Windows 系统补丁管理策略

Windows 系统补丁管理策略

(注,这几天我只是在整理我以前自己写的一些东西,有的可能已经有点过时,希望不要见怪,不过还是有一定参考价值的) 

 

大部分对计算机比较熟悉的朋友都知道,通常安装好Windows 操作系统后常做的一件事就是上Windows Update网站去给Windows 安装补丁程序,否则各种漏洞对系统就是一个很大的威胁。不过遗憾的是很多人还没有这样的意识,疏忽了给系统打补丁。这也间接造成了病毒的横行,比如前一段时间的“冲击波”病毒,这个病毒就是利用了微软软件的RPC漏洞编写和传播的,但是在这些病毒广泛流传之前,相应软件的补丁程序早就已经由微软发布出来并提供了免费下载,只要用户能经常性地访问Windows Update网站打补丁,就不会感染这些病毒,可是很多人都疏忽了这一点。好在经过这次教训,更多的人知道“打补丁”的重要性,可是问题又来了。

微软的升级服务器都架设在国外,有时候由于网络的原因造成了国内用户连接服务器的速度非常慢,这些时候光下载补丁就要一个多小时的时间,效率非常低。另一方面,对于有大量电脑的企业,每台电脑都连接到微软的服务器去下载大量的补丁程序,这对企业的网络带宽也是一个不小的负担,而且对安全要求比较高的企业,也不允许客户端机器接入外网,那么windows补丁管理完全需要网管员手工进行,这样不但麻烦而且效率低下,从管理的角度来看不可控制的内容太多。

经过一段时间的研究,对解决这个问题找到了一些方法和手段,可以比较好的解决这个问题。

1.使用微软提供的SUS服务

微软的SUSSoftware Update Service,软件更新服务)服务可以在企业内部搭建一个类似微软本身提供的Update服务器的服务器,目前的SUS的版本是1.0 SP1,到明年会提供SUS2.0版。

SUS分为服务端和客户端。

服务端软件主要用来和微软的Update服务器保持同步,并且完成向企业内部的客户端进行补丁分发的功能。

客户端主要用来从Update服务器上查询需要升级的的补丁,并完成相应的安装过程。

 

服务端程序安装简介。

用户可以到如下网址下载http://www.microsoft.com/downloads/details.aspx?FamilyId=A7AA96E4-6E41-4F54-972C-AE66A4E4BF6C&displaylang=en

 

安装时,微软推荐配置如下:

硬件:700MHz主频以上的CPU512MB以上内存,6GB以上的硬盘空间

软件:Windows 2000 Server SP2 以上的操作系统,Windows Server 2003IIS 5以上版本,IE 5.5以上版本

SUS对硬件的要求比较高,但是微软推荐的这种硬件配置可以同时为15000台计算机提供升级服务,因此如果你的网络没有这么大规模,硬件的条件可以适当放宽。另一方面,对于6GB的硬盘空间,这是用来保存所有语种的补丁文件的,如果你的网络中只有简体中文版或者英文版操作系统的计算机,那你可以通过设置而不下载其他语种的补丁文件,以节约硬盘空间。(不过本人实际使用过程中觉得6G的硬盘还是比较小,光2个语种的补丁就占用了1G的空间,加上安装操作系统的空间那就不好说了)

用户可以直接双击安装程序SUS10SP1.exe启动安装过程,需要注意的是,由于安全方面的原因,SUS服务器的系统盘和保存SUS补丁文件的硬盘分区都必须是NTFS文件系统。另外,如果你是在Windows 2000 Server操作系统上安装SUS,安装程序还会同时为你安装IIS Lockdown Tool,这是一个提高IIS安全性的软件。

安装成功以后,用户只要在本地或远程在IE中键入http://服务器名/susadmin,(如果是远程,需要输入相应的用户名和密码)就可以打开SUS服务器管理界面。(见图一)

 

 

首先要对这个服务器进行配置,在主界面左侧的“Other Options”菜单下点击的“Set Options”,接着可以打开配置的界面(见图二)。

 

一般情况下我们不需要修改什么内容。其中有两个内容需要注意:

1.“Select how you want to handle new versions of previously approved updates”。在该选项下我们可以设置 一个已经经过审核发布的补丁有了新版本后将采取什么操作。如果你觉得新版本的补丁都可以不经过测试直接发布的话,就在这里选择“Automatically approve new versions of previously approved updates”; 否则就选中“Do not automatically approve new versions of approved updates. I will manually approve these updates later”,这样如果 已有补丁程序有新版本发布,这些新版的程序不会被马上发布出去,而等待管理员验证,然后手工发布。

2.“Select where you want to store updates”。在该配置选项下你可以设置保存补丁程序的方式。你可以简单的选择“Maintain the updates on a Microsoft Windows Update server”,这样SUS服务器的补丁下载就会跟微软的服务器保持完全同步,通常建议选择“Save the updates to a local folder”,并且仅选择你需要的补丁语种,这样会减少额外的下载。

 

 

服务器配置完成以后,需要进行服务器同步。点击主界面左侧“Synchronize server”,打开同步界面(见图三)

 

点击“Synchronize Now”按钮,马上开始同步。点击“Synchronization Schedule”按钮,打开定时同步界面,用户可以选择在适当的时间开始同步过程。

同步完成以后,如果用户在配置过程中选择了“Automatically approve new versions of previously approved updates”那么新的补丁程序立刻可以发布了,否则用户要点击主界面左侧“Approve updates”打开补丁发布界面(见图四)。

 

