自動化部署安全更新--神奇的SUS服務

操作系統總有這樣那樣的安全漏洞，需要不斷的更新補丁。如果你是一個企業的管理員，你一定為這樣的事情發愁吧？全公司那麼多的機器，每個機器都要安裝補丁，而大多數的補丁又不能通過組策略來分發，指望用戶自己安裝，又難免有疏漏的地方。一旦發生病毒什麼的，後果就不堪設想。前幾天的沖擊波，大家現在想起還有些後怕吧？這不，10日，MS有發布了新的關於RPC的漏洞補丁，看起來，大家又要開始忙了。有沒有一個辦法將大家從這樣單一的重復操作中擺脫出來呢？答案肯定是有的。現在讓我們來看看一個新的服務（其實也不算新了，我都用了好長時間了）---SUS服務。 一、什麼是SUS服務？ SUS服務的英文全名叫SOFTWARE UPDATE SERVICES，翻譯過來就是軟件更新服務，它是STPP（Strategic Technology Protection Program）的一個有效組成部分。它是建立在Microsoft Windows Update技術上的針對企業用戶的一項定制服務。它提供了企業管理和發布重要更新、安全更新的解決方案。通過SUS，你可以不必在經常查看安全更新，並手工下載人工安裝。SUS可以提供動態的部署、發布安全更新的功能。 不過，由於SUS是一個定制的服務，因此也有一定的限制： * SUS只適用於WINDOWS平台，包括WIN 2000、WIN XP、WIN 2003。不包括WIN NT、WIN 98和其他非WINDOWS平台操作系統。 * SUS需要安裝客戶端程序支持 * SUS只能發布安全更新和重要更新，不能發布SP包和其他非WINDOWS產品 如果你需要提供其他產品的發布，請使用另一產品--SMS。 二、SUS的組成 SUS由服務端和客戶端組成。 SUS服務端：SUS服務端組件需要安裝在運行有WIN 2000或WIN 2003的服務器上。SUS服務端需要能直接連接INTERNET或通過防火牆連接INTERNET。 SUS客戶端：SUS需要客戶端安裝自動更新客戶程序，該程序已經包括在2000 SP3或XP SP1中了。如果你的機器安裝的是SP2或以前版本，可以手工安裝客戶程序。WIN 2003不需要安裝。 三、SUS安裝 1、系統需求： ·Pentium III 700 MHz or higher processor ·512 megabytes of RAM. ·6 gigabytes (GB) of free hard disk space for setup and security packages 以上的配置可以提供15000個用戶的支持。如果需要在WAN上部署SUS，請參考高級特性。 2、語言支持 SUS服務端程序支持英語和日語 3、安裝組件 SUS安裝需要IIS 5.0服務支持，建議不要安裝在有WEB服務或其他需要80端口服務的服務器上。 SUS安裝需要有IE 5.5以上版本支持。 SUS必須安裝在NTFS分區上 SUS如要安裝在DC上，需要有SUS SP1補丁 SUS安裝的服務器應該有SP2以上補丁或2003 4、服務端安裝 1）獲得安裝包，你可以在MS網站上獲得SUS安裝包，目前版本為SUS SP1。地址如下：?LinkId=6930.安裝包的大小為33MB。 2）安裝：雙擊安裝文件，啟動安裝向導進行安裝。要注意的是，SUS SP1在安裝時會自動安裝IIS Lockdown。一般不需要改變配置。但如你的服務器上需要運行其他的WEB服務，則有可能需要修改IIS Lockdown的配置。 5、服務器配置 1）安裝好後，你可以在管理工具中看到Microsoft Software Update Services。 2）你可以從管理工具裡啟動Microsoft Software Update Services，也可以通過IE來打開Microsoft Software Update Services，默認地址為：，來管理你的SUS SERVER。 注意：訪問以上URL需要有本地管理員身份。 3）在SUSADMIN頁上選擇[SET OPTIONS]，設置SUS 4）第一個需要設置的是代理設置，這個很簡單啦，不說了。 5）第二個要設置的是服務器名，默認是計算機的名字，如果你有內部的DNS，或客戶不能使用計算機名訪問服務器，建議修改成合法內部域名或IP地址。 6）第三個需要設置的是獲取更新的位置，你可以選擇Synchronize directly from the Microsoft Windows Update servers直接從MS網站同步更新，或選擇Synchronize from a local Software Update Services server從另一個SUS服務器同步更新。通常必須有一個SUS服務器是直接MS網站同步的。 7）接下來需要設置的是已經確認的補丁的更新的確認方式，SUS對於每個下載的更新，默認都需要管理員手工確認發布，這樣可以使管理員可以自己先測試這些更新，確認沒有問題後才進行發布。當原來的補丁有更新後，仍需要管理員重新確認。當然你也可以讓系統自動幫你確認已經確認過的更新的更新版本。選擇Automatically approve new versions of previously approved updates可以自動確認更新。選擇Do not automatically approve new versions of previously approved updates. I will manually approve these later手工確認。 