|
|
| http://www.hbdxs.com 2006-8-18 17:22:53 来源:网络收集 点击 |
|
|
如果不及时安装操作系统的补丁,会带来什么后果呢?冲击波、震荡波的厉害之处,想必大家都领教过了。因此及时更新操作系统的漏洞补丁,目前已成为提高系统安全性的主要手段。
然而,你会发现使用Windows自带的Update下载补丁,速度比较慢。如果你所在的公司内网中的员工计算机不能上网,你又该如何为大家打补丁呢?恐怕使用默认的Update是无法实现的吧。
现在,我们可以利用微软提供的WSUS(Windows Server Update Services)建立一个内部Update服务器,让公司内网中的计算机直接到这台Update服务器上下载补丁,以缩短用户打补丁的时间,及时提高计算机和网络的安全性。没有连接Internet的计算机只要在内网中能顺利访问Update服务器,也可实现随时打补丁,有效地防止漏洞型病毒在内网传播。
了解:走近WSUS
软件全称:Windows Server Update Services
软件版本:2.0正式版
软件平台:Windows 2000/2003
下载地址:http://download.microsoft.com/download/9/3/3/933eaf5d-f2a2-4a03-8a87-e8f6e6d07e7f/WSUSSetup.exe
WSUS(Windows Server Update Services)是微软公司继SUS(Software Update Service)之后推出的替代SUS的产品,目前版本为2.0。使用过SUS的网管都知道,虽然可用它建立自动更新服务器,不过配置很麻烦,更新补丁的产品种类也较少,同时在实际使用中经常会因为网络带宽拥堵而造成客户机升级失败。那么WSUS具有哪些特性呢?
●支持对更多微软产品进行更新,除了Windows外,Office、Exchange、SQL等产品的补丁和更新包都可通过WSUS发布,而SUS只支持Windows系统。
●提供了中文操作界面,以前的SUS操作界面为英文,不便于操作。
●比SUS更好地利用了网络带宽。
●对客户机的管理更强大,可针对不同客户机分配不同的用户组,并分配不同的下载规则。
●在设置和管理上比SUS更简单直观。
硬件要求:如果网络中要升级的客户端计算机少于500台,那么架设WSUS服务器的硬件至少得是750MHz主频的处理器以及512MB内存,当然还需要充足的硬盘空间来保存更新程序的安装文件。
实战:部署WSUS
笔者所在公司的网络处于教育网之中,客户机连接微软官方的Update站点速度很慢,更新补丁的时间较长。为了提高公司网络的安全,加快补丁更新速度,笔者打算选择一台服务器通过WSUS建立一个公司内部的Update站点,让所有员工计算机到这个Update站点更新补丁,服务器名称为softer。
准备工作:由于软件需要很多必备组件,如果在Windows 2000 Server上安装WSUS则需要安装这些组件,不过这些组件都是默认安装在Windows 2003上的,所以笔者建议大家使用Windows 2003部署WSUS服务器,同时建议大家不要在该服务器上安装其他Web网站。
1.安装WSUS
安装WSUS之前,先要保证WSUS必需的硬件条件,还要安装相应的组件,如IIS等。
在Windows 2003中没有启用IIS服务,所以我们需要安装“应用程序服务器”组件,并把IIS添加到本地计算机。下载WSUS并双击安装程序,程序将会自动解压缩。
现在,开始安装WSUS,所有步骤和安装普通软件一样。在出现选择安装路径的界面时,需要注意的是,安装空间必须要有6GB,而且所在驱动器必须是NTFS格式的文件系统。
如果大家的Windows 2003中没有安装SQL Server,那么该软件还会在计算机上安装SQL Server桌面版。
在网站选择窗口,选择“使用现有IIS默认网站”即可,如果本地计算机还开启了其他站点服务。由于架设的是独立的升级服务器而不是其他服务器的镜像站点,所以在“镜像更新设置”中不用进行选择。现在,开始在本地计算机上安装WSUS。
2.设定补丁类型
由于微软的产品很多,我们不可能对它的所有产品都进行更新,所以需要根据公司的实际情况对补丁的类型进行设置。
WSUS安装完毕后,打开浏览器,使用地址http://localhost/wsusadmin访问WSUS的管理界面,也可直接输入计算机名或IP地址进行访问,在这里笔者输入http://softer/wsusadmin进行访问。输入Windows 2003系统的管理员账户和密码即可成功登录WSUS服务器。
