您討厭修補(bǔ)嗎？我很討厭，修補(bǔ)向來是吃力不討好的工作，而且商業(yè)價(jià)值又很低，做起來更加無趣。當(dāng)然，唯一的商業(yè)價(jià)值就是知道您可能可以避免未來發(fā)生不可預(yù)期的大災(zāi)難。

一直以來，IT 產(chǎn)業(yè)都將修補(bǔ)視為一份苦差事。它是熬夜加班，打電話說「親愛的，抱歉，我趕不及回去吃晚餐了」的主要原因，修補(bǔ)及修補(bǔ)管理是我們避之唯恐不及的工作。

不過近來的修補(bǔ)管理已經(jīng)不再像以前那么煩人。不久前，我們需要使用龐大的試算表，連結(jié)每個(gè)修補(bǔ)程式與修補(bǔ)程式的「MS」號碼和「q」號碼，并配合它的Microsoft 重要性與企業(yè)的優(yōu)先順序，才能做好修補(bǔ)工作。而追蹤哪些修補(bǔ)程式要取代其他修補(bǔ)程式，每月則會(huì)耗掉至少半天的時(shí)間。

但隨著Windows Server Update Services (WSUS) 的推出，許多這些缺點(diǎn)都獲得改進(jìn)。這個(gè)簡單卻神奇的省時(shí)工具免除了修補(bǔ)工作所需的大部分人力。利用WSUS 加上一點(diǎn)指令碼，甚至可以指示它立即修補(bǔ)電腦，而無須等候下一次排程的周期(這個(gè)指令碼還在；想要復(fù)本的話，請瀏覽concentratedtech.com)。

WSUS 有一項(xiàng)限制，就是它的自動(dòng)化修補(bǔ)機(jī)制只有在您需要修補(bǔ)的伺服器或桌上型電腦處于開機(jī)狀態(tài)才能執(zhí)行。基于種種原因而必須關(guān)機(jī)的電腦會(huì)造成WSUS 的問題。此時(shí)就需要設(shè)定修補(bǔ)周期在隔日早上機(jī)器重新啟動(dòng)時(shí)立刻開始執(zhí)行，否則系統(tǒng)管理員就必須在前一天晚上另行找出機(jī)器并啟動(dòng)它。

到目前為止，我們都曉得WSUS 的這項(xiàng)限制沒啥大不了。如果使用者讓機(jī)器在夜晚修補(bǔ)周期的期間關(guān)機(jī)，隔日早上啟動(dòng)機(jī)器時(shí)便會(huì)看到好意的球形通知，修補(bǔ)程式便會(huì)開始安裝。即使在今日，伺服器通常還是會(huì)一直處于開機(jī)狀態(tài)。這表示伺服器一直在運(yùn)作，因此能夠從WSUS 修補(bǔ)多載接收指示。

改變配方

自從資料中心轉(zhuǎn)為虛擬化之后，這個(gè)輕松的靜態(tài)環(huán)境又再次發(fā)生變化。一旦虛擬化之后，我們的伺服器仍然可能保持持續(xù)開機(jī)的狀態(tài)。但是這些虛擬伺服器必須其來有自。對于我們大多數(shù)人來說，這個(gè)「有自」就是透過復(fù)制伺服器范本。

伺服器范本很棒，因?yàn)樗梢詭椭覀兛焖俳⑿碌乃欧?，然后用最省力的方法讓伺服器上線。此外還能確保每一部伺服器都是從相同的核心組態(tài)開始運(yùn)作。但伺服器范本也有黑暗面。雖然這些電腦在孕育新伺服器方面很稱職，但范本本身并不應(yīng)該賦予生命力。

伺服器范本是在某處的檔案共用上以VHD 檔案的形式存在。關(guān)閉時(shí)，此檔案實(shí)際上處于休眠狀態(tài)。它與大型的Word 檔案或Excel 試算表相差無幾。開啟時(shí)，休眠檔案變成完全運(yùn)作的伺服器，它可以處理正常的工作負(fù)載，也可以進(jìn)行現(xiàn)今惡意程式碼的邪惡工作或其他攻擊方式。

簡言之，如果這些休眠檔案未經(jīng)過修補(bǔ)，就可能成為全新的惡意程式碼發(fā)作的溫床，而原因只不過是它們被啟動(dòng)了。

開始緊張了嗎？很好，因?yàn)檫@就是 Microsoft Offline Virtual Machine Servicing Tool (目前提供 2.1 版) 的宗旨。這個(gè)免費(fèi)的解決方案加速器會(huì)安裝一組自動(dòng)功能，目的是讓原本為休眠狀態(tài)的虛擬機(jī)器(VM) 與WSUS 保持最新狀態(tài)。

