Windows 系統補丁管理原則

Windows 系統補丁管理原則

(注，這幾天我只是在整理我以前自己寫的一些東西，有的可能已經有點過時，希望不要見怪，不過還是有一定參考價值的） 

 

大部分對電腦比較熟悉的朋友都知道，通常安裝好Windows 作業系統後常做的一件事就是上Windows Update網站去給Windows 安裝補丁程式，否則各種漏洞對系統就是一個很大的威脅。不過遺憾的是很多人還沒有這樣的意識，疏忽了給系統打補丁。這也間接造成了病毒的橫行，比如前一段時間的“衝擊波”病毒，這個病毒就是利用了微軟軟體的RPC漏洞編寫和傳播的，但是在這些病毒廣泛流傳之前，相應軟體的補丁程式早就已經由微軟發布出來並提供了免費下載，只要使用者能經常性地訪問Windows Update網站打補丁，就不會感染這些病毒，可是很多人都疏忽了這一點。好在經過這次教訓，更多的人知道“打補丁”的重要性，可是問題又來了。

微軟的升級伺服器都架設在國外，有時候由於網路的原因造成了國內使用者串連伺服器的速度非常慢，這些時候光下載補丁就要一個多小時的時間，效率非常低。另一方面，對於有大量電腦的企業，每台電腦都串連到微軟的伺服器去下載大量的補丁程式，這對企業的網路頻寬也是一個不小的負擔，而且對安全要求比較高的企業，也不允許用戶端機器接入外網，那麼windows補丁管理完全需要網管員手工進行，這樣不但麻煩而且效率低下，從管理的角度來看不可控制的內容太多。

經過一段時間的研究，對解決這個問題找到了一些方法和手段，可以比較好的解決這個問題。

1．使用微軟提供的SUS服務

微軟的SUS（Software Update Service，軟體更新服務）服務可以在企業內部搭建一個類似微軟本身提供的Update伺服器的伺服器，目前的SUS的版本是1.0 SP1，到明年會提供SUS2.0版。

SUS分為服務端和用戶端。

服務端軟體主要用來和微軟的Update伺服器保持同步，並且完成向企業內部的用戶端進行補丁分發的功能。

用戶端主要用來從Update伺服器上查詢需要升級的的補丁，並完成相應的安裝過程。

 

服務端程式安裝簡介。

使用者可以到如下網址下載http://www.microsoft.com/downloads/details.aspx?FamilyId=A7AA96E4-6E41-4F54-972C-AE66A4E4BF6C&displaylang=en

 

安裝時，微軟推薦配置如下：

硬體：700MHz主頻以上的CPU，512MB以上記憶體，6GB以上的硬碟空間

軟體：Windows 2000 Server SP2 以上的作業系統，Windows Server 2003，IIS 5以上版本，IE 5.5以上版本

SUS對硬體的要求比較高，但是微軟推薦的這種硬體設定可以同時為15000台電腦提供升級服務，因此如果你的網路沒有這麼大規模，硬體的條件可以適當放寬。另一方面，對於6GB的硬碟空間，這是用來儲存所有語種的補丁檔案的，如果你的網路中只有簡體中文版或者英文版作業系統的電腦，那你可以通過設定而不下載其他語種的補丁檔案，以節約硬碟空間。（不過本人實際使用過程中覺得6個G的硬碟還是比較小，光2個語種的補丁就佔用了1個G的空間，加上安裝作業系統的空間那就不好說了）

使用者可以直接雙擊安裝程式SUS10SP1.exe啟動安裝過程，需要注意的是，由於安全方面的原因，SUS伺服器的系統硬碟和儲存SUS補丁檔案的硬碟分區都必須是NTFS檔案系統。另外，如果你是在Windows 2000 Server作業系統上安裝SUS，安裝程式還會同時為你安裝IIS Lockdown Tool，這是一個提高IIS安全性的軟體。

