航空工业计算所,陕西 西安 710119
摘要:本文为了减少Windows 客户机系统安全问题,提高系统稳定性,搭建WSUS系统为涉密网中的windows操作系统主机以及microsoft相关产品提供安全补丁源服务,并介绍具体的搭建步骤与部署模式。
关键词:WSUS;WindowsUpdate;主服务器;客户端;microsoft
The analysis and research of embedded operate system tailorability technique
Zhang Nan
(Xi'an Aeronautics Computing Technique Research Institute,AVIC,Xi'an 710119,China)
ABSTRACT: In order to reduce the security problem of windows client system and improve the system stability,WSUS system is built to provide security patches for Windows operiting system hosts and Microsoft-related products in confidential networks.
Key words: wsus; WindowsUpdate; main server; host; WindowsUpdate
微软为弥补产品安全,提供了各种各样的ServicePack,Hotfix等,这些补丁解决的问题五花八门,种类繁多,使得管理员应接不暇,但补丁又确实很重要,补丁对应着严重的安全隐患和性能缺陷,我们决不能掩耳盗铃,置之不理。微软从Win98之后就在操作系统中内置了WindowsUpdate组件,这个组件可以使用Http或Https自动连接到微软的更新网站去下载所需要的补丁并自动安装。
WindowsUpdate组件对家庭用户来说适用,但对企业用户来说就未必合适了。主要原因有以下两点。
一,带宽问题。假设某企业500名用户,每人需下载20M补丁,全公司至少需要10G的带宽。二,安全问题。并非所有的补丁都适合在当前环境使用。比如Windows XP Service Pack2,此补丁打上之后,与当时的很多应用程序都会产生冲突,解决办法是只能换用新版本的应用程序。如果管理员综合权衡安全和灵活因素,就未必会在生产环境第一时间部署这个补丁。而用户就不管那么多了可能会直接装上[1]。后果就是很有可能会因为这个补丁的安装影响工作效率。因此,综合来看,用Windows Update组件连接到微软的更新网站更适合家庭用户或小型公司,对中大型企业来说并不合适。
基于上述原因,微软为企业用户提供了WSUS(WindowsServer Update Services)作为解决方案。WSUS解决问题的思路很简单,管理员利用WSUS服务器从微软的更新网站下载补丁,然后再发布给内网用户。这样既能降低网络带宽流量,将补丁下载的数据量降为最低;又能让补丁置于管理员的控制之下,管理员经过审核后,同意发放补丁,用户才可以安装补丁。一旦WSUS服务器启动了,系统中自带的Windows Update就被禁用了。
WSUS服务器通过上下游方式串接在一起的模式有两种:
自治模式:上游WSUS服务器会与下游服务器共享更新程序,即下游服务器会从上游服务器获取更新程序,但是并不包含更新程序的审批状态,计算机组信息,下游服务器必须自行决定是否要审批这些更新程序与自行创建所需的计算机组。
副本模式:上游服务器会与下游服务器共享更新程序,更新审批与计算机组信息。下游服务器可以获取上游服务器的数据,所有可以在上游服务器管理的项目都无法在下游服务器自行管理,例如不能自行更改新程序的审批状态等。
WSUS常用的部署拓扑有以下三种:
A ,单服务器拓扑。
单服务器拓扑是使用最广泛的WSUS拓扑。单服务器拓扑利用一个WSUS服务器从微软的更新网站下载补丁,然后负责将补丁发给内网用户。单服务器拓扑是大多数中小公司的最佳选择[3]。
B ,链式拓扑。
链式拓扑定义了上游服务器和下游服务器,上游服务器可以直接连接到微软的更新网站,下游服务器则只能从上游服务器下载更新。这种拓扑在总公司-分公司的管理模型中比较常见。考虑到性能因素,链式拓扑很少超过三层。
