Windows 系统补丁管理策略
Windows 系統補丁管理策略
(注,這幾天我只是在整理我以前自己寫的一些東西,有的可能已經有點過時,希望不要見怪,不過還是有一定參考價值的)?
?
大部分對計算機比較熟悉的朋友都知道,通常安裝好Windows 操作系統后常做的一件事就是上Windows Update網站去給Windows 安裝補丁程序,否則各種漏洞對系統就是一個很大的威脅。不過遺憾的是很多人還沒有這樣的意識,疏忽了給系統打補丁。這也間接造成了病毒的橫行,比如前一段時間的“沖擊波”病毒,這個病毒就是利用了微軟軟件的RPC漏洞編寫和傳播的,但是在這些病毒廣泛流傳之前,相應軟件的補丁程序早就已經由微軟發布出來并提供了免費下載,只要用戶能經常性地訪問Windows Update網站打補丁,就不會感染這些病毒,可是很多人都疏忽了這一點。好在經過這次教訓,更多的人知道“打補丁”的重要性,可是問題又來了。
微軟的升級服務器都架設在國外,有時候由于網絡的原因造成了國內用戶連接服務器的速度非常慢,這些時候光下載補丁就要一個多小時的時間,效率非常低。另一方面,對于有大量電腦的企業,每臺電腦都連接到微軟的服務器去下載大量的補丁程序,這對企業的網絡帶寬也是一個不小的負擔,而且對安全要求比較高的企業,也不允許客戶端機器接入外網,那么windows補丁管理完全需要網管員手工進行,這樣不但麻煩而且效率低下,從管理的角度來看不可控制的內容太多。
經過一段時間的研究,對解決這個問題找到了一些方法和手段,可以比較好的解決這個問題。
1.使用微軟提供的SUS服務
微軟的SUS(Software Update Service,軟件更新服務)服務可以在企業內部搭建一個類似微軟本身提供的Update服務器的服務器,目前的SUS的版本是1.0 SP1,到明年會提供SUS2.0版。
SUS分為服務端和客戶端。
服務端軟件主要用來和微軟的Update服務器保持同步,并且完成向企業內部的客戶端進行補丁分發的功能。
客戶端主要用來從Update服務器上查詢需要升級的的補丁,并完成相應的安裝過程。
?
服務端程序安裝簡介。
用戶可以到如下網址下載http://www.microsoft.com/downloads/details.aspx?FamilyId=A7AA96E4-6E41-4F54-972C-AE66A4E4BF6C&displaylang=en
?
安裝時,微軟推薦配置如下:
硬件:700MHz主頻以上的CPU,512MB以上內存,6GB以上的硬盤空間
軟件:Windows 2000 Server SP2 以上的操作系統,Windows Server 2003,IIS 5以上版本,IE 5.5以上版本
SUS對硬件的要求比較高,但是微軟推薦的這種硬件配置可以同時為15000臺計算機提供升級服務,因此如果你的網絡沒有這么大規模,硬件的條件可以適當放寬。另一方面,對于6GB的硬盤空間,這是用來保存所有語種的補丁文件的,如果你的網絡中只有簡體中文版或者英文版操作系統的計算機,那你可以通過設置而不下載其他語種的補丁文件,以節約硬盤空間。(不過本人實際使用過程中覺得6個G的硬盤還是比較小,光2個語種的補丁就占用了1個G的空間,加上安裝操作系統的空間那就不好說了)
用戶可以直接雙擊安裝程序SUS10SP1.exe啟動安裝過程,需要注意的是,由于安全方面的原因,SUS服務器的系統盤和保存SUS補丁文件的硬盤分區都必須是NTFS文件系統。另外,如果你是在Windows 2000 Server操作系統上安裝SUS,安裝程序還會同時為你安裝IIS Lockdown Tool,這是一個提高IIS安全性的軟件。
安裝成功以后,用戶只要在本地或遠程在IE中鍵入http://服務器名/susadmin,(如果是遠程,需要輸入相應的用戶名和密碼)就可以打開SUS服務器管理界面。(見圖一)
?
