我们在一个托管设施托管了几台服务器,并且我们已经安排另一家公司对我们的机器进行一些监控和服务器维护工作。该提供商建议我们“关闭”Windows Server 2008 R2 服务器中的 Windows Update,并使用一些第三方工具来管理机器的更新。他们声称这为补丁管理提供了一种更细粒度的方法,并且当我们的服务数量增加时它将很有价值,因为我们将能够轻松地将相同的补丁应用到所有服务器或执行类似的批量操作.
编辑. 他们将使用的第三方工具是Kaseya。
你怎么看?禁用 Windows 更新是否令人不悦?或者当一个合法的第三方工具就位时可以吗?您对这种设置有任何经验(好的或坏的)吗?谢谢。
使用受信任的第 3 方工具没有任何问题。事实上,其中一些在 Windows Update/WSUS 之上是首屈一指的。该特定工具似乎使用代理,我个人对将代理放到服务器上非常谨慎,您必须进行尽职调查并向您证明它不会影响您的性能。
但是,在您的情况下,我希望在采取这种行动之前对您签约的公司感到满意。让他们先接管管理员,使用您正在使用的工具,然后随着您对他们的更多信任,慢慢整合他们的流程。您不想在 3 个月后发现他们只是在管理您的服务器方面做得很糟糕,并且不得不经历删除他们喜欢的工具的痛苦。
我上一家公司的 Windows 人员做了类似的事情(他们使用 Hercules,因为被 McAfee 吞并了)
这种方法本质上没有任何问题,并且对他们来说效果很好(您可以不安装已知会破坏 MS Exchange 的补丁,如果补丁无法应用于机器,您会得到很好的报告为什么)。真正的好处是能够回滚补丁并恢复到以前的工作系统状态,这在我看到它使用的几次中运行得相当可靠。
我会注意到,这最好与Nessus之类的扫描/审计工具结合使用,无论如何,这是一个好主意,可以确保您的机器得到很好的修补并且相当安全。
我对产品不熟悉,所以我无法评论它的好坏。但是,我很想知道有多少服务器构成“少数”,因为在您的情况下使用第三方产品很可能是矫枉过正。我也对任何外部公司明显突然推荐特定产品深表怀疑,主要是因为他们的动机可能并非完全无私。例如,他们是否是该产品的经销商,因此会从任何潜在利润中分得一杯羹(或一份不错的持续维护合同)?
我会说你需要仔细考虑你的情况。如果现有的 Windows 更新正好满足您的要求,并且您当前使用它没有任何问题,或者您只需要一些简单的重新配置,那么您真的有任何理由升级到下一个级别吗?如果您确实需要加强,WSUS 是否足够?仅当您确定了实际的实际需求并确定了使用它的真正投资回报时,才可以跳跃。