Eddy Asked: 2010-03-08 09:01:38 +0800 CST2010-03-08 09:01:38 +0800 CST 2010-03-08 09:01:38 +0800 CST 使用gpo的防病毒补丁? 772 我可以将 gpo 用于防病毒补丁或更新吗? 有什么办法可以扩展 wsus 吗? anti-virus group-policy wsus patch-management 3 个回答 Voted Best Answer Skyhawk 2010-08-12T18:30:18+08:002010-08-12T18:30:18+08:00 您可以使用 GPO 软件分配来推出新的 AV 软件。这实际上是确保所有工作站都受到保护的好方法:如果计算机位于具有防病毒策略的 OU 中,它将安装防病毒软件。(只要确保,如果您正在切换 AV 平台,您不会意外导致多个产品同时安装在同一组工作站上。) 但是,当涉及到签名更新时,您不想使用组策略。签名更新的发布过于频繁,以至于 GPO 分配不是一个实用的选项。相反,您的 AV 产品需要通过自己的管理服务器进行自我更新。任何企业 AV 产品都应内置此功能。 根据个人经验,我不推荐赛门铁克和迈克菲。您可能会将 ESET 或 Vipre 等视为性能更好的替代品。 编辑相关问题:什么是 Windows 域网络的最佳防病毒软件? Chris Thorpe 2010-08-12T18:35:22+08:002010-08-12T18:35:22+08:00 Microsoft Forefront Client Security使用您现有的 WSUS 基础结构来发布其更新。这是一个优雅的解决方案,因为您可能会将 WSUS 补丁和 AV 签名传送到相同的网段,并且可以使用它通过单个服务器、单个端口(80 或 443)上的所有内容来完成。 相比之下,部署 Sophos 更新要求客户端能够通过几个端口向中央报告服务器报告,并通过 SMB 端口向中央安装 (CI) 节点报告。在跨越一个平面网络的防火墙术语中,支持这一点的规则库是一团糟。 sysadmin1138 2010-08-12T18:35:36+08:002010-08-12T18:35:36+08:00 当通过组策略部署 AV 时,“修补”它的唯一方法是创建一个全新的安装 MSI(确保将内部版本号增加一点),然后以与第一个软件包相同的方式部署它。这将导致在所有适当的机器上进行完整安装,但它们将被修补。 这是 GPO 软件部署系统的局限之一。 我从个人经验中知道,SEP 有不为小补丁增加版本号的习惯。 到目前为止,Microsoft 尚未扩展 WSUS 以支持非 Microsoft 批准的程序包。
您可以使用 GPO 软件分配来推出新的 AV 软件。这实际上是确保所有工作站都受到保护的好方法:如果计算机位于具有防病毒策略的 OU 中,它将安装防病毒软件。(只要确保,如果您正在切换 AV 平台,您不会意外导致多个产品同时安装在同一组工作站上。)
但是,当涉及到签名更新时,您不想使用组策略。签名更新的发布过于频繁,以至于 GPO 分配不是一个实用的选项。相反,您的 AV 产品需要通过自己的管理服务器进行自我更新。任何企业 AV 产品都应内置此功能。
根据个人经验,我不推荐赛门铁克和迈克菲。您可能会将 ESET 或 Vipre 等视为性能更好的替代品。
编辑相关问题:什么是 Windows 域网络的最佳防病毒软件?
Microsoft Forefront Client Security使用您现有的 WSUS 基础结构来发布其更新。这是一个优雅的解决方案,因为您可能会将 WSUS 补丁和 AV 签名传送到相同的网段,并且可以使用它通过单个服务器、单个端口(80 或 443)上的所有内容来完成。
相比之下,部署 Sophos 更新要求客户端能够通过几个端口向中央报告服务器报告,并通过 SMB 端口向中央安装 (CI) 节点报告。在跨越一个平面网络的防火墙术语中,支持这一点的规则库是一团糟。
当通过组策略部署 AV 时,“修补”它的唯一方法是创建一个全新的安装 MSI(确保将内部版本号增加一点),然后以与第一个软件包相同的方式部署它。这将导致在所有适当的机器上进行完整安装,但它们将被修补。
这是 GPO 软件部署系统的局限之一。
我从个人经验中知道,SEP 有不为小补丁增加版本号的习惯。
到目前为止,Microsoft 尚未扩展 WSUS 以支持非 Microsoft 批准的程序包。