如果不及時安裝操作系統的補丁,會帶來什麼後果呢?沖擊波、震蕩波的厲害之處,想必大家都領教過了。因此及時更新操作系統的漏洞補丁,目前已成為提高系統安全性的主要手段。 然而,你會發現使用Windows自帶的Update下載補丁,速度比較慢。如果你所在的公司內網中的員工計算機不能上網,你又該如何為大家打補丁呢?恐怕使用默認的Update是無法實現的吧。 現在,我們可以利用微軟提供的WSUS(Windows Server Update Services)建立一個內部Update服務器,讓公司內網中的計算機直接到這台Update服務器上下載補丁,以縮短用戶打補丁的時間,及時提高計算機和網絡的安全性。沒有連接Internet的計算機只要在內網中能順利訪問Update服務器,也可實現隨時打補丁,有效地防止漏洞型病毒在內網傳播。 了解:走近WSUS 軟件全稱:Windows Server Update Services 軟件版本:2.0正式版 軟件平台:Windows 2000/2003 下載地址: WSUS(Windows Server Update Services)是微軟公司繼SUS(Software Update Service)之後推出的替代SUS的產品,目前版本為2.0。使用過SUS的網管都知道,雖然可用它建立自動更新服務器,不過配置很麻煩,更新補丁的產品種類也較少,同時在實際使用中經常會因為網絡帶寬擁堵而造成客戶機升級失敗。那麼WSUS具有哪些特性呢? ●支持對更多微軟產品進行更新,除了Windows外,Office、Exchange、SQL等產品的補丁和更新包都可通過WSUS發布,而SUS只支持Windows系統。 ●提供了中文操作界面,以前的SUS操作界面為英文,不便於操作。 ●比SUS更好地利用了網絡帶寬。 ●對客戶機的管理更強大,可針對不同客戶機分配不同的用戶組,並分配不同的下載規則。 ●在設置和管理上比SUS更簡單直觀。 硬件要求:如果網絡中要升級的客戶端計算機少於500台,那麼架設WSUS服務器的硬件至少得是750MHz主頻的處理器以及512MB內存,當然還需要充足的硬盤空間來保存更新程序的安裝文件。 實戰:部署WSUS 筆者所在公司的網絡處於教育網之中,客戶機連接微軟官方的Update站點速度很慢,更新補丁的時間較長。為了提高公司網絡的安全,加快補丁更新速度,筆者打算選擇一台服務器通過WSUS建立一個公司內部的Update站點,讓所有員工計算機到這個Update站點更新補丁,服務器名稱為softer。 准備工作:由於軟件需要很多必備組件,如果在Windows 2000 Server上安裝WSUS則需要安裝這些組件,不過這些組件都是默認安裝在Windows 2003上的,所以筆者建議大家使用Windows 2003部署WSUS服務器,同時建議大家不要在該服務器上安裝其他Web網站。 1.安裝WSUS 安裝WSUS之前,先要保證WSUS必需的硬件條件,還要安裝相應的組件,如IIS等。 在Windows 2003中沒有啟用IIS服務,所以我們需要安裝“應用程序服務器”組件,並把IIS添加到本地計算機。下載WSUS並雙擊安裝程序,程序將會自動解壓縮。 現在,開始安裝WSUS,所有步驟和安裝普通軟件一樣。在出現選擇安裝路徑的界面時,需要注意的是,安裝空間必須要有6GB,而且所在驅動器必須是NTFS格式的文件系統。 如果大家的Windows 2003中沒有安裝SQL Server,那麼該軟件還會在計算機上安裝SQL Server桌面版。 在網站選擇窗口,選擇“使用現有IIS默認網站”即可,如果本地計算機還開啟了其他站點服務。由於架設的是獨立的升級服務器而不是其他服務器的鏡像站點,所以在“鏡像更新設置”中不用進行選擇。現在,開始在本地計算機上安裝WSUS。 2.設定補丁類型 由於微軟的產品很多,我們不可能對它的所有產品都進行更新,所以需要根據公司的實際情況對補丁的類型進行設置。 WSUS安裝完畢後,打開浏覽器,使用地址訪問WSUS的管理界面,也可直接輸入計算機名或IP地址進行訪問,在這裡筆者輸入進行訪問。輸入Windows 2003系統的管理員賬戶和密碼即可成功登錄WSUS服務器。 第一次成功登錄WSUS的界面後,會在下方“待做事項列表”中看到“同步服務器,現在就開始”的提示信息(圖1),點擊該選項開始設置WSUS。 圖1 在同步選項設置界面,供我們設置的參數較多,由於篇幅有限這裡不詳細講解了。平常用到最多的是“計劃”下的“手動同步”或“每天定時同步”,一般情況下設置為“每天定時同步”。