如果不及時安裝操作系統的補丁,會帶來什麼後果呢?衝擊波、震盪波的厲害之處,想必大家都領教過了。因此及時更新操作系統的漏洞補丁,目前已成爲提高系統安全性的主要手段。
然而,你會發現使用Windows自帶的Update下載補丁,速度比較慢。如果你所在的公司內網中的員工計算機不能上網,你又該如何爲大家打補丁呢?恐怕使用默認的Update是無法實現的吧。
現在,我們可以利用微軟提供的WSUS(Windows Server UpdateServices)建立一個內部Update服務器,讓公司內網中的計算機直接到這臺Update服務器上下載補丁,以縮短用戶打補丁的時間,及時提高計算機和網絡的安全性。沒有連接Internet的計算機只要在內網中能順利訪問Update服務器,也可實現隨時打補丁,有效地防止漏洞型病毒在內網傳播。
瞭解:走近WSUS
軟件全稱:Windows Server Update Services
軟件版本:2.0正式版
軟件平臺:Windows 2000/2003
下載地址:http://download.microsoft.com/download/9/3/3/933eaf5d-f2a2-4a03-8a87-e8f6e6d07e7f/WSUSSetup.exe
WSUS(Windows Server Update Services)是微軟公司繼SUS(Software Update Service)之後推出的替代SUS的產品,目前版本爲2.0。使用過SUS的網管都知道,雖然可用它建立自動更新服務器,不過配置很麻煩,更新補丁的產品種類也較少,同時在實際使用中經常會因爲網絡帶寬擁堵而造成客戶機升級失敗。那麼WSUS具有哪些特性呢?
●支持對更多微軟產品進行更新,除了Windows外,Office、Exchange、SQL等產品的補丁和更新包都可通過WSUS發佈,而SUS只支持Windows系統。
●提供了中文操作界面,以前的SUS操作界面爲英文,不便於操作。
●比SUS更好地利用了網絡帶寬。
●對客戶機的管理更強大,可針對不同客戶機分配不同的用戶組,並分配不同的下載規則。
●在設置和管理上比SUS更簡單直觀。
硬件要求:如果網絡中要升級的客戶端計算機少於500臺,那麼架設WSUS服務器的硬件至少得是750MHz主頻的處理器以及512MB內存,當然還需要充足的硬盤空間來保存更新程序的安裝文件。
實戰:部署WSUS
筆者所在公司的網絡處於教育網之中,客戶機連接微軟官方的Update站點速度很慢,更新補丁的時間較長。爲了提高公司網絡的安全,加快補丁更新速度,筆者打算選擇一臺服務器通過WSUS建立一個公司內部的Update站點,讓所有員工計算機到這個Update站點更新補丁,服務器名稱爲softer。
準備工作:由於軟件需要很多必備組件,如果在Windows 2000 Server上安裝WSUS則需要安裝這些組件,不過這些組件都是默認安裝在Windows 2003上的,所以筆者建議大家使用Windows 2003部署WSUS服務器,同時建議大家不要在該服務器上安裝其他Web網站。
1.安裝WSUS
安裝WSUS之前,先要保證WSUS必需的硬件條件,還要安裝相應的組件,如IIS等。
在Windows 2003中沒有啓用IIS服務,所以我們需要安裝“應用程序服務器”組件,並把IIS添加到本地計算機。下載WSUS並雙擊安裝程序,程序將會自動解壓縮。
現在,開始安裝WSUS,所有步驟和安裝普通軟件一樣。在出現選擇安裝路徑的界面時,需要注意的是,安裝空間必須要有6GB,而且所在驅動器必須是NTFS格式的文件系統。
如果大家的Windows 2003中沒有安裝SQL Server,那麼該軟件還會在計算機上安裝SQL Server桌面版。
在網站選擇窗口,選擇“使用現有IIS默認網站”即可,如果本地計算機還開啓了其他站點服務。由於架設的是獨立的升級服務器而不是其他服務器的鏡像站點,所以在“鏡像更新設置”中不用進行選擇。現在,開始在本地計算機上安裝WSUS。
2.設定補丁類型
由於微軟的產品很多,我們不可能對它的所有產品都進行更新,所以需要根據公司的實際情況對補丁的類型進行設置。
WSUS安裝完畢後,打開瀏覽器,使用地址http://localhost/wsusadmin訪問WSUS的管理界面,也可直接輸入計算機名或IP地址進行訪問,在這裏筆者輸入http://softer/wsusadmin進行訪問。輸入Windows 2003系統的管理員賬戶和密碼即可成功登錄WSUS服務器。
第一次成功登錄WSUS的界面後,會在下方“待做事項列表”中看到“同步服務器,現在就開始”的提示信息(圖1),點擊該選項開始設置WSUS。
圖1
在同步選項設置界面,供我們設置的參數較多,由於篇幅有限這裏不詳細講解了。平常用到最多的是“計劃”下的“手動同步”或“每天定時同步”,一般情況下設置爲“每天定時同步”。另外還有“產品和分類”下方的設置,我們可以在產品處選擇可供更新的產品種類,除了Windows外,還有Office、Exchange、SQL等產品的補丁和更新包都可以通過WSUS發佈。在“更新分類”處可以詳細設置提供下載的補丁類別(圖2)。
圖2
設置“產品和分類”與“更新分類”後,我們還要選擇更新的語言種類,在同步選項設置界面的最下方有一個“高級同步選項”,通過它我們可以設置更新的語言爲簡體中文。
至此,便完成了補丁類型及語言的設定工作,所有的前期工作已告一段落,接下來就需要對服務器和客戶機進行具體操作了。
3.下載並審批補丁
我們如何將相應補丁從微軟網站下載到服務器上供公司內部計算機更新呢?這就需要下載並審批補丁。
在圖2所示界面的左側點擊“立即同步”將啓動服務器的同步功能,服務器將連接微軟官方Update服務器下載相應補丁。補丁類型已經在設定補丁操作中進行了選擇,服務器將只下載滿足設定條件的補丁,下載的補丁供客戶端使用。在下載過程中我們不能進行任何操作,只能點擊“停止同步”來結束更新操作。
大概等待2到3個小時就可完成補丁的更新,下載所用的時間是根據選擇的補丁數量決定的。由於公司內網中的大部分計算機使用的都是Windows 2000操作系統,所以筆者只選擇了更新Windows 2000補丁包及驅動程序。
僅僅下載完更新包還不能提供補丁更新服務,我們還需要對剛剛下載的“安全和關鍵更新”進行復查和批准,經過批准的補丁才能讓客戶端下載(實際上批准過程就是服務器對下載補丁進行檢查的過程)。在待做事項列表中點擊“複查安全和關鍵更新”。