盧 寧，左曉軍，陳 澤，洪 杰

(河北省電力研究院，石家莊 050021)

隨著國(guó)家電網(wǎng)公司信息化建設(shè)工作的不斷深入，公司日常生產(chǎn)經(jīng)營(yíng)工作對(duì)信息系統(tǒng)的依賴(lài)性越來(lái)越高，對(duì)信息系統(tǒng)的安全要求也越來(lái)越高。作為信息系統(tǒng)的終端節(jié)點(diǎn)，辦公計(jì)算機(jī)的信息安全成為信息安全體系中不可或缺的一環(huán)。為此，國(guó)家電網(wǎng)公司針對(duì)終端計(jì)算機(jī)的信息安全出臺(tái)了很多管理要求，其中包括對(duì)操作系統(tǒng)及時(shí)進(jìn)行補(bǔ)丁更新的要求。目前，河北省電力公司(簡(jiǎn)稱(chēng)“省公司”)部署的桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)，對(duì)終端計(jì)算機(jī)的系統(tǒng)補(bǔ)丁、桌面安全等內(nèi)容進(jìn)行管理，對(duì)提高桌面終端安全水平起到了顯著作用。為進(jìn)一步提高桌面終端安全運(yùn)行的穩(wěn)定性，減輕桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)下發(fā)補(bǔ)丁時(shí)負(fù)載過(guò)大對(duì)系統(tǒng)的影響，以下通過(guò)試驗(yàn)研究提出一種能夠與桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)并行的補(bǔ)丁分發(fā)方案，為桌面終端安全提供雙保險(xiǎn)，確保終端計(jì)算機(jī)能夠穩(wěn)定更新補(bǔ)丁。

1 補(bǔ)丁修復(fù)系統(tǒng)選型原則

a. 經(jīng)濟(jì)性。在選擇補(bǔ)丁修復(fù)系統(tǒng)時(shí)，盡量考慮省公司現(xiàn)有系統(tǒng)功能的挖掘，達(dá)到最好的投資效果。

b. 通用性。選擇補(bǔ)丁修復(fù)系統(tǒng)時(shí)，要充分考慮修復(fù)系統(tǒng)與桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)的兼容，使終端計(jì)算機(jī)補(bǔ)丁修復(fù)完成后，省公司統(tǒng)一部署的桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)能夠識(shí)別，提高桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)的補(bǔ)丁修復(fù)率。

c. 可管理性。采用的補(bǔ)丁修復(fù)系統(tǒng)，能夠提供統(tǒng)一的管理平臺(tái)進(jìn)行管理，便于運(yùn)維人員的管理和數(shù)據(jù)報(bào)表的統(tǒng)計(jì)。

基于以上原則，對(duì)WSUS(Windows Server Update Service)3.0和360安全衛(wèi)士企業(yè)版2種補(bǔ)丁修復(fù)系統(tǒng)進(jìn)行測(cè)試。

360安全衛(wèi)士企業(yè)版是奇虎360科技有限公司推出的企業(yè)級(jí)網(wǎng)絡(luò)安全產(chǎn)品。360安全衛(wèi)士企業(yè)版提供了終端計(jì)算機(jī)補(bǔ)丁更新的集中管理方式。通過(guò)研究，發(fā)現(xiàn)360安全衛(wèi)士企業(yè)版只能通過(guò)在線(xiàn)方式獲取微軟官方補(bǔ)丁，并沒(méi)有提供補(bǔ)丁導(dǎo)入導(dǎo)出或離線(xiàn)補(bǔ)丁包等功能，無(wú)法實(shí)現(xiàn)離線(xiàn)更新補(bǔ)丁。河北省電力公司信息內(nèi)網(wǎng)是與互聯(lián)網(wǎng)物理隔離的，因此360安全衛(wèi)士企業(yè)版無(wú)法滿(mǎn)足公司的需求。

WSUS同樣只能通過(guò)在線(xiàn)方式獲取微軟官方補(bǔ)丁，但是提供了補(bǔ)丁導(dǎo)入導(dǎo)出功能，因此可以實(shí)現(xiàn)離線(xiàn)更新補(bǔ)丁。

2 WSUS的功能及部署方式

WSUS是微軟公司面向其軟件產(chǎn)品免費(fèi)提供的軟件升級(jí)更新解決方案，支持微軟Windows所有系列操作系統(tǒng)、Office辦公套件、SQL Server等產(chǎn)品的補(bǔ)丁更新。WSUS 3.0除了繼承2.0版本的優(yōu)點(diǎn)之外，還增加了一些新的特性。

