咨询高手，不连外网的服务器是否有必要更新补丁？ 更新补丁最主要的目的是什么？采用什么方式最佳？谢谢！

补丁可以分为以下三类：

1、是用户真正需要的“高危漏洞”补丁。这种补丁一定要打，不管您是否连外网，电脑放在那里没有网络交互，也会有文件交互的。啥也没交互的电脑似乎可以不开，为地球节能做点贡献吧，呵呵。

2、是用户可选择安装的“功能更新”补丁。这种补丁用户可以自主选择打不打补丁。

3、则是存在较大隐患的“不推荐安装”补丁，该类补丁安装后反而会给电脑带来较大风险。这种补丁就象药，并不是吃的越多越好。安装了不需要的补丁，就象吃错了药，不但浪费系统资源，还可能导致系统崩溃。

建议：

在企业应用中，服务器网络环境一般都是不允许访问外网的，可以从微软官方网站根据自己的系统类型Windows 2008 R2 Enterprise下载补丁包，而且微软一般过一段时间会出一个补丁包合集，可以下载之后，根据提示安装即可。

有很多成熟的方案可以选择，比如架设本地软件仓库即系一种无痛的更新升级方案，把软件仓库架设好以后，自动同步官方源，自动更新库，然后把局域网内部机器的更新源设置为本地软件仓库，设置每天仓库更新后，收到升级通知就自动更新软件。

在域全局组策略（Default Domain Policy）中定义：

位置在计算机配置-windows设置-管理模板-windows组件-windows update

1 配置自动更新

指定更新的频率和时间。选择4，自动下载更新并按下面指定的计划进行安装。将在指定时间安装更新并自动重新启动计算机。

如选择3， 将自动下载更新，并在可以安装更新时发出通知。

2 指定Intranet更新服务位置

这里是http://wuauserv地址

3 在域服务器和客户机刷新组策略

gpupdate /force

1 脚本实现

2搭建自动部署软件 cfengine

3。让服务器分发一个脚本客户端得到

4脚本的内容安装或者更新你想要的软件/补丁

5不清楚百度一个cfengine的工作原理 如何搭建