安裝成功以後，使用者只要在本地或遠程在IE中鍵入http://伺服器名/susadmin，（如果是遠程，需要輸入相應的使用者名稱和密碼）就可以開啟SUS伺服器管理介面。（見圖一）

 

 

首先要對這個伺服器進行配置，在主介面左側的“Other Options”菜單下點擊的“Set Options”，接著可以開啟配置的介面（見圖二）。

 

一般情況下我們不需要修改什麼內容。其中有兩個內容需要注意：

1．“Select how you want to handle new versions of previously approved updates”。在該選項下我們可以設定 一個已經經過審核發布的補丁有了新版本後將採取什麼操作。如果你覺得新版本的補丁都可以不經過測試直接發布的話，就在這裡選擇“Automatically approve new versions of previously approved updates”； 否則就選中“Do not automatically approve new versions of approved updates. I will manually approve these updates later”，這樣如果 已有補丁程式有新版本發布，這些新版的程式不會被馬上發布出去，而等待管理員驗證，然後手工發布。

2．“Select where you want to store updates”。在該配置選項下你可以設定儲存補丁程式的方式。你可以簡單的選擇“Maintain the updates on a Microsoft Windows Update server”，這樣SUS伺服器的補丁下載就會跟微軟的伺服器保持完全同步，通常建議選擇“Save the updates to a local folder”，並且僅選擇你需要的補丁語種，這樣會減少額外的下載。

 

 

伺服器配置完成以後，需要進行伺服器同步。點擊主介面左側“Synchronize server”，開啟同步介面（見圖三）

 

點擊“Synchronize Now”按鈕，馬上開始同步。點擊“Synchronization Schedule”按鈕，開啟定時同步介面，使用者可以選擇在適當的時間開始同步過程。

同步完成以後，如果使用者在配置過程中選擇了“Automatically approve new versions of previously approved updates”那麼新的補丁程式立刻發行就緒了，否則使用者要點擊主介面左側“Approve updates”開啟補丁發布介面（見圖四）。

 

所有已經下載回來的補丁程式都會列在這裡，每個補丁的右側會顯示該補丁的狀態，如果是“Approved”則表示該補丁已經經過了測試，並批准發布出去；如果一個補丁的狀態是“Not Approved”那麼就需要測試安裝這些補丁程式，如果一切正常，那麼就選中這個補丁程式名稱前面的複選框，最後點擊右下角的“Approve”按鈕完成發布過程。

 

這樣就基本完成SUS伺服器配置。

 

用戶端程式配置簡介。

Windows 2000 SP2和Windows XP，首先還需要安裝一個SUS的用戶端程式，使用者可以到如下網址下載（http://download.microsoft.com/download/win2000platform/Update/June2002/NT5/CN/WUAU22CHS.msi）；對於Windows 2000 SP3及以上版本，Windows XP SP1 及以上版本和Windows Server 2003，都不需要安裝用戶端，直接就可以在組策略中進行設定。

在用戶端的“運行”中輸入“gpedit.msc”開啟組策略編輯器，並依次展開“電腦配置”-“系統管理範本”，然後在“系統管理範本”上點擊滑鼠右鍵，選擇“添加/刪除模版”，然後在點擊“添加”按鈕，並找到%windir%"inf目錄下的wuau.adm檔案，雙擊添加。接著繼續開啟“Windows組件”-“Windows Update”（這一項只有在安裝了用戶端軟體並添加後才會出現），在視窗右側就會顯示出兩條可用的策略。其中“配置自動更新”可以讓你設定進行更新的時間和處理方法，“指定企業內部互連網…”則用來指定伺服器的位置，你可以以“http://伺服器名稱”或者“http://伺服器IP”的方式輸入。

