论文部分内容阅读
政务网内计算机更新补丁的重要性
近年来,病毒制作者和黑客活动日益频繁,他们利用Windows漏洞,频频发起网络攻击,使得政务网网内安全不到位的计算机成为“肉鸡”的可能性大大增加,进而可攻击其他计算机,严重扰乱政务网的正常运行。为此,我们在加强防御外来攻击的同时,必须消除政务网内计算机自身的缺陷。检查中发现,政务网中的计算机补丁安装不及时、防火墙、杀毒软件更新不及时现象普遍存在。
其中补丁不安装或不及时安装的主要原因是:一是使用Windows自带的UPDATE下载补丁速度非常慢,往往要等待3小时以上甚至更多,用户怕麻烦,拒绝打补丁;二是有些用户使用的不是正版的操作系统,微软不提供补丁下载服务;三是部分用户对Windows补丁认识不足,认为补丁打不打无所谓,也有的用户不知道如何打补丁。针对上述情况,我们除了对用户进行计算机安全知识培训之外,还迫切需要一种软件,把用户计算机的补丁安装管理起来,让用户计算机能够自动地、快速地安装补丁,并且能够远程查看用户计算机补丁安装情况。
WSUS系统部署在政务网内的作用
鉴于微软公司操作系统更新服务器在国外,造成下载更新补丁的速度偏慢,同时,对于局域网用户数量大,在每台机器上更新会带来繁重的重复性操作,故而在本地局域网内架设部署一台集中式微软软件更新服务器成为保障Windows系列操作系统及时更新最为行之有效的方法之一。WSUS(Windows Server Update Services)是Windows操作系统的升级服务,通过在内部网络中配置WSUS服务器,所有Windows的更新都能集中下载到这个服务器中。内部网络中的客户机就可以通过WSUS服务器得到更新。它的作用在于:
补丁更新速度快。在拥有大概近上万台计算机中大规范的政务网络中,如果每台客户端计算机都直接链接到微软Mircosoft Update来实现更新,将为占据大量网络的出口带宽,严重影响了网络的畅通运行。若将WSUS补丁服务器部署在政务网内,升级操作系统补丁的时间缩短到几分钟,效果十分明显,且只要一台WSUS服务器就可保证全网络内操作系统的自动升级。这既节省了资源,又避免了资源浪费,并且提高了效率。
补丁更新时问自定义。Windows自动更新程序会不定时检测微软网站上的补丁发布情况,这就造成了时间不可控性,而架设WSUS服务器后,可以设定补丁更新的时间,服务器端下载完补丁后,可以在设定的时间点向客户端推送补丁,并且WSUS服务器与微软补丁服务器同步补丁时间也可以设定,这样可以保存不在工作时间因同步补丁而占用带宽,影响终端用户使用网络的情况。
补丁全。WSUS服务器会自动与微软补丁服务器同步,因此补丁全,不会造成漏更新某一补丁的情况发生。并且可以自动下载微软全系列的补丁,包括Windows、Office等。
WSUS 部署方式
通常来讲,WSUS服务器的部署方式有以下三种:
(一)单WSUS服务器环境
这是最常见的WSUS服务部署方式,如下图1所示:
局域网络中部署了一台WSUS服务器,WSUS服务器连接到Microsoft Update来获取更新程序(称之为同步),并分发给局域网络中的客户端计算机。当WSUS服务器和Microsoft Update进行同步时,WSUS会检查Microsoft Update是否具有新的更新程序并进行下载;当第一次进行同步时,WSUS会下载本地设置要求下载的所有更新程序。
WSUS中可以对客户端计算机进行分组,在WSUS中内建有两个计算机组:所有计算机和未指定的计算机。默认情况下,任何一个客户端计算机访问WSUS服务器时,都将被加入到这两个组中。你可以创建计算机组,并将客户端计算机对象从未指定的计算机组中移动到你所创建的计算机组中,但是你不能将客户端计算机对象从所有计算机组中移动到其他组。这是因为所有计算机组是便于你指定将更新程序应用到所有的客户端计算机,而不同的计算机组则便于你针对不同的客户端计算机应用不同的更新程序。
使用计算机组的好处之一是便于你测试更新程序。例如针对某个重要的更新程序,你可以创建一个包含少量客户端计算机的计算机组Test Group,然后将更新程序应用到此计算机组,当更新程序运行成功后,你再将此更新程序应用到其他计算机组或者所有计算机组。如图2所示:
(注意:不要使用WSUS分发未授权的更新程序到客户端计算机,WSUS授权协议禁止这一点。 )
(二)链式WSUS服务器环境
