Você deve forçar uma reinicialização depois de enviar as atualizações do Windows?

Estou descobrindo que a maioria dos usuários ignora a mensagem "Existem atualizações prontas para serem instaladas, clique aqui para instalar" que o WSUS envia. Até agora, não forçamos a instalação, mas estou pensando em alterar a política de grupo para aplicar atualizações todas as noites. Às vezes, isso requer uma reinicialização que eu também quero aplicar através do GP.

Eu sei que haverá uma reação dos usuários, mas estou me perguntando se essa é uma melhor prática defensável. Parece a coisa certa a fazer para garantir que os PCs estejam atualizados e seguros.

Gostaria apenas de entrar na caixa de sabão com reinicialização automática por um segundo: tem sido minha experiência que forçar automaticamente / forçar uma reinicialização geralmente é uma má ideia.

Os administradores do sistema geralmente têm um pouco de complexidade em garantir que o patch mais recente tenha sido aplicado no segundo em que foi instalado, porque o OMG até então o sistema estava sem patch . No entanto, você deve perceber que, pelo menos teoricamente, os administradores do sistema existem para permitir que as pessoas que usam o sistema façam seu trabalho.

Se você reiniciar automaticamente quando um patch for instalado e, digamos, o relógio do sistema da estação de trabalho for redefinido, pensando que são 2 horas da manhã e algum pobre Dilbert perder o trabalho, você fez uma grande diferença. Na minha opinião, é muito maior do que ter um sistema temporariamente sem patch na rede.

Na minha experiência, ter algum tipo de mensagem não descartável dizendo ao usuário para reiniciar é geralmente uma idéia melhor. Deixe-os terminar o trabalho e reiniciar durante o almoço, ou peça que desliguem a estação de trabalho à noite ou algo que se encaixe perfeitamente na sua organização.

Dito isto, quando ajudei a administrar 12 laboratórios de informática em uma faculdade, tínhamos definido o tempo de inatividade quando tínhamos certeza de que ninguém usaria nenhuma das máquinas porque as portas estavam trancadas. Essa é uma situação em que a inicialização automática é certamente aceitável; é apenas a interrupção automática forçada autônoma do trabalho que me irrita.

Nós instalamos automaticamente e atrasamos a reinicialização da instalação por 30 minutos - solicita que o usuário reinicie agora e, se não houver resposta em 30 minutos, ele reinicia a máquina. Houve algumas queixas iniciais, mas que se acostumaram. Se eles estiverem no meio de algo, eles podem clicar em "reiniciar mais tarde" para atrasar a reinicialização até um bom momento. Mas eles serão solicitados a cada 30 minutos. É um bom equilíbrio entre apenas reiniciar os usuários e fazê-los nunca instalar as atualizações.

EDITAR:

Atualização - desculpe-me pela configuração perdida quando eu checava duas vezes minha configuração de GPO, o prompt Re para reinicialização é configurável independentemente. Assim, você pode definir o atraso antes que ele solicite novamente. Também para o ambiente de 2003, eles podem ter adicionado / alterado opções em 2008

Como você testa os patches primeiro (não sabe?), Você sabe quais exigem uma reinicialização do sistema.

Você pode criar uma programação que diga que, a cada quarta ou quinta-feira do mês, você envia um e-mail informando que precisa implantar patches X que exigem a reinicialização das máquinas. Deixe suas máquinas ligadas durante a noite.

Isso não é uma solução verde, mas permite que você trabalhe com as necessidades de seus usuários e com a necessidade de manter os sistemas atualizados.

Para os outros patches, você pode usar a solução que o Zypher postou.

Eu estaria interessado em respostas de outras pessoas para isso também. Não consigo implementar a reinicialização automática, ela tem sido praticada por "práticas ruins" por muito tempo e as pessoas não se adaptaram. As pessoas deixam seus e-mails que precisam responder para abrir, etc, perdê-los de repente seria muito chato.

Se você estiver procurando por um motivo técnico, sim, é uma prática recomendada "tecnicamente" garantir que as máquinas sejam corrigidas imediatamente e que os usuários não possam atrasar ou contornar a aplicação correta das correções (incluindo reinicializações necessárias).

No entanto, eu diria que a decisão de reinicializar automaticamente após a instalação do patch é uma decisão comercial, não técnica. Eu acho que a principal razão pela qual os administradores de sistemas tendem a favorecer é que, se alguns sistemas sem patch se infiltram, geralmente são necessárias longas horas para que as coisas sejam limpas sem um sistema de quarentena adequado. No entanto, a reinicialização forçada pode afetar a produtividade ou ser inaceitável, dependendo do uso das máquinas (exemplos seriam máquinas de ponto de venda ou máquinas no ar).

Você pode achar que pode forçar a inicialização automática a um segmento das máquinas de destino, mas outras máquinas têm um motivo comercial legítimo para NÃO inicializar automaticamente. Como sempre, a empresa é seu cliente, então você define os prós e os contras com sua recomendação de "melhores práticas tecnicamente" e deixa que eles tomem uma decisão.

Em alguns casos, você absolutamente não pode forçar uma reinicialização. Temos pessoas que executam simulações que são executadas por alguns dias em várias máquinas. O software de simulação tem um grande problema: não salva resultados intermediários. Portanto, se houver uma reinicialização durante uma execução, uma grande parte do trabalho será perdida e precisará ser concluída. Atualmente, não há alternativa viável para usar esse programa de simulação, portanto, em TI, precisamos contorná-lo. Nesse caso, criamos uma nova UO que não recebe atualizações e transferimos para ele todos os PCs usados ​​para essas simulações.

Uma coisa que tento fazer com a reinicialização forçada é verificar os patches todos os meses e, se houver necessidade de reiniciar, envie um e-mail de lembrete na manhã em que os patches estão sendo enviados. Temos muitos almoços escalonados ao longo do dia, portanto a janela de 30 minutos não é longa o suficiente (gostaria que pudesse ser mais longa, mas isso é tudo que a Microsoft permite).

Se você estiver implantando atualizações, permita que elas sejam enviadas o mais rápido possível. Se a máquina precisar reiniciar, aguarde até a noite ou o início da manhã. Se as pessoas desligarem seus computadores, você poderá impedir o desligamento da máquina ou impor um atraso mais cedo para reiniciar quando o usuário ligar o PC novamente.

Nós encorajamos (d) 'desligar os computadores no final do dia por razões de consumo de energia (economize $), assim as atualizações serão aplicadas no desligamento. É claro que existem alguns que decidem nunca desligar, mas não tínhamos muitos computadores no escritório (cerca de 80 clientes agora passaram para thin-clients).

Como o título da pergunta é "práticas recomendadas" específicas para o WSUS, eu sugeriria (e isso é totalmente inédito) garantir que você ative apenas as atualizações necessárias e não o processo de download durante o horário de trabalho. Um de nossos técnicos descobriu o caminho errado para NÃO ativar todas as atualizações em um site com uma conexão WAN T1, ai!