劉景云

不管對(duì)于任何系統(tǒng)來說，都可能存在漏洞。因此，及時(shí)為系統(tǒng)打上各種補(bǔ)丁，不僅可以讓系統(tǒng)更加順暢地運(yùn)行，而且可以大大提高其安全性。例如前一陣子鬧騰的很厲害的勒索病毒，給全球的電腦用戶造成了巨大的損失。其實(shí)該病毒自身并沒有什么過人之處，實(shí)質(zhì)上是利用了某些系統(tǒng)漏洞，才可以興風(fēng)作浪的。問題的根源在于大家的安全意識(shí)比較薄弱，對(duì)于系統(tǒng)升級(jí)打補(bǔ)丁等操作不以為然，才給不法之徒以可乘之機(jī)。所以，及時(shí)為系統(tǒng)打上補(bǔ)丁，對(duì)于保證系統(tǒng)的安全是有百利而無一害的。這里就從單機(jī)、小型局域網(wǎng)、大型網(wǎng)絡(luò)等環(huán)境，來講述快速為系統(tǒng)打補(bǔ)丁的方法。

一、在單機(jī)上快速為系統(tǒng)打補(bǔ)丁

在單機(jī)上進(jìn)行在線升級(jí)時(shí)，有時(shí)會(huì)遇到各種問題，導(dǎo)致升級(jí)失敗。遇到這種情況，可以借助于WSUS Offline Update這款小工具，來快速為系統(tǒng)打上補(bǔ)丁。該軟件是一款綠色軟件，解壓后執(zhí)行其中的“UpdateGenerator.exe”程序，在其主界面（如圖1）中的“Windows”面板顯示其支持的所有系統(tǒng)，包括Windows7/8.1/2008R2/2012R2/2016等，可以根據(jù)實(shí)際情況選擇自己使用的系統(tǒng)。在“Options”欄中默認(rèn)支持補(bǔ)丁包校驗(yàn)，自動(dòng)下載服務(wù)包、C++運(yùn)行庫和.NetFrameworks框架組件等。選擇其他項(xiàng)目，還可以下載微軟提供的SecurityEssentials安全軟件以及WindowsDefender病毒庫等。

在“Office”和“Legacy products”面板中可以根據(jù)需要，下載〇ffice2010/2013/2016升級(jí)包以及語言包等對(duì)象。選擇好需要升級(jí)的組件后，點(diǎn)擊“Start”按鈕，會(huì)自動(dòng)連接到微軟升級(jí)服務(wù)器來下載補(bǔ)丁，注意，其實(shí)際上是使用命令行的方式進(jìn)行連接掃描和下載的。當(dāng)下載完畢后，在解壓目錄中打開“client”文件夾，在其中包含所有補(bǔ)丁包。執(zhí)行其中的“Updatelnstaller.exe”程序，在更新窗口（如圖2）中的“Installation”面板中顯示相關(guān)的設(shè)置項(xiàng)目，包括安裝C++運(yùn)行庫、微軟銀光組件、各版本的.Net框架、微軟安全軟件、升級(jí)遠(yuǎn)程桌面客戶端等。

在“Control”面板中顯示控制參數(shù)，包括校驗(yàn)安裝包、自動(dòng)重啟、更新完成后關(guān)閉主機(jī)、顯示日志文件等?？梢愿鶕?jù)實(shí)際情況進(jìn)行選擇，點(diǎn)擊“Start”按鈕，執(zhí)行補(bǔ)丁的安裝操作。與之對(duì)應(yīng)的是，在實(shí)際更新時(shí)依然會(huì)打開命令提示符窗口，并使用命令行執(zhí)行補(bǔ)丁安裝動(dòng)作。上述方法只能在可以正常上網(wǎng)的情況下進(jìn)行，對(duì)于內(nèi)網(wǎng)中無法上網(wǎng)的主機(jī)來說，可以采用變通的方法加以解決。例如，使用Dism++這款小工具，將更新補(bǔ)丁整合到系統(tǒng)安裝盤中。這樣，使用該安裝盤對(duì)無法上網(wǎng)的主機(jī)進(jìn)行系統(tǒng)重裝操作，就可以有效地解決問題。

