N-1 补丁

补丁管理因环境而异，操作系统、软件版本及企业关键应用决定了所需的补丁类型。某些应用需要定期更新，而其他应用仅兼容特定软件版本，因此补丁管理需量身定制。为满足此类需求，产品中提供了对 被取代补丁（包括 n-1 补丁） 的扩展支持。

为满足此类需求，已引入对被取代补丁的扩展支持。被取代补丁指由新补丁替代的旧更新，通常发生于微软等供应商发布包含并替代早期补丁的合并包时。 “N-1 补丁” 指当前版本（N）之前的最新补丁 （N），为需要稳定性高于最新功能的环境提供选项。

虽然通常安装最新（取代）补丁更有效，能节省带宽和时间并保持最新安全修复，但某些组织仍需安装 n-1 或更早的补丁。例如，服务器补丁按顺序部署时，可能导致不同服务器补丁版本不一致，此时需要安装被取代补丁以保持版本统一。此外，部分企业为确保稳定性会延迟补丁部署，故意选择旧版本补丁。另外，一些第三方应用可能无法正常运行最新更新，需使用旧版被取代补丁以获得更好支持。为有效管理 n-1 补丁，应维护旧补丁版本目录并实施允许根据系统需求选择性部署的补丁管理策略。为通过自动化流程实现此目标，请遵循以下步骤：

1. 若要查看控制台中显示的被取代补丁，请导航至 Threats & Patches → Settings → Patch Database Settings。在此处的 被取代补丁设置中，点击 启用被取代补丁 选项以保留被取代补丁 3 个月。一旦完成，您可在 Central Patch Repository 与 Endpoint Central 服务器完成连续同步后，在“补丁”标签的各视图下找到被取代补丁。

注意： 鉴于操作系统和 Windows 更新通常在每月的 Patch Tuesday 发布周期中推送，针对这些更新采用 N-1 补丁策略是可行的。然而，第三方供应商补丁发布频繁且时间不规律，使得持续遵循 N-1 策略具有挑战性。因此，针对第三方被取代更新，建议基于兼容性、稳定性及应用需求进行评估和部署，而非严格遵循 N-1 策略。

2. 创建一个 测试组 ，其中的试点计算机将在供应商发布后 0 天 内，通过 部署策略 在宽泛的部署时间窗口内部署补丁。此举能在全组织推广前及早发现兼容性或稳定性问题。通过提前测试最新（N）补丁，可以自信地在下一周期作为 N-1 补丁部署，或如发现问题则回退至先前稳定版本——确保系统稳定性，同时执行安全且受控的 N-1 补丁策略。

3. 创建一个 自动补丁部署 任务，设置宽泛的部署时间窗口，并配置任务以便批准的补丁在发布后约 4 周（或 28 天） 部署。此时间安排符合 N-1 补丁策略。通常，操作系统和 Windows 更新在每月第二个星期二的 Patch Tuesday 发布，28 天的延迟确保部署在下一补丁周期（N+1）发布时开始。这样可以有整整一个月的时间在真实环境中评估 N 补丁的稳定性，供应商可发布修补程序，您也能验证兼容性。最终，这种方法确保部署经过充分测试的 N-1 补丁，最大限度降低立即部署 N 补丁带来的风险。

您还可以实施自动化多环部署策略，逐步在不同组中推送补丁——先从早期采用者开始，随后是次级用户组，最终实现全组织部署。通过创建多个针对不同计算机的自动补丁部署任务，此分阶段方法增强了 N-1 策略，在更广泛作为 N-1 补丁部署前，先在受控用户群中进行 N 补丁的实际验证。