某燃气公司：Windows 漏洞修复提效超50%

01. 场景简述

采用WeOps补丁安装模块，将原本纯手工进行的补丁更新工作，转变成全过程自动化，提效50%；并且，将补丁更新频率从每季度一次，提升为每月一次；紧急情况下，还可满足即时批量处理补丁的诉求。

02. 故事背景

由于内部监管要求，该公司对于评级高的安全漏洞需要尽快处理。内部有上百台Windows Server系统， 主要通过人工方式完成补丁更新。由于Windows Server 安全漏洞出现频次高、修复过程繁琐，每打一次补丁，至少要安排2人、投入1个星期时间才能完成。而且通常要求在晚上20点后才能开始，熬夜通宵是常有的事。 尤其是在“护网”、“等保”等特殊时期，简直是运维部门的噩梦，没有一天可以消停。

每台补丁安装的步骤多达十多个，手工操作很难多台并行，单是登录和注销这100多台系统都得花费不少时间。以现有的人力和效率，只能实现季度频次更新，勉强达到监管要求，且运维人员极其辛苦。

03. 临时解决方案

部署微软WSUS服务器，定期从微软上游同步最新补丁。根据实际需求，分批次对目标服务器推送补丁。

方案效果：对运维的帮助“杯水车薪”

1. WSUS补丁推送策略分“自动下载手动安装”和“自动下载自动安装”两种，其中，“自动下载自动安装”可能导致服务器自动重启，因安全风险考虑已被禁用；
2. 微软月度汇总补丁文件通常超过1GB，受限于网络带宽影响，补丁分发速度慢，经常发生变更前还未下载完补丁的情况，还是得人工上传；
3. 补丁安装、重启、拉起服务、业务检查及进度汇总等环节都需要人工逐台完成，在效率上并没有实质的提升；

04. WeOps应对及效果

用WeOps补丁安装+自动化工具，实现补丁更新全流程自动化

• 通过任务编排，将原本全手动的补丁更新的流程，尽可能变成自动化操作，其中，定制了 “系统重启”和“应用服务拉起”的自动化流程。

• 分批次创建对应的补丁安装任务，上传对应的补丁文件，选择目标服务器，批量完成补丁推送及安装等；

• 每个任务执行成功后，即时生成补丁更新情况的报告，并发送至对应的应用负责人。

WeOps补丁安装实现效果：

1. WeOps采用BT协议传输，对目标服务器完成补丁文件的分发，一般不超过2分钟，并且自动校验补丁文件的完整性。
2. 从“文件分发->补丁安装->补丁重启->拉起服务->报表汇总”全过程自动化完成，从原来逐台登录安装补丁，到1个人可以同时进行数十台补丁安装的操作。针对全量的补丁修复，只需1人，在5个工作日，通过3个批次推送即可，即每次修复至少节约7人/天。
3. 针对Windows Server 漏洞修复的频率，也从原来的每季度一次提升到每月一次。紧急情况下，可满足即时批量处理补丁的诉求。

05 场景适用性

该补丁安装场景，对于有合规或监管要求的客户特别适用，例如基金公司，大型制造业等企业。高效的补丁安装过程，释放运维工程师的精力完成更有价值的工作。