在Dism++主界面（如圖3）中點(diǎn)擊菜單“文件→掛載鏡像”項(xiàng)，點(diǎn)擊第一個(gè)瀏覽按鈕，選擇系統(tǒng)安裝鏡像，例如“install.wim”文件等。點(diǎn)擊第二個(gè)瀏覽按鈕，將其掛載到指定的目錄。之后點(diǎn)擊“打開會(huì)話”按鈕，在Dism++主界面左側(cè)選擇“更新管理”項(xiàng)，點(diǎn)擊“刷新”按鈕，Disk++會(huì)聯(lián)機(jī)到微軟服務(wù)器，并掃描需要安裝的補(bǔ)丁文件，選擇所有的補(bǔ)丁項(xiàng)目，點(diǎn)擊菜單“文件→另存為鏡像”項(xiàng)，將更新包集成到加載的鏡像文件中。這樣，只需使用該鏡像文件，就可以為無法上網(wǎng)的主機(jī)安裝系統(tǒng)，并自動(dòng)為其打上補(bǔ)丁。

二、在小型局域網(wǎng)中快速打補(bǔ)丁

對(duì)于規(guī)模較小的公司，其網(wǎng)絡(luò)的規(guī)模也比較小。但是，采用逐臺(tái)單機(jī)進(jìn)行補(bǔ)丁更新的操作，又顯得效率較低。其實(shí)，使用上述WSUS Offline Update軟件，將下載的補(bǔ)丁包保存到某個(gè)共享目錄中，就可以實(shí)現(xiàn)簡單快速的升級(jí)操作了。當(dāng)然，因?yàn)椴煌姹镜南到y(tǒng)（例如32位和64位）使用的補(bǔ)丁包是不同的，可以根據(jù)實(shí)際需要分別下載和存儲(chǔ)類型不同的補(bǔ)丁包。

按照上述方法，在WSUS Offline Update中選擇并下載所需的補(bǔ)丁包，為了提高系統(tǒng)安全性，盡可能下載所有的補(bǔ)丁包。之后在局域網(wǎng)中創(chuàng)建一個(gè)共享目錄，在其屬性窗口中的“共享”面板中點(diǎn)擊“高級(jí)共享”按鈕，為該共享目錄設(shè)置名稱（例如“budingbao”），點(diǎn)擊“權(quán)限”按鈕，針對(duì)“Everyone”賬戶設(shè)置讀取權(quán)限。這樣，局域網(wǎng)中的所有用戶就都可以訪問該共享目錄。之后將WSUS Offline Update解壓目錄“client”文件夾中的所有內(nèi)容全部復(fù)制到該共享路徑中。這樣，局域網(wǎng)內(nèi)的所有用戶都可以打開該共享目錄，執(zhí)行其中的“Updatelnstallerexe”程序，來快速進(jìn)行補(bǔ)丁的升級(jí)操作了。

三、在大型網(wǎng)絡(luò)上快速打補(bǔ)丁

在大型的企業(yè)網(wǎng)絡(luò)中，上述升級(jí)操作都顯示很不適宜。這就需要使用系統(tǒng)提供的專業(yè)的Windows Server Update Services（簡稱WSUS）服務(wù)，來快速地大批量地高效升級(jí)系統(tǒng)。當(dāng)部署了WSUS服務(wù)器之后，通過配置相關(guān)的策略，只允許WSUS服務(wù)器從微軟網(wǎng)站下載更新包，內(nèi)網(wǎng)中的主機(jī)只能從該服務(wù)器下載和安裝更新包，不僅利于管理，而且可以節(jié)省網(wǎng)絡(luò)帶寬。使用WSUS服務(wù)有諸多優(yōu)點(diǎn)，例如可以實(shí)現(xiàn)集中和分布式管理，有效降低網(wǎng)絡(luò)帶寬的占用率，通過統(tǒng)一管理和下發(fā)補(bǔ)丁包，可以兼顧補(bǔ)丁更新的效率和安全性，將WSUS和AD組策略結(jié)合，無疑可以提高運(yùn)維的靈活性。