C, 分离式拓扑。
分离式拓扑指的是在一个与互联网隔离的网络内,WSUS服务器无法从微软网站进行补丁更新,因此只能先用一个能连接互联网的WSUS服务器下载所需要的补丁,然后将下载的补丁导出成数据。隔离网络内的WSUS服务器通过导入数据来间接完成补丁的下载。这种拓扑常用于部队,公安等专用网络。
搭建WSUS 服务器需要的安装组件有1),微软IIS 6.0;2),.NET framework 2.0;3),WSUS-KB972455-x86;4),Microsoft Report Viewer 2008 Redistributable。
配置WSUS 补丁分发服务器步骤:
为WSUS 服务器选择相应的补丁类别,不需要的产品补丁类别,不要选择。完成配置后,点击图6中的“立即同步”,即可从微软官网上,下载你已经选择的类别的补丁列表信息,信息同步完成后,服务器会自动下载补丁到本地磁盘,由于补丁文件大小和类别不同,下载时间会很长,请耐心等待。
连接互联网的外网服务器,可以选择从微软的官方网站上,直接同步补丁信息,默认选择“从Microsoft Update进行同步”;连接涉密网的补丁服务器,选择手动导入补丁包的方式。
当外网WSUS服务器补丁更新完成后,将补丁包通过涉密网信息输入输出方式导入到内部WSUS服务器,并将放在WSUS指定的目录下,补丁包下载存放路径为F:\ WSUS\WsusContent 中。注意如果是第一次导入补丁,则需将所有补丁导入;如果是阶段性的更新补丁,可以将此目录中的文件按时间进行排序,对时间有变化的文件导出即可,源文件的导出方式不变。
在将补丁包导出的时候,必须将外网服务器的“补丁源文件”一同导出,导出方式如下:首先从DOS窗口下进入“ C:\Program Files\Update Services\Tools”目录,在次目录下执行:“wsusutil.exe export f:\wsus\wsus.cab f:\wsus.log”,此过程时间会很长,待导出成功后在f:\wsus下会有“wsus.cab、wsus.log”两个文件,将次文件连同补丁包一同输入到涉密网中。
将补丁导入到涉密网中的WSUS服务器后,在涉密网中的WSUS的服务器上的相同目录下“C:\Program Files\Update Services\Tools”下,执行“wsusutil.exe import f:\wsus\wsus.cab f:\wsus.log”,此操作等待时间也较长。
当补丁源文件导入成功后,涉密网的WSUS服务器就部署完成了,通过域控制器或手动配置的方式来完成终端的配置。
1,在域控上通过域控策略新建策略,策略名称为WSUS。
2,手动配置策略
对于不加入域管理的终端可以通过手动配置更新策略,例如,笔记本在运行中输入gpedit.msc打开组策略—模板挂你—windows组件—windows update,具体配置与域控上的WSUS策略配置一致。
双击Windows Server Update Services, 打开补丁分发控制台,对于配置了更新的终端计算机会显示在这个界面上,所有域WSUS服务器连接的终端都在“所有计算机”下面,为了更好掌握补丁更新情况,按照组织结构新建目录,并将对应的计算机移动至该组中。
本文从多方面简要地描述了微软的WSUS服务,并讲解WSUS的部署原理并通过实践的方式进行了讲解。局域网内部署WSUS服务器作为网内计算机Windows 系统的更新服务器,并结合域管理组策略下发Windows 更新配置,解决了局域网内计算机用户不能按时更新系统补丁的问题,避免了由于系统更新安装不及时造成的系统漏洞病毒感染的隐患。同时,在计算机终端用户批量下载Windows 更新时,也不会造成网络的高占用。在不增加网络负载的情况下,提升了局域网内计算机终端系统的安全性网络安全。
参考文献:
[1] 刘占武. 构建基于WSUS 的内网补丁升级服务器[J]. 科技创业家,2013,6:55-56.
[2] 郭军. 网络管理[M]. 北京: 北京邮电大学出版社,2001.24-28.
[3] 张展. 组策略在Windows域管理中的应用[J]. 电脑知识与技术,2011,7(22):5390-5392.
作者简介:张楠(1983- ),工程师,陕西西安人,航空工业计算所。