另外還有“產品和分類”下方的設置,我們可以在產品處選擇可供更新的產品種類,除了Windows外,還有Office、Exchange、SQL等產品的補丁和更新包都可以通過WSUS發布。在“更新分類”處可以詳細設置提供下載的補丁類別(圖2)。 圖2 設置“產品和分類”與“更新分類”後,我們還要選擇更新的語言種類,在同步選項設置界面的最下方有一個“高級同步選項”,通過它我們可以設置更新的語言為簡體中文。 至此,便完成了補丁類型及語言的設定工作,所有的前期工作已告一段落,接下來就需要對服務器和客戶機進行具體操作了。 3.下載並審批補丁 我們如何將相應補丁從微軟網站下載到服務器上供公司內部計算機更新呢?這就需要下載並審批補丁。 在圖2所示界面的左側點擊“立即同步”將啟動服務器的同步功能,服務器將連接微軟官方Update服務器下載相應補丁。補丁類型已經在設定補丁操作中進行了選擇,服務器將只下載滿足設定條件的補丁,下載的補丁供客戶端使用。在下載過程中我們不能進行任何操作,只能點擊“停止同步”來結束更新操作。
大概等待2到3個小時就可完成補丁的更新,下載所用的時間是根據選擇的補丁數量決定的。由於公司內網中的大部分計算機使用的都是Windows 2000操作系統,所以筆者只選擇了更新Windows 2000補丁包及驅動程序。 僅僅下載完更新包還不能提供補丁更新服務,我們還需要對剛剛下載的“安全和關鍵更新”進行復查和批准,經過批准的補丁才能讓客戶端下載(實際上批准過程就是服務器對下載補丁進行檢查的過程)。在待做事項列表中點擊“復查安全和關鍵更新”。 在“更新”界面中可將所有補丁選中,選擇完畢點擊左側“更新任務”欄中的“更改批准”,5自學網,這樣就會批准安裝剛才下載的所有補丁。如果你不希望客戶端下載某個補丁程序,則不選擇該補丁(圖3)。 圖3 點擊“更改批准”後會進入“批准更新”窗口,可在批准下拉選項中選擇“安裝”,然後點擊“確定”。現在,所有客戶端就可下載並安裝剛剛批准下載的補丁程序了,至此服務器上的所有設置完畢。 至此,服務器的設置操作就全部完成了,不過現在還要對客戶端進行相應的設置,以使本來會使用Windows Update的客戶端能夠通過WSUS進行更新。 4.客戶端設置 默認情況下客戶機進行補丁更新都要到Windows Update站點,而我們希望將它修改為WSUS服務器的地址,因此還需要進行一些設置。 我們需要對每一個客戶端進行設置,當然設置一次即可,因為默認情況下,這些計算機都是通過微軟官方的Update服務器下載補丁的,我們需要將它們的Update服務器手動修改為剛剛建立的WSUS服務器。首先,在“運行”欄中輸入“gpedit.msc”啟動組策略。 提示:如果公司內部使用的是域建立的網絡,那麼直接在域控制器上設置組策略即可。 依次點擊“本地計算機策略→計算機配置→管理模板”,右鍵點擊“管理模板”,選擇“添加/刪除模板”。通過“添加”按鈕將wuau模板加入到“當前策略模板”中,添加這個模板後我們才能對Update站點信息進行修改。接著依次進入“本地計算機策略→計算機配置→管理模板→Windows組件→Windows Update”,雙擊“配置自動更新”,然後選擇自動更新補丁的類型,可以是手動更新也可以是自動更新。 接著在“Windows Update”中雙擊“指定Intranet Microsoft更新服務位置”,5自學網,將剛剛建立的WSUS服務器地址添加進來。 最後,進入命令行模式,輸入“wuauclt.exe /detectnow”命令啟動更新,客戶機會立刻連接WSUS服務器下載並安裝補丁。在組策略的“配置自動更新”中設定自動更新讓客戶端定時到WSUS服務器下載補丁。 當客戶端啟動了更新設置後,我們就可以在服務器上通過管理界面看到這些客戶端。當然所有的補丁安裝過程都是在後台進行的,我們在客戶端上是不容易察覺的,要想了解客戶端的補丁安裝情況,只有通過服務器上的管理界面來進行查看。 5.部署成功 經過以上四個步驟,WSUS的設置工作就算完成了,現在公司內部計算機都可使用配置好的WSUS服務器來更新多個微軟產品的補丁,下載速度比連接官方站點快得多。而且,在實際使用過程中,我們還可通過WSUS的分組設定功能將不同用戶劃分到不同的更新組,從而實現公司內部計算機補丁下載的權限管理。 自從采用WSUS搭建企業內部補丁更新平台之後,筆者發現公司員工的上網速度提高了,員工抱怨病毒騷擾的情況減少了,看來這一措施有效地防范了病毒、木馬在
