Est-ce que les correctifs de security critiques de Windows Update prennent effet après l'installation ou après le redémarrage?

Nous disposons d'un server web de production critique qui ne peut être redémarré que tôt le dimanche matin.

Presque tous les correctifs de security critiques requestnt un redémarrage après l'installation. Je crains qu'un patch de vulnérabilité de security ne se produise mardi et qu'un exploit de jour zéro compromettra le server avant qu'il ne soit possible de redémarrer 5 jours plus tard.

La vulnérabilité est-elle supprimée après l'installation ou après le redémarrage? Est-ce que je suis trop paranoïaque? Le regroupement est-il le seul moyen de le faire?

La réponse dépend du type de patch qu'il est. Si le patch peut modifier le registre et que le changement peut être détecté immédiatement après, par exemple, il devrait être correct sans un redémarrage. Si le patch déclare explicitement qu'il doit redémarrer, il ne prendra effet que lorsque la machine aura démarré.

La plupart des mises à jour de Windows Server se chargent récemment avec un redémarrage sur 2008 et plus. Nous avons une politique définie selon laquelle les mises à jour sont publiées le jour où nous avons autorisé le time de redémarrage, de sorte qu'il se produise dans la séquence. Avec nous, c'est un mercredi soir. Nous avons également un set de servers critiques que nous mangeons uniquement manuellement. Par conséquent, les packages sont déployés et attendent la confirmation de l'opérateur avant d'installer, à un moment approprié.

Si une mise à jour nécessite un redémarrage, elle ne prend effet avant ce redémarrage, d'où l'exigence de redémarrage.

Ça dépend. Si le patch nécessite un redémarrage pour replace les files qui sont utilisés au moment où le patch a été appliqué (comme kernel32.dll), il ne prendra effet qu'après le redémarrage.