在Windows Server2012中，WSUS提供了一些新的功能，例如可以使用服務(wù)管理器進(jìn)行添加和刪除WSUS角色，允許通過PowerShell來管理WSUS中的一些重要任務(wù)，添加了SHA256哈希功能，提高了安全性，提供了客戶機(jī)和服務(wù)器之間的分離功能等。在安裝WSUS之前，建議禁用防病毒軟件，防止在WSUS安裝過程中鎖定文件。當(dāng)WSUS安裝之后，再啟動(dòng)防病毒軟件。為了避免無關(guān)干擾，需要將WSUS內(nèi)容文件夾，“%windir%＼wid＼data”“＼SoftwareDistribution＼Datastore”“＼SoftwareDistribution＼Downloaci”等相關(guān)文件夾排除在防病毒軟件監(jiān)控范圍外。endprint

WSUS部署分為簡單部署和多臺(tái)部署兩種方案，前者適用于規(guī)模較小的企業(yè)，內(nèi)網(wǎng)中的客戶端主機(jī)數(shù)量不多，使用一臺(tái)WSUS服務(wù)器即可滿足要求。

本例中在某臺(tái)Windows Server 2012中安裝WSUS角色，該機(jī)已經(jīng)加入到“xxx.com”的域中，假設(shè)其名稱為“wsusl.xxx.com”，IP為192.168.1.50。在服務(wù)管理器中點(diǎn)擊“添加角色和功能”項(xiàng)，在向?qū)Ы缑嬷械慕巧斜碇羞x擇“Windows Server更新服務(wù)”項(xiàng)，點(diǎn)擊下一步按鈕，在角色服務(wù)列表中選擇“WID數(shù)據(jù)庫”項(xiàng)，表示使用Windows內(nèi)部數(shù)據(jù)庫配合WSUS工作，這適用于規(guī)模不大的內(nèi)網(wǎng)環(huán)境。如果企業(yè)內(nèi)網(wǎng)規(guī)模很大或者希望配置后臺(tái)數(shù)據(jù)庫的高可用性，可以選擇“數(shù)據(jù)庫”項(xiàng)，在下一步的內(nèi)容位置選擇窗口（如圖4）中選擇“在以下位置中存儲(chǔ)更新”項(xiàng)，輸入本地合適的目錄路徑（例如“D：＼gengxin”），當(dāng)然，也可以指定網(wǎng)絡(luò)共享路徑。

如果選擇了“數(shù)據(jù)庫”項(xiàng)，在數(shù)據(jù)庫實(shí)例選擇窗口中輸入具體的實(shí)例名。點(diǎn)擊安裝按鈕，來安裝WSUS角色。當(dāng)安裝完畢后，點(diǎn)擊“啟動(dòng)安裝后的任務(wù)”鏈接，執(zhí)行所需的任務(wù)，該過程是系統(tǒng)自動(dòng)完成的。在服務(wù)管理器中點(diǎn)擊菜單“丁具→Windows Server更新服務(wù)”項(xiàng)，打開WSUS配置向?qū)Вㄈ鐖D5），在選擇上游服務(wù)器窗口中選擇“從Microsoft更新中進(jìn)行同步”項(xiàng)，如果采用了多級(jí)管理模式，可以選擇“從其他Windows Server Update Services服務(wù)器中進(jìn)行同步”，設(shè)置上游服務(wù)器的名稱和端口號(hào)。如果在內(nèi)網(wǎng)中部署了類似于ISA、foreFront TMG等防火墻服務(wù)器，需要在指定代理服務(wù)器窗口中選擇“在同步時(shí)使用代理服務(wù)器”項(xiàng)，設(shè)置TMG等主機(jī)的名稱和端口號(hào)（默認(rèn)80），選擇“使用用戶憑據(jù)連接到代理服務(wù)器”項(xiàng)，輸入用戶名、域名、密碼等參數(shù)。

