如果不及時安裝操作系統(tǒng)的補丁，會帶來什么后果呢?沖擊波、震蕩波的厲害之處，想必大家都領(lǐng)教過了。因此及時更新操作系統(tǒng)的漏洞補丁，目前已成為提高系統(tǒng)安全性的主要手段。

然而，你會發(fā)現(xiàn)使用Windows自帶的Update下載補丁，速度比較慢。如果你所在的公司內(nèi)網(wǎng)中的員工計算機不能上網(wǎng)，你又該如何為大家打補丁呢?恐怕使用默認的Update是無法實現(xiàn)的吧。

現(xiàn)在，我們可以利用微軟提供的WSUS(Windows Server Update Services)建立一個內(nèi)部Update服務(wù)器，讓公司內(nèi)網(wǎng)中的計算機直接到這臺Update服務(wù)器上下載補丁，以縮短用戶打補丁的時間，及時提高計算機和網(wǎng)絡(luò)的安全性。沒有連接Internet的計算機只要在內(nèi)網(wǎng)中能順利訪問Update服務(wù)器，也可實現(xiàn)隨時打補丁，有效地防止漏洞型病毒在內(nèi)網(wǎng)傳播。

了解:走近WSUS

軟件全稱:Windows Server Update Services

軟件版本:2.0正式版

軟件平臺:Windows 2000/2003

下載地址:http://download.microsoft.com/download/9/3/3/933eaf5d-f2a2-4a03-8a87-e8f6e6d07e7f/WSUSSetup.exe

WSUS(Windows Server Update Services)是微軟公司繼SUS(Software Update Service)之后推出的替代SUS的產(chǎn)品，目前版本為2.0。使用過SUS的網(wǎng)管都知道，雖然可用它建立自動更新服務(wù)器，不過配置很麻煩，更新補丁的產(chǎn)品種類也較少，同時在實際使用中經(jīng)常會因為網(wǎng)絡(luò)帶寬擁堵而造成客戶機升級失敗。那么WSUS具有哪些特性呢?

●支持對更多微軟產(chǎn)品進行更新，除了Windows外，Office、Exchange、SQL等產(chǎn)品的補丁和更新包都可通過WSUS發(fā)布，而SUS只支持Windows系統(tǒng)。

●提供了中文操作界面，以前的SUS操作界面為英文，不便于操作。

●比SUS更好地利用了網(wǎng)絡(luò)帶寬。

●對客戶機的管理更強大，可針對不同客戶機分配不同的用戶組，并分配不同的下載規(guī)則。

●在設(shè)置和管理上比SUS更簡單直觀。

硬件要求:如果網(wǎng)絡(luò)中要升級的客戶端計算機少于500臺，那么架設(shè)WSUS服務(wù)器的硬件至少得是750MHz主頻的處理器以及512MB內(nèi)存，當然還需要充足的硬盤空間來保存更新程序的安裝文件。

實戰(zhàn):部署WSUS

筆者所在公司的網(wǎng)絡(luò)處于教育網(wǎng)之中，客戶機連接微軟官方的Update站點速度很慢，更新補丁的時間較長。為了提高公司網(wǎng)絡(luò)的安全，加快補丁更新速度，筆者打算選擇一臺服務(wù)器通過WSUS建立一個公司內(nèi)部的Update站點，讓所有員工計算機到這個Update站點更新補丁，服務(wù)器名稱為softer。

準備工作:由于軟件需要很多必備組件，如果在Windows 2000 Server上安裝WSUS則需要安裝這些組件，不過這些組件都是默認安裝在Windows 2003上的，所以筆者建議大家使用Windows 2003部署WSUS服務(wù)器，同時建議大家不要在該服務(wù)器上安裝其他Web網(wǎng)站。

1.安裝WSUS

安裝WSUS之前，先要保證WSUS必需的硬件條件，還要安裝相應(yīng)的組件，如IIS等。

在Windows 2003中沒有啟用IIS服務(wù)，所以我們需要安裝“應(yīng)用程序服務(wù)器”組件，并把IIS添加到本地計算機。下載WSUS并雙擊安裝程序，程序?qū)詣咏鈮嚎s。

