论文部分内容阅读
摘要:高校机房信息安全已成为维护和管理工作的一个重要环节,而及时更新操作系统补丁,是弥补安全漏洞、防范感染攻击的根本手段。本文叙述了微软补丁更新方案WSUS拓扑结构和具体功能,结合机房维护的实际,详细了阐述了WSUS在服务器端和客户端的具体部署方法。实践表明,该方法对补丁分发、更新进行统一管理,在很大程度上减轻管理人员的压力,有效保证了高校机房信息系统的安全和日常实验教学的实施。
关键词:WSUS;安全补丁;系统更新;机房管理
中图分类号:TP308文献标识码:A文章编号:1009-3044(2007)04-11152-03
1 引言
高校机房承担着大量计算机实验课的任务,不同年级有不同的实验课内容,要求的实验环境也不同,构成的软件系统环境非常庞大。公共机房计算机数量猛增,规模不断扩大,由于学生的误操作以及病毒的泛滥很容易造成系统损坏甚至于瘫痪。因此,必须建立一套行之有效的系统升级维护方案,以保证实验教学的顺利进行,减轻实验室管理人员的工作量。
打补丁保安全是我们所熟知的基本安全常识,如何能够及时有效地为操作系统打上补丁已经成为公共机房安全运行管理工作的重要环节。目前Windows补丁有三种方式安装,一是下载补丁程序到本地手动安装,二是使用微软的Update网站进行在线安装,其三就是通过WSUS技术进行自动安装。三种方法各有优缺点:手动安装可以在不连网情况下进行,需人为判断系统安装什么补丁。在线安装的优点是简单实用,无需任何配置,缺点是在线升级的网站在国外,安装补丁会产生国际流量,适合于使用正版操作系统并且不用支付出国流量收费的用户。第三种自动升级方法的优点是,当有适合计算机的重要更新发布时,它会及时提醒机器的下载和安装,升级服务器可以部署在网络内部,用户在内网就能自动升级补丁程序,缺点是需要在用户的操作系统进行简单的配置。微软针对补丁自动升级管理给出了三种解决方案,分别是SUS、WSUS和SMS。本文针对局域网使用Windows操作系统的计算机在安全补丁自动更新方面的需求,介绍了WSUS的概念和网络拓扑结构,重点介绍了WSUS在服务器端和客户端的配置应用,以及在实验室具体实施的状况。
2 WSUS基本概念和功能
Software Update Services(SUS)是微软为客户提供的,致力于帮助用户对基于Windows2000/XP/2003等机器快速部署最新的重要更新和安全更新的免费软件。SUS由服务器组件和客户端组成,服务器组件负责软件更新服务,称为SUS服务器,用于安装在公司内网的Windows2000服务器上。服务器端是基于Web的工具管理和分发更新的功能。客户端组件是微软的自动更新服务(Automatic Updates),负责接收从服务器中传来产品更新信息。
Windows Server Update Server(WSUS)是微软公司继SUS之后推出的替代产品。相对于SUS有了以下的改进:
支持对更多微软产品进行更新,除了Windows,还有Office、Exchange和SQL等产品的补丁和更新都可以通过WSUS发布;
服务器端管理界面支持中文等更多语言;
对客户端的管理更加强大,可以对不同客户机分配不同的用户组,对不同的用户组分配不同的下载规则;
由于有了后台数据库支持,WSUS有了更多的统计和报表功能。
微软将在2006年6月停止对SUS服务的支持,建议原有的SUS服务器管理员将SUS服务替换为WSUS服务。
System Management Server (SMS)是微软提供的面向企业的网络管理软件,是基于Windows2000动态目录管理,适合大型企业,提供了远程故障处理工具,很大程度上减少了维护成本。
3 WSUS的配置
3.1 服务器端设置
WSUS服务器负责给整个局域网的机器发布安全补丁,所以应采取综合措施确保自身安全。WSUS服务器应放置在网络防火墙之后并保持及时安装最新补丁,其用户口令应该是最高强度的,运行的网络应用应比较单一且便于监视,还应该安装病毒防火墙,见图1。
WSUS安装相当容易,安装过程为纯中文界面,只要按照提示一步一步点下去就能完成安装。WSUS安装完毕后,打开浏览器,使用地址http://WSUS服务器IP/wsusadmin访问WSUS的管理界面。输入Windows 2003系统的管理员账户和密码即可成功登录WSUS服务器。第一次成功登录WSUS的界面后,会在下方“待做事项列表”中看到“同步服务器,现在就开始”的提示信息,见图2,点击该选项开始设置WSUS。
