目前,微软提供了Windows Update站点和自动更新服务组件,通过互联网,Windows、Office、SQL、 Exchange等微软产品均可以及时获得补丁。但对于通过专线相互连接的内联网,出于安全方面的需要,可能会与互联网进行严格的物理隔离,将无法直接获得Windows Update提供的补丁。
由于内联网防御体系的缺陷,在互联网流窜的病毒仍然会侵入其中。而基于漏洞进行感染的病毒传播速度极快,所以,如果内联网没有一个有效的补丁管理措施,即使部署了防病毒产品,由于病毒定义库更新的滞后性,也无法阻止病毒在内联网的大规模爆发。
以金融系统为例,内联网中可能有数万台机器,通过手工方式来发布安全补丁很难保证内联网的安全性,因此,需要部署补丁更新服务器才能保证客户端在第一时间获得安全补丁。BigFix、Marimba、微软在内的众多软件厂商都提供了功能丰富的补丁管理工具。尤其是微软,针对自家产品推出了付费的SMS和免费的SUS两套补丁更新解决方案。
付费的补丁管理工具不但费用昂费,部署还需要很多时间,还要求具有一定的专业知识。而微软的SUS是免费的,容易部署,使用起来也非常简单。
说明:SUS(Software Update Services)目前版本为1.0 SP1,可以在微软站点免费获得。它能为Windows 2000/XP/2003平台的客户端提供关键和安全更新,还支持Service Pack的发布。但SUS 1.0 SP1不能直接提供报告,网管员只能通过查看IIS日志或部署MBSA来获得客户端的补丁更新状况。
微软计划推出功能更强大的SUS 2.0未能如期兑现。
2004年秋季,微软推出了WUS(Windows Update Services)来代替SUS 2.0,最终又将它命名为WSUS (Windows Server Update Services)。
WSUS与SUS相比最大的改进是能够提供包括客户端补丁更新情况在内的许多详尽报告,同时还支持Office、SQL、Exchange等微软产品的补丁更新和分发。而且,补丁不再仅限于关键和安全更新,还包括非关键更新补丁、驱动程序更新。
本文将以WSUS为例,来介绍一下在内联网如何部署微软补丁更新服务器。
服务器群拓扑图解析
对于通过专线连接数百个局域网有着数万台计算机规模的内联网,考虑到服务器的承受能力及专线带宽的限制,应该部署多个服务器形成服务器群,才能保证第一时间为内联网所有客户端提供补丁更新,进而提升网络安全性能。
部署服务器群的拓扑图如图所示,呈金字塔型。
顶层至少需要部署三台WSUS服务器:第一台连接互联网,从微软网站下载补丁更新;第二台连接内联网,用于补丁测试;第三台连接内联网,为下级WSUS服务器提供补丁更新源,同时为本地局域网提供补丁更新服务。
中间层WSUS服务器从上级WSUS服务器获得补丁更新后为本地局域网提供补丁更新服务,同时成为下级WSUS服务器补丁更新源。每一个局域网部署WSUS的台数视客户端数量而定。如果局域网客户端数量少,也可多个局域网共享一台WSUS服务器。
基于成本考虑和带宽限制,一台WSUS的客户端容量为500~1500台是较为合理的。
WSUS服务器的部署
WSUS支持多种语言,其中包括简体中文,可以从微软网站免费获得RC版,链接地址: http://www.microsoft.com/wsus。WSUS支持RC版向正式版本的平滑升级。
WSUS对硬件要求不高,入门级的万元服务器就能胜任。客户端容量为500~1500台的WSUS服务器推荐CPU速度1GHz以上,内存1GB,硬盘容量30GB,千兆网卡。
WSUS必须部署在Windows 2000/2003 Server平台上,同时还需要数个组件或程序包支持。这些组件或程序包包括:IIS5.0+IIS Lockdown Tool或IIS6.0组件、BITS 2.0(Background intelligent Transfer Service)、Microsoft .NET Framework 1.1 Redistributable Package或仅SP1、IE 6.0 SP1、WMSDE/MSDE或SQL Server 2000 SP3a等。除了SQL Server 2000是独立产品需要另外购买外,其余的均可在微软网站免费下载。
