标签: patch-management

我已经尝试过我的服务器，但他们看不到 Microsoft 发布的补丁。通常 Windows 更新会在星期三自动安装它们，所以它一定是当天晚些时候的东西——但我在维基百科页面或微软的补丁星期二网站上的任何地方都找不到这些信息。任何人都有发布时间的权威来源？

补丁星期二的维基讨论页面也对此表示遗憾：

“更新发布的确切时间是什么？直到星期三我似乎都没有注意到它们，今天我还没有看到任何东西（UTC 时间 14:03）。--Zilog Jones 2006 年 7 月 11 日 13:03（UTC）”）

我正在使用 WSUS 进行 Microsoft 修补，但希望能够清点和修补 Adob​​e、Java、Firefox、Quicktime 等。

我过去用过 Lumension，还可以，但太贵了。我用过Kaseya，不喜欢。Shavlik 也太贵了。ECORA 的网站很难浏览，我对仅以此为基础开始试用不感兴趣。

我下载了 GFI LANguard 的试用版，它看起来不错，但它是一个独立的 .NET 应用程序，没有 Web 或远程控制台，并且崩溃并抛出 .NET 错误。

话虽如此，谁能向我推荐一个价格合理/免费的补丁管理应用程序，它可以执行 3rd 方应用程序，并且可能与 WSUS 一起使用？远程客户端或 Web 界面也不错，我也有异地 (VPN) 或脱机系统。

我们有一个由 75 个 Win2k3 节点组成的集群在一个粗粒度的计算集群中工作。该集群位于大量防火墙之后，并驻留在其自己的 VLAN 中。各种规模和类型的作业都在集群上运行，并且所有运行的可执行文件都是定制的。

（ed：关于我们的可执行文件的附加说明）这些作业的持续时间从 30 秒到 7 天不等，并且可能包含一个可执行文件或 2000 个子作业（持续时间较短）。显然，我们正在努力避免 IT 在 7 天的生产作业中安排重启的情况。

我们有调度软件，可以容纳粗粒度集群的所有正常任务，我们可以控制哪些机器处于活动状态以进行提交等。如果 WSUS 以某种方式可编写脚本（或者客户端可以声明它可以关闭），我们可以协调两个系统帮帮忙。

目前，补丁时间表是超级星期二之后的星期日，无论集群上运行什么。每次我们想延迟为长时间运行的生产作业修补机器时，我们都必须要求豁免。基本上，虽然我们的团队负责机器，但我们几乎无法控制 IT 的补丁计划。

1. 对于生产 Windows 集群，按 MS 的计划每月修补一次是否合理？
2. WSUS 中是否有软件挂钩可以让我们说“请不要重新启动”？

您如何跟踪 Windows 系统（例如 Flash、Reader... 等）发布的主要补丁？

上周，关于 Unix（或 Linux）机器是否需要重新启动的slashdot 文章有相当多的评论。不止一些评论者提到拥有运行时间长达数年的机器。

据我了解，Linux 机器需要经常重启才能应用内核补丁，尤其是与安全相关的补丁（例如ac1db1tch3z 漏洞利用）。在“yum update kernel”之后运行 uname -r 似乎表明旧内核在重新启动之前不会加载。

我的问题是，鉴于此，这些盒子如何实现多年的正常运行时间？我想到的一些可能的解决方案

1. 这些机器不是生产和/或向用户公开的，因此安全补丁不是那么重要。
2. 所有的海报都使用实时修补服务，例如Ksplice
3. 内核安全补丁可以通过重新加载模块而不是整个内核来应用。
4. uname -r 在内核补丁后反映了不正确的信息，毕竟加载了更新的内核。

这些解释中的任何一个是否合理，还是我的理解中缺少某些东西？有没有另一种方法可以最大限度地减少过去两年所需的两打左右的重新启动？

我计划安装几台装有 RHEL 的服务器，但这些服务器没有 Internet 连接。

是否可以在没有 Internet 连接的情况下更新 RHEL 服务器？

我可以从 RHN 下载更新的 RPM 软件包并在服务器上手动安装它们吗？

对于仍在使用 XP 并且计划继续使用 XP 至少一年的组织，您认为切换到 Firefox 4 还是继续使用 IE8 会更好？Firefox 可以通过 GP 配置吗？可通过 WSUS 或本地更新发布者修补吗？你怎么认为？

我有一个远程站点，其中有大约 70 个系统在过去 4 个月内由于 WSUS 服务器宕机而没有打补丁，我现在正准备在那里部署 SCCM 2012。

你们中的一位 SCCM 大师、MCC、MVP 能否告诉我以下方法对您是否有意义，如果是，这是一个好主意吗？顺便说一下，我已经有一个软件更新包，我用它来将补丁星期二更新放入每个月。我只想知道以下策略是否有意义：

1. 将 SCCM 2012 客户端部署到这 70 个系统
2. 与 Microsoft 同步以获取更新元数据
3. 运行软件更新扫描周期以确定远程站点的 70 个系统上需要哪些更新
4. 创建搜索条件以获取属于我公司补丁策略的更新（仅限关键和安全）
5. 将所有这些更新下载到一个包中并按照以下约定命名：SUM_Baseline
6. 创建软件更新组并按照以下约定命名：SUM_Baseline_YYYYMMDD
7. 将 SUG 部署到位于远程站点的 70 个系统

大家觉得这个怎么样？

还有一件事，我有一个我已经在使用的软件更新包，但它仅用于补丁星期二补丁，而不是基线补丁。有两个软件包是否有意义，一个用于周二补丁更新，另一个用于基线更新？

我的想法是，补丁星期二包用于最新且不需要先前补丁的系统。Baseline 软件包适用于新系统，或者由于某种原因很久没有打补丁的系统。

此外，无论如何，是否能够在 SCCM 2012 控制台而不是所有 SCCM 2012 客户端中找出系统子集上需要哪些更新？我还没有想出如何做到这一点，或者是否有可能。我会为此创建一个软件更新配置基准吗？

如果我能在这里得到一些好的反馈，我将非常感激。

谢谢大家

场景是：Server1 和 Server2，两者都在同一补丁级别上运行 Windows Server 2012 R2，当前位于负载平衡群集中。Server1 有应用程序问题，建议更换它。它已从集群中移除，并且 Server3 正在被配置为它的替代品。

在最初构建 Server1 和 Server2 时，没有使用补丁管理解决方案。它们是同时建造的，只是修补到当时的最新水平。

目标是将 Server3 修补到与 Server2 相同的级别。

如前所述，没有可用的补丁管理解决方案。

逐一完成 Server2 上的更新并将它们应用到 Server3 上当然是一种选择，但我们应该能够做比这更好的事情。毕竟是2017年。

可以通过 PowerShell 和 KB 编号检索 Server2 上所有更新的列表，并且此列表可用。

但是如何将这些更新（仅这些更新）下载并应用到 Server3 呢？

初步研究发现了许多 Windows 更新脚本，包括 VBS 和 PowerShell，但它们都未能满足并非所有当前更新都必须应用的关键要求。

将 Server2 的补丁级别设置为当前，然后对 Server3 也是如此，也是一种选择，但由于必须安排停机/维护窗口（集群中没有可行的 Server1），我更愿意避免这种选择，然后是一堆应用测试。让我们把它作为最后的手段。

所以-什么是我在一个合理的方式自动执行此合理的方案，给出了上述约束？

我不是 AIX 专家..... 我被指派将我的系统打补丁到最新的补丁级别。

首先，我从哪里获得 AIX 5.1 和 5.3 的补丁？

其次，它们一般是如何安装的（即命令和程序）。

谢谢你的帮助。