WSUS 服务器不仅仅可以从Windows Update中获取更新程序,也可以从其他WSUS服务器中获取更新程序。当局域网具有很大的规模时,一台WSUS服务器可能不能满足你的需求,此时你就可以使用多台WSUS服务器组成链式结构,如下图3所示,一台WSUS服务器作为上游服务器,一台WSUS服务器作为下游服务器。
你可以使用链式的WSUS结构满足局域网中不同地域的需求或者局域网规模扩大后的更新服务需求。链式WSUS服务器的级数是没有限制的,但是由于每一级WSUS服务器增加了更新程序的延迟,所以推荐部署不超过三级的链式WSUS服务结构。上游服务器不能和下游服务器进行同步,否则WSUS就不能正常提供服务。
在链式WSUS服务器部署中,下游WSUS服务器继承上游WSUS服务器的高级同步选项,你不能在下游服务器上修改高级同步选项。默认情况下,上游WSUS服务器只把更新元数据和更新文件同步到下游WSUS服务器中,而不包含其他的信息,例如计算机组和更新批准信息。如果你想让上游WSUS服务器向下游 WSUS服务器同步计算机组和更新批准信息,则下游WSUS服务器必须配置为集中管理模式中的复制服务器,详细信息请参见文章的后续章节选择管理模式。
(三)和Internet断开的WSUS服务器环境
部署WSUS服务时,并不要求你必须连接到Internet。对于没有连接到Internet的网络环境,你一样可以部署WSUS服务。通过在其他连接到 Internet上的WSUS服务器上导出更新程序数据,再通过其他媒体复制到此WSUS服务器上,最后导入更新程序数据,一样可以实现WSUS服务器更新程序的同步,此过程如下图4所示。
WSUS详细要求安装过程
1. 硬件要求
要安装WSUS,服务器上的文件系统必须满足以下要求:
◎至少1GHz的处理器;
◎至少1GB的内存;
◎系统分区和安装WSUS的分区都必须使用NTFS文件系统进行格式化。
◎系统分区至少需要保留1GB的可用空间。
◎WSUS用于存储内容的卷至少需要6GB的可用空间,建议预留空间为30GB。
◎WSUS安装程序用于安装Windows SQL Server 2005的卷至少需要5GB的可用空间。
2. 软件要求:
◎要使用默认选项安装 WSUS,在Windows server 2003 R2 Standart Edition SP2系统上必须上安装以下软件。WSUS 3.0 SP2下载地址:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=df628245-8449-4b93-948c-0926deb1197a
◎Microsoft Internet信息服务(IIS)6.0。(注:只需在win2003系统添加/删除程序中添加即可。)
◎用于Windows Server 2003的Microsoft.NET Framework 3.5.下载地址:
http://www.microsoft.com/downloads/zh-cn/results.aspx?pocId=&freetext=Microsoft%20.NET%20Framework%203.5&DisplayLang=zh-cn
◎Background Intelligent Transfer Service (BITS) 2.0。下载地址:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=b93356b1-ba43-480f-983d-eb19368f9047
◎SQL Server 2005下载地址:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=220549b5-0b07-4448-8848-dcc397514b41
◎Microsoft Report Viewer Redistributable 2008 下载地址:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=c1df3b07-09d7-48cb-bb63-df6d3c2f8141
◎管理控制台(MMC)3.0
3. 客户端计算机平台要求
Windows 2000 SP4 、Windows XP (SP1 、SP2、SP3)和Windows Server 2003( SP1、SP2)。
4.WSUS 3.0 SP2安装过程
1)WSUS安装前奏(系统补丁,杀毒软件,数据库,IIS)
在安装WSUS之前,先更新WIN 2003系统补丁,安装杀毒软件及时更新病毒库并进行对系统全盘杀毒扫描,然后检查是否安装了SQL数据库和Internet Information Services(IIS,互联网信息服务)。