图1 网络拓扑图
在同步选项设置界面,设置的参数较多,平常用到最多的是“计划”下的“手动同步”或“每天定时同步”,一般情况下设置为“每天定时同步”。另外还有“产品和分类”下方的设置,可以在产品处选择可供更新的产品种类,除了Windows外,还有Office、Exchange、SQL等产品的补丁和更新包都可以通过WSUS发布。在“更新分类”处可以详细设置提供下载的补丁类别,见图3。
图2 WSUS登陆界面
图3 服务器同步设置
设置“产品和分类”与“更新分类”后,还要选择更新的语言种类,在同步选项设置界面的最下方有一个“高级同步选项”,通过它可以设置更新的语言为简体中文。
图3所示界面的左侧点击“立即同步”将启动服务器的同步功能,服务器将连接微软官方Update服务器下载相应补丁。补丁类型已经在设定补丁操作中进行了选择,服务器将只下载满足设定条件的补丁,下载的补丁供客户端使用。在下载过程中是不能进行任何操作,只能点击“停止同步”来结束更新操作。由于学院机房内的计算机使用的都是Windows 2000操作系统,所以可以选择更新Windows 2000补丁包及驱动程序。
仅仅下载完更新包还不能提供补丁更新服务,还需要对刚刚下载的“安全和关键更新”进行复查和批准,经过批准的补丁才能让客户端下载(实际上批准过程就是服务器对下载补丁进行检查的过程)。在待做事项列表中点击“复查安全和关键更新”。在“更新”界面中可将所有补丁选中,选择完毕点击左侧“更新任务”栏中的“更改批准”,这样就会批准安装刚才下载的所有补丁,见图4。
图4 WSUS更新设置
点击“更改批准”后会进入“批准更新”窗口,可在批准下拉选项中选择“安装”,然后点击“确定”。现在,所有客户端就可下载并安装刚刚批准下载的补丁程序了,至此服务器上的所有设置完毕。
3.2 客户端设置
由于机房内部局域网的计算机环境为工作组环境,故需在每台WSUS 客户端上进行参数配置,这样客户端才能自动到WSUS 服务器获取更新。默认情况下,这些计算机都是通过微软官方的Update服务器下载补丁的,因此需要将它们的Update服务器手动修改为刚刚建立的WSUS服务器。在“运行”栏中输入“gpedit.msc”启动组策略。依次点击“本地计算机策略→计算机配置→管理模板”,右键点击“管理模板”,选择“添加/删除模板”。通过“添加”按钮将wuau模板加入到“当前策略模板”中,添加这个模板后才能对Update站点信息进行修改。接着依次进入“本地计算机策略→计算机配置→管理模板→Windows组件→Windows Update”,双击“配置自动更新”,然后选择自动更新补丁的类型,可以是手动更新也可以是自动更新。在“Windows Update”中双击“指定Intranet Microsoft更新服务位置”,将刚刚建立的WSUS服务器地址添加进来。
进入命令行模式,输入“wuauclt.exe /detectnow”命令启动更新,客户机会立刻连接WSUS服务器下载并安装补丁。在组策略的“配置自动更新”中设定自动更新让客户端定时到WSUS服务器下载补丁。所有的补丁安装过程都是在后台进行的,可以通过服务器上的管理界面来进行查看。
这样WSUS的设置工作就算完成了,学院机房计算机包括整个学校其他电脑都可使用配置好的WSUS服务器来更新多个微软产品的补丁,下载速度比连接官方站点快得多。而且,在实际使用过程中,还可通过WSUS的分组设定功能将不同用户划分到不同的更新组,从而实现学校内部计算机补丁下载的权限管理。
4 结束语
通过成功部署WSUS,我们已经将该方法应用到公共机房的计算机系统升级中,免除以往必须逐台安装更新的烦琐劳动,既保障了公共机房的日常顺利运行,又极大地减轻了管理人员的工作负担。
当然,没有任何一个系统可以百分之百地保护计算机设备,虽然微软提供了一些免费Windows系统补丁管理工具如WSUS,但它目前尚不能够强制性地运用系统进行特殊而精细的升级,必须等待下一次用户通过WSUS服务器进行检查的时候来予以实施。另外,学校机房的教学用机对于升级软件最大的顾虑就是软件的兼容性,若微软的升级软件影响到了计算机内部的某些软件系统,该如何进行处理,这些都是我们今后要考虑和逐步解决的问题。
参考文献:
[1]黄洁,董小英,伍大清. 基于开放式机房管理模式的探讨[J]. 湖南科技学院学报,2005,26(5):238-239.
