利用WSUS架设补丁升级服务器
通过WSUS可以在局域网内建立一个自动更新服务器,让局域网内的计算机直接连接到这台自动更新服务器上下载补丁,这样不但大大缩短了更新补丁的时间,而且可以使没有连到INTERNET的计算机也可以随时安装最新的补丁,从而提高系统的安全性。
前言
随着Windows操作系统的复杂化和尺寸不断扩大,软件的漏洞也越来越多,这些漏洞使得病毒攻击和恶意入侵造成的安全事故也越来越频繁,为了解决软件漏洞尤其是安全漏洞造成的危害,软件开发商在发现漏洞后会及时公布相应的补丁程序。安装软件补丁是安全和解决小范围软件错误的有效途径。软件补丁是指一种插入程序能对运行的软件错误进行修改的软件编码。由于补丁管理具有及时性和持续性,对局域网范围内的所有计算机都及时打上补丁便成了一项繁琐的工作。通过WSUS可以在局域网内建立一个自动更新服务器,让局域网内的计算机直接连接到这台自动更新服务器上下载补丁,这样不但大大缩短了更新补丁的时间,而且可以使没有连到INTERNET的计算机也可以随时安装最新的补丁,从而提高系统的安全性。
1WSUS简介
WSUS(Windows Server Update Service)是微软公司的补丁管理软件SUS的升级版,2005年6月微软发布了SUS的最新2.0版,即WSUS。
WSUS与SUS相比增加了很多的新功能,包括可以对客户端进行分组管理,可以生成补丁升级的报告文档等,WSUS不但可以对Windows操作系统平台进行补丁升级,还提供了对Office,SQL,Exchange等企业级服务软件的补丁升级集中管理。最新发布的WSUS SP1还支持Windows Vista和最新的Microsoft Office。以下是WSUS的基本说明:
软件大小:124MB
软件语言:多国语言
软件平台:Win2000/2003 Server
软件授权:共享软件
下载地址:http://download.microsoft.com/download/9/3/3/933eaf5d-f2a2-4a03-8a87-e8f6e6d07e7f/WSUSSetup.exe
WSUS SP1下载地址:
http://download.microsoft.com/download/f/6/d/f6d9eb30-2612-47f7-b14a-41a47e8a9a8e/WSUS2-KB919004-x86.exe
2.部署自动更新服务
2.1安装WSUS
由于WSUS安装需要很多必备组件,如果在Win2000server上安装则需要单独安装这些组件,而这些组件都是默认安装在Windows2003上的,所以建议大家使用2003部署WSUS服务器。WSUS对服务器的配置要求不高,表1是安装WSUS的基本需求
表1.WSUS软硬件需求表
安装需求 |
500客户以下 |
500客户以上 |
处理器 |
PIII750MHz以上,推荐PIII1GHz及更高的处理器 |
PIII1GHz以上CPU,推荐P43G以上的CPU,或者双处理器(超过10000用户) |
操作系统 |
Windows 2003 标准版或企业版,Windows 2000 高级服务器版(SP4) |
Windows 2003 标准版或企业版,Windows 2000 高级服务器版(SP4) |
内存 |
512M内存,推荐1G以上内存 |
1G以上内存 |
软件 |
Microsoft.NET Framework1.1 SP1 Microsoft Background Intelligent Transfer Services(BITS)2.0 Microsoft Information Services(IIS)5.0 or later SQL Server 2000 SP4 (Windows 2003时为非必须) |
Win2003默认没有启用IIS服务,所以我们需要通过“控制面板->添加删除程序->添加删除Windows组件”,安装里面的“应用程序服务器”组件,安装的同时会把IIS添加到本地计算机。WSUS的安装步骤和安装普通软件一样,在出现选择安装路径的界面需要注意的是安装路径有6GB空间而且安装路径所在驱动器是NTFS格式的文件系统。
在网站设置窗口我们选择“使用现有IIS默认网站”即可,如果本地计算机还开启了其他站点服务,80端口被占用的话,选择下方的使用8530端口选项即可,不过实际中会造成使用的不方便。
2.2设置及管理WSUS
安装完毕后打开浏览器,使用http://localhost/wsusadmin访问WSUS的管理界面,也可以直接输入计算机名或IP地址访问,如果安装补丁升级服务器的计算机IP地址是192.168.20.64,可以输入http://192.168.20.64/wsusadmin来访问。第一次成功登录WSUS的界面后我们会在下方“待做事项列表”中看到“同步服务器,现在就开始”的显示信息。点该选项开始设置WSUS。
WSUS的主要设置工作是在选项设置页面中完成的,选项设置页面提供了同步选项、自动批准选项和计算机选项。在同步选项中可以配置同步的方式 、同步的产品及分类、同步使用的代理服务器及更新源和下载更新的语言;在自动批准选项中可以配置是否批准更新自动进行检测以及选择哪种更新自动进行检测、是否批准更新自动进行安装以及选择哪种更新自动进行安装、是否自动批准更新的修订以及是否自动批准WSUS更新;在计算机选项中可以选择对客户端计算机进行分组,对需要升级的客户机进行管理。以上选项中最重要的是同步选项,只有完成了同步选项中的各类设置,WSUS服务器才能正常向局域网内发布各类补丁。
2.2.1计划选项