2)安装WSUS 3.0 SP2
复查安装要求之后,便可安装WSUS。您必须使用本地Administrators 组成员的帐户登录到要安装WSUS的服务器系统。只有本地Administrators组的成员才能安装WSUS。以下过程使用Windows Server 2003的默认WSUS安装选项,其中包括安装用于WSUS的Windows SQL Server 20005 Desktop Engine(WMSDE) 数据库软件、在本地存储更新以及在端口80上使用IIS 默认网站。
◎双击安装程序文件“WSUS30-KB972455-x86.exe”。
◎在向导的“欢迎使用”页上,单击“下一步”。
◎在控制Windows Server Update Services安装选项中,选择“包括管理控制台的完整服务器安装”选项。
◎仔细阅读许可协议的条款,单击“我接受许可协议中的条款”,然后单击“下一步”。
◎在“选择更新源”页上,可以指定客户端获得更新的来源。如果选中“本地存储更新”复选框,更新补丁文件便会存储在WSUS服务器上,您需要在文件系统中选择一个用于存储更新文件的位置。(注:选择更新文件的存储分驱,空间不得少于6GB(建议安装分区的空间要大于30G),本例路径选择为D:WWWWSUS,然后单击“下一步”。)
◎单击“下一步”选择安装Windows Internal Database数据库的存储位置,可以使用本地的SQL Server也可使用远程的SQLServer,如果都没有,就用WSUS自带的Database。
◎单击“下一步”,这里我们选择IIS网站,一般情况下推荐选择默认的。如果你的服务器上还有其它的网站服务,这里就只一个“创建Windows Server Update Services 3.0”的选项,(注:端口一般为80,这里因80端口被其它应用服务程序占用,所以自动分配其它端口。本例自动分配端口为“8530”,(如图5所示)端口也可自己在IIS中自己任意修改。
◎在“镜像更新设置”页上,可以指定此WSUS服务器的管理角色。如果这是网络上的第一台WSUS服务器,或者您需要一个分布式管理拓扑,请跳过此屏幕。
如果需要集中管理拓扑,而且这不是网络上的第一台WSUS 服务器,请选中该复选框,然后在“服务器名”框中键入其他 WSUS 服务器的名称保留默认选项,然后单击“下一步”。
◎等了大约7-8分钟终于安装完成了,点击“完成”。
WSUS的配置
(一)服务器端配置
1、下面介绍一下WSUS的配置向导,依次选择“开始”菜单中的“程序”→“管理工具”→“Windows Server Update Services 3.0”启动WSUS配置向导程序,这里没有可设置项,直接点击“下一步”。如下图6所示
2、进入“加入Mircrosoft Update改善计划”对话框,这里我没有选择“是的,我希望加入Mircosoft Update改善计划”。如果是盗版Windows系统就不要选择“下一步”。
3、进入“选择<上游服务器>”的对话框,这里选择默认即可,如果你的局域网中已经有另一台WSUS服务器存在,那么也可以选择第二项,从向一个WSUS服务器同步更新。不过需要设置好另一个WSUS服务器的服务器名和端口号。设置好后点击“下一步”。
4、进入“指定代理服务器”对话框,如果你的这台服务器是通过代理上网的,这里就需要设置代理参数了。如果服务器直接可以上网,就无需任何设置,直接“下一步”。
5、进入“连接到上游服务器”的对话框,这里可以点击“开始连接”测试跟上游服务器是否连通,并下载一些信息,连接的时间会比较长。等了几分钟终于下载成功,“下一步”。
6、进入“选择语”对框,选择更新下载的语言,这里可以根据你服务器和客户机操作系统的语言种类,选择是“简体中文”或者“繁体中文”并点击“下一步”。
7、进入“选择产品”对话框,这里指定你需要更新的产品,比如:Windows XP、Windows 2000、Office 2003、Sql 2000等等。选择好后点击“下一步”。
8、进入“选择分类”对话框,选择更新分类,这里我选择Service pack、安全更新程序、关键更新程序。点击“下一步”。
9、进入“设置同步计划”对话框,选择自动同步并设置同步周期和时间。并点击“下一步”。
10、进入“完成”对话框,完成服务器的初始配置向导,这里不点选“开始初始同步”,因为比较费时间。点击完成。
(二)客户端配置