?
首先要對這個服務器進行配置,在主界面左側的“Other Options”菜單下點擊的“Set Options”,接著可以打開配置的界面(見圖二)。
?
一般情況下我們不需要修改什么內容。其中有兩個內容需要注意:
1.“Select how you want to handle new versions of previously approved updates”。在該選項下我們可以設置 一個已經經過審核發布的補丁有了新版本后將采取什么操作。如果你覺得新版本的補丁都可以不經過測試直接發布的話,就在這里選擇“Automatically approve new versions of previously approved updates”; 否則就選中“Do not automatically approve new versions of approved updates. I will manually approve these updates later”,這樣如果 已有補丁程序有新版本發布,這些新版的程序不會被馬上發布出去,而等待管理員驗證,然后手工發布。
2.“Select where you want to store updates”。在該配置選項下你可以設置保存補丁程序的方式。你可以簡單的選擇“Maintain the updates on a Microsoft Windows Update server”,這樣SUS服務器的補丁下載就會跟微軟的服務器保持完全同步,通常建議選擇“Save the updates to a local folder”,并且僅選擇你需要的補丁語種,這樣會減少額外的下載。
?
?
服務器配置完成以后,需要進行服務器同步。點擊主界面左側“Synchronize server”,打開同步界面(見圖三)
?
點擊“Synchronize Now”按鈕,馬上開始同步。點擊“Synchronization Schedule”按鈕,打開定時同步界面,用戶可以選擇在適當的時間開始同步過程。
同步完成以后,如果用戶在配置過程中選擇了“Automatically approve new versions of previously approved updates”那么新的補丁程序立刻可以發布了,否則用戶要點擊主界面左側“Approve updates”打開補丁發布界面(見圖四)。
?
所有已經下載回來的補丁程序都會列在這里,每個補丁的右側會顯示該補丁的狀態,如果是“Approved”則表示該補丁已經經過了測試,并批準發布出去;如果一個補丁的狀態是“Not Approved”那么就需要測試安裝這些補丁程序,如果一切正常,那么就選中這個補丁程序名稱前面的復選框,最后點擊右下角的“Approve”按鈕完成發布過程。
?
這樣就基本完成SUS服務器配置。
?
客戶端程序配置簡介。
Windows 2000 SP2和Windows XP,首先還需要安裝一個SUS的客戶端程序,用戶可以到如下網址下載(http://download.microsoft.com/download/win2000platform/Update/June2002/NT5/CN/WUAU22CHS.msi);對于Windows 2000 SP3及以上版本,Windows XP SP1 及以上版本和Windows Server 2003,都不需要安裝客戶端,直接就可以在組策略中進行設置。
在客戶端的“運行”中輸入“gpedit.msc”打開組策略編輯器,并依次展開“計算機配置”-“管理模板”,然后在“管理模板”上點擊鼠標右鍵,選擇“添加/刪除模版”,然后在點擊“添加”按鈕,并找到%windir%"inf目錄下的wuau.adm文件,雙擊添加。接著繼續打開“Windows組件”-“Windows Update”(這一項只有在安裝了客戶端軟件并添加后才會出現),在窗口右側就會顯示出兩條可用的策略。其中“配置自動更新”可以讓你設置進行更新的時間和處理方法,“指定企業內部互聯網…”則用來指定服務器的位置,你可以以“http://服務器名稱”或者“http://服務器IP”的方式輸入。
如果你的網絡規模比較大,使用了活動目錄管理,那么設置會更加方便。
在域控制器上的運行中輸入“dsa.msc”并回車,打開Active Directory用戶和計算機設置窗口,在要域上點擊鼠標右鍵,選擇“屬性”,然后在屬性窗口中打開“組策略”選項卡,并點擊“新建”按鈕,給新建的策略命名。選中新建的組策略,點擊“編輯”按鈕,接著會彈出一個組策略設置窗口,這跟我們平常運行gpedit.msc打開的窗口很類似,不過這里可以為整個域中的所有計算機設置組策略。這個窗口中依次展開“計算機配置”-“管理模板”-“Windows 組件”-“Windows Update”,然后通過設置這里的策略就可以給所有登入域的計算機設置SUS客戶端的配置參數。
經過上述的一些設置那么整個企業網的補丁管理就比較方便和容易了。
下面是配置過程中一些需要注意的問題。
1.???????????????? SUS只能提供Windows操作系統的關鍵更新和Service Pack,驅動程序和其他更新都是不包括在內的。而微軟的其他產品,例如Office、Exchange等的升級也不包括。
2.???????????????? 安裝SUS服務器后用戶其他的IIS應用可能會受到影響,因此最好使用一臺獨立的服務器。
3.???????????????? 客戶端一定要打開BITS服務,否則客戶端無法下載補丁包。
4.???????????????? 客戶端用戶可以到如下網址(http://ftp.nextwish.org/utils/nwsusutil.zip)下載一個工具,解壓后在控制臺窗口直接執行“nwsusutil SUS服務器名”可以直接完成組策略修改,同時可以實時啟動自動更新過程。
?