WSUS 3.0通過(guò)Microsoft管理控制臺(tái)進(jìn)行管理，與WSUS 2.0通過(guò)網(wǎng)頁(yè)進(jìn)行管理相比，操作更加方便和快捷。WSUS 3.0提供了各種形式的報(bào)告，可以從補(bǔ)丁、計(jì)算機(jī)等各個(gè)角度自動(dòng)生成統(tǒng)計(jì)分析報(bào)表，并能導(dǎo)出為PDF或Excel文件。WSUS 3.0提供了電子郵件通知功能，可以定時(shí)向指定郵箱中發(fā)送報(bào)告。WSUS 3.0還支持以下部署方式。

2.1 單獨(dú)部署

單獨(dú)部署方式是WSUS提供的最基本的部署方式，搭建1臺(tái)WSUS服務(wù)器從微軟官方在線(xiàn)獲取補(bǔ)丁，并為私有網(wǎng)絡(luò)中的所有計(jì)算機(jī)提供補(bǔ)丁更新服務(wù)。部署結(jié)構(gòu)如圖1所示。

圖1 單獨(dú)部署方式

2.2 級(jí)聯(lián)部署

對(duì)于層次結(jié)構(gòu)較多或終端計(jì)算機(jī)較多的網(wǎng)絡(luò)，WSUS還提供了級(jí)聯(lián)的部署方式，如圖2所示。首先，部署1臺(tái)上游服務(wù)器直接從微軟官方在線(xiàn)獲取補(bǔ)丁。然后，在網(wǎng)絡(luò)的分支節(jié)點(diǎn)上部署下游服務(wù)器。下游服務(wù)器從上游服務(wù)器在線(xiàn)獲取補(bǔ)丁。上游服務(wù)器和下游服務(wù)器均可以直接為終端計(jì)算機(jī)提供補(bǔ)丁更新服務(wù)。

圖2 級(jí)聯(lián)部署方式

級(jí)聯(lián)部署的優(yōu)點(diǎn)在于：

a. 只需要從外部網(wǎng)絡(luò)下載一次補(bǔ)丁，然后通過(guò)下游服務(wù)器分發(fā)到終端計(jì)算機(jī)?？梢詷O大的節(jié)省企業(yè)的網(wǎng)絡(luò)帶寬。

b. 每個(gè)終端計(jì)算機(jī)都可以從距離自己最近的WSUS服務(wù)器獲取補(bǔ)丁，減輕了內(nèi)部網(wǎng)絡(luò)的傳輸壓力。

c. 可以對(duì)每個(gè)WSUS服務(wù)器單獨(dú)設(shè)置更新策略，實(shí)現(xiàn)為不同的終端計(jì)算機(jī)群配置不同的補(bǔ)丁更新策略。

2.3 隔離部署

如果公司網(wǎng)絡(luò)中存在與互聯(lián)網(wǎng)隔離的網(wǎng)絡(luò)，可以通過(guò)圖3方式部署WSUS，以實(shí)現(xiàn)與互聯(lián)網(wǎng)隔離網(wǎng)絡(luò)中補(bǔ)丁的更新。首先，在能夠訪(fǎng)問(wèn)互聯(lián)網(wǎng)的網(wǎng)絡(luò)中部署1臺(tái)WSUS服務(wù)器，在線(xiàn)獲取微軟官方更新補(bǔ)丁。然后，在與互聯(lián)網(wǎng)隔離的網(wǎng)絡(luò)中部署1臺(tái)WSUS服務(wù)器。通過(guò)WSUS的導(dǎo)入導(dǎo)出工具，將WSUS的補(bǔ)丁庫(kù)從外部網(wǎng)絡(luò)服務(wù)器導(dǎo)入到內(nèi)部網(wǎng)絡(luò)服務(wù)器上，這樣就實(shí)現(xiàn)了與互聯(lián)網(wǎng)隔離網(wǎng)絡(luò)中WSUS服務(wù)器補(bǔ)丁的更新。

圖3 隔離部署方式

3 WSUS部署實(shí)例分析

3.1 隔離部署WSUS服務(wù)器

隔離部署的WSUS服務(wù)器與互聯(lián)網(wǎng)是物理隔離的，因此無(wú)法通過(guò)微軟官方在線(xiàn)獲取更新補(bǔ)丁。所以需要在能夠訪(fǎng)問(wèn)互聯(lián)網(wǎng)的網(wǎng)絡(luò)中單獨(dú)部署1個(gè)WSUS服務(wù)器，即外網(wǎng)WSUS服務(wù)器，用于獲取補(bǔ)丁更新。通過(guò)WSUS提供的導(dǎo)入導(dǎo)出功能可以將外網(wǎng)WSUS服務(wù)器上的補(bǔ)丁更新導(dǎo)入到隔離部署的服務(wù)器中。