WSUS通过创建数据库SUSDB来存储补丁及补丁的相关信息,由于补丁占用空间巨大,建议使用SQL Server 2000,以保证性能。
WSUS通过BITS(后台智能传输服务)来分发补丁。BITS仅在网络有空闲时才在后台将补丁分发给客户端,为了保证客户端能更快获得补丁更新,应该将WSUS服务器接在骨干交换机上。
通过IE访问WSUS服务器IP下的wsusadmin,可进入WSUS服务器的管理界面(需要超级管理员权限)。
同步服务器
同步服务器是指新的更新从Microsoft Update或上游WSUS服务器下载到本地WSUS服务器上。可以手动同步或者设置每天自动同步的计划。
同步服务器之前应该对WSUS同步选项进行配置。配置的内容包括:指定需要更新的产品以及所需更新的类型、从何处获得更新信息,指定用于存储已下载文件的位置以及要下载的更新的语言等。配置的目的是让WSUS只下载符合需要的补丁。
基于带宽限制,我们一般只选择下载简体中文及英文的补丁包。同时让补丁包存储在本地服务器上,并指定下载快速安装文件,以便补丁文件从连接互联网的WSUS服务器上离线导入连接内联网的WSUS服务器上。
说明:内联网WSUS服务器群的同步分三个阶段:第一阶段,连接互联网的WSUS服务器从微软更新网站下载补丁更新;第二阶段,补丁文件从连接互联网的WSUS服务器导出,经过严格的病毒查杀,利用DVD光盘或其他移动存储设备导入到连在内联网作为补丁测试的WSUS服务器上;第三阶段,经过严格的补丁兼容性和安全性测试后,作为内联网顶层的WSUS服务器与补丁测试专用WSUS服务器处同步,获得补丁更新。而后,内联网下游的WSUS服务器再分别从其上游的WSUS服务器获得补丁更新。
同步服务器时间较长,可能达数天,应通过手动同步获得当前的所有补丁更新,之后再设置成计划同步,以获得微软新发布的补丁更新。
如果是在内联网第一次部署下游WSUS服务器,可以直接从顶层的WSUS服务器导出所有补丁更新及其相关信息,存储到DVD-ROM这样的大容量移动存储设备,再分发到各个分支机构。下游WSUS服务器就可直接将补丁导入,而不必从上游WSUS服务器下载大量补丁文件。完成部署后再计划同步从上游WSUS服务器获得新增的补丁更新。
补丁更新的安全性与兼容性测试
尽管微软在推出补丁之前已经经过严格的安全性与兼容性的测试,但仍然无法保证其补丁具有百分百的安全性与兼容性。未经严格测试便贸然给系统打上安全补丁,有可能造成无法预知的错误。特别对于在内联网使用的业务系统一般都是非通用的软件,微软不大可能针对这些软件进行兼容性测试。一旦有影响业务系统正常运行的补丁在内联网大面积发布,造成的损失是无法估量的。
为了进行补丁更新的安全性与兼容性测试,应该组建一个测试网络环境,对微软新发布的补丁更新进行测试。测试的主要内容就是查看补丁对业务系统的影响,是否存在与内联网使用的业务系统存在兼容性问题,特别对关键业务系统的测试尤为重要。
补丁更新的批准
补丁更新只有通过安装批准,WSUS服务器才会分发给客户端。
补丁更新有五种批准方式,即安装、仅检测、未许可、已拒绝和删除。
说明:如果未在自动批准选项里设定,新下载的补丁更新的批准状态都是“未许可”的,WSUS服务器不会让客户端知道有这些补丁更新。若将补丁更新批准为“仅检测”,WSUS服务器会让客户端检查自己是否需要这个补丁更新,并提供报告给管理员,但不会分发给客户端。只有补丁更新批准为“安装”,WSUS服务器才会将补丁更新分发客户端进行安装。过期的补丁更新可以被批准为“已拒绝”。补丁更新被批准为“删除”时,WSUS服务器会通知客户端卸掉这些补丁更新。
无论新下载的补丁更新是否被批准安装,下游WSUS服务器通过手动同步或计划同步都可以从上游的WSUS服务器获得新的补丁更新。因此,每一级的WSUS服务器管理员都应该根据补丁更新的安全性与兼容性测试的情况及WSUS服务器所服务客户端的情况,来决定新的补丁更新是否要批推安装。
客户端配置与分组
Windows 2000/XP/2003的自动更新组件(AU)默认的更新站点是微软的更新网站。客户端只有通过配置使更新组件指向内联网的WSUS服务器,才能够获得补丁更新。
事实上,WSUS服务器并不是主动向客户端分发补丁更新的,而是由客户端的更新组件使用http协议访问WSUS服务器的80端口获得补丁更新列表,然后更新组件检查客户端需要什么补丁更新,最后激活BITS,在后台通过访问WSUS服务器的80端口获得补丁更新。
