Windows系统补丁管理策略
Windows 系统补丁管理策略
(注,这⼏天我只是在整理我以前⾃⼰写的⼀些东西,有的可能已经有点过时,希望不要见怪,不过还是有⼀定参考价值的)
⼤部分对计算机⽐较熟悉的朋友都知道,通常安装好Windows 操作系统后常做的⼀件事就是上Windows Update⽹站去给Windows 安装补丁程序,否则各种漏洞对系统就是⼀个很⼤的威胁。不过遗憾的是很多⼈还没有这样的意识,疏忽了给系统打补丁。这也间接造成了病毒的横⾏,⽐如前⼀段时间的“冲击波”病毒,这个病毒就是利⽤了微软软件的RPC漏洞编写和传播的,但是在这些病毒⼴泛流传之前,相应软件的补丁程序早就已经由微软发布出来并提供了免费下载,只要⽤户能经常性地访问Windows Update⽹站打补丁,就不会感染这些病毒,可是很多⼈都疏忽了这⼀点。好在经过这次教训,更多的⼈知道“打补丁”的重要性,可是问题⼜来了。
微软的升级服务器都架设在国外,有时候由于⽹络的原因造成了国内⽤户连接服务器的速度⾮常慢,这些时候光下载补丁就要⼀个多⼩时的时间,效率⾮常低。另⼀⽅⾯,对于有⼤量电脑的企业,每台电脑都连接到微软的服务器去下载⼤量的补丁程序,这对企业的⽹络带宽也是⼀个不⼩的负担,⽽且对安全要求⽐较⾼的企业,也不允许客户端机器接⼊外⽹,那么windows补丁管理完全需要⽹管员⼿⼯进⾏,
这样不但⿇烦⽽且效率低下,从管理的⾓度来看不可控制的内容太多。
经过⼀段时间的研究,对解决这个问题到了⼀些⽅法和⼿段,可以⽐较好的解决这个问题。
配置windows update失败1.使⽤微软提供的SUS服务
微软的SUS(Software Update Service,软件更新服务)服务可以在企业内部搭建⼀个类似微软本⾝提供的Update服务器的服务器,⽬前的SUS的版本是1.0 SP1,到明年会提供SUS2.0版。
SUS分为服务端和客户端。
服务端软件主要⽤来和微软的Update服务器保持同步,并且完成向企业内部的客户端进⾏补丁分发的功能。
客户端主要⽤来从Update服务器上查询需要升级的的补丁,并完成相应的安装过程。
服务端程序安装简介。
安装时,微软推荐配置如下:
新员工入职欢迎词硬件:700MHz主频以上的CPU,512MB以上内存,6GB以上的硬盘空间
软件:Windows 2000 Server SP2 以上的操作系统,Windows Server 2003,IIS 5以上版本,IE 5.5以上版本
许晴主演的电视剧SUS对硬件的要求⽐较⾼,但是微软推荐的这种硬件配置可以同时为15000台计算机提供升级服务,因此如果你的⽹络没有这么⼤规模,硬件的条件可以适当放宽。另⼀⽅⾯,对于6GB的硬盘空间,这是⽤来保存所有语种的补丁⽂件的,如果你的⽹络中只有简体中⽂版或者英⽂版操作系统的计算机,那你可以通过设置⽽不下载其他语种的补丁⽂件,以节约硬盘空间。(不过本⼈实际使⽤过程中觉得6个G的硬盘还是⽐较⼩,光2个语种的补丁就占⽤了1个G的空间,加上安装操作系统的空间那就不好说了)
⽤户可以直接双击安装程序启动安装过程,需要注意的是,由于安全⽅⾯的原因,SUS服务器的系统盘和保存SUS补丁⽂件的硬盘分区都必须是NTFS⽂件系统。另外,如果你是在Windows 2000 Server操作系统上安装SUS,安装程序还会同时为你安
装IIS Lockdown Tool,这是⼀个提⾼IIS安全性的软件。
⾸先要对这个服务器进⾏配置,在主界⾯左侧的“Other Options”菜单下点击的“Set Options”,接着可以打开配置的界⾯(见图⼆)。
⼀般情况下我们不需要修改什么内容。其中有两个内容需要注意:
1.“Select how you want to handle new versions of previously approved updates”。在该选项下我们可以设置 ⼀个已经经过审核发布的补丁有了新版本后将采取什么操作。如果你觉得新版本的补丁都可以不经过测试直接发布的话,就在这⾥选择“Automatically approve new versions of previously approved updates”; 否则就选中“Do not automatically approve new versions of approved updates. I will manually approve these updates later”,这样如果 已有补丁程序有新版本发布,这些新版的程序不会被马上发布出去,⽽等待管理员验证,然后⼿⼯发布。
2.“Select where you want to store updates”。在该配置选项下你可以设置保存补丁程序的⽅式。你可以简单的选择“Maintain the updates on a Microsoft Windows Update server”,这样SUS服务器的补丁下载就会跟微软的服务器保持完全同步,通常建议选