3.1.1 導(dǎo)入導(dǎo)出補(bǔ)丁的方法

a. 將外網(wǎng)WSUS服務(wù)器中補(bǔ)丁存放目錄(WsusContent)下的所有補(bǔ)丁拷貝至內(nèi)網(wǎng)WSUS服務(wù)器相同目錄下。

b. 利用C∶Program FilesUpdate ServicesTools下的wsusutil.exe工具將WSUS的數(shù)據(jù)庫(kù)文件從外網(wǎng)WSUS服務(wù)器導(dǎo)出，并導(dǎo)入到內(nèi)網(wǎng)WSUS服務(wù)器。

導(dǎo)出命令為：wsusutil.exe export %導(dǎo)出目錄%wsus.cab %導(dǎo)出目錄%wsus.log

導(dǎo)入命令為：wsusutil.exe import %文件存放目錄%wsus.cab %文件存放目錄%wsus.log

導(dǎo)入導(dǎo)出具體操作如圖4所示。

圖4 服務(wù)器導(dǎo)入導(dǎo)出功能

通過(guò)導(dǎo)入導(dǎo)出功能實(shí)現(xiàn)了與互聯(lián)網(wǎng)隔離服務(wù)器補(bǔ)丁的更新，但是每次導(dǎo)入導(dǎo)出過(guò)程中，需要將全部的補(bǔ)丁程序復(fù)制一遍。Windows系列操作系統(tǒng)的補(bǔ)丁程序集約為十幾GB。隨著新補(bǔ)丁的不斷發(fā)放，補(bǔ)丁的數(shù)量還會(huì)增加，需要復(fù)制的文件會(huì)越來(lái)越多，每次導(dǎo)入導(dǎo)出所需要的時(shí)間也會(huì)越來(lái)越長(zhǎng)。

3.1.2 導(dǎo)入導(dǎo)出補(bǔ)丁的關(guān)鍵技術(shù)

通過(guò)將更新后WsusContent文件夾與更新前相比，發(fā)現(xiàn)WsusContent文件夾在補(bǔ)丁更新后只是新增了部分補(bǔ)丁文件，因此完全沒(méi)有必要每次都將整個(gè)文件夾復(fù)制一遍。為了更加方便和快捷的移植補(bǔ)丁，編寫(xiě)了如下腳本程序(copy.bat)，代碼如下：

echo off

if exist list.txt goto nofirst

dir /AD /B >list.txt

for /F %%i in (list.txt) do xcopy %%i %1\%%i /S /E

goto end

∶nofirst

for /F %%a in ('dir /AD /B') do (

if exist listtemp.txt del listtemp.txt

for /F %%b in ('findstr /C∶"%%a" list.txt') do (

echo %%b in txt>listtemp.txt

)

if exist listtemp.txt (

) else (

xcopy %%a %1\%%a /S /E

)

)

if exist listorg.txt del listorg.txt

ren list.txt listorg.txt

dir /AD /B >list.txt

∶end

將本腳本放到WsusContent目錄下，然后執(zhí)行命令copy.bat 要放置新補(bǔ)丁的目錄。腳本流程示意見(jiàn)圖5。

該腳本具體功能為，首先，檢測(cè)目錄下是否存在list.txt，如果不存在，則說(shuō)明本次是第1次導(dǎo)出。將所有補(bǔ)丁復(fù)制到指定目錄，并將補(bǔ)丁目錄放置在list.txt文件中。如果檢測(cè)到目錄下已經(jīng)存在list.txt，說(shuō)明之前已經(jīng)導(dǎo)出過(guò)，則將WsusContent目錄下的補(bǔ)丁文件與list.txt中的目錄進(jìn)行對(duì)比，將list.txt中不存在的補(bǔ)丁(也就是新增的補(bǔ)丁)復(fù)制到指定目錄，同時(shí)更新list.txt。

使用該腳本時(shí)，用戶(hù)無(wú)需關(guān)心之前是否導(dǎo)出過(guò)，腳本會(huì)通過(guò)一個(gè)索引文件自動(dòng)判斷哪些補(bǔ)丁是本次新增的，并自動(dòng)復(fù)制到指定目錄。通過(guò)該腳本，提高了WSUS在企業(yè)信息內(nèi)網(wǎng)部署時(shí)的實(shí)用性，降低了維護(hù)補(bǔ)丁庫(kù)的難度。