第一次成功登录WSUS的界面后,会在下方“待做事项列表”中看到“同步服务器,现在就开始”的提示信息(图1),点击该选项开始设置WSUS。
图1
在同步选项设置界面,供我们设置的参数较多,由于篇幅有限这里不详细讲解了。平常用到最多的是“计划”下的“手动同步”或“每天定时同步”,一般情况下设置为“每天定时同步”。另外还有“产品和分类”下方的设置,我们可以在产品处选择可供更新的产品种类,除了Windows外,还有Office、Exchange、SQL等产品的补丁和更新包都可以通过WSUS发布。在“更新分类”处可以详细设置提供下载的补丁类别(图2)。
图2
设置“产品和分类”与“更新分类”后,我们还要选择更新的语言种类,在同步选项设置界面的最下方有一个“高级同步选项”,通过它我们可以设置更新的语言为简体中文。
至此,便完成了补丁类型及语言的设定工作,所有的前期工作已告一段落,接下来就需要对服务器和客户机进行具体操作了。
3.下载并审批补丁
我们如何将相应补丁从微软网站下载到服务器上供公司内部计算机更新呢?这就需要下载并审批补丁。
在图2所示界面的左侧点击“立即同步”将启动服务器的同步功能,服务器将连接微软官方Update服务器下载相应补丁。补丁类型已经在设定补丁操作中进行了选择,服务器将只下载满足设定条件的补丁,下载的补丁供客户端使用。在下载过程中我们不能进行任何操作,只能点击“停止同步”来结束更新操作。
大概等待2到3个小时就可完成补丁的更新,下载所用的时间是根据选择的补丁数量决定的。由于公司内网中的大部分计算机使用的都是Windows 2000操作系统,所以笔者只选择了更新Windows 2000补丁包及驱动程序。
仅仅下载完更新包还不能提供补丁更新服务,我们还需要对刚刚下载的“安全和关键更新”进行复查和批准,经过批准的补丁才能让客户端下载(实际上批准过程就是服务器对下载补丁进行检查的过程)。在待做事项列表中点击“复查安全和关键更新”。
在“更新”界面中可将所有补丁选中,选择完毕点击左侧“更新任务”栏中的“更改批准”,这样就会批准安装刚才下载的所有补丁。如果你不希望客户端下载某个补丁程序,则不选择该补丁(图3)。
图3
点击“更改批准”后会进入“批准更新”窗口,可在批准下拉选项中选择“安装”,然后点击“确定”。现在,所有客户端就可下载并安装刚刚批准下载的补丁程序了,至此服务器上的所有设置完毕。
至此,服务器的设置操作就全部完成了,不过现在还要对客户端进行相应的设置,以使本来会使用Windows Update的客户端能够通过WSUS进行更新。
4.客户端设置
默认情况下客户机进行补丁更新都要到Windows Update站点,而我们希望将它修改为WSUS服务器的地址,因此还需要进行一些设置。
我们需要对每一个客户端进行设置,当然设置一次即可,因为默认情况下,这些计算机都是通过微软官方的Update服务器下载补丁的,我们需要将它们的Update服务器手动修改为刚刚建立的WSUS服务器。首先,在“运行”栏中输入“gpedit.msc”启动组策略。
提示:如果公司内部使用的是域建立的网络,那么直接在域控制器上设置组策略即可。
依次点击“本地计算机策略→计算机配置→管理模板”,右键点击“管理模板”,选择“添加/删除模板”。通过“添加”按钮将wuau模板加入到“当前策略模板”中,添加这个模板后我们才能对Update站点信息进行修改。接着依次进入“本地计算机策略→计算机配置→管理模板→Windows组件→Windows Update”,双击“配置自动更新”,然后选择自动更新补丁的类型,可以是手动更新也可以是自动更新。
接着在“Windows Update”中双击“指定Intranet Microsoft更新服务位置”,将刚刚建立的WSUS服务器地址添加进来。
最后,进入命令行模式,输入“wuauclt.exe /detectnow”命令启动更新,客户机会立刻连接WSUS服务器下载并安装补丁。在组策略的“配置自动更新”中设定自动更新让客户端定时到WSUS服务器下载补丁。
当客户端启动了更新设置后,我们就可以在服务器上通过管理界面看到这些客户端。当然所有的补丁安装过程都是在后台进行的,我们在客户端上是不容易察觉的,要想了解客户端的补丁安装情况,只有通过服务器上的管理界面来进行查看。
5.部署成功
经过以上四个步骤,WSUS的设置工作就算完成了,现在公司内部计算机都可使用配置好的WSUS服务器来更新多个微软产品的补丁,下载速度比连接官方站点快得多。而且,在实际使用过程中,我们还可通过WSUS的分组设定功能将不同用户划分到不同的更新组,从而实现公司内部计算机补丁下载的权限管理。
自从采用WSUS搭建企业内部补丁更新平台之后,笔者发现公司员工的上网速度提高了,员工抱怨病毒骚扰的情况减少了,看来这一措施有效地防范了病毒、木马在
|
|
|
|
|
|