同步选项中的计划选项可以选择同步的方式,设置为自动时,WSUS服务器会按照设定的时间从 Microsoft Update 或上游 Windows Server Update Services 服务器下载最新的更新补丁到本地WSUS服务器上。
2.2.2产品和分类选项
在产品和分类选项中可以选择想要进行同步更新的产品和更新分类,最新的WSUS包括了几乎所有的微软产品的更新,默认情况下同步所有支持自动更新的Windows产品(Windows 2000家族,Windows XP家族,Windows server 2003家族及数据中心版本)的安全更新和关键更新;更新分类则提供了补丁类别的详细设置,例如是否提供驱动程序的下载等。
2.2.3更新源选项
更新源选项是指WSUS服务器获取更新补丁的位置。可以选择Microsoft Update或另一台WSUS服务器,这取决于你的WSUS服务器部署方式。
2.2.4更新文件和语言选项
更新文件和语言选项可以设置更新文件下载的方式及此WSUS服务器进行同步时所下载的更新程序的语言类别。对于更新文件选项,如果选择了“在此服务器上本地存储更新文件”,更新文件将存储在WSUS服务器上,这节省了企业外部网络连接的带宽,因为客户端计算机直接从WSUS服务器获取更新;如果选择了“本地不存储更新;客户端从Microsoft Update 安装” 更新文件远程存储在Microsoft Update上。当WSUS服务器和Microsoft Update进行同步时,将只下载元数据;你可以通过WSUS控制台批准更新,安装时客户端计算机直接从Microsoft Update获取更新文件。这将启用WSUS服务器的延迟更新下载特性:WSUS服务器进行同步时只同步更新文件的元数据,当批准更新安装时才下载更新文件,这将大大的节省了WSUS服务器所使用的企业外部网络的带宽,建议总是使用这一配置。如果想使用快速安装文件特性,则勾选下载快速安装文件,这以多消耗WSUS服务器所使用的企业外部网络带宽为代价来节省企业内部网络中的客户端计算机从WSUS服务器下载更新所使用的网络带宽。
设置完以上选项,单击“立即同步”就可以让WSUS服务器从上游补丁服务器下载各类补丁和更新,各类补丁下载完后还需要对这些安全和关键更新在自动批准选项中进行复查和批准,WSUS就可以向局域网内的客户机自动发布各类补丁了。
2.3客户机配置
默认情况下客户机进行补丁更新都要到Windows Update站点,必须将它修改为更新服务器的地址,才能使该客户机在局域网内使用WSUS的补丁升级服务。
WSUS对升级补丁的客户机硬件没有太多要求,操作系统要求:Windows2000(SP3或更高)或WindowsXP(SP1、SP2)或Windows2003,如果您的操作系统不符合上面要求,请先下载相应的ServicePack补丁并安装。另外请务必保持系统的Background Intelligent Transfer Service和Automatic Updates服务处于非禁用状态。常规的客户端设置比较麻烦,需要在组策略(gpedit.msc)中更改设置,这里介绍一种相对简单的注册表修改法。从WSUS服务器本机注册表中导出[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate] 字段,另存为WSUS.reg注册表文本,范例如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]
"WUServer"="http://192.168.20.64"
"WUStatusServer"= http://192.168.20.64"
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]
"AutoInstallMinorUpdates"=dword:00000001
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:0000000a
"UseWUServer"=dword:00000001
将WSUS.reg文件通过内部WEB或EMAIL方式发布,客户机直接运行该文件即可完成客户端的配置。这台客户机便可以享受WSUS的补丁更新服务了,而且补丁下载、安装的整个过程都是自动的,无需人员的干预。
3注意事项
3.1服务器端
WSUS服务器不仅仅可以从Windows Update中获取更新程序,也可以从其他WSUS服务器中获取更新程序。当企业网络具有很大的规模时,一台WSUS服务器可能不能满足需求时就可以使用多台WSUS服务器组成链式结构,即一台WSUS服务器作为上游服务器,一台WSUS服务器作为下游服务器。链式的WSUS结构能满足企业网络中不同地域的需求或者企业网络规模扩大后的更新服务需求。
3.2客户端
如果公司内部使用的是域建立的网络,就不用对每个客户机进行组策略的设置,直接在域控制器上设置组策略即可。刚配置好的客户端会在30分钟或系统重启之后才会下载补丁,如果需要立即进行更新可以使用wuauclt.exe /detectnow命令立即启动更新服务。对于操作系统没有达到Windows 2000 SP3或Windows XP SP1的客户机,可以使用微软提供的WSUS客户端软件来完成补丁升级服务。
4总结
经过以上所述的部署,局域网内部计算机都可使用WSUS服务器来更新多个微软产品的补丁,网络中计算机打补丁将更方便和迅速,安全性也能得到很大的提高,在实际使用过程中,我们还可通过WSUS的分组设定功能将不同用户划分到不同的更新组,从而实现局域网内部计算机补丁下载的权限管理。