3.2 修改WSUS客戶(hù)端配置

為使終端計(jì)算機(jī)能夠從WSUS服務(wù)器獲取補(bǔ)丁更新，需要對(duì)WSUS客戶(hù)端進(jìn)行一定的配置。通過(guò)修改組策略或修改注冊(cè)表均能實(shí)現(xiàn)該配置。

3.2.1 修改組策略

“開(kāi)始-運(yùn)行-gpedit.msc”，進(jìn)入組策略，在“本地計(jì)算機(jī)策略-計(jì)算機(jī)配置-管理模板-windows組件-Windows Update”中；“配置自動(dòng)更新”修改為“已啟用”、“自動(dòng)下載并通知安裝”；“指定Intranet Microsoft更新服務(wù)位置”修改為“已啟用”；“為檢測(cè)更新設(shè)置Intranet更新服務(wù)”修改為“http://WSUS服務(wù)器IP地址:服務(wù)器指定的端口號(hào)(80或8530)；”“設(shè)置Intranet統(tǒng)計(jì)服務(wù)器”修改為“http://WSUS服務(wù)器IP地址:服務(wù)器指定的端口號(hào)(80或8530)”。

3.2.2 修改注冊(cè)表

在HKEY_LOCAL_MACHINE/SOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU下，NoAutoUpdate設(shè)置為“0”，表示啟動(dòng)自動(dòng)更新；AUOptions設(shè)置為“3”，表示自動(dòng)下載并通知安裝；ScheduledInstallDay設(shè)置為“0”，表示每天都檢測(cè)補(bǔ)丁；UseWUServer設(shè)置為“1”，表示使用自己部署的WSUS服務(wù)器，而不是通過(guò)微軟官方獲取補(bǔ)丁。

在HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate下，WUServer設(shè)置為“http://WSUS服務(wù)器IP地址:服務(wù)器指定的端口號(hào)(80或8530)”，指定WSUS服務(wù)器地址；WUStatusServer設(shè)置為“http://WSUS服務(wù)器IP地址:服務(wù)器指定的端口號(hào)(80或8530)”，指定WSUS統(tǒng)計(jì)服務(wù)器地址；ElevateNonAdmins設(shè)置為“1”，表示任何用戶(hù)都可以為計(jì)算機(jī)打補(bǔ)丁。

也可以將上述配置制作成批處理文件，實(shí)現(xiàn)客戶(hù)端的快速配置。批處理文件的內(nèi)容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]

"NoAutoUpdate"=dword∶00000000

"AUOptions"=dword∶00000003

"ScheduledInstallDay"= dword∶00000000

"UseWUServer"=dword∶00000001

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]

"WUServer"= http://WSUS服務(wù)器IP地址:服務(wù)器指定的端口號(hào)(80或8530)

"WUStatusServer"= http://WSUS服務(wù)器IP地址:服務(wù)器指定的端口號(hào)(80或8530)

"ElevateNonAdmins"=dword∶00000001

4 結(jié)束語(yǔ)

通過(guò)對(duì)360安全衛(wèi)士企業(yè)版和WSUS的研究，得出一種能夠與公司桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)并行，適合電力企業(yè)信息內(nèi)網(wǎng)補(bǔ)丁更新的解決方案。具體方案為在省公司本部信息內(nèi)網(wǎng)和信息外網(wǎng)各部署1套WSUS，通過(guò)信息外網(wǎng)WSUS在線(xiàn)獲取微軟官司方補(bǔ)丁，然后通過(guò)導(dǎo)出工具將補(bǔ)丁庫(kù)導(dǎo)出，再導(dǎo)入到信息內(nèi)網(wǎng)WSUS中。每個(gè)基層單位信息內(nèi)網(wǎng)部署1套WSUS，與省公司本部信息內(nèi)網(wǎng)WSUS進(jìn)行級(jí)聯(lián)，在線(xiàn)獲取補(bǔ)丁。該方案不僅適用于電力企業(yè)，對(duì)于任何與互聯(lián)網(wǎng)隔離的內(nèi)部網(wǎng)絡(luò)均可以通過(guò)本方案解決終端計(jì)算機(jī)補(bǔ)丁更新的問(wèn)題。同時(shí)，該方案還通過(guò)編寫(xiě)腳本實(shí)現(xiàn)WSUS補(bǔ)丁的增量導(dǎo)出，大大提高了離線(xiàn)更新補(bǔ)丁的效率，縮短的導(dǎo)入導(dǎo)出補(bǔ)丁文件的時(shí)間。