在下一步窗口中點(diǎn)擊“開始連接”按鈕，從Microsoft Update中下載更新信息。之后在選擇語目窗口中選擇“僅下載以下語言的更新”項(xiàng)，在列表中默認(rèn)選擇了簡體中文和英語兩種語言，當(dāng)然，您可以根據(jù)需要選擇更多的語言更新項(xiàng)目。在下一步窗口選擇所需的補(bǔ)丁類型，可以看到，WSUS支持很多Windows產(chǎn)品類型。點(diǎn)擊下一步按鈕，在分類列表中選擇所需的更新類型，默認(rèn)選擇安全更新程序、定義更新、關(guān)鍵更新程序等。對(duì)于“Service Pack”類型來說，建議采用手工方式進(jìn)行更新。例如，可以將該類型的更新包下載到本地，在測(cè)試環(huán)境中對(duì)其進(jìn)行分析評(píng)估，之后根據(jù)其對(duì)系統(tǒng)的實(shí)際影響，決定是否安裝這類補(bǔ)丁。如果盲目直接安裝，有可能對(duì)生產(chǎn)環(huán)境造成不利影響。

在配置同步計(jì)劃窗口可以選擇手動(dòng)同步或者自動(dòng)同步，對(duì)于自動(dòng)同步來說，需要設(shè)置第一次同步的時(shí)間（建議設(shè)置到比較空閑的時(shí)段），每天同步的次數(shù)等。點(diǎn)擊下一步按鈕，選擇“開始初始同步”項(xiàng)，點(diǎn)擊“完成”按鈕，完成所需的配置操作。在自動(dòng)打開的更新服務(wù)控制臺(tái)左側(cè)選擇“更新服務(wù)→WSUS服務(wù)器名→同步”項(xiàng)，右側(cè)顯示所有的同步項(xiàng)目。在該節(jié)點(diǎn)的右鍵菜單上點(diǎn)擊“立即同步”項(xiàng)，可以按照預(yù)設(shè)的配置信息，立即執(zhí)行同步操作。當(dāng)同步完成后，在窗口底部顯示其詳細(xì)信息，包括啟動(dòng)時(shí)間、完成時(shí)間、結(jié)果、類型、錯(cuò)誤、更新的數(shù)量等。在左側(cè)選擇“WSUS服務(wù)器名→更新”項(xiàng)，可以查看更新統(tǒng)計(jì)信息。

在域環(huán)境，可以根據(jù)不同計(jì)算機(jī)組的要求，來配置對(duì)應(yīng)的WSUS自動(dòng)更新策略，實(shí)現(xiàn)靈活的管控操作。在DC域控制器上打開Active Directory用戶和計(jì)算機(jī)窗口，在左側(cè)選擇“xxx.com”域名項(xiàng)，在其右鍵菜單上點(diǎn)擊“新建→組織單元”項(xiàng)，創(chuàng)建所需的0U，例如“Sales”“Test”等。選擇“Computers”容器，在其中選擇對(duì)應(yīng)的主機(jī)，在其右鍵菜單上點(diǎn)擊“所有任務(wù)→移動(dòng)”項(xiàng)，將其移動(dòng)到上述新建的OU中。打開組策略管理器，在左側(cè)的“XXX.com→Ddault Domain Policy”項(xiàng)，在其右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在組策略編輯器左側(cè)選擇“計(jì)算機(jī)配置—策略—管理模版→Windows組件→Windows更新”項(xiàng)，在右側(cè)雙擊“指定Intranet Microsoft更新服務(wù)器位置”項(xiàng)，在彈出窗口（如圖6）中選擇“已啟用”項(xiàng)，在“選項(xiàng)”欄中輸入更新服務(wù)器以及統(tǒng)計(jì)服務(wù)器的網(wǎng)址，例如“http：//192.168.1.50：8530”。