如果你的網路規模比較大，使用了活動目錄管理，那麼設定會更加方便。

在網域控制站上的運行中輸入“dsa.msc”並斷行符號，開啟Active Directory使用者和電腦設定視窗，在要域上點擊滑鼠右鍵，選擇“屬性”，然後在屬性視窗中開啟“組策略”選項卡，並點擊“建立”按鈕，給建立的策略命名。選中建立的組策略，點擊“編輯”按鈕，接著會彈出一個組原則設定視窗，這跟我們平常運行gpedit.msc開啟的視窗很類似，不過這裡可以為整個域中的所有電腦設定組策略。這個視窗中依次展開“電腦配置”-“系統管理範本”-“Windows 組件”-“Windows Update”，然後通過設定這裡的策略就可以給所有登入域的電腦設定SUS用戶端的配置參數。

經過上述的一些設定那麼整個企業網的補丁管理就比較方便和容易了。

下面是配置過程中一些需要注意的問題。

1．                 SUS只能提供Windows作業系統的重大更新和Service Pack，驅動程式和其他更新都是不包括在內的。而微軟的其他產品，例如Office、Exchange等的升級也不包括。

2．                 安裝SUS伺服器後使用者其他的IIS應用可能會受到影響，因此最好使用一台獨立的伺服器。

3．                 用戶端一定要開啟BITS服務，否則用戶端無法下載補丁包。

4．                 用戶端使用者可以到如下網址（http://ftp.nextwish.org/utils/nwsusutil.zip）下載一個工具，解壓後在控制台視窗直接執行“nwsusutil SUS伺服器名”可以直接完成組策略修改，同時可以即時啟動自動更新過程。

 

 

 

2．使用第三方軟體

SUS只能提供Windows作業系統的重大更新和Service Pack，驅動程式和其他更新都是不包括在內的。而微軟的其他產品，例如Office、Exchange等的升級也不包括。因此我們也可以使用一些第三方軟體完成系統補丁管理功能。

第三方軟體主要包括在用戶端安裝代理和不安裝代理兩種方式。

安裝代理方式主要有如下一些廠商提供BigFix's Enterprise Suite，PatchLink's Update和UpdateExpert，感興趣的使用者可以自己下載試用版測試使用。

下面主要介紹一下不需要安裝代理方式的補丁升級管理程式。

1．Service Pack Manager 2000

使用者可以到如下網址下載使用版（http://www.securitybastion.com/），使用版可以使用7天。下載完成以後直接安裝，安裝完成後雙擊案頭“Service Pack Manager 2000”捷徑開啟Service Pack Manager 2000主介面（見圖五）。

 

主介面主要包括：OS Status、OS Info、Product Status、Product Info、Hotfix Profiler、EventLog和Configuration Options七個部分。

在OS Status中使用者可以選擇網路中的節點，然後點擊NetQuery查詢該節點的補丁安裝情況。查詢的前提是使用者使用者給節點的相應的許可權。

查詢掃描完成以後會在右下腳的視窗中列出可用的安裝補丁。使用者可以選擇安裝。

在OS Info中列出了各種不同版本的系統的補丁列表。

在Product Status和Product Info中列出了使用者定義的個別產品的補丁安裝情況和補丁列表。

總的來說該款工具還是比較簡單易用的，能夠滿足不同使用者的需求。

2．HfNetChk Pro

使用者可以到如下網址下載使用版（http://www.securitybastion.com/），使用版可以使用30天。下載完成以後直接安裝，安裝要求比較多可以參考安裝提示。完成後雙擊案頭“HFNetChkPro4”捷徑開啟HFNetChkPro4主介面（見圖六）。

 

在左邊的功能列表中“Scan What”可以選擇需要掃描的機器，“Scan Now”啟動掃描過程，把捲軸拉到最下邊可以看到Patch Information，選擇不同類型的產品可以查看該產品的補丁列表。

除了以上的一些功能以外，該工具還包括補丁的下載，分發，系統的測試等功能。具體的功能還需要使用者自己去嘗試。

除了以上兩種軟體以外還有一些免費的工具比如windows提供的“Microsoft Baseline Security Analyzer”或者“HfNetChk”都可以從微軟的網站下載，也可以完成系統補丁的檢測和管理，只是功能相對比較簡單。

以上內容介紹比較簡單，只起一個拋磚引玉的作用，具體內容大家可以下載試用。