Разработка идеологии политики обновлений для ОС: нужно ли и как часто?

Question

[xmoonlight]

Всем привет!

Действия по порядку:
Вот установили с "нуля" ОС (клиентская или серверная - не важно сейчас) и поставили все последние обновления.
Поставили и настроили необходимый софт.
Все работает, как нужно.
Выходит очередной пакет обновлений для ОС.

Вопросы:
Стоит ли обновлять ОС постоянно при выходе очередной порции обновлений, если всё работает или ...?
Как действуете Вы?
По каким критериям решать: обновляться или нет?
У Вас есть план и Вы его придерживаетесь или всё как обычно: слетел софт после обновления ОС и начинаем разбираться/восстанавливать работоспособность?

Заранее, Благодарю всех за полезные ответы!

PS: вопрос касательно ВСЕХ ОС! (не только по windows, или по *nix-подобным!)

Comments

[posters]

или всё как обычно: слетел софт после обновления ОС и начинаем разбираться/восстанавливать работоспособность?

Ну не знаю... Предпочитаю просто сидеть на винде и не пользоваться линуксами, чтобы с такими проблемами не сталкиваться. На винде обновления не влияют на работоспособность софта.

[xmoonlight]

posters, Ещё как влияют!

[Adamos]

xmoonlight, это жыру натекло, не обращайте внимания.

[posters]

xmoonlight, Что же это у вас за софт такой специфический, который на предыдущей версии винды работал, а на новой вдруг не захотел?

[АртемЪ]

posters, Ну например обычный драйвер принтера. Зарядили печать.
Система аккурат в разгар печати, поставила обновы и ушла в ребут.
Или криптопро вешал обновление на семерке в свое время.
И таких примеров куча - если парк большой и софта много, обязательно найдется какая нибудь хрень которая после обновления перестанет работать.

[posters]

АртемЪ,

Система аккурат в разгар печати, поставила обновы и ушла в ребут.

если парк большой

На работе автоматическое обновления на своих машинах отключают, чтобы обновлять их в свободное от работы время...

[АртемЪ]

posters, Ну раньше можно было так сделать, а на десятке, если это не ltsc не получится, там обновление не отключается, его нельзя поставить на свободное от работы время.

Answer 1

[rionnagel]

Зависит от бюджета и критичности простоя. В некоторых случаях автоапдейт, в некоторых всус/свои репы, тестовая среда, поэтапное обновление, в некоторых бэкапы/снапшоты/чекпоинты, в некоторых ещё и мониторинг новостей про апдейты и что они закрывают, какие последствия. Вариантов много.
Я думаю вам стоит уточнить, что обновлять хотите, это неоднозначно. Рабочую станцию, которая ляжет (или ляжет без обновления) или кластер эластик стэка, где в новой версии что-то, что вы используете, да будет депрекейтед.

Comments

[xmoonlight]

Есть ли под винду инструмент, который автоматом будет ставить только апдейты нужной мне категории или вообще, чтобы можно всё было настроить по фильтрам (напрмер, "ставить всё, кроме .NET обновлений (если имеются зависимости от нового .NET - пропустить установку)")?

[rionnagel]

xmoonlight, под винду есть wsus, есть sccm. Рекомендую обратить на них внимание.

[xmoonlight]

rionnagel, здесь смотрю про SCMM, вроде то, что нужно... Спасибо!

[xmoonlight]

rionnagel, Вот теперь хотелось бы найти такого же плана тулзу, только для одиночного (не доменного!) ПК для обычной (клиентской/не серверной) винды (вместо обычной оснастки настройки обновлений, которая не настраивается так "тонко"!).
Или хотя бы консольную, но с теми же опциями конфигурирования.
Подскажете?

[Ezhyg]

xmoonlight, Windows Update MiniTool WUMT же!

[xmoonlight]

Ezhyg, и где там конфигурация-то?)
Ну вот, типа того:

[Ezhyg]

xmoonlight, ну блин, ты серьёзно? :(
https://www.google.ru/search?q=Windows+Update+Mini...

[xmoonlight]

Ezhyg, пересмотрел тучу скринов - нет там параметров фильтрации!
Там только скрыть или скачать и не ставить, и т.п. (или я не увидел и прошу ткнуть в нужный!)

[rionnagel]

xmoonlight, например https://www.wsusoffline.net/
Но не помню есть ли там нужное.

[Ezhyg]

xmoonlight, так тебя в конфигурации, что интересует-то?! Она есть, но это на то и "минитул", что мини.

[xmoonlight]

Ezhyg, установить типа файр-волла: какие типы обновлений ставить автоматически, а какие - нет, не ставить и отметить, как пропущены (это как пример).

[Ezhyg]

xmoonlight, ах вон оно что. Неее, это ж замена тупой обновлялки вин10, софтина использует стандартные виндовые механизмы и настройки, из политик и реестра, те же службы, что и сама винда.

[xmoonlight]

rionnagel, Ну, это лучше чем ничего!
Есть возможность создать свой пак (или скрипт), но процесс - это всё равно ручной.
Т.е. нужно каждый раз запускать скрипт обновлений.
Это удобно, если ПК не имеют вообще доступа к сети, например.

[xmoonlight]

Ezhyg, да я так именно и понял по скринам...