雙擊“自動(dòng)更新檢測(cè)頻率”項(xiàng)，在彈出窗口中選擇“已啟用”項(xiàng)，在“選項(xiàng)”欄中設(shè)置檢測(cè)更新的周期，默認(rèn)為22小時(shí)。雙擊“允許自動(dòng)更新立即安裝”項(xiàng)，在彈出窗口中選擇“已啟用”項(xiàng)，可以自動(dòng)安裝那些既不中斷Windows服務(wù)，也無需重啟系統(tǒng)的更新包。雙擊“對(duì)于有已經(jīng)登錄用戶的計(jì)算機(jī)，計(jì)劃的自動(dòng)更新不執(zhí)行重新啟動(dòng)”項(xiàng)，在彈出窗口中選擇“已啟用”項(xiàng)，表示當(dāng)更新完畢后，不會(huì)強(qiáng)制重啟系統(tǒng)。雙擊“對(duì)計(jì)劃的安裝再次提示重新啟動(dòng)”項(xiàng)，在彈出窗口中選擇“已啟用”項(xiàng)，表示在在更新過程中，出現(xiàn)提示重啟信息的時(shí)間間隔，在“選擇”欄中可以設(shè)置合適的時(shí)間，默認(rèn)為10分鐘。

雙擊“配置自動(dòng)更新”項(xiàng)，在彈出窗口中選擇“已啟用”項(xiàng)，在“配置自動(dòng)更新”列表中選擇更新方式，包括通知下載并通知安裝、自動(dòng)下載并通知安裝、自動(dòng)下載并計(jì)劃安裝、允許本地管理員選擇設(shè)置等。例如選擇“自動(dòng)下載并計(jì)劃安裝”項(xiàng)，可以自動(dòng)下載并安裝更新，無需用戶的干預(yù)，在其下設(shè)置計(jì)劃安裝的日期和時(shí)間。這樣，就實(shí)現(xiàn)了針對(duì)默認(rèn)組策略的配置操作。當(dāng)然，也可以針對(duì)不同的0U，來配置相關(guān)的組策略。例如，選擇“Sales”組，在其右鍵菜單上點(diǎn)擊“在這個(gè)域中創(chuàng)建GP0并在此處鏈接”項(xiàng)，輸入GP0的名稱（例如“SalesGPO”），在該GP0項(xiàng)的右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在編輯窗口中可以針對(duì)上述和WSUS相關(guān)的策略進(jìn)行合適的配置。

這樣，不同的計(jì)算機(jī)分組，就分別擁有了自己的WSUS更新策略。在DC和相關(guān)主機(jī)上執(zhí)行“gpupdate/force”命令，來刷新組策略。在客戶機(jī)上執(zhí)行“wuauclt/detectnow”命令，可以立即檢測(cè)WSUS服務(wù)器。執(zhí)行“netstat-ano Ifindstr“8530n”命令，可以在網(wǎng)絡(luò)連接列表中搜索和WSUS服務(wù)器相關(guān)的連接，因?yàn)樵撨B接使用了TCP 8530端口，如果連接存在，說明該機(jī)已經(jīng)和WSUS服務(wù)器建立了連接。在WSUS服務(wù)器上打開更新服務(wù)控制臺(tái)，在左側(cè)需選擇“計(jì)算機(jī)→所有的計(jì)算機(jī)→未分配的計(jì)算機(jī)”項(xiàng)，可以看到該機(jī)已經(jīng)出現(xiàn)在列表中（注意，要經(jīng)過5分鐘左右的時(shí)間，才可以顯示其狀態(tài)信息）。endprint