如果不及時(shí)安裝操作系統(tǒng)的補(bǔ)丁，會(huì)帶來(lái)什么后果呢?沖擊波、震蕩波的厲害之處，想必大家都領(lǐng)教過(guò)了。因此及時(shí)更新操作系統(tǒng)的漏洞補(bǔ)丁，目前已成為提高系統(tǒng)安全性的主要手段。

然而，你會(huì)發(fā)現(xiàn)使用Windows自帶的Update下載補(bǔ)丁，速度比較慢。如果你所在的公司內(nèi)網(wǎng)中的員工計(jì)算機(jī)不能上網(wǎng)，你又該如何為大家打補(bǔ)丁呢?恐怕使用默認(rèn)的Update是無(wú)法實(shí)現(xiàn)的吧。

現(xiàn)在，我們可以利用微軟提供的WSUS(Windows Server Update Services)建立一個(gè)內(nèi)部Update服務(wù)器，讓公司內(nèi)網(wǎng)中的計(jì)算機(jī)直接到這臺(tái)Update服務(wù)器上下載補(bǔ)丁，以縮短用戶打補(bǔ)丁的時(shí)間，及時(shí)提高計(jì)算機(jī)和網(wǎng)絡(luò)的安全性。沒(méi)有連接Internet的計(jì)算機(jī)只要在內(nèi)網(wǎng)中能順利訪問(wèn)Update服務(wù)器，也可實(shí)現(xiàn)隨時(shí)打補(bǔ)丁，有效地防止漏洞型病毒在內(nèi)網(wǎng)傳播。

了解:走近WSUS

軟件全稱:Windows Server Update Services

軟件版本:2.0正式版

軟件平臺(tái):Windows 2000/2003

下載地址:http://download.microsoft.com/download/9/3/3/933eaf5d-f2a2-4a03-8a87-e8f6e6d07e7f/WSUSSetup.exe

WSUS(Windows Server Update Services)是微軟公司繼SUS(Software Update Service)之后推出的替代SUS的產(chǎn)品，目前版本為2.0。使用過(guò)SUS的網(wǎng)管都知道，雖然可用它建立自動(dòng)更新服務(wù)器，不過(guò)配置很麻煩，更新補(bǔ)丁的產(chǎn)品種類也較少，同時(shí)在實(shí)際使用中經(jīng)常會(huì)因?yàn)榫W(wǎng)絡(luò)帶寬擁堵而造成客戶機(jī)升級(jí)失敗。那么WSUS具有哪些特性呢?

●支持對(duì)更多微軟產(chǎn)品進(jìn)行更新，除了Windows外，Office、Exchange、SQL等產(chǎn)品的補(bǔ)丁和更新包都可通過(guò)WSUS發(fā)布，而SUS只支持Windows系統(tǒng)。

●提供了中文操作界面，以前的SUS操作界面為英文，不便于操作。

●比SUS更好地利用了網(wǎng)絡(luò)帶寬。

●對(duì)客戶機(jī)的管理更強(qiáng)大，可針對(duì)不同客戶機(jī)分配不同的用戶組，并分配不同的下載規(guī)則。

●在設(shè)置和管理上比SUS更簡(jiǎn)單直觀。

硬件要求:如果網(wǎng)絡(luò)中要升級(jí)的客戶端計(jì)算機(jī)少于500臺(tái)，那么架設(shè)WSUS服務(wù)器的硬件至少得是750MHz主頻的處理器以及512MB內(nèi)存，當(dāng)然還需要充足的硬盤(pán)空間來(lái)保存更新程序的安裝文件。

