标签: windows-update

问题

我试图向我的上级推销组织补丁/更新管理和防病毒管理的想法。到目前为止，我的提议得到了两个回应：

1. 我们还没有遇到任何问题（我想补充一点，我们知道）
2. 我们只是不认为这是一个很大的风险。

题

是否有任何可用资源可以帮助我推销这个想法？

有人告诉我，所有与安全相关的问题中有 55-85% 可以通过适当的防病毒和补丁/更新管理来解决，但告诉我的人无法证实这一说法。能否证实？

附加信息

我们 1/5 的计算机（建筑物上的计算机）默认打开 Windows 更新并安装了防病毒软件。我们 4/5 的计算机不在公司范围内，用户目前可以完全控制防病毒和 Windows 更新（我知道这是一个问题，一次一个步骤）。

我正在对一堆 PC 进行工作台成像。我们的环境使用 Alteris 下载映像，然后执行脚本来下载更新和安装软件。我们的互联网连接不太好，因此冗余下载 Windows 更新非常缓慢。

有没有一种方法可以下载包含大部分更新的更新包以放在 USB 上，这样我映像的每台计算机就不必从 MS 获取它们？

我会使用 WSUS，但我无法控制我们的服务器或域。

我在 Server 2016 服务器上运行了 Nessus 扫描并收到以下错误：

“远程 Windows 主机缺少安全更新 4571694。”

在对补丁进行一些研究时，我发现了这篇文章

“https://support.microsoft.com/en-us/help/4571694/windows-10-update-kb4571694”

如果您向下滚动到该页面的底部，您将看到“如何获取此更新”部分，它说

“Windows 更新和 Microsoft 更新是无。此更新将从 Windows 更新自动下载和安装。”

从powershell我可以看到它没有安装：

我查看了所有更新设置，但看不到未安装更新的原因。我知道我可以手动下载和安装补丁，但是我很好奇为什么 Windows 更新没有为我安装它。

昨晚，我公司对以下三个更新KB972260、KB971090和KB971092进行了 windows 更新。我在工作站上安装了所有三个更新并重新启动。

当我重新登录到我的工作站时，出现了 Windows 更新图标，说明我仍然需要 KB971032。我再次运行 windows update 以安装更新，并在完成安装后再次出现。

我已经经历了四次这个过程，甚至重新启动了我的机器两次，图标仍然出现。

我正在运行带有 Service Pack 3 的 Windows XP Pro。

解决此问题的最佳方法是什么？

更新

感谢 Kevin Kuphal，他提供了以下解决方法来解决 KB971032 的 Windows 更新问题：

解决方法

我们的网络管理员在这里坚持了 3 个月，设置了一个虚拟 WSUS 服务器并添加了组策略以在我们大约 1/3 的工作站上执行 WSUS 策略。虚拟 WSUS 服务器已被删除，但该策略仍在阻止用户从 Windows Update 获取更新 - 表示它由域控制。

问题是：如何删除指向不存在的 WSUS 的所有指针？

组策略管理中有几个 WSUS GPO，AD 用户和计算机中有一个 WSUS 对象，它设置为控制内部的所有系统。我尝试将这些工作站拖回Computers，但如果我这样做，Windows Server 2008 会警告“无法按设计工作”。我宁愿该声明不适用于我们的整个域；)

那么...拖动计算机对象？取消链接政策？删除政策？解决这个问题的正确方法是什么？

谢谢。

我有一个小型计算机实验室要建立。此时有6台机器。稍后将添加另外 14 个。

我们大楼里没有任何服务器；整个业务网络就是一个工作组。

每台实验室机器都预装了 Windows 7。当我们第一次启动它时，它想要下载大量更新。如果所有 6 台机器都这样做，那将在我们的下载限额中造成一个巨大的漏洞（阅读澳大利亚的 SME。）如果我们对以下 14 台机器做同样的事情，我们将恢复拨号速度，直到 ISP 的开始下一个会计期间。

是否有一种机制可以一次性下载这些更新，然后将它们应用到整个实验室？还是我将被迫购买 Windows 的服务器版本（例如 2K8）以便我可以执行 WSUS？

我已经找到了很多关于修补 Windows 服务器的正确方法的信息（例如更新还是不更新？），但我目前处于这样一种情况，其中大部分信息都不实用。

我正在寻找的是资源受限情况下最不坏的选择。具体来说，假设这些是我唯一的选择：我应该盲目地将“重要”（而不是“可选”）Windows 更新应用到生产服务器，还是我最好根本不应用它们？

这是一个小背景：我是一家小商店的 DBA，拥有大约 15 台托管 SQL Server 实例的服务器；SQL 框是我唯一关心的（即我不担心 Exchange 框、域控制器等）。我们每天 24 小时在线，但我没有定期安排的维护窗口（即，如果我需要重新启动等，我需要与我们的操作/支持小组明确安排一个维护窗口）。

我很擅长管理服务器以了解我的限制而不破坏任何东西，但我缺乏深入的知识。我已经与网络/服务器人员讨论过这个问题，但他们基本上告诉我，我们没有这方面的流程或政策，我应该使用我最好的判断。所以他们知道这是一个问题，但这只是一个不会很快得到解决的问题。我没有自己的技能或时间来实施一个好的解决方案，我真的只是试图用我今天拥有的资源尽可能地减少我的风险。从哲学上讲，我倾向于应用补丁，但我承认我可能不完全理解这样做的风险。

以一个可回答的问题的形式总结：盲目修补还是根本不修补更安全？

我对其他选项持开放态度，但它们几乎必须像以或多或少的临时方式手动应用 Windows 更新一样简单和灵活。（这很糟糕，我知道，但这是我目前和不久的将来的现实）

我们有一个环境，大约有 30 台 Windows 服务器机器都订阅了 WSUS 服务器。我们通过 WSUS 批准更新，但更新的实际安装是在每台服务器上手动完成的。

有什么办法可以运行命令一次在所有服务器上启动安装吗？我不想将这些服务器设置为通过 GPO 自动安装更新，因为我们首先测试更新，有时需要数周时间。

谢谢！

最近在我们的一台 Windows 2003 生产服务器上完成了 Windows 更新，我们不知道哪个用户运行了更新。

是否可以在事件查看器或其他地方确定谁运行了更新？

我使用 SCONFIG 将自动更新更改为“仅下载”，但我被告知它不会阻止活动时间以外的重新启动，对吗？

如果是这样，我是否必须禁用任务计划程序中的“重启”任务以避免重启？

谢谢。