì)內(nèi)部應(yīng)用程序所造成的各種影響。

更新不是廣泛適用的，所以大家需要審查哪些系統(tǒng)需要針對(duì)特定漏洞而進(jìn)行補(bǔ)丁更新。

同時(shí)，也并不是所有補(bǔ)丁都必須被立即安裝。新的生產(chǎn)功能往往包含在功能集及服務(wù)工具包中而非補(bǔ)丁中，但補(bǔ)丁可能會(huì)為執(zhí)行性能的提升帶來改善。

在任何情況下，補(bǔ)丁的安裝與否都要經(jīng)過評(píng)估。而且在用戶每個(gè)月都得接受一批更新并進(jìn)行系統(tǒng)重啟的條件下，大家一定要權(quán)衡好哪些更新并不緊急，可以在經(jīng)過更長時(shí)間的測試后再進(jìn)行部署（也就是說可以與下一批更新一同進(jìn)行）；而哪些對(duì)生產(chǎn)有極大的促進(jìn)作用，因而應(yīng)當(dāng)盡快安裝。

殺毒軟件的更新不需要進(jìn)行測試及核準(zhǔn)，因?yàn)閷?duì)于企業(yè)級(jí)殺毒軟件系統(tǒng)來說，其默認(rèn)狀況為每天更新三次。

專用的企業(yè)級(jí)殺毒軟件系統(tǒng)通常會(huì)自動(dòng)處理更新。如果大家正在通過系統(tǒng)中心配置管理器對(duì)Forefront終端保護(hù)系統(tǒng)進(jìn)行管理，該管理器的2012版本提供了這樣的功能：使我們只有選擇特定的定義語言才能使其自動(dòng)批準(zhǔn)更新。

爭分奪秒

少數(shù)時(shí)候微軟認(rèn)為某些補(bǔ)丁作用重大，需要盡快推出，因?yàn)樗鼈兡軌蚪鉀Q嚴(yán)重問題。但是，即使并沒有為其預(yù)留審核的時(shí)間，大家仍然需要提前對(duì)其做出評(píng)估。

微軟的安全公告及第三方服務(wù)將不定期向用戶發(fā)布這類補(bǔ)丁的更新提示（而且大家可能會(huì)發(fā)現(xiàn)第三方廠商對(duì)這類關(guān)鍵性補(bǔ)丁的建議非常有參考價(jià)值）。

盡管部署緊急補(bǔ)丁至關(guān)重要，但制訂一套評(píng)估策略無疑更應(yīng)該優(yōu)先考量。您可能很想馬上更新緊急補(bǔ)丁，但必須先了解這樣做是否會(huì)破壞我們常規(guī)的業(yè)務(wù)應(yīng)用程序。最佳建議是保持軟件的實(shí)時(shí)審核，這樣一來我們就能清楚地看到哪些系統(tǒng)將會(huì)受到影響。

測試，測試，還是測試

測試補(bǔ)丁的方式有幾種。大家可以利用帶有腳本的測試系統(tǒng)，它的功能是覆蓋在系統(tǒng)及應(yīng)用程序之上或者采取向用戶發(fā)布補(bǔ)丁合集這類更為非正式的方法。如果進(jìn)行測試的部門恰好是IT部門，務(wù)必讓他們確保生產(chǎn)應(yīng)用程序與腳本能夠在共同執(zhí)行普通任務(wù)的過程中契合良好。

規(guī)模較大的企業(yè)則可能希望分別進(jìn)行部署，以避免增加對(duì)網(wǎng)絡(luò)負(fù)載的壓力——如果該次更新確實(shí)造成損害，分別部署也能同時(shí)減少技術(shù)支持團(tuán)隊(duì)的壓力。

我們需要跟蹤那些已經(jīng)被成功安裝的更新。甚至對(duì)小型企業(yè)來說，也需要一套變更管理系統(tǒng)來記錄補(bǔ)丁內(nèi)容及更新情況。

如同處理微軟應(yīng)用程序一樣，我們還將需要為第三方應(yīng)用程序及網(wǎng)絡(luò)設(shè)備制訂一套補(bǔ)丁更新策略。類似App-DNA公司的App Titude及ChangeBase公司的AOK這樣的第三方工具能夠幫助我們同時(shí)跟蹤多款產(chǎn)品在更新時(shí)的狀況，并提供一份詳盡的指南，告訴大家哪些應(yīng)用程序會(huì)在微軟的更新中受到影響。

上面提到的工具無法解除每月一次的更新負(fù)擔(dān)，但通過它們的幫助，我們至少不必每一次都要從頭開始嘗試解決問題。

原文：http://www.theregister.co.uk/2011/05/30/windows_patch_management/

【編輯推薦】

1. 六招解決Windows 7補(bǔ)丁問題
2. 當(dāng)VMware桌面虛擬化遇上Windows7的補(bǔ)丁
3. 系統(tǒng)管理員指南：如何給系統(tǒng)打補(bǔ)丁？(知識(shí)篇)
4. 從韓國農(nóng)協(xié)銀行癱瘓?jiān)倏窗踩c災(zāi)備的重要性