實(shí)戰(zhàn):部署WSUS

筆者所在公司的網(wǎng)絡(luò)處于教育網(wǎng)之中，客戶機(jī)連接微軟官方的Update站點(diǎn)速度很慢，更新補(bǔ)丁的時(shí)間較長(zhǎng)。為了提高公司網(wǎng)絡(luò)的安全，加快補(bǔ)丁更新速度，筆者打算選擇一臺(tái)服務(wù)器通過(guò)WSUS建立一個(gè)公司內(nèi)部的Update站點(diǎn)，讓所有員工計(jì)算機(jī)到這個(gè)Update站點(diǎn)更新補(bǔ)丁，服務(wù)器名稱為softer。

準(zhǔn)備工作:由于軟件需要很多必備組件，如果在Windows 2000 Server上安裝WSUS則需要安裝這些組件，不過(guò)這些組件都是默認(rèn)安裝在Windows 2003上的，所以筆者建議大家使用Windows 2003部署WSUS服務(wù)器，同時(shí)建議大家不要在該服務(wù)器上安裝其他Web網(wǎng)站。

1.安裝WSUS

安裝WSUS之前，先要保證WSUS必需的硬件條件，還要安裝相應(yīng)的組件，如IIS等。

在Windows 2003中沒(méi)有啟用IIS服務(wù)，所以我們需要安裝“應(yīng)用程序服務(wù)器”組件，并把IIS添加到本地計(jì)算機(jī)。下載WSUS并雙擊安裝程序，程序?qū)?huì)自動(dòng)解壓縮。

現(xiàn)在，開(kāi)始安裝WSUS，所有步驟和安裝普通軟件一樣。在出現(xiàn)選擇安裝路徑的界面時(shí)，需要注意的是，安裝空間必須要有6GB，而且所在驅(qū)動(dòng)器必須是NTFS格式的文件系統(tǒng)。

如果大家的Windows 2003中沒(méi)有安裝SQL Server，那么該軟件還會(huì)在計(jì)算機(jī)上安裝SQL Server桌面版。

在網(wǎng)站選擇窗口，選擇“使用現(xiàn)有IIS默認(rèn)網(wǎng)站”即可，如果本地計(jì)算機(jī)還開(kāi)啟了其他站點(diǎn)服務(wù)。由于架設(shè)的是獨(dú)立的升級(jí)服務(wù)器而不是其他服務(wù)器的鏡像站點(diǎn)，所以在“鏡像更新設(shè)置”中不用進(jìn)行選擇。現(xiàn)在，開(kāi)始在本地計(jì)算機(jī)上安裝WSUS。

2.設(shè)定補(bǔ)丁類型

由于微軟的產(chǎn)品很多，我們不可能對(duì)它的所有產(chǎn)品都進(jìn)行更新，所以需要根據(jù)公司的實(shí)際情況對(duì)補(bǔ)丁的類型進(jìn)行設(shè)置。

WSUS安裝完畢后，打開(kāi)瀏覽器，使用地址http://localhost/wsusadmin訪問(wèn)WSUS的管理界面，也可直接輸入計(jì)算機(jī)名或IP地址進(jìn)行訪問(wèn)，在這里筆者輸入http://softer/wsusadmin進(jìn)行訪問(wèn)。輸入Windows 2003系統(tǒng)的管理員賬戶和密碼即可成功登錄WSUS服務(wù)器。

第一次成功登錄WSUS的界面后，會(huì)在下方“待做事項(xiàng)列表”中看到“同步服務(wù)器，現(xiàn)在就開(kāi)始”的提示信息(圖1)，點(diǎn)擊該選項(xiàng)開(kāi)始設(shè)置WSUS。

 圖1

在同步選項(xiàng)設(shè)置界面，供我們?cè)O(shè)置的參數(shù)較多，由于篇幅有限這里不詳細(xì)講解了。平常用到最多的是“計(jì)劃”下的“手動(dòng)同步”或“每天定時(shí)同步”，一般情況下設(shè)置為“每天定時(shí)同步”。另外還有“產(chǎn)品和分類”下方的設(shè)置，我們可以在產(chǎn)品處選擇可供更新的產(chǎn)品種類，除了Windows外，還有Office、Exchange、SQL等產(chǎn)品的補(bǔ)丁和更新包都可以通過(guò)WSUS發(fā)布。在“更新分類”處可以詳細(xì)設(shè)置提供下載的補(bǔ)丁類別(圖2)。