择“Save the updates to a local folder”,并且仅选择你需要的补丁语种,这样会减少额外的下载。
服务器配置完成以后,需要进⾏服务器同步。点击主界⾯左侧“Synchronize server”,打开同步界⾯(见图三)
点击“Synchronize Now”按钮,马上开始同步。点击“Synchronization Schedule”按钮,打开定时同步界⾯,⽤户可以选择在适当的时间开始同步过程。
同步完成以后,如果⽤户在配置过程中选择了“Automatically approve new versions of previously approved updates”那么新的补丁程序⽴刻可以发布了,否则⽤户要点击主界⾯左侧“Approve updates”打开补丁发布界⾯(见图四)。
所有已经下载回来的补丁程序都会列在这⾥,每个补丁的右侧会显⽰该补丁的状态,如果是“Approved”则表⽰该补丁已经经过了测试,并批准发布出去;如果⼀个补丁的状态是“Not Approved”那么就需要测试安装这些补丁程序,如果⼀切正常,那么就选中这个补丁程序名称前⾯的复选框,最后点击右下⾓的“Approve”按钮完成发布过程。
这样就基本完成SUS服务器配置。
客户端程序配置简介。
如果你的⽹络规模⽐较⼤,使⽤了活动⽬录管理,那么设置会更加⽅便。
在域控制器上的运⾏中输⼊“dsa.msc”并回车,打开Active Directory⽤户和计算机设置窗⼝,在要域上点击⿏标右键,选择“属性”,然后在属性窗⼝中打开“组策略”选项卡,并点击“新建”按钮,给新建的策略命名。选中新建的组策略,点击“编辑”按钮,接着会弹出⼀个组策略设置窗⼝,这跟我们平常运⾏gpedit.msc打开的窗⼝很类似,不过这⾥可以为整个域中的所有计算机设置组策略。这个窗⼝中依次展
开“计算机配置”-“管理模板”-“Windows 组件”-“Windows Update”,然后通过设置这⾥的策略就可以给所有登⼊域的计算机设置SUS客户端的配置参数。
经过上述的⼀些设置那么整个企业⽹的补丁管理就⽐较⽅便和容易了。
下⾯是配置过程中⼀些需要注意的问题。
SUS只能提供Windows操作系统的关键更新和Service Pack,驱动程序和其他更新都是不包括在内的。⽽微软的其他产品,例如Office、Exchange等的升级也不包括。电工上岗证
安装SUS服务器后⽤户其他的IIS应⽤可能会受到影响,因此最好使⽤⼀台独⽴的服务器。
客户端⼀定要打开BITS服务,否则客户端⽆法下载补丁包。
2.使⽤第三⽅软件
SUS只能提供Windows操作系统的关键更新和Service Pack,驱动程序和其他更新都是不包括在内的。⽽微软的其他产品,例
如Office、Exchange等的升级也不包括。因此我们也可以使⽤⼀些第三⽅软件完成系统补丁管理功能。
第三⽅软件主要包括在客户端安装代理和不安装代理两种⽅式。
安装代理⽅式主要有如下⼀些⼚商提供BigFix's Enterprise Suite,PatchLink's Update和UpdateExpert,感兴趣的⽤户可以⾃⼰下载试⽤版测试使⽤。
下⾯主要介绍⼀下不需要安装代理⽅式的补丁升级管理程序。
1.Service Pack Manager 2000
主界⾯主要包括:OS Status、OS Info、Product Status、Product Info、Hotfix Profiler、EventLog和Configuration Options七个部分。
在OS Status中⽤户可以选择⽹络中的节点,然后点击NetQuery查询该节点的补丁安装情况。查询的前提是⽤户⽤户给节点的相应的权限。
查询扫描完成以后会在右下脚的窗⼝中列出可⽤的安装补丁。⽤户可以选择安装。
在OS Info中列出了各种不同版本的系统的补丁列表。
在Product Status和Product Info中列出了⽤户定义的个别产品的补丁安装情况和补丁列表。
谢婷婷女儿生父总的来说该款⼯具还是⽐较简单易⽤的,能够满⾜不同⽤户的需求。
2.HfNetChk Pro
在左边的功能列表中“Scan What”可以选择需要扫描的机器,“Scan Now”启动扫描过程,把滚动条拉到最下边可以看到Patch Information,选择不同类型的产品可以查看该产品的补丁列表。我不怕谁嘲笑我极端
除了以上的⼀些功能以外,该⼯具还包括补丁的下载,分发,系统的测试等功能。具体的功能还需要⽤户⾃⼰去尝试。
除了以上两种软件以外还有⼀些免费的⼯具⽐如windows提供的“Microsoft Baseline Security Analyzer”或者“HfNetChk”都可以从微软的⽹站下载,也可以完成系统补丁的检测和管理,只是功能相对⽐较简单。
以上内容介绍⽐较简单,只起⼀个抛砖引⽟的作⽤,具体内容⼤家可以下载试⽤。