本篇文章来大概说一说打补丁的流程，一般来说打补丁的流程分为测试环境测试和生产环境安装两个部分。如果企业规模比较小，没有完善的流程制度，也是有一些打补丁的原则可以遵循的，比如：

   对于安全级别为Low以上的各种安全补丁应该分发；

   对于操作系统的安全补丁应该分发；

   对于各种IE版本安全补丁应该分发；

   对于其他各种安全补丁（如Media Player、OutLook Express等）应该分发；

   对于状态为Updates修订版本的安全补丁，无需手工批准，系统会自动发布；

那么对于规模稍微复杂的企业来说，除了上述的原则以外，其实我们还可以通过结合流程来更加规范和安全的开展update的更新工作。

微软的最佳实践是补丁至少一个月安装一次。一般微软的安全中心会在每个月的14号左右发送当月的安全公告摘要，WSUS也会在15号左右接收到微软发放的补丁。

下面举一个简单的例子，假如我们的公司有自己的流程管理系统（有电子邮件系统也可以，就是很麻烦）。我们可以通过结合一些流程管理系统来做补丁的测试、审批工作。

（1） 每月由补丁管理员及时检查微软新发布补丁，具体检查的方式是：通过WSUS控制台和登陆technet的安全中心查看公告；

（2） 收到补丁后，补丁管理员会发起一个测试的事件，并将当月收到的补丁分发到测试组（测试组的测试机器由其他部门反馈提供），然后通知各组对相关补丁进行测试（通知的方式可以是通过流程会审，也可以发邮件通知）；

下面几张图描述了一个完整的WSUS测试补丁审批过程。

（3） 其他部门在指定的时间内将测试结果进行反馈（可以通过邮件或者流程系统的方式进行反馈）；

这里如果测试没有问题的话，我们就会把补丁审批到生产环境，如果有问题的话，先处理补丁问题。

（4） 补丁管理员根据反馈情况对当月补丁进行批准、发放；

下面描述了WSUS往生产环境审批补丁的一个过程。

备注：如果是为生产服务器安装补丁，需提前通知各部门，经同意后为生产服务器安装补丁，并设定计划任务重启服务器，然后提醒各部门在服务器重启完成后，注意检查应用。

当客户端收到补丁后，就可以安装了，一般客户机我们可以通过组策略设置自动下发计划安装，这样就不需要用户手动的干预了。

下面描述了一个客户端收到补丁后，手动安装的情况。

微软的补丁，有些安装完成后是不需要重启服务器或者客户端的，有些是必须重启服务器或者客户端的，下图说明了一个安装更新后不需要重启的情况。