1、选择“开始”中“运行”,输入gpedit.msc,打开组策略窗口。
2、选择“管理模板”右键单击,然后从菜单中选择“操作”,“添加/删除模板”。
3、在“添加/删除模板”窗口中选择名为“conf”的文件并点击“添加”。
4、在“策略模板”中选择“wuau.adm”,并选择“打开”。
5、选择“关闭”,关闭“添加/删除模板”窗口。
6、选择“计算机配置”->“管理模板”->“Windows 组件”->“Windows Update”,并选择“配置自动更新”。
7、在“配置自动更新”的属性窗口中,选择“启用”,并选择“确定”。
8、在“指定Intranet Microsoft更新服务器位置”的属性窗口中,选择“启用”,并在“设置检测更新的Intranet更新服务:”框中输入“http://10.1.9.100:8530”,在“设置Intranet统计服务器:”框中输入“http://10.1.9.100:8530”,并选择确定。
9、其它的选项请设置为“已启用”就可以了。
10、现在您的电脑已经和局域网的WUSU服务器建立了连接,配置完成。
总结及注意事项
通过在政务网部署WSUS,一方面可以缓解政务网互联网出口带宽的压力,保障了网络的顺畅运行,另一方面有效的减少基于系统漏洞的攻击和病毒的入侵,在一定程度上能保障政务网的安全。但同时也存在一定的安全隐患,需要加强注意:
1、由于系统更新程序的下载完全是在后台进行,因此用户很难有效地监控管理;同时微软并不能保证其提供的补丁程序是完美无缺,如果补丁本身存在缺陷,那么通过自动安装到客户端后将会扩大影响的范围,后果不堪设想。因此在下发补丁文件时,需要先下发到一组测试的客户端进行测试通过后,才能将补丁文件分发到政务网内各客户端
如果政务网的WSUS服务器被非法入侵变成了恶意代码的分发中心,当这些补丁被自动安装到客户端,其后果也将是灾难性的。因此,针对这个情况,WSUS服务器的安全保障措施十分重要。
2、政务网的安全是整体的、动态的,内容上包括物理安全、系统安全、网络安全、应用安全等多个方面,不仅需要诸如防火墙、数据加密、授权认证等先进的安全技术手段,同时还需要完善的安全管理规章制度和技术精湛的网络管理人员,才能有效实现政务网安全、可靠、稳定地运行。
(作者单位:江西省政务信息网网管中心)
近年来,病毒制作者和黑客活动日益频繁,他们利用Windows漏洞,频频发起网络攻击,使得政务网网内安全不到位的计算机成为“肉鸡”的可能性大大增加,进而可攻击其他计算机,严重扰乱政务网的正常运行。为此,我们在加强防御外来攻击的同时,必须消除政务网内计算机自身的缺陷。检查中发现,政务网中的计算机补丁安装不及时、防火墙、杀毒软件更新不及时现象普遍存在。
其中补丁不安装或不及时安装的主要原因是:一是使用Windows自带的UPDATE下载补丁速度非常慢,往往要等待3小时以上甚至更多,用户怕麻烦,拒绝打补丁;二是有些用户使用的不是正版的操作系统,微软不提供补丁下载服务;三是部分用户对Windows补丁认识不足,认为补丁打不打无所谓,也有的用户不知道如何打补丁。针对上述情况,我们除了对用户进行计算机安全知识培训之外,还迫切需要一种软件,把用户计算机的补丁安装管理起来,让用户计算机能够自动地、快速地安装补丁,并且能够远程查看用户计算机补丁安装情况。
WSUS系统部署在政务网内的作用
鉴于微软公司操作系统更新服务器在国外,造成下载更新补丁的速度偏慢,同时,对于局域网用户数量大,在每台机器上更新会带来繁重的重复性操作,故而在本地局域网内架设部署一台集中式微软软件更新服务器成为保障Windows系列操作系统及时更新最为行之有效的方法之一。WSUS(Windows Server Update Services)是Windows操作系统的升级服务,通过在内部网络中配置WSUS服务器,所有Windows的更新都能集中下载到这个服务器中。内部网络中的客户机就可以通过WSUS服务器得到更新。它的作用在于:
补丁更新速度快。在拥有大概近上万台计算机中大规范的政务网络中,如果每台客户端计算机都直接链接到微软Mircosoft Update来实现更新,将为占据大量网络的出口带宽,严重影响了网络的畅通运行。若将WSUS补丁服务器部署在政务网内,升级操作系统补丁的时间缩短到几分钟,效果十分明显,且只要一台WSUS服务器就可保证全网络内操作系统的自动升级。这既节省了资源,又避免了资源浪费,并且提高了效率。