現(xiàn)在，開始安裝WSUS，所有步驟和安裝普通軟件一樣。在出現(xiàn)選擇安裝路徑的界面時，需要注意的是，安裝空間必須要有6GB，而且所在驅(qū)動器必須是NTFS格式的文件系統(tǒng)。

如果大家的Windows 2003中沒有安裝SQL Server，那么該軟件還會在計算機上安裝SQL Server桌面版。

在網(wǎng)站選擇窗口，選擇“使用現(xiàn)有IIS默認網(wǎng)站”即可，如果本地計算機還開啟了其他站點服務(wù)。由于架設(shè)的是獨立的升級服務(wù)器而不是其他服務(wù)器的鏡像站點，所以在“鏡像更新設(shè)置”中不用進行選擇?，F(xiàn)在，開始在本地計算機上安裝WSUS。

2.設(shè)定補丁類型

由于微軟的產(chǎn)品很多，我們不可能對它的所有產(chǎn)品都進行更新，所以需要根據(jù)公司的實際情況對補丁的類型進行設(shè)置。

WSUS安裝完畢后，打開瀏覽器，使用地址http://localhost/wsusadmin訪問WSUS的管理界面，也可直接輸入計算機名或IP地址進行訪問，在這里筆者輸入http://softer/wsusadmin進行訪問。輸入Windows 2003系統(tǒng)的管理員賬戶和密碼即可成功登錄WSUS服務(wù)器。

第一次成功登錄WSUS的界面后，會在下方“待做事項列表”中看到“同步服務(wù)器，現(xiàn)在就開始”的提示信息(圖1)，點擊該選項開始設(shè)置WSUS。

 圖1

在同步選項設(shè)置界面，供我們設(shè)置的參數(shù)較多，由于篇幅有限這里不詳細講解了。平常用到最多的是“計劃”下的“手動同步”或“每天定時同步”，一般情況下設(shè)置為“每天定時同步”。另外還有“產(chǎn)品和分類”下方的設(shè)置，我們可以在產(chǎn)品處選擇可供更新的產(chǎn)品種類，除了Windows外，還有Office、Exchange、SQL等產(chǎn)品的補丁和更新包都可以通過WSUS發(fā)布。在“更新分類”處可以詳細設(shè)置提供下載的補丁類別(圖2)。

 
圖2

設(shè)置“產(chǎn)品和分類”與“更新分類”后，我們還要選擇更新的語言種類，在同步選項設(shè)置界面的最下方有一個“高級同步選項”，通過它我們可以設(shè)置更新的語言為簡體中文。

至此，便完成了補丁類型及語言的設(shè)定工作，所有的前期工作已告一段落，接下來就需要對服務(wù)器和客戶機進行具體操作了。

3.下載并審批補丁

我們?nèi)绾螌⑾鄳?yīng)補丁從微軟網(wǎng)站下載到服務(wù)器上供公司內(nèi)部計算機更新呢?這就需要下載并審批補丁。

在圖2所示界面的左側(cè)點擊“立即同步”將啟動服務(wù)器的同步功能，服務(wù)器將連接微軟官方Update服務(wù)器下載相應(yīng)補丁。補丁類型已經(jīng)在設(shè)定補丁操作中進行了選擇，服務(wù)器將只下載滿足設(shè)定條件的補丁，下載的補丁供客戶端使用。在下載過程中我們不能進行任何操作，只能點擊“停止同步”來結(jié)束更新操作。

大概等待2到3個小時就可完成補丁的更新，下載所用的時間是根據(jù)選擇的補丁數(shù)量決定的。由于公司內(nèi)網(wǎng)中的大部分計算機使用的都是Windows 2000操作系統(tǒng)，所以筆者只選擇了更新Windows 2000補丁包及驅(qū)動程序。

