一台計算機在使用過程中,在系統補丁方面可能存在以下問題: 一是計算機已經打了補丁,但卻不一定完整,而且在補丁的後續更新方式和更新時間方面存在一定的問題; 二是計算機根本就沒有打補丁,因而存在較多的安全隱患,當然最新發布的後續漏洞補丁就更沒有處理了。
目前處理漏洞補丁的常用方法是通過漏洞掃描工具軟件,如瑞星殺病毒系統、30安全衛士軟件、金山毒霸系統等掃描本機漏洞後,把相應的補丁從互聯網下載到本機後運行,給系統打上補丁。這種方法存在以下具體的問題: 首先需要接入互聯網,假如計算機是單機使用或是只接入內部局域網,但不能接入互聯網的話,這種方法就行不通; 其次,即使計算機能夠通過互聯網下載補丁,也會使每台計算機都重復下載補丁,已經下載的補丁沒有有效利用,形成信息資源的浪費,同時占用了網絡帶寬、付出時間成本,非凡是當計算機新安裝操作系統後,可能會掃描到幾十個系統漏洞,每次都下載的話就顯得更加費時費力。
因此,有必要利用已有的漏洞掃描工具和已經下載到本地的補丁庫資源,不必接入互聯網,而是充分利用局域網網絡或常用傳輸介質(如U盤、移動硬盤、光盤等),尋求一種快速、完整、操作簡單的打系統補丁的解決方案,筆者通過軟件開發和配套使用一些輔助工具軟件,進行了實踐。
三步實現快速打補丁
第一步,解決快速給系統打補丁的問題。
1. 取得補丁庫。利用補丁下載器或一些工具軟件自帶的補丁庫自動下載功能,把多種操作系統的補丁庫一次性分別下載到本地。
2. 獲取需要打補丁計算機的漏洞掃描報告。找到能夠單獨運行的最新版本瑞星漏洞掃描程序,瑞星漏洞掃描程序運行後對計算機進行具體的漏洞掃描並生成漏洞掃描報告,漏洞掃描報告包含了該計算機具體的漏洞和對應的補丁文件名字,可以利用“導出報告”功能把漏洞掃描報告轉出去以便下一步處理。
3. 自編程序,根據計算機漏洞掃描報告中涉及到的漏洞和對應的補丁文件名字,逐一進行處理,生成帶運行參數的補丁文件批處理程序,設置的參數可以實現無需人工干預而自動安裝完成,安裝後不重啟計算機以便多個補丁文件自動按照順序執行安裝工作。
4. 運行剛才生成的補丁文件批處理程序,每個補丁文件根據補丁庫所在實際路徑進行調用、運行,實現打補丁。
第二步,解決補丁的完整性問題。
由於只依靠瑞星系統進行漏洞掃描和打補丁,其掃描到的漏洞是不完整的,需要進行補充,可以另在一台計算機上安裝360安全衛士軟件、金山毒霸等其他一些漏洞掃描工具進一步查找計算機還存在的其他一些漏洞,根據掃描報告中的漏洞和對應的補丁文件名字,一次性單獨下載補丁庫並制作相應的帶運行參數的補充補丁文件批處理程序,以後使用時直接運行補充補丁文件批處理程序即可實現遺漏補丁的補充工作。
第一步和第二步所做工作全部包含在一個主批處理程序中,只需運行主批處理程序和簡單操作即可實現一次性給計算機打完補丁的目標。
第三步,解決最新發布的後續補丁的問題。
對於微軟最新發布的補丁,可以通過以下方法解決。筆者使用微軟專用於補丁升級的中文版WSUS3.0軟件。把中文版WSUS 3.0軟件安裝在一台計算機上作為WSUS服務器,通過該補丁升級服務器在微軟官方網站下載補丁程序,另外在需要打補丁的客戶端計算機上做簡單配置,具體如下: 運行gpedit.msc命令,把Wuau模板加入到“當前策略模板”,再對“Windows update”項目做“配置自動更新”啟動選定和“指定Intranet Microsoft更新服務位置”設定到本地WSUS服務器的I P地址,最後運行 wuauclt.exe /detectnow 命令啟動注冊即可,以後需要打補丁的計算機會收到WSUS服務器分發的補丁並自動安裝,這種方法能最及時地獲取最新補丁,而且支持全部微軟操作系統。
使用效果
1. 實現補丁庫的一次下載,重復使用,並可以借助多種傳輸介質,如U盤、移動硬盤、光盤、網絡共享等來存儲和處理已下載的補丁庫。
2. 不需要接入互聯網,可單機和在局域網內對計算機進行處理,減輕了網絡帶寬負擔。
3. 對微軟多種操作系統都可以處理,如Windows XP、Windows 2000、Windows 2003等。
4. 獨立性強,能隨時在需要的時候獨立進行打補丁。
5. 利用瑞星漏洞掃描軟件、自開發程序、WSUS系統等多種打補丁方式聯動,互不干擾、互相補充,能較為徹底地解決系統打補丁問題。
6. 實際操作簡單。
通過本方法的實際應用,打好了計算機系統的基礎,增強了服務器、單機的系統健壯性,系統穩定性提高,可有效防御病毒、黑客、木馬軟件、流氓軟件的入侵,計算機運行故障率大幅降低,網絡運行質量也有提高,收到了較好的效果