你的补丁管理方案能够升级吗

随着网络的增长，你的补丁管理的责任也随之增长，除非你找到一个自动化该过程的方法。幸运的是，你无须花费高昂的费用以获得一个可升级的、集中式的补丁管理解决方案，而且可以用最小的管理成本保持系统的及时更新。

补丁管理有点象清理垃圾箱或清洁洗手间：毫无趣味但是你不得不做。我认识的多数网络管理员一般通过下面三种方法中的一个处理它：

逃避：他们尽可能地关闭它，然后在必要的时候又尽可能快地完成它。自动操作：他们在所有主机上打开Windows Update的自动更新功能，“设置好后忘掉它”（这其实是另一种形式的逃避）并且祈祷不要出现任何不兼容。过分关注：他们使用一个精心制作的补丁管理程序，包括亲自利用试验环境中的每个生产服务器的复制品来试验每个补丁，然后通过昂贵而复杂的配置服务器应用这些补丁，之后还要在每个系统中运行完整而且全面的漏洞扫描，并且严格地记录缺少哪些补丁。本质上讲，进行补丁管理是一项需要坚持不懈的工作。

无论你的网络是一个小型商业群组还是一个拥有多个域的企业，使你的网络中的系统及时更新是绝对重要的。新的操作系统和应用程序漏洞每天都层出不穷，而且一旦漏洞被公之于众，总会有人找到利用它的方法。

逃避不是办法
逃避不是办法，但这在小型网络的管理员中非常普遍。这些网络一般缺少合适的容错标准和其他安全解决方案，因此如果他们的系统受到攻击，很可能损失惨重，至少，会损失一部分收入。 要想更有效，你的补丁管理计划必须是及时和持续的。不幸的是，和所有类型的预防性维护一样，它很容易被弃之不理，因为你总是忙于处理更紧急的问题。这就是说某种类型的自动操作几乎是必不可少的。

Windows Update：总比没有好
依赖Windows Update比完全逃避这个问题要好，但它依然不是理想的解决方案。如果你的网络中只有10台计算机，你或许可以确保每个系统被正确配置并且定期进行更新，但是这个策略难以进行扩展。你还必须记住自动升级功能只能在“高优先级”的条件下进行更新。而且如果你的网络中的机器运行的是Windows NT或Windows 98，该怎么办呢？这些版本不支持自动更新（尽管它们可以通过Windows Update的Web站点进行更新）。

Windows Update是保持用户计算机及时更新的一个极好的方案，而且它适合一个用户对自己的机器负责的小型工作组环境。但是随着网络的增长，你需要更集中式的控制。

在一个活动目录环境中，你可以配置组策略以管理域中计算机的自动更新设置。这样做至少可以使你避免物理地访问每台计算机以配置或验证其设置。你也可以使用组策略设置（在计算机配置管理模板\Windows组件Windows更新下面）以确定安装的具体时间。你或许还想启用使用所有的Windows Update特性，它在用户配置节点中的组策略设置中的远程访问中（用户配置管理模板\Windows组件Windows Update），那么即使是本地管理员的用户也无法手动安装更新。自动更新将继续运行并且根据预定的设置安装更新。

缺省情况下，更新将从公开的Windows Uudate站点下载。然而，你可以通过详细指定从某个企业内部网更新服务中下载更新，从而更多的控制更新过程。