¿Debería forzar un reinicio después de enviar las actualizaciones de Windows?

Estoy descubriendo que la mayoría de los usuarios ignoran el mensaje "Hay actualizaciones listas para instalar, haga clic aquí para instalar" que WSUS elimina. Hasta ahora no hemos forzado la instalación, pero estoy pensando en cambiar la política del grupo para aplicar las actualizaciones todas las noches. Esto a veces requerirá un reinicio que también quiero aplicar a través de GP.

Sé que habrá retroceso de los usuarios, pero me pregunto si esta es una mejor práctica defendible. Parece lo correcto para garantizar que las PC estén actualizadas y sean seguras.

Solo me gustaría subirme a mi caja de jabón de reinicio automático por un segundo: según mi experiencia, automáticamente / forzar un reinicio generalmente es una mala idea.

Nosotros, los administradores del sistema, a menudo tenemos un poco de complejidad para asegurarnos de que se haya aplicado el último parche el segundo en que está instalado porque OMG hasta entonces el sistema no tiene parches . Sin embargo, debe darse cuenta de que los administradores del sistema, al menos teóricamente, están ahí para permitir que las personas que usan el sistema hagan su trabajo.

Si reinicia automáticamente una vez que se instala un parche, y, digamos, el reloj del sistema de la estación de trabajo se ha reiniciado, pensando que son las 2 AM, y que un pobre Dilbert pierde el trabajo, ha hecho un gran error. En mi opinión, es un error mucho más grande que tener un sistema temporalmente no parcheado en la red.

En mi experiencia, tener algún tipo de mensaje no descartable que le diga al usuario que reinicie suele ser una mejor idea. Déjelos terminar su trabajo y reiniciar durante el almuerzo, o pídales que apaguen su estación de trabajo por la noche, o algo que se adapte bien a su organización.

Dicho esto, cuando ayudé a administrar 12 laboratorios de computación en una universidad, definimos el tiempo de inactividad cuando sabíamos con certeza que nadie iba a usar ninguna de las máquinas porque las puertas estaban cerradas. Esa es una situación en la que el reinicio automático seguramente está bien; Es solo el paro de trabajo automático forzado autónomo lo que me molesta.

Instalamos automáticamente y luego retrasamos el reinicio de la instalación durante 30 minutos: solicita al usuario que reinicie ahora y, si no hay respuesta en 30 minutos, reinicia la máquina. Hubo algunas quejas iniciales, pero que se han acostumbrado. Si están en medio de algo, pueden hacer clic en "reiniciar más tarde" para retrasar el reinicio hasta un buen momento. Pero se les solicitará cada 30 minutos. Es un buen equilibrio entre simplemente reiniciar en los usuarios y hacer que nunca instalen las actualizaciones.

EDITAR:

Actualización: lo siento, perdí la configuración cuando estaba comprobando mi configuración de GPO, la solicitud Re para reiniciar es configurable de forma independiente. Por lo tanto, puede configurar el retraso antes de que aparezca nuevamente. También esto es para un entorno de 2003, pueden haber agregado / cambiado opciones en 2008

Debido a que primero prueba los parches (¿no es así?), Sabe cuáles requieren reiniciar el sistema.

Puede crear un cronograma que diga cada último miércoles o jueves del mes que envía un correo electrónico que dice que necesita implementar parches X que requieren que las máquinas se reinicien. Deje sus máquinas encendidas durante la noche.

De acuerdo, esta no es una solución ecológica, pero sí le permite solucionar las necesidades de sus usuarios y la necesidad de mantener los sistemas actualizados.

Para los otros parches, podría ir con la solución que publicó Zypher.

También me interesarían las respuestas de otras personas a esto. No puedo implementar el reinicio automático, ha estado en "mala práctica" durante mucho tiempo y la gente no se ha adaptado. Las personas dejan sus correos electrónicos que necesitan para responder, etc., de repente perderlos sería muy molesto.

Si está buscando una razón técnica, sí, es una mejor práctica "técnicamente" asegurarse de que las máquinas se reparen de inmediato y que los usuarios no puedan retrasar o eludir la correcta aplicación de los parches (incluidos los reinicios necesarios).

Sin embargo, afirmaría que la decisión de reiniciar automáticamente después de la instalación del parche es una decisión comercial, no técnica. Creo que la razón principal por la que los administradores del sistema tienden a favorecerlo es que si algunos sistemas sin parches se infiltran, generalmente requiere largas horas para limpiar todo sin un sistema de cuarentena adecuado. Sin embargo, el reinicio forzado puede afectar la productividad o ser inaceptable dependiendo del uso de las máquinas (por ejemplo, máquinas de punto de venta o máquinas en el aire).

Puede descubrir que puede forzar el reinicio automático en un segmento de sus máquinas de destino, pero otras máquinas tienen una razón comercial legítima para NO reiniciar automáticamente. Como siempre, el negocio es su cliente, por lo que debe exponer los pros y los contras con su recomendación de "mejores prácticas técnicas" y dejar que tomen una decisión.

En algunos casos, absolutamente no puede forzar un reinicio. Tenemos personas que ejecutan simulaciones que se ejecutan durante unos días en varias máquinas. El software de simulación tiene un gran problema: no guarda resultados provisionales. Entonces, si hay un reinicio durante una carrera, se pierde una gran parte del trabajo y hay que hacerlo de nuevo. Actualmente no existe una alternativa viable para usar este programa de simulación, por lo que en TI tenemos que solucionarlo. En este caso, creamos una nueva unidad organizativa que no recibe actualizaciones y trasladamos todas las PC que se utilizan para estas simulaciones.

Una cosa que trato de hacer con el reinicio forzado es revisar los parches cada mes y, si alguno requiere un reinicio, enviar un recordatorio por correo electrónico la mañana en que los parches se envían. Tenemos muchos almuerzos escalonados durante todo el día, por lo que la ventana de 30 minutos no es lo suficientemente larga (ojalá pudiera ser más larga, pero eso es todo lo que Microsoft permite).

Si está implementando actualizaciones, permita que se envíen lo antes posible. Si la máquina requiere un reinicio, empújela hasta la noche o temprano en la mañana. Si las personas apagan sus computadoras, puede evitar el apagado de la máquina o aplicar un retraso del tiempo más temprano para reiniciar cuando el usuario enciende su PC nuevamente.

Alentamos (d) a apagar las computadoras al final del día por razones de consumo de energía (ahorre $), por lo tanto, las actualizaciones se aplicarán al apagar. Por supuesto, hay algunos que deciden no apagar nunca, pero no teníamos demasiadas computadoras en la oficina (unos 80 clientes ahora se mudaron principalmente a clientes delgados).

Dado que el título de la pregunta es "mejores prácticas" específicas para WSUS, sugeriría (y esto es totalmente improvisado) que se asegure de habilitar solo las actualizaciones necesarias y no habilitar el proceso de descarga durante las horas de trabajo. Uno de nuestros técnicos descubrió la manera incorrecta de NO habilitar todas las actualizaciones en un sitio con una conexión WAN T1, ¡ay!