Отключение Центра обновления Windows и ручное управление исправлениями
Мы размещаем несколько серверов на объекте colo, и мы договорились о том, чтобы другая компания провела некоторые работы по мониторингу и обслуживанию серверов на наших машинах. Этот провайдер предлагает нам "отключить" Windows Update на серверах Windows Server 2008 R2 и использовать какой-либо сторонний инструмент для управления обновлением машин. Они утверждают, что это предлагает более детальный подход к управлению исправлениями и что он будет полезен, когда мы увеличим количество обслуживаний, поскольку мы сможем легко применять одинаковые исправления ко всем серверам или выполнять массовые операции, подобные этим.,
Редактировать Сторонним инструментом, который они будут использовать, является Kaseya.
Как вы думаете? Отключение Центра обновления Windows вызывает недовольство? Или это нормально, когда есть законный сторонний инструмент? Есть ли у вас опыт (хороший или плохой) с такой настройкой? Благодарю.
3 ответа
Нет ничего плохого в использовании надежного стороннего инструмента. На самом деле некоторые из них на голову выше Windows Update/WSUS. В этих конкретных инструментах, похоже, используется агент, который лично я очень осторожен при размещении агентов на серверах, вы должны проявить должную осмотрительность и доказать вам, что это не повлияет на вашу производительность.
Тем не менее, в вашей ситуации я хотел бы освоиться с компанией, с которой вы заключили контракт, прежде чем предпринимать подобные шаги. Попросите их сначала взять на себя администрирование, используя инструменты, которые вы используете, а затем медленно интегрировать их процессы, когда вы получаете больше доверия к ним. Вы не хотите, чтобы через 3 месяца выяснилось, что они просто ужасно справляются с администрированием ваших серверов и им приходится мучиться с удалением инструментов, которые им нравятся.
Люди из Windows в моей последней компании делали нечто подобное (они использовали Hercules, так как их сожрал McAfee)
В этом подходе нет ничего плохого, и он работал очень хорошо для них (у вас была возможность не устанавливать исправления, которые, например, были повреждены MS Exchange, и если исправление не удалось применить к машине, вы получили хорошие отчеты, как почему). Реальным преимуществом была возможность откатывать патчи и возвращаться к предыдущему состоянию работающей системы, что работало довольно надежно, когда я видел его несколько раз.
Я хотел бы отметить, что это лучше всего использовать в сочетании с инструментом сканирования / аудита, таким как Nessus, который в любом случае является хорошей идеей, чтобы убедиться, что ваши машины исправлены и достаточно надежно защищены.
Я не знаком с продуктом, поэтому не могу комментировать, насколько он хорош или плох. Однако мне было бы интересно узнать, сколько серверов составляют "несколько", поскольку использование стороннего продукта вполне может быть излишним в вашей ситуации. Я также питаю глубокое подозрение, что любая внешняя компания рекомендует какой-то конкретный продукт, очевидно, на ровном месте, в основном, что их мотивы могут быть не совсем бескорыстными. Являются ли они, например, торговыми посредниками для этого продукта и, следовательно, могут ли они получить какую-либо потенциальную прибыль (или хороший полный контракт на текущее обслуживание)?
Я бы сказал, что вам нужно тщательно рассмотреть ситуацию. Если стандартное обновление Windows просто подходит для ваших требований, и если у вас нет проблем с его текущим использованием, или если вам нужна какая-то простая реконфигурация, то действительно ли у вас есть причина для перехода на следующий уровень? Если вам нужно активизироваться, будет ли WSUS адекватным или нет? Только прыгайте, если вы установили реальное реальное требование и определили реальную отдачу от инвестиций от его использования.