补丁更新时问自定义。Windows自动更新程序会不定时检测微软网站上的补丁发布情况,这就造成了时间不可控性,而架设WSUS服务器后,可以设定补丁更新的时间,服务器端下载完补丁后,可以在设定的时间点向客户端推送补丁,并且WSUS服务器与微软补丁服务器同步补丁时间也可以设定,这样可以保存不在工作时间因同步补丁而占用带宽,影响终端用户使用网络的情况。
补丁全。WSUS服务器会自动与微软补丁服务器同步,因此补丁全,不会造成漏更新某一补丁的情况发生。并且可以自动下载微软全系列的补丁,包括Windows、Office等。
WSUS 部署方式
通常来讲,WSUS服务器的部署方式有以下三种:
(一)单WSUS服务器环境
这是最常见的WSUS服务部署方式,如下图1所示:
局域网络中部署了一台WSUS服务器,WSUS服务器连接到Microsoft Update来获取更新程序(称之为同步),并分发给局域网络中的客户端计算机。当WSUS服务器和Microsoft Update进行同步时,WSUS会检查Microsoft Update是否具有新的更新程序并进行下载;当第一次进行同步时,WSUS会下载本地设置要求下载的所有更新程序。
WSUS中可以对客户端计算机进行分组,在WSUS中内建有两个计算机组:所有计算机和未指定的计算机。默认情况下,任何一个客户端计算机访问WSUS服务器时,都将被加入到这两个组中。你可以创建计算机组,并将客户端计算机对象从未指定的计算机组中移动到你所创建的计算机组中,但是你不能将客户端计算机对象从所有计算机组中移动到其他组。这是因为所有计算机组是便于你指定将更新程序应用到所有的客户端计算机,而不同的计算机组则便于你针对不同的客户端计算机应用不同的更新程序。
使用计算机组的好处之一是便于你测试更新程序。例如针对某个重要的更新程序,你可以创建一个包含少量客户端计算机的计算机组Test Group,然后将更新程序应用到此计算机组,当更新程序运行成功后,你再将此更新程序应用到其他计算机组或者所有计算机组。如图2所示:
(注意:不要使用WSUS分发未授权的更新程序到客户端计算机,WSUS授权协议禁止这一点。 )
(二)链式WSUS服务器环境
WSUS 服务器不仅仅可以从Windows Update中获取更新程序,也可以从其他WSUS服务器中获取更新程序。当局域网具有很大的规模时,一台WSUS服务器可能不能满足你的需求,此时你就可以使用多台WSUS服务器组成链式结构,如下图3所示,一台WSUS服务器作为上游服务器,一台WSUS服务器作为下游服务器。
你可以使用链式的WSUS结构满足局域网中不同地域的需求或者局域网规模扩大后的更新服务需求。链式WSUS服务器的级数是没有限制的,但是由于每一级WSUS服务器增加了更新程序的延迟,所以推荐部署不超过三级的链式WSUS服务结构。上游服务器不能和下游服务器进行同步,否则WSUS就不能正常提供服务。
在链式WSUS服务器部署中,下游WSUS服务器继承上游WSUS服务器的高级同步选项,你不能在下游服务器上修改高级同步选项。默认情况下,上游WSUS服务器只把更新元数据和更新文件同步到下游WSUS服务器中,而不包含其他的信息,例如计算机组和更新批准信息。如果你想让上游WSUS服务器向下游 WSUS服务器同步计算机组和更新批准信息,则下游WSUS服务器必须配置为集中管理模式中的复制服务器,详细信息请参见文章的后续章节选择管理模式。
(三)和Internet断开的WSUS服务器环境
部署WSUS服务时,并不要求你必须连接到Internet。对于没有连接到Internet的网络环境,你一样可以部署WSUS服务。通过在其他连接到 Internet上的WSUS服务器上导出更新程序数据,再通过其他媒体复制到此WSUS服务器上,最后导入更新程序数据,一样可以实现WSUS服务器更新程序的同步,此过程如下图4所示。
WSUS详细要求安装过程
1. 硬件要求
要安装WSUS,服务器上的文件系统必须满足以下要求:
◎至少1GHz的处理器;
◎至少1GB的内存;
◎系统分区和安装WSUS的分区都必须使用NTFS文件系统进行格式化。
◎系统分区至少需要保留1GB的可用空间。
◎WSUS用于存储内容的卷至少需要6GB的可用空间,建议预留空间为30GB。
◎WSUS安装程序用于安装Windows SQL Server 2005的卷至少需要5GB的可用空间。
2. 软件要求:
◎要使用默认选项安装 WSUS,在Windows server 2003 R2 Standart Edition SP2系统上必须上安装以下软件。WSUS 3.0 SP2下载地址:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=df628245-8449-4b93-948c-0926deb1197a