8）還需要設置補丁的下載方式，如果你的客戶都可以連接INTERNET，你可以直接讓客戶從INTERNET更新，選擇Maintain the updates on a Microsoft Windows Updates server ，如果你的客戶端不能INTERNET，可以將這些更新下載到本地再分發部署，選擇Save the updates to a local folder。建議使用後者，可以有效的降低網絡流量。 如果你選擇將更新下載到本地，你還需要選擇下載的語言版本。建議你不要選擇太多的語言版本，以免占用太大的硬盤空間。 6、服務器操作 1）同步周期：你可以設置服務器的定期同步周期。建議每天一次 2）同步更新：你可以隨時從指定的服務器同步更新。同步獲得的更新會自動標記為NEW放入帶確認更新中。 3）確認更新：在Approve updates裡，選擇自己需要發布的更新，按Approve確認發布。確認以最後的操作為准，可以反復確認。 4）其他操作： * 更新的詳細信息：可以通過查看更新中的連接，獲得更新的詳細信息 * 日志查看：你可以通過日志來查看更新情況和確認信息 7、高級功能 1）SUS支持多級SUS級連 2）SUS支持NLB技術 8、客戶端操作 1）客戶端需要安裝自動更新客戶端。該客戶端可以用於Windows 2000 Professional, Windows 2000 Server, and Windows 2000 Advanced Server (all with Service Pack 2 or higher), Windows XP Professional, Windows XP Home Edition, and Windows Server 2003 family.安裝好後，可以在控制面板中找到它。 2）自動更新服務可以在服務中找到，請確保其啟動 3）自動更新服務可以自動的檢索需要的更新，並自動下載和安裝。 4）自動更新客戶端也可以使用組策略來部署。或修改以下注冊表： 1.Open Registry Editor. 2.Navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Critical Update 3.Create SelfUpdServer value under this key as REG_SZ..“SelfUpdServer”=”” 4.Navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Critical Update\Critical Update SelfUpdate 5.Create SelfUpdServer value under this key as REG_SZ. ”SelfUpdServer”=””9、自動更新客戶配置操作： 1）組策略：加載WUAU.adm管理模板（該模板可以在計算機策略中的管理工具中增加），設置相應的組策略條目。 2）注冊表：

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU RescheduleWaitTime Range: n; where n = time in minutes (1-60) Registry value type: REG_DWORD NoAutoRebootWithLoggedOnUsers Set this to 1 if you want the logged on users to choose whether or not to reboot their system Registry value type: REG_DWORD NoAutoUpdate Range = 0|1. 0 = Automatic Updates is enabled (default), 1 = Automatic Updates is disabled. Registry value Type: Reg_DWORD AUOptions Range = 2|3|4. 2 = notify of download and installation, 3 = automatically download and notify of installation, and 4 = automatic download and scheduled installation. All options notify the local administrator. Registry value Type: Reg_DWORD ScheduledInstallDay Range = 0|1|2|3|4|5|6|7. 0 = Every day; 1 through 7 = the days of the week from Sunday (1) to Saturday (7). Registry value Type: Reg_DWORD ScheduledInstallTime Range = n; where n = the time of day in 24-hour format (0-23). Registry value Type: Reg_DWORD UseWUServer Set this to 1 to enable Automatic Updates to use the server running Software Update Services as specified in WUServer below. Registry value Type: Reg_DWORD HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate WUServer Sets the SUS server by HTTP name (for exampl ，