补丁管理之争：主动发布与客户下载

你有两种基本方法来实现补丁应用的自动化。补丁可以从一台中央服务器发给各个不同的客户机系统，或者由客户机与中央服务器联系并下载补丁。哪一种方法更好?是前者更有效率还是后者更有效率?这个答案根据环境不同而有所不同。

主动发布补丁

根据你的网络配置和你的补丁服务器和网络基础设施的强大程度，你可以从主动发布补丁(Pushing patches)中受益。

支持者:从中央服务器主动发布补丁能够更有效地管理补丁应用的时间安排。这种方式应用补丁在工作时间不会对网络的性能产生影响。而且你能够对企业的不同部门的机器和网络的不同部分采取分部分或者分时间的应用补丁的方式不会使网络带宽或者服务器处理器达到饱和状态。

反对者:要把补丁主动发送给客户机，补丁服务器必须要有最新的补丁储备或者客户机的名单。这个名单中没有记录的新设备或者漏掉的设备可能收不到发来的补丁，即使在补丁应用过程结束之后也仍会存在安全漏洞。要保证这种使用补丁的方法的有效性，需要执行某些程序或者工作流程确保设备一增加到网络中就立即添加到清单中，或者频繁地定期对设备清单进行更新。

下载补丁

对于分布式环境来说，补丁服务器必需同子网连通并且通过防火墙连接到每一台客户机，在这种环境中建立一个客户机能够从服务器下载补丁的应用方法也许更有效。补丁服务器可以放在中央的位置，甚至可以放在所有的客户机都能自由访问的隔离区。客户机可以同补丁服务器联系并且下载他们需要的补丁。

支持者:补丁管理软件和登录脚本可用来启动客户机与补丁服务器之间的通信。注册表和其它按键可用来识别需要补钉的客户机的身份和那些不需要补丁的客户机。对网络进行设置，让客户机自动与补丁服务器联系以便确定它们对补丁的需求，并且给需要补丁的客户机安装补丁。这样可能更有效率，可能比主动发布补丁的效率更高。

反对者:使用登录脚本的不利因素是要保证用户确实根据正常的规则重新启动机器并且登录，以便获得新的补丁。如果所有的用户都在同一时间登录，网络带宽可能由于补丁的安装而达到最大的程度。

主动发布补丁和下载补丁的工具

有些补丁管理应用程序只提供一种方法，或者是这种方法或者是那种方法。而St. Bernard公司的UpdateExpert或者Shavlik Technologies公司的HFNetChk等最佳的解决方案能够同时应用这两种方法。你可以根据你的网络的特点考虑补丁应用问题，评估每一种方法的支持意见和反对意见，然后选择一种方法，或者把两种方法结合起来。这将使你网络更有效率。拥有许多漫游用户或者计算机有可能关机的用户的网络选择下载

补丁的方法会更有效，这种解决方案能够保证用户得到他们需要的补丁。

责任编辑 赵毅 zhaoyi#51cto.com TEL:（010）68476636-8001