虽然高校机房建设中采取了多种措施对计算机硬软件进行保护, 例如硬盘保护卡、还原卡等, 这些措施对计算机的安全已经起到了重要的作用, 但却忽视了对操作系统的安全升级, 这些计算机更容易遭到木马或病毒的攻击, 所以定期更新操作系统补丁就显得十分必要。
本文主要介绍W S U S的安装, 服务器端、客户端配置方法以及在机房中的架构与实现。
WSUS全称是Windows Server Update Services, 即Windows自动更新服务。通过WSUS, 管理员可以快速、可靠地将操作系统、Office、Exchange以及SQL的最新关键更新加载到操作系统中。WSUS将自动完成下载工作并安装这些补丁, 修复Windows系统的安全漏洞, 保证计算机的安全。
网络中需要部署一台WSUS服务器从互联网连接到Microsoft Update来获取更新程序, 并分发给网络中的客户端计算机。当第一次进行同步时, WSUS会要求下载的所有更新程序。
WSUS服务器可以支持最大数目为15, 000个客户端计算机, 架设500台以下客户端的W S U S服务器的硬件需求是C P U主频最低要求1Ghz, 内存最低要求1GB。
WSUS的安装较为简单, 根据操作界面上的提示便可以完成安装, 但注意安装W S U S必须启动操作系统的B a c k g r o u n d Intelligent Transfer Service服务。
WSUS服务器负责给整个局域网的客户端计算机分发安全补丁, 因此WSUS服务器自身安全尤为重要。WSUS服务器应放置在网络防火墙之后并及时安装最新的补丁, 还应安装病毒防火墙。以下将根据作者的实践经验说明如何配置。
(1) 配置向导。
安装完W S U S、会自动弹出W S U S配置向导。对WSUS进行简单配置后, 将自动打开WSUS控制台。若没有自动打开, 可以通过“控制面板”—>“管理工具”—>“Windows Server Update Services”方式打开。第一次打开后WSUS服务器会进行与Microsoft Update的同步。
(2) 更新文件和语言配置。
WSUS下载的更新程序由以下两个部分构成: (1) 元数据, 提供有关更新的信息, 例如有关更新程序的属性信息; (2) 更新文件, 是指在计算机上安装更新所需的实际文件。
WSUS存储更新有两种方式: (1) 本地存储, 更新程序直接存储在W S U S服务器上。在节省外网带宽的情况下方便客户端计算机获取更新; (2) 远程存储, 将更新文件存储在Microsoft Update上, 适合于客户端计算机访问Windows Update速度较快的情况下。
此处选择“将更新文件本存储到此服务器上”;勾选“仅当审批更新后才能将更新文件下载到此服务器上”;语言选择“中文”。
(3) 产品和分类配置。
WSUS提供的产品除了Windows外, 还有Office、Exchange、SQL等产品的补丁和更新包。分类选项卡中可选择所需的更新分类。此处勾选“安全更新程序”、“定义更新”和“关键更新程序”。
(4) 同步计划配置。
在同步计划中, 可选择“手动同步”或者“自动同步”, 若自动同步, 则需设置“第一次同步”时间以及同步频率, 此处选择“自动同步”, 并设置第一次同步时间为0:00:00, 每天同步一次。
(5) 自动审批。
在批准配置中, 可以配置是否批准更新自动进行检测以及选择哪种更新自动进行检测、是否批准更新自动进行安装以及选择哪种更新自动进行安装、是否自动批准更新的修订以及是否自动批准WSUS更新。
WSUS配置完成后, 单击“立即同步”。WSUS服务器将从微软补丁服务器下载各类补丁和更新。补丁和更新下载完成后, 还需要对这些安全和关键更新在“自动批准”选项中进行复查和批准, 这时可在“未经审批”列表中右击需审批的更新。将弹出审批更新对话框, 在此对话框中可将此更新分发至客户端计算机。客户端计算机便可以安装此更新了。
默认情况下, 客户端计算机都是通过微软官方的Update服务器下载补丁的, 因此需要将它们的Update服务器手动修改为WSUS服务器。配置过程如下:
在“运行”栏中输入“gpedit.msc”启动组策略。依次点击“本地计算机策略—>计算机配置—>管理模板”, 右键点击“管理模板”, 选择“添加/删除模板”。通过“添加”按钮将Wuau模板加入到“当前策略模板”中, 添加这个模板后才能对Update站点信息进行修改。接着依次进入“本地计算机策略—>计算机配置—>管理模板—>Windows组件—>Windows Update”, 双击“配置自动更新”, 选择自动更新补丁的类型, 可以是手动更新也可以是自动更新。
在“WindowsUpdate”中双击“指定Intranet Microsoft更新服务位置”, 将建立的WSUS服务器地址添加进来。进入命令行模式, 输入“wuauclt.exe/detectnow”命令启动更新, 客户机会立刻连接WSUS服务器下载并安装补丁。在组策略的“配置自动更新”中设定自动更新让客户端定时到WSUS服务器下载补丁。补丁的安装过程是后台进行的, 可以通过服务器上的管理界面来进行查看。
至此, WSUS的配置工作就完成了。
操作系统的安全是所有软件安全的基础, 对操作系统的保护直接关系到所有运行其上的软件以及数据的安全。经过上述的相关部署配置后, 机房内的客户机均可以通过WSUS服务器进行操作系统的更新升级了, 进一步保护了计算机使用的安全。
摘要:机房操作系统漏洞是安全的重大隐患。本文主要介绍了Windows自动更新服务以及其安装、服务器端配置、客户端配置。在节省时间和带宽的前提下保证机房局域网计算机操作系统的安全。
关键词:WSUS,同步,自动更新
[1] Susan Norwood.Microsoft WindowsServer Update Services 3.0入门循序渐进指南.2007, 4.
[2] 罗杰.WSUS服务客户端部署的相关问题[J].中国传媒科技, 2007, 8.
[3] 微软WSUS白皮书.2009, 1, 10.
推荐阅读:
沟通在内部控制中重要性的体现07-25
