内网也能喝上微软"补药"
数字办公
因特网上的电脑可以利用Windows的自动更新功能直接打补丁,然而出于安全考虑与因特网进行物理隔离的内部局域网电脑却无法享受到自动更新的好处。如果采用将补丁程序下载下来,然后拷贝到各台电脑中安装的老办法,不仅麻烦,而且有可能漏打或重打,甚至因电脑太多而成为不可完成或不可及时完成的任务。好在省事省心省力的办法也有,那就是在内网中安装自动更新服务器。
安装和配置WSUS
为微软的产品打补丁自然以安装微软的更新服务器WSUS(Windows Server Update Services)为最佳。它可以从微软网站免费下载,下载地址为http://download.microsoft.com/down load/9/3/3/933eaf5d-f2a2-4a03 -8a87-e8f6e6d07e7f/WSUSSetu p.exe,运行平台为Windows 2000 Server和Windows Server 2003。不过,最好选择Windows Server 2003 SP1,否则在安装WSUS之前,得先安装一大堆支持组件才行。
在各种支持组件都安装完毕后,运行WSUS安装文件,解压之后很快便出现选择安装文件夹的界面,此处应选择至少有6GB剩余空间的NTFS分区进行安装。由于WSUS需要SQLServer 2000数据库支持,因此如果系统中未安装SQLServer 2000的话,安装程序将自动安装SQLServer 2000的桌面引擎MSDE 2000。
当出现网站选择界面时,应选择"使用现有IIS默认网站"项,除非默认网站已被其它WEB服务占用。接下来开始正式安装,稍候片刻WSUS便安装到系统中。
在服务器上打开IE,输入http://loca lhost/wsusadmin后出现WSUS的管理登录页面,输入Windows系统管理员账户和密码即可登录WSUS管理主页面。
首次运行WSUS,要对它作简单配置,主要是设置"同步选项"和"自动批复选项"两项。点击主页面右上方的"选项"链接,再点击下一页面的"同步选项"链接,便出现同步设置页面。
上面有"计划"、"产品和分类"、"代理服务器"、"更新源"和"更新文件和语言"五大选项。"计划"项设置将补丁从Microsoft Update上下载到本地WSUS的方式,是手动同步还是定时同步。
由于本WSUS将在因特网和内网之间切换,因此这里选择"手动同步"项。"产品和分类"项设置下载补丁所属的产品及补丁的类型,产品和分类一般都应全选,除非明确知道内网中所有机器均未安装某个软件或不需要更新某类补丁。"代理服务器"项一般不用设置。
"更新源"项可以设置补丁是从Microsoft Update还是从内网中其它WSUS上下载,这里选择"Microsoft Update",表示通过因特网从Microsoft Update上更新补丁(图1)。
"更新文件和语言"项设置补丁的存放位置和语言,存放位置选择默认值即可,而语言自然是选择简体中文了。设置完成后,点击页面左上方的"保存设置"链接,使设置生效。接着设置"自动批复选项"。所谓批复,就是对下载的补丁进行审查和核准,只有通过批复的补丁才能被客户端下载和安装。通过"自动批复选项"的设置,可以使全部或部分补丁一经下载即获批复,以提高补丁安装效率。
WSUS的日常维护
WSUS的日常维护主要包括两项工作:及时下载和批复补丁、监控客户端补丁安装情况。
1.下载补丁
首先通过拔插网线或其它方式将WSUS服务器同内网物理断开,以保证内网的安全,然后用ADSL拨号上网。接着登录到WSUS管理页面,点击页面右上方的"更新"链接,WSUS便开始访问Microsoft Update,获取补丁更新列表后,WSUS便根据设置的同步规则下载相应的补丁。
提示:首次下载,由于累积的补丁非常多,下载需要相当长的时间,而以后下载就会快得多。下载完毕后,关闭ADSL,将WSUS服务器连入内网中。
2.批复补丁