 
圖2

設(shè)置“產(chǎn)品和分類”與“更新分類”后，我們還要選擇更新的語(yǔ)言種類，在同步選項(xiàng)設(shè)置界面的最下方有一個(gè)“高級(jí)同步選項(xiàng)”，通過(guò)它我們可以設(shè)置更新的語(yǔ)言為簡(jiǎn)體中文。

至此，便完成了補(bǔ)丁類型及語(yǔ)言的設(shè)定工作，所有的前期工作已告一段落，接下來(lái)就需要對(duì)服務(wù)器和客戶機(jī)進(jìn)行具體操作了。

3.下載并審批補(bǔ)丁

我們?nèi)绾螌⑾鄳?yīng)補(bǔ)丁從微軟網(wǎng)站下載到服務(wù)器上供公司內(nèi)部計(jì)算機(jī)更新呢?這就需要下載并審批補(bǔ)丁。

在圖2所示界面的左側(cè)點(diǎn)擊“立即同步”將啟動(dòng)服務(wù)器的同步功能，服務(wù)器將連接微軟官方Update服務(wù)器下載相應(yīng)補(bǔ)丁。補(bǔ)丁類型已經(jīng)在設(shè)定補(bǔ)丁操作中進(jìn)行了選擇，服務(wù)器將只下載滿足設(shè)定條件的補(bǔ)丁，下載的補(bǔ)丁供客戶端使用。在下載過(guò)程中我們不能進(jìn)行任何操作，只能點(diǎn)擊“停止同步”來(lái)結(jié)束更新操作。

大概等待2到3個(gè)小時(shí)就可完成補(bǔ)丁的更新，下載所用的時(shí)間是根據(jù)選擇的補(bǔ)丁數(shù)量決定的。由于公司內(nèi)網(wǎng)中的大部分計(jì)算機(jī)使用的都是Windows 2000操作系統(tǒng)，所以筆者只選擇了更新Windows 2000補(bǔ)丁包及驅(qū)動(dòng)程序。

僅僅下載完更新包還不能提供補(bǔ)丁更新服務(wù)，我們還需要對(duì)剛剛下載的“安全和關(guān)鍵更新”進(jìn)行復(fù)查和批準(zhǔn)，經(jīng)過(guò)批準(zhǔn)的補(bǔ)丁才能讓客戶端下載(實(shí)際上批準(zhǔn)過(guò)程就是服務(wù)器對(duì)下載補(bǔ)丁進(jìn)行檢查的過(guò)程)。在待做事項(xiàng)列表中點(diǎn)擊“復(fù)查安全和關(guān)鍵更新”。

在“更新”界面中可將所有補(bǔ)丁選中，選擇完畢點(diǎn)擊左側(cè)“更新任務(wù)”欄中的“更改批準(zhǔn)”，這樣就會(huì)批準(zhǔn)安裝剛才下載的所有補(bǔ)丁。如果你不希望客戶端下載某個(gè)補(bǔ)丁程序，則不選擇該補(bǔ)丁(圖3)。

 
圖3

點(diǎn)擊“更改批準(zhǔn)”后會(huì)進(jìn)入“批準(zhǔn)更新”窗口，可在批準(zhǔn)下拉選項(xiàng)中選擇“安裝”，然后點(diǎn)擊“確定”。現(xiàn)在，所有客戶端就可下載并安裝剛剛批準(zhǔn)下載的補(bǔ)丁程序了，至此服務(wù)器上的所有設(shè)置完畢。

至此，服務(wù)器的設(shè)置操作就全部完成了，不過(guò)現(xiàn)在還要對(duì)客戶端進(jìn)行相應(yīng)的設(shè)置，以使本來(lái)會(huì)使用Windows Update的客戶端能夠通過(guò)WSUS進(jìn)行更新。