僅僅下載完更新包還不能提供補丁更新服務(wù)，我們還需要對剛剛下載的“安全和關(guān)鍵更新”進行復(fù)查和批準，經(jīng)過批準的補丁才能讓客戶端下載(實際上批準過程就是服務(wù)器對下載補丁進行檢查的過程)。在待做事項列表中點擊“復(fù)查安全和關(guān)鍵更新”。

在“更新”界面中可將所有補丁選中，選擇完畢點擊左側(cè)“更新任務(wù)”欄中的“更改批準”，這樣就會批準安裝剛才下載的所有補丁。如果你不希望客戶端下載某個補丁程序，則不選擇該補丁(圖3)。

 
圖3

點擊“更改批準”后會進入“批準更新”窗口，可在批準下拉選項中選擇“安裝”，然后點擊“確定”。現(xiàn)在，所有客戶端就可下載并安裝剛剛批準下載的補丁程序了，至此服務(wù)器上的所有設(shè)置完畢。

至此，服務(wù)器的設(shè)置操作就全部完成了，不過現(xiàn)在還要對客戶端進行相應(yīng)的設(shè)置，以使本來會使用Windows Update的客戶端能夠通過WSUS進行更新。

4.客戶端設(shè)置

默認情況下客戶機進行補丁更新都要到Windows Update站點，而我們希望將它修改為WSUS服務(wù)器的地址，因此還需要進行一些設(shè)置。

我們需要對每一個客戶端進行設(shè)置，當然設(shè)置一次即可，因為默認情況下，這些計算機都是通過微軟官方的Update服務(wù)器下載補丁的，我們需要將它們的Update服務(wù)器手動修改為剛剛建立的WSUS服務(wù)器。首先，在“運行”欄中輸入“gpedit.msc”啟動組策略。

提示:如果公司內(nèi)部使用的是域建立的網(wǎng)絡(luò)，那么直接在域控制器上設(shè)置組策略即可。

依次點擊“本地計算機策略→計算機配置→管理模板”，右鍵點擊“管理模板”，選擇“添加/刪除模板”。通過“添加”按鈕將wuau模板加入到“當前策略模板”中，添加這個模板后我們才能對Update站點信息進行修改。接著依次進入“本地計算機策略→計算機配置→管理模板→Windows組件→Windows Update”，雙擊“配置自動更新”，然后選擇自動更新補丁的類型，可以是手動更新也可以是自動更新。

接著在“Windows Update”中雙擊“指定Intranet Microsoft更新服務(wù)位置”，將剛剛建立的WSUS服務(wù)器地址添加進來。

最后，進入命令行模式，輸入“wuauclt.exe /detectnow”命令啟動更新，客戶機會立刻連接WSUS服務(wù)器下載并安裝補丁。在組策略的“配置自動更新”中設(shè)定自動更新讓客戶端定時到WSUS服務(wù)器下載補丁。

當客戶端啟動了更新設(shè)置后，我們就可以在服務(wù)器上通過管理界面看到這些客戶端。當然所有的補丁安裝過程都是在后臺進行的，我們在客戶端上是不容易察覺的，要想了解客戶端的補丁安裝情況，只有通過服務(wù)器上的管理界面來進行查看。

5.部署成功

經(jīng)過以上四個步驟，WSUS的設(shè)置工作就算完成了，現(xiàn)在公司內(nèi)部計算機都可使用配置好的WSUS服務(wù)器來更新多個微軟產(chǎn)品的補丁，下載速度比連接官方站點快得多。而且，在實際使用過程中，我們還可通過WSUS的分組設(shè)定功能將不同用戶劃分到不同的更新組，從而實現(xiàn)公司內(nèi)部計算機補丁下載的權(quán)限管理。

自從采用WSUS搭建企業(yè)內(nèi)部補丁更新平臺之后，筆者發(fā)現(xiàn)公司員工的上網(wǎng)速度提高了，員工抱怨病毒騷擾的情況減少了，看來這一措施有效地防范了病毒、木馬在公司內(nèi)網(wǎng)中的擴散，公司網(wǎng)絡(luò)變得更加安全和穩(wěn)定了。