下载回来的补丁,如果符合"自动批复选项"中设定的条件,即可自动得到批复。如果WSUS未设置自动批复选项,或者补丁不符合"自动批复选项"中设定的条件,那么就只能对补丁进行手动批复。
若嫌补丁太多不便查看,可在页面左边的"查看"框中设置筛选条件,这样可按产品和分类、批复选项等对补丁进行筛选和过滤,从而加快补丁的审查和批复。选中一个或一批补丁,再点击页面左上方的"更改批准"链接,弹出批准更新对话框。批复既可以针对"所有计算机"一次性设置,也可以按客户端计算机分组单独设置。
批复的选项有三种:安装、仅检测和未许可(图2)。只有补丁执行状态为"安装",客户端才能下载和安装该补丁。而"仅检测"只检测该补丁是否为客户端所需,并将检测报告返回WSUS,不对补丁进行安装。"未许可"则意味着补丁将不被客户端访问。
当然,设为"未许可"的补丁很容易转成"安装"或"仅检测"状态,只要点击页面左上方的"批准进行安装"或"批准进行检测"链接即成。如果某些补丁内网中所有计算机都用不上,如64位系统补丁或特殊硬件的驱动程序补丁,那就可以点击"拒绝更新"链接将它们从补丁列表中取消。
3.监控客户端
点击页面右上方的"计算机"链接,出现计算机管理页面。在列表框中选中某台计算机,下面的信息框中便会出现该计算机的软硬件信息和网络信息。如果要查看该计算机的补丁安装情况,可在信息框中点击"状态"选项,即出现该计算机的补丁更新状态列表(图3)。
再点击列表框中某个补丁的状态链接,将弹出补丁安装情况对话框(图4)。
为便于对计算机进行管理以及对不同的计算机赋予不同的补丁安装权限,WSUS提供了创建计算机组的功能。计算机组的建立、删除以及增加或删除组成员可通过页面左上方的"创建计算机组"、"删除选定组"、"移动选定计算机"和"删除选定计算机"链接来完成。建立的计算机组都列在"组"框中,点击它们即可访问相应的组。
另一个监控客户端的重要工具是"报告"链接。它下面有"更新的状态"、"计算机的状态"、"同步结果"和"设置摘要"四个子项。通过它们,可集中查询某个补丁或某台计算机的补丁安装情况,以及补丁的下载情况和WSUS服务器运行情况(图5)。虽然这些信息也可从其它地方得到,但如此集中地、有条理地组织到一起,确实大大地方便了管理员对WSUS的管理。
客户端设置
要使用这种方法享用微软的支持服务,客户端必须安装Windows 2000/XP/2003。好在现在单位购机,大都选择预装了Windows 2000以上的操作系统,因此通过WSUS获得升级服务毫无问题。
不过,要使客户端访问内网WSUS,还要进行必要的设置。在"运行"栏中输入"gpedit.msc"启动组策略,依次点击"本地计算机策略→计算机配置→管理模板→Windows组件",看是否有"Windows Update"项。若没有,则右击"管理模板",在弹出菜单中选择"添加/删除模板",再在对话框中点击"添加"按钮,将wuau模板加入到当前策略模板中。
出现"Windows Update"项后,点击它,然后在右边设置列表中双击"配置自动更新"项,在弹出的对话框中选择"已启动",并在"配置自动更新"项选择"4-自动下载并计划安装",同时设置好计划安装日期和时间(图6)。
接着点击"下一设置"按钮,在"Intranet Microsoft更新服务位置"对话框中选择"已启动",并在"为检测更新设置Intranet更新服务"项输入WSUS服务器IP地址,记住必须输入WEB地址形式,即http://加IP地址。"设置Intranet统计服务器"项也输入同样的WSUS服务器地址(图7)。至此,主要的项都设置完毕,其他项可根据具体情况设置或不设置。最后,为了使补丁升级立即起效,应进入命令行模式,输入"wuauclt.exe /detectnow"命令,这样客户机就会立刻连接WSUS服务器下载和安装补丁。
内网更新服务器的架设,终于使因安全原因需要同因特网绝对隔离的内网计算机也能享受到微软的支持服务了。这无疑使始终对计算机安全保持高度警惕的内网管理员有了更足的底气,也使那些可能被不怀好意者偷窥和利用的缝隙得以尽快补上,从而真正构建起可运行关键业务的安全平台。