◎Microsoft Internet信息服务(IIS)6.0。(注:只需在win2003系统添加/删除程序中添加即可。)
◎用于Windows Server 2003的Microsoft.NET Framework 3.5.下载地址:
http://www.microsoft.com/downloads/zh-cn/results.aspx?pocId=&freetext=Microsoft%20.NET%20Framework%203.5&DisplayLang=zh-cn
◎Background Intelligent Transfer Service (BITS) 2.0。下载地址:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=b93356b1-ba43-480f-983d-eb19368f9047
◎SQL Server 2005下载地址:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=220549b5-0b07-4448-8848-dcc397514b41
◎Microsoft Report Viewer Redistributable 2008 下载地址:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=c1df3b07-09d7-48cb-bb63-df6d3c2f8141
◎管理控制台(MMC)3.0
3. 客户端计算机平台要求
Windows 2000 SP4 、Windows XP (SP1 、SP2、SP3)和Windows Server 2003( SP1、SP2)。
4.WSUS 3.0 SP2安装过程
1)WSUS安装前奏(系统补丁,杀毒软件,数据库,IIS)
在安装WSUS之前,先更新WIN 2003系统补丁,安装杀毒软件及时更新病毒库并进行对系统全盘杀毒扫描,然后检查是否安装了SQL数据库和Internet Information Services(IIS,互联网信息服务)。
2)安装WSUS 3.0 SP2
复查安装要求之后,便可安装WSUS。您必须使用本地Administrators 组成员的帐户登录到要安装WSUS的服务器系统。只有本地Administrators组的成员才能安装WSUS。以下过程使用Windows Server 2003的默认WSUS安装选项,其中包括安装用于WSUS的Windows SQL Server 20005 Desktop Engine(WMSDE) 数据库软件、在本地存储更新以及在端口80上使用IIS 默认网站。
◎双击安装程序文件“WSUS30-KB972455-x86.exe”。
◎在向导的“欢迎使用”页上,单击“下一步”。
◎在控制Windows Server Update Services安装选项中,选择“包括管理控制台的完整服务器安装”选项。
◎仔细阅读许可协议的条款,单击“我接受许可协议中的条款”,然后单击“下一步”。
◎在“选择更新源”页上,可以指定客户端获得更新的来源。如果选中“本地存储更新”复选框,更新补丁文件便会存储在WSUS服务器上,您需要在文件系统中选择一个用于存储更新文件的位置。(注:选择更新文件的存储分驱,空间不得少于6GB(建议安装分区的空间要大于30G),本例路径选择为D:WWWWSUS,然后单击“下一步”。)
◎单击“下一步”选择安装Windows Internal Database数据库的存储位置,可以使用本地的SQL Server也可使用远程的SQLServer,如果都没有,就用WSUS自带的Database。
◎单击“下一步”,这里我们选择IIS网站,一般情况下推荐选择默认的。如果你的服务器上还有其它的网站服务,这里就只一个“创建Windows Server Update Services 3.0”的选项,(注:端口一般为80,这里因80端口被其它应用服务程序占用,所以自动分配其它端口。本例自动分配端口为“8530”,(如图5所示)端口也可自己在IIS中自己任意修改。
◎在“镜像更新设置”页上,可以指定此WSUS服务器的管理角色。如果这是网络上的第一台WSUS服务器,或者您需要一个分布式管理拓扑,请跳过此屏幕。