所有已经下载回来的补丁程序都会列在这里,每个补丁的右侧会显示该补丁的状态,如果是“Approved”则表示该补丁已经经过了测试,并批准发布出去;如果一个补丁的状态是“Not Approved”那么就需要测试安装这些补丁程序,如果一切正常,那么就选中这个补丁程序名称前面的复选框,最后点击右下角的“Approve”按钮完成发布过程。

 

这样就基本完成SUS服务器配置。

 

客户端程序配置简介。

Windows 2000 SP2Windows XP,首先还需要安装一个SUS的客户端程序,用户可以到如下网址下载(http://download.microsoft.com/download/win2000platform/Update/June2002/NT5/CN/WUAU22CHS.msi);对于Windows 2000 SP3及以上版本,Windows XP SP1 及以上版本和Windows Server 2003,都不需要安装客户端,直接就可以在组策略中进行设置。

在客户端的“运行”中输入“gpedit.msc”打开组策略编辑器,并依次展开“计算机配置”-“管理模板”,然后在“管理模板”上点击鼠标右键,选择“添加/删除模版”,然后在点击“添加”按钮,并找到%windir%"inf目录下的wuau.adm文件,双击添加。接着继续打开“Windows组件”-Windows Update”(这一项只有在安装了客户端软件并添加后才会出现),在窗口右侧就会显示出两条可用的策略。其中“配置自动更新”可以让你设置进行更新的时间和处理方法,“指定企业内部互联网…”则用来指定服务器的位置,你可以以“http://服务器名称”或者“http://服务器IP”的方式输入。

如果你的网络规模比较大,使用了活动目录管理,那么设置会更加方便。

在域控制器上的运行中输入“dsa.msc”并回车,打开Active Directory用户和计算机设置窗口,在要域上点击鼠标右键,选择“属性”,然后在属性窗口中打开“组策略”选项卡,并点击“新建”按钮,给新建的策略命名。选中新建的组策略,点击“编辑”按钮,接着会弹出一个组策略设置窗口,这跟我们平常运行gpedit.msc打开的窗口很类似,不过这里可以为整个域中的所有计算机设置组策略。这个窗口中依次展开“计算机配置”-“管理模板”-Windows 组件”-Windows Update”,然后通过设置这里的策略就可以给所有登入域的计算机设置SUS客户端的配置参数。

经过上述的一些设置那么整个企业网的补丁管理就比较方便和容易了。

下面是配置过程中一些需要注意的问题。

1.                 SUS只能提供Windows操作系统的关键更新和Service Pack,驱动程序和其他更新都是不包括在内的。而微软的其他产品,例如OfficeExchange等的升级也不包括。

2.                 安装SUS服务器后用户其他的IIS应用可能会受到影响,因此最好使用一台独立的服务器。

3.                 客户端一定要打开BITS服务,否则客户端无法下载补丁包。

4.                 客户端用户可以到如下网址(http://ftp.nextwish.org/utils/nwsusutil.zip)下载一个工具,解压后在控制台窗口直接执行“nwsusutil SUS服务器名”可以直接完成组策略修改,同时可以实时启动自动更新过程。

 

 

 

2.使用第三方软件

SUS只能提供Windows操作系统的关键更新和Service Pack,驱动程序和其他更新都是不包括在内的。而微软的其他产品,例如OfficeExchange等的升级也不包括。因此我们也可以使用一些第三方软件完成系统补丁管理功能。

第三方软件主要包括在客户端安装代理和不安装代理两种方式。

安装代理方式主要有如下一些厂商提供BigFix's Enterprise SuitePatchLink's UpdateUpdateExpert,感兴趣的用户可以自己下载试用版测试使用。

下面主要介绍一下不需要安装代理方式的补丁升级管理程序。

1Service Pack Manager 2000

用户可以到如下网址下载使用版(http://www.securitybastion.com/),使用版可以使用7天。下载完成以后直接安装,安装完成后双击桌面“Service Pack Manager 2000”快捷方式打开Service Pack Manager 2000主界面(见图五)。

 

主界面主要包括:OS StatusOS InfoProduct StatusProduct InfoHotfix ProfilerEventLogConfiguration Options七个部分。

OS Status中用户可以选择网络中的节点,然后点击NetQuery查询该节点的补丁安装情况。查询的前提是用户用户给节点的相应的权限。

查询扫描完成以后会在右下脚的窗口中列出可用的安装补丁。用户可以选择安装。

OS Info中列出了各种不同版本的系统的补丁列表。

Product StatusProduct Info中列出了用户定义的个别产品的补丁安装情况和补丁列表。

总的来说该款工具还是比较简单易用的,能够满足不同用户的需求。

2HfNetChk Pro

用户可以到如下网址下载使用版(http://www.securitybastion.com/),使用版可以使用30天。下载完成以后直接安装,安装要求比较多可以参考安装提示。完成后双击桌面“HFNetChkPro4”快捷方式打开HFNetChkPro4主界面(见图六)。

 

在左边的功能列表中“Scan What”可以选择需要扫描的机器,“Scan Now”启动扫描过程,把滚动条拉到最下边可以看到Patch Information,选择不同类型的产品可以查看该产品的补丁列表。

除了以上的一些功能以外,该工具还包括补丁的下载,分发,系统的测试等功能。具体的功能还需要用户自己去尝试。

除了以上两种软件以外还有一些免费的工具比如windows提供的“Microsoft Baseline Security Analyzer”或者“HfNetChk”都可以从微软的网站下载,也可以完成系统补丁的检测和管理,只是功能相对比较简单。

以上内容介绍比较简单,只起一个抛砖引玉的作用,具体内容大家可以下载试用。

 

 

posted @ 2008-07-25 14:42  wishma  阅读(2686)  评论(2编辑  收藏  举报