[Admiral]

Лучший вариант это обновлять от сервис пака к сервис паку. Это не только избавляет от возможных проблем когда

Цитата Vadikan:

установка 80 обновлений безопасности и пары десятков других может привести к непредсказуемым последствием.»

, а и гарантирует что патч прошёл полное тестирования, и всё как книга пишет. А не так что установите KBХХХХХХ, а потом KBХХХХХХ-v2, ... и всё же давайте теперь ещё KBХХХХХХ-vN и всё. А это подрывает доверия к устойчивости патча, и если в системе всё ОК, то я считаю что "лучшее враг хорошему" и нечего искать приключения системе "ненадёжным" патчем. Но реальность такова что порой на жизненном цикле сервис паков возникают такие ошибки, которые не терпят медлить и необходима быстрая реакция, тогда приходится использовать метод PreSPN.

Работать из под Ограниченной учётной записи ("Restiricted user account"), в случаи чего RunAs, считаю одной из самой надёжной опорой безопасности системы.

Поиск критически важных патчей осуществляю через Security Releases ISO Image и с недавнего времени в центре загрузки, по совету jameszero.
Проверку установки через Windows Update, правильность установки через Microsoft Baseline Security Analyze.