如果需要集中管理拓扑,而且这不是网络上的第一台WSUS 服务器,请选中该复选框,然后在“服务器名”框中键入其他 WSUS 服务器的名称保留默认选项,然后单击“下一步”。
◎等了大约7-8分钟终于安装完成了,点击“完成”。
WSUS的配置
(一)服务器端配置
1、下面介绍一下WSUS的配置向导,依次选择“开始”菜单中的“程序”→“管理工具”→“Windows Server Update Services 3.0”启动WSUS配置向导程序,这里没有可设置项,直接点击“下一步”。如下图6所示
2、进入“加入Mircrosoft Update改善计划”对话框,这里我没有选择“是的,我希望加入Mircosoft Update改善计划”。如果是盗版Windows系统就不要选择“下一步”。
3、进入“选择<上游服务器>”的对话框,这里选择默认即可,如果你的局域网中已经有另一台WSUS服务器存在,那么也可以选择第二项,从向一个WSUS服务器同步更新。不过需要设置好另一个WSUS服务器的服务器名和端口号。设置好后点击“下一步”。
4、进入“指定代理服务器”对话框,如果你的这台服务器是通过代理上网的,这里就需要设置代理参数了。如果服务器直接可以上网,就无需任何设置,直接“下一步”。
5、进入“连接到上游服务器”的对话框,这里可以点击“开始连接”测试跟上游服务器是否连通,并下载一些信息,连接的时间会比较长。等了几分钟终于下载成功,“下一步”。
6、进入“选择语”对框,选择更新下载的语言,这里可以根据你服务器和客户机操作系统的语言种类,选择是“简体中文”或者“繁体中文”并点击“下一步”。
7、进入“选择产品”对话框,这里指定你需要更新的产品,比如:Windows XP、Windows 2000、Office 2003、Sql 2000等等。选择好后点击“下一步”。
8、进入“选择分类”对话框,选择更新分类,这里我选择Service pack、安全更新程序、关键更新程序。点击“下一步”。
9、进入“设置同步计划”对话框,选择自动同步并设置同步周期和时间。并点击“下一步”。
10、进入“完成”对话框,完成服务器的初始配置向导,这里不点选“开始初始同步”,因为比较费时间。点击完成。
(二)客户端配置
1、选择“开始”中“运行”,输入gpedit.msc,打开组策略窗口。
2、选择“管理模板”右键单击,然后从菜单中选择“操作”,“添加/删除模板”。
3、在“添加/删除模板”窗口中选择名为“conf”的文件并点击“添加”。
4、在“策略模板”中选择“wuau.adm”,并选择“打开”。
5、选择“关闭”,关闭“添加/删除模板”窗口。
6、选择“计算机配置”->“管理模板”->“Windows 组件”->“Windows Update”,并选择“配置自动更新”。
7、在“配置自动更新”的属性窗口中,选择“启用”,并选择“确定”。
8、在“指定Intranet Microsoft更新服务器位置”的属性窗口中,选择“启用”,并在“设置检测更新的Intranet更新服务:”框中输入“http://10.1.9.100:8530”,在“设置Intranet统计服务器:”框中输入“http://10.1.9.100:8530”,并选择确定。
9、其它的选项请设置为“已启用”就可以了。
10、现在您的电脑已经和局域网的WUSU服务器建立了连接,配置完成。
总结及注意事项
通过在政务网部署WSUS,一方面可以缓解政务网互联网出口带宽的压力,保障了网络的顺畅运行,另一方面有效的减少基于系统漏洞的攻击和病毒的入侵,在一定程度上能保障政务网的安全。但同时也存在一定的安全隐患,需要加强注意:
1、由于系统更新程序的下载完全是在后台进行,因此用户很难有效地监控管理;同时微软并不能保证其提供的补丁程序是完美无缺,如果补丁本身存在缺陷,那么通过自动安装到客户端后将会扩大影响的范围,后果不堪设想。因此在下发补丁文件时,需要先下发到一组测试的客户端进行测试通过后,才能将补丁文件分发到政务网内各客户端
如果政务网的WSUS服务器被非法入侵变成了恶意代码的分发中心,当这些补丁被自动安装到客户端,其后果也将是灾难性的。因此,针对这个情况,WSUS服务器的安全保障措施十分重要。
2、政务网的安全是整体的、动态的,内容上包括物理安全、系统安全、网络安全、应用安全等多个方面,不仅需要诸如防火墙、数据加密、授权认证等先进的安全技术手段,同时还需要完善的安全管理规章制度和技术精湛的网络管理人员,才能有效实现政务网安全、可靠、稳定地运行。
(作者单位:江西省政务信息网网管中心)