我们应该安装Windows安全更新吗？[关闭]

我只是RDP进入我的公司服务器之一，收到Windows更新警报，因此单击。然后，我看到62个高优先级更新，最近的更新（根据更新历史记录）是在一年多以前的2014年1月16日（星期四）安装的。

在这里需要采取什么行动？

简短的回答-是的。大多数Windows Update与安全性有关。没有补丁意味着您很脆弱。

更长的答案-您需要一个涵盖此类内容的过程。如今这种情况很少见，但有时补丁会破坏事物，或改变行为，以至于就您的公司而言它就被破坏了。您应该在发布每个补丁时进行评估（有一个月度计划，还有一些紧急计划），确定是否需要该补丁（可能是），在测试/登台服务器上进行一些测试，以对可能的损坏进行尽职调查，然后执行安装。

您还应该注意部署，因为操作系统修补通常意味着重新启动，这通常意味着服务停机，除非您对所有服务都拥有良好的HA。如果您认为自己白天会很聪明并且需要打补丁，然后推迟重新启动，那不是个好主意-有些文件将被更新，而其他文件则不会。

Microsoft提供了一个名为WSUS的免费产品，该产品可以使补丁程序管理比逐个批准和部署要容易一些。

仅供参考，您应该为拥有的所有类别的设备执行此类操作。网络设备固件，服务器硬件固件，VMware ESXi等。这些修补程序并不是出于乐趣而推出的，几乎所有修补程序都解决了错误，并且其中许多与安全性有关。

更进一步-您应该问技术团队中比您更高级的人。如果您是那里唯一的管理员，那么您和您的组织都做得不好。不要以个人为中心，我们所有人都需要一开始就不知道应该做的一切-但是，如果这是您的问题，那么您不应该是唯一管理这些服务器的人。

通用答案是使服务器保持更新是一个好习惯。

但是请注意以下几点：

1. 更新可能会导致服务器在安装过程中变慢，如果需要重新启动，甚至会导致一些停机。您应该计划在办公室以外的时间进行操作。

2. 更新具有一定的风险。它们可能会破坏您的服务器，或导致某些不兼容。它们通常是完全可卸载的，但是对于其中的62个，您还应该考虑是否拥有值得信赖的备份（无论如何，您都应该）。

3. 您为什么迟到一年升级？这是您一年中第一次登录该服务器，还是其他问题？

4. 如果您的公司使用Excel宏，请特别注意Office的12月某些更新附带的臭名昭著的Excel错误，但这可能不适用于不应该运行Office的服务器。

5. 许多系统管理员在安装更新之前要等待几天或几周，只是为了查看有关这些更新的互联网是否出现了任何问题。在决定是否需要等待时，请考虑使服务器不再打补丁的安全风险。

我知道mfinni击败了我，但我只是为WSUS +1。特别：

假设您有多个服务器，包括测试和生产服务器。我们还假设测试具有与生产类似的硬件（我知道这不是一个安全的假设，但让我们一起去吧–很好，但不是必须的）。您可以在WSUS中设置以下方案：

1. 在自己的OU中测试服务器。组策略表示要在不方便的时间（例如，周日凌晨3点）安装更新并重新启动。
2. 产品服务器位于另一个OU中。组策略要求下载并通知。
3. 在测试/开发服务器应用补丁程序后的几天或一周内，补丁程序已获批准，并且在计划的维护时段内安装和重新启动服务器的期限为最后期限。

如果不很清楚，它的作用是批准服务器的所有关键/安全补丁，先将它们应用到测试中，然后再将它们应用到生产中。我只看到一次更新严重破坏了一次，但是，如果该补丁在测试之前未能通过测试，则可以给您回退的机会。

至于有问题的服务器上的大量更新，打补丁比不打补丁具有更低的风险，但是我会在应用所有备份之前先验证我的备份，以防万一，因为备份太多了。如果是VM，则可能要先创建快照。

这完全取决于您的业务以及为更新服务器而制定的策略。

至少在更新生产服务器之前，您应该首先在测试环境中安装安全更新并执行其他任何补丁程序，例如.NET Framework更新。