為了掌握它的運(yùn)作方式，請參閱[圖1]。您可以看到裝載System Center Virtual Machine Manager (VMM) 的伺服器如何與其中一個(gè)程式庫共用、Hyper-V 主機(jī)，以及您的軟體更新管理伺服器互動(dòng)。此更新管理伺服器可以是WSUS 伺服器，或可用的System Center Configuration Manager (SCCM) 伺服器。無論使用何者，處理程序都差不多。

Offline VM Servicing Tool 使用所謂的「 服務(wù)工作」來管理在VMM 程式庫中為VM 部署更新的工作。這些服務(wù)工作基本上是由Windows 工作排程器在預(yù)定時(shí)間開始處理的工作。

當(dāng)服務(wù)工作準(zhǔn)備好啟動(dòng)時(shí)，它首先會(huì)從VM 的范本位置「喚醒」VM。喚醒作業(yè)牽涉到將VM 部署到Hyper-V 主機(jī)，并啟動(dòng)它。一旦啟動(dòng)VM 之后，VM 內(nèi)部設(shè)定的Windows Update Agent (WUA) 便會(huì)收到指示以開始軟體更新周期。

VM 的WUA 設(shè)定方式與您為所有電腦所使用的設(shè)定相同。您可以透過群組原則套用，或在VM 內(nèi)手動(dòng)設(shè)定。您必須設(shè)定所有的典型WSUS 設(shè)定，這個(gè)處理作業(yè)才能順利執(zhí)行，例如設(shè)定更新服務(wù)位置、所有WSUS 電腦群組，以及您的安全性原則所定義的其他特定特性。

成功更新VM 之后，服務(wù)工作便會(huì)關(guān)閉它，并傳回程式庫。這項(xiàng)自動(dòng)處理程序可確保您的VM (以及基礎(chǔ)結(jié)構(gòu)的其余部分) 都根據(jù)正確的修補(bǔ)程式進(jìn)行更新。 Offline VM Servicing Tool 不會(huì)加入自己的更新管理設(shè)定，反而是依賴您已經(jīng)為WSUS 或SCCM 建立的現(xiàn)有設(shè)定。

事實(shí)上，安裝Offline VM Servicing Tool 需要采取幾個(gè)步驟，如果您尚未讀過相關(guān)的解決方案加速器指南，可能不太清楚這些步驟。雖然已經(jīng)是2.1 版，但這個(gè)工具仍然像是早期發(fā)行的版本。安裝這個(gè)工具需要從Microsoft 網(wǎng)站進(jìn)行主控臺(tái)下載。執(zhí)行它則需要額外的步驟，就是將PSExec 二進(jìn)位檔案(psexec.exe 與pdh.dll 兩者都要) 下載和復(fù)制到工具的bin 資料夾，位置是C:\Program Files\Microsoft Offline Virtual Machine Servicing Tool\bin。另外還必須針對RemoteSigned 設(shè)定Windows PowerShell 執(zhí)行原則。

[圖 2] Offline VM Servicing Tool 主控臺(tái)。

安裝之后，它的主控臺(tái)(如[圖2] 所示) 實(shí)際上只會(huì)識(shí)別虛擬機(jī)器群組來決定到時(shí)候哪些機(jī)器要接受修補(bǔ)。它也會(huì)識(shí)別服務(wù)工作，這些服務(wù)工作中包含更新工作的特性。此外，服務(wù)工具只會(huì)配合您的VMM 程式庫內(nèi)含的VM 運(yùn)作。這意味著已經(jīng)部署到Hyper-V 主機(jī)的已關(guān)閉VM 將無法使用此工具。

它會(huì)用于實(shí)際上不是范本的VM，例如您準(zhǔn)備好在機(jī)器故障或需要額外伺服器時(shí)帶上線的熱備援VM。在此情況下，工具建議在熱備援伺服器上使用次要NIC 并部署到隔離網(wǎng)路。這么做可確保當(dāng)您只想要套用最新修補(bǔ)程式時(shí)，不會(huì)發(fā)生熱備援開始運(yùn)作的意外。

Microsoft Offline Virtual Machine Servicing Tool 可能并非滿足您所有離線修補(bǔ)需求的全方位解決方案，但是這個(gè)工具經(jīng)濟(jì)實(shí)惠而且功能單純，如果您只想讓某些休眠VM 維持最新狀態(tài)，它可以派上用場。考慮到手動(dòng)執(zhí)行更新作業(yè)的痛苦，再加上錯(cuò)失修補(bǔ)程式可能造成的影響，您就能了解密切掌握所有休眠中但具有潛在危險(xiǎn)的VM 有多么重要。

原文地址

本文來源：微軟TechNet中文站