4.客戶端設(shè)置

默認(rèn)情況下客戶機(jī)進(jìn)行補(bǔ)丁更新都要到Windows Update站點(diǎn)，而我們希望將它修改為WSUS服務(wù)器的地址，因此還需要進(jìn)行一些設(shè)置。

我們需要對(duì)每一個(gè)客戶端進(jìn)行設(shè)置，當(dāng)然設(shè)置一次即可，因?yàn)槟J(rèn)情況下，這些計(jì)算機(jī)都是通過(guò)微軟官方的Update服務(wù)器下載補(bǔ)丁的，我們需要將它們的Update服務(wù)器手動(dòng)修改為剛剛建立的WSUS服務(wù)器。首先，在“運(yùn)行”欄中輸入“gpedit.msc”啟動(dòng)組策略。

提示:如果公司內(nèi)部使用的是域建立的網(wǎng)絡(luò)，那么直接在域控制器上設(shè)置組策略即可。

依次點(diǎn)擊“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→管理模板”，右鍵點(diǎn)擊“管理模板”，選擇“添加/刪除模板”。通過(guò)“添加”按鈕將wuau模板加入到“當(dāng)前策略模板”中，添加這個(gè)模板后我們才能對(duì)Update站點(diǎn)信息進(jìn)行修改。接著依次進(jìn)入“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→管理模板→Windows組件→Windows Update”，雙擊“配置自動(dòng)更新”，然后選擇自動(dòng)更新補(bǔ)丁的類型，可以是手動(dòng)更新也可以是自動(dòng)更新。

接著在“Windows Update”中雙擊“指定Intranet Microsoft更新服務(wù)位置”，將剛剛建立的WSUS服務(wù)器地址添加進(jìn)來(lái)。

最后，進(jìn)入命令行模式，輸入“wuauclt.exe /detectnow”命令啟動(dòng)更新，客戶機(jī)會(huì)立刻連接WSUS服務(wù)器下載并安裝補(bǔ)丁。在組策略的“配置自動(dòng)更新”中設(shè)定自動(dòng)更新讓客戶端定時(shí)到WSUS服務(wù)器下載補(bǔ)丁。

當(dāng)客戶端啟動(dòng)了更新設(shè)置后，我們就可以在服務(wù)器上通過(guò)管理界面看到這些客戶端。當(dāng)然所有的補(bǔ)丁安裝過(guò)程都是在后臺(tái)進(jìn)行的，我們?cè)诳蛻舳松鲜遣蝗菀撞煊X(jué)的，要想了解客戶端的補(bǔ)丁安裝情況，只有通過(guò)服務(wù)器上的管理界面來(lái)進(jìn)行查看。

5.部署成功

經(jīng)過(guò)以上四個(gè)步驟，WSUS的設(shè)置工作就算完成了，現(xiàn)在公司內(nèi)部計(jì)算機(jī)都可使用配置好的WSUS服務(wù)器來(lái)更新多個(gè)微軟產(chǎn)品的補(bǔ)丁，下載速度比連接官方站點(diǎn)快得多。而且，在實(shí)際使用過(guò)程中，我們還可通過(guò)WSUS的分組設(shè)定功能將不同用戶劃分到不同的更新組，從而實(shí)現(xiàn)公司內(nèi)部計(jì)算機(jī)補(bǔ)丁下載的權(quán)限管理。

自從采用WSUS搭建企業(yè)內(nèi)部補(bǔ)丁更新平臺(tái)之后，筆者發(fā)現(xiàn)公司員工的上網(wǎng)速度提高了，員工抱怨病毒騷擾的情況減少了，看來(lái)這一措施有效地防范了病毒、木馬在公司內(nèi)網(wǎng)中的擴(kuò)散，公司網(wǎng)絡(luò)變得更加安全和穩(wěn)定了。