?
?
2.使用第三方軟件
SUS只能提供Windows操作系統的關鍵更新和Service Pack,驅動程序和其他更新都是不包括在內的。而微軟的其他產品,例如Office、Exchange等的升級也不包括。因此我們也可以使用一些第三方軟件完成系統補丁管理功能。
第三方軟件主要包括在客戶端安裝代理和不安裝代理兩種方式。
安裝代理方式主要有如下一些廠商提供BigFix's Enterprise Suite,PatchLink's Update和UpdateExpert,感興趣的用戶可以自己下載試用版測試使用。
下面主要介紹一下不需要安裝代理方式的補丁升級管理程序。
1.Service Pack Manager 2000
用戶可以到如下網址下載使用版(http://www.securitybastion.com/),使用版可以使用7天。下載完成以后直接安裝,安裝完成后雙擊桌面“Service Pack Manager 2000”快捷方式打開Service Pack Manager 2000主界面(見圖五)。
?
主界面主要包括:OS Status、OS Info、Product Status、Product Info、Hotfix Profiler、EventLog和Configuration Options七個部分。
在OS Status中用戶可以選擇網絡中的節點,然后點擊NetQuery查詢該節點的補丁安裝情況。查詢的前提是用戶用戶給節點的相應的權限。
查詢掃描完成以后會在右下腳的窗口中列出可用的安裝補丁。用戶可以選擇安裝。
在OS Info中列出了各種不同版本的系統的補丁列表。
在Product Status和Product Info中列出了用戶定義的個別產品的補丁安裝情況和補丁列表。
總的來說該款工具還是比較簡單易用的,能夠滿足不同用戶的需求。
2.HfNetChk Pro
用戶可以到如下網址下載使用版(http://www.securitybastion.com/),使用版可以使用30天。下載完成以后直接安裝,安裝要求比較多可以參考安裝提示。完成后雙擊桌面“HFNetChkPro4”快捷方式打開HFNetChkPro4主界面(見圖六)。
?
在左邊的功能列表中“Scan What”可以選擇需要掃描的機器,“Scan Now”啟動掃描過程,把滾動條拉到最下邊可以看到Patch Information,選擇不同類型的產品可以查看該產品的補丁列表。
除了以上的一些功能以外,該工具還包括補丁的下載,分發,系統的測試等功能。具體的功能還需要用戶自己去嘗試。
除了以上兩種軟件以外還有一些免費的工具比如windows提供的“Microsoft Baseline Security Analyzer”或者“HfNetChk”都可以從微軟的網站下載,也可以完成系統補丁的檢測和管理,只是功能相對比較簡單。
以上內容介紹比較簡單,只起一個拋磚引玉的作用,具體內容大家可以下載試用。
?
?
轉載于:https://www.cnblogs.com/wishma/archive/2008/07/25/1251351.html
總結
以上是生活随笔為你收集整理的Windows 系统补丁管理策略的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 三十岁前不要去在乎的18件事
- 下一篇: 求购TMC差旅管理系统(含源代码),价格