注意:在客户端必须保证“Automatic Updates”与“Background Intelligent Transfer Service”服务已启动。如果WSUS服务器与客户端之间有防火墙或ACL,应该开放80端口。
WSUS支持Windows 2000 SP3、Windows XP SP1、Windows 2003以上版本的客户端进行自动更新,而Windows 2000 SP2以下、Windows XP等操作系统需要安装SUS客户端(WUAU22chs.msi)。
客户端第一次访问WSUS服务器,WSUS会先对客户端的自动更新组件进行更新,并在客户端安装Windows Installer 3.0。客户端的自动更新组件只有更新到新版本后,才能从WSUS服器务器获得包括操作系统、Office、SQL、Exchange等产品在内的补丁更新。
客户端的配置方法有组策略和更改注册表两种方法。在有域的环境下适合适用组策略进行配置。在没有域的环境下可以使用本地组策略或更改注册表进行配置。
组策略是对“计算机配置”→“管理模板”→“Windows组件”→“Windows Update”进行配置。如果没有“Windows Update”项,应添加WUAU.adm管理模板。
客户端的自动更新设置共有十二项,其中必须设置的有两项。即“配置自动更新”、“指定Intranet Microsoft更新服务位置”。
“配置自动更新”应设置为“已启用”,其他选项根据需要进行设置;“指定Intranet Microsoft更新服务位置”的“为检测更新设置Intranet更新服务”及“设置Intranet统计服务器”的两个选项均设为 “http://WSUS_Name”的形式。
说明:WSUS_Name为WSUS服务器的域名,如果客户端不支持DNS,可以直接使用WSUS服务器的IP地址。利用注册表进行配置,应添加“HKEY_LOCAL_里MACHINESoftware PoliciesMicrosoft面 WindowsWindowsUpdate”主键,新建“WUServer”、“WUStatusServer”两个字符串值,内容要一致,均为“http://WSUS_Name”形式,WSUS_Name为WSUS服务器的域名或IP地址;新建“AU”项,然后新建“NoAutoUpdate”dword值数据为0、“UseWUServer”dword值数据为1,其他dword值视情况而设,具体的 键值可查阅WSUS有关资料。
为了方便客户端修改注册表,可用本地组策略先对某一台客户端进行配置,再从这台客户端将自动更新配置信息导到一个注册表文件,其他客户端将这个注册表文件的信息导入即可完成自动更新的配置。
小提示:WSUS服务器本身也需要安全补丁更新,应配置成上游WSUS服务器的客户端或自身的客户端。
客户端分组
WSUS相对于SUS,最大功能改进是支持客户端分组,不同的计算机组可以实施不同的补丁更新方案。因此,可以用WSUS将运行相同的业务系统种类的客户端设为同一个计算机组,比如作为办公自动化运行的客户端设为一个组,运行金融统计业务的客户端设为一个组。然后,根据补丁更新的安全性与兼容性的测试情况,来决定微软新发布的安全更新可以分发给哪些计算机组。
小提示:WSUS默认的计算机组为“所有计算机”与“未指定的计算机”,可以根据需要创建新的计算机组。任何WSUS客户端都属于“所有计算机”组,而未被指定到哪个具体的计算机组都属于“未指定的计算机”组。
一个WSUS客户端指定给哪个组可以有两种方式,一是使用WSUS中的“移动计算机”任务,二是使用客户端的“组策略”或注册表设置。具体要使用哪个方式指定组需要在WSUS中进行设置。
利用WSUS提供的报告功能,可以查看各个计算机组客户端的更新状态。使用筛选视图,网管员可以一目了然地查看客户端的补丁更新状态,查看哪些补丁更新安装成功,哪些补丁更新安装失败,哪些补丁是客户端需要的,哪些补丁是客户端不需要的。
而且,WSUS还提供了更新的状态、同步结果及设置摘要等报告。网管员可以根据这些报告能做到心中有数,确保WSUS服务器部署成功。
文章转载地址:http://www.365master.com/kt_article_show.php?article_id=1971&categ_code=10041003