[Ezhyg]

xmoonlight, повершеллом можно организовать, я даже начал как-то писалть для себя несколько скриптов, а потом нашёл готовую пачку, ЕМНИП, на руборде или осзоне, а потом уволился с одной работы и забил нафиг.

[rionnagel]

xmoonlight, вы можете поставить сервер wsus для компьютеров, которые не входят в домен. Для 7 и ниже работало, сейчас не в курсе.

Answer 2

[АртемЪ]

В крупных компаниях есть инструкция на этот счет.
В мелких - решает администратор исходя из задач.

Каждое обновление - это изменение системы, и как следствие потенциальные проблемы. Поэтому решаем как часто есть возможность ставить обновление под контролем.
Если стабильность системы не критична - можно включить автообновление и не парится.

Comments

[Дмитрий]

Добрый день, а не поделитесь инструкцией?)

Answer 3

[xmoonlight]

Подытожу:
1. После настройки рабочего ПК/сервера - сразу делаем образ.

2. Никогда не обновляемся, если: мы за firewall'ом, всё работает и не устанавливаются/запускаются никакие сторонние("чужие") приложения/сервисы (т.е. или режим сервера, или обработка документов/проектов).

3. Если нужно массовое обновление в Windows-домене - используем ActiveDirecory вместе с SCMM.

4. Если ПК автономный (без доступа к интернету) - используем офлайн установку с помощью https://www.wsusoffline.net/ , проверяем и делаем новый образ.

5. Если нужны обновления - делаем не чаще 1 раза в пол-года с предварительной проверкой в лабе офлайн-пакета (созданного в п.4) на попытку изменения существующих файлов/настроек системы и любых сетевых соединений. После - делаем все необходимые правки в окружении локальной системы и производим настройку сети (если необходимо!). Создаём образ и ТОЛЬКО ПОСЛЕ ЭТОГО! обновляем все другие ПК в корпоративной сети.

Answer 4

[Ezhyg]

Весьма сложный вопрос, точнее сложен ответ. Сложен не столько трудностью, сколько богатством выбора, т.е. вариантами, в зависимости от условий.
Можно обновлять тестовую машину, а в идеале, ещё и не одну, затем проверять на них обновление, затем, если не найдено косяков критичных для работы - "раскатывать" по нормальным машинам, а в идеале по группам машин, да не по всем сразу. За одним создавать пропатченный (обновлённый) дистрибутив для будущего развёртывания, а лучше несколько, для разных конфигураций и один - чистый, без настроек.

И это самая малость, даже за ответ можно не считать. Вариантов ещё несколько, но описывать каждый нужно исходя из условий, которые в вопросе не отражены.

Поставили и настроили необходимый софт.

И тут же сделать образ или бэкап для "чистового" развёртывания. Чтоб не приходилось по новой делать те же операции.

Comments

[xmoonlight]

И тут же сделать образ или бэкап для "чистового" развёртывания. Чтоб не приходилось по новой делать те же операции.

Вот без этого - я никуда уже давно! ))

[Ezhyg]

xmoonlight, ну и ура, чо :D

[xmoonlight]

Ezhyg, при каждом новом обновлении всё как с "нуля" (+проверка работоспособности софта/сервисов) - ни разу ни ура!)

[Ezhyg]

xmoonlight, я имел в виду, "ура", что ты сам это делаешь, значит умный! ;)

[xmoonlight]

Ezhyg, ну-да...)) Но пока это не избавило меня от работы, связанной с постоянным отслеживанием корректной работы ПО после обновлений (в связи с чем и возник вопрос...)

[Ezhyg]

xmoonlight, можно забить, обновлять компутеры... скажем по сегментам, и тестировать на живых люд... машинах.

[xmoonlight]

Ezhyg, не пойдёт.
Нужна именно "тонкая" настройка + автоматическое управление установкой: что ставим, а что - нет (согласно однократной настройке). Чтобы больше не возвращаться к вопросу обновлений.

[Ezhyg]

xmoonlight, WSUS же

Answer 5

[Stalker_RED]

Это про винду?
Каждый второй вторник майкрософт выпускает секьюрити апдейты. (Изредка бывают экстренные, вне очереди) Чаще всего смысл их ставить есть.

Если у вас большой парк машин и от "слета софта" зависит что-то критичное, то стоит заранее протестировать, либо иметь возможность очень быстро откатиться.

Comments

[xmoonlight]

Касательно винды: в основом, *опа происходит, когда подменяются некоторые либы .NET'а.
Можно ли как-то настроить так, чтобы не "схватить" новую "сетевую закладку" вместе с обновлением, но "затыкать" найденные "дыры"? (каким инструментом это можно сделать по-удобнее?)

Answer 6

[a_tarsov]

Вот вы тут все эксперты.
Подскажите, как вы тестируете обновления если у вас, например, хотя бы 200. Они собраны на, я утрирую, но всё же, 5 материнок разных производителей и 10 видеокарт? Опять же они перемешаны в некой пропорции. Есть же машинки разного назначения...
Как, как вы это тестируете всё? Сколько народу это делает, даже если, обновления производить 1 раз в месяц?
Это я поднял тут вопрос по проблемам с железом... А теперь добавьте проблемы с ПО, которое отличается от ПК к ПК...
Как?...
Про сервера молчу. Не до них))