Если для индивидуальных пользователей практически единственно правильным вариантом установки патчей и обновлений является автоматический, предоставляемый разработчиками, то для администраторов корпоративных систем такой вариант представляет собой большую головную боль, посокльку привносит дополнительные риски в обеспечение непрерывности бизнес-процессов, что для компаний гораздо важнее, чем заражение с неочевидными отложенными последствиями.
Так что же делать сисадминам? Патчить сразу же, как только заплатка выходит? Или патчить только после проверки заплатки на отладочном варианте системы, продлевая из-за этого пресловутый "зеро-дей" до нескольких суток, месяцев, а порой и лет?
В противном случае надо посмотреть.
Да, именно так и поступают грамотные системные администраторы. Они обязательно инсталлируют в сети сервис WSUS от Microsoft, а в конфигурацию корпоративных компьютеров вносят настройку, позволяющую обновления только с данного сервера. Благодаря этому появляется возможность сначала протестировать обновления на избранных машинах, а затем установить (также можно и удалить) их автоматически на все компьютеры сети. При этом наличие доменной структуры необязательно.