[2]魏炜,关鸿志,等. 用SUS在局域网内更新Windows安全补丁[J]. 广东气象,2005.4:45-47.
[3]连良琦. 内联网部署WSUS服务群实施方案[J]. 华南金融电脑,2005.10:34-36.
[4]陈旻, 张戈. 局域网内微软补丁自动更新的实现[J]. 计算机时代,2005,10:56-58.
[5]李蔷. 网络机房管理的思考与实践[J]. 内蒙古财经学院学报,2004,3(3):35-38.
[6]刘丹, 马同伟. 计算机机房管理中若干问题的探讨[J]. 河南高等机电专科学校学报,2005.2:45-48.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
关键词:WSUS;安全补丁;系统更新;机房管理
中图分类号:TP308文献标识码:A文章编号:1009-3044(2007)04-11152-03
1 引言
高校机房承担着大量计算机实验课的任务,不同年级有不同的实验课内容,要求的实验环境也不同,构成的软件系统环境非常庞大。公共机房计算机数量猛增,规模不断扩大,由于学生的误操作以及病毒的泛滥很容易造成系统损坏甚至于瘫痪。因此,必须建立一套行之有效的系统升级维护方案,以保证实验教学的顺利进行,减轻实验室管理人员的工作量。
打补丁保安全是我们所熟知的基本安全常识,如何能够及时有效地为操作系统打上补丁已经成为公共机房安全运行管理工作的重要环节。目前Windows补丁有三种方式安装,一是下载补丁程序到本地手动安装,二是使用微软的Update网站进行在线安装,其三就是通过WSUS技术进行自动安装。三种方法各有优缺点:手动安装可以在不连网情况下进行,需人为判断系统安装什么补丁。在线安装的优点是简单实用,无需任何配置,缺点是在线升级的网站在国外,安装补丁会产生国际流量,适合于使用正版操作系统并且不用支付出国流量收费的用户。第三种自动升级方法的优点是,当有适合计算机的重要更新发布时,它会及时提醒机器的下载和安装,升级服务器可以部署在网络内部,用户在内网就能自动升级补丁程序,缺点是需要在用户的操作系统进行简单的配置。微软针对补丁自动升级管理给出了三种解决方案,分别是SUS、WSUS和SMS。本文针对局域网使用Windows操作系统的计算机在安全补丁自动更新方面的需求,介绍了WSUS的概念和网络拓扑结构,重点介绍了WSUS在服务器端和客户端的配置应用,以及在实验室具体实施的状况。
2 WSUS基本概念和功能
Software Update Services(SUS)是微软为客户提供的,致力于帮助用户对基于Windows2000/XP/2003等机器快速部署最新的重要更新和安全更新的免费软件。SUS由服务器组件和客户端组成,服务器组件负责软件更新服务,称为SUS服务器,用于安装在公司内网的Windows2000服务器上。服务器端是基于Web的工具管理和分发更新的功能。客户端组件是微软的自动更新服务(Automatic Updates),负责接收从服务器中传来产品更新信息。
Windows Server Update Server(WSUS)是微软公司继SUS之后推出的替代产品。相对于SUS有了以下的改进:
支持对更多微软产品进行更新,除了Windows,还有Office、Exchange和SQL等产品的补丁和更新都可以通过WSUS发布;
服务器端管理界面支持中文等更多语言;
对客户端的管理更加强大,可以对不同客户机分配不同的用户组,对不同的用户组分配不同的下载规则;
由于有了后台数据库支持,WSUS有了更多的统计和报表功能。
微软将在2006年6月停止对SUS服务的支持,建议原有的SUS服务器管理员将SUS服务替换为WSUS服务。
System Management Server (SMS)是微软提供的面向企业的网络管理软件,是基于Windows2000动态目录管理,适合大型企业,提供了远程故障处理工具,很大程度上减少了维护成本。
3 WSUS的配置
3.1 服务器端设置
WSUS服务器负责给整个局域网的机器发布安全补丁,所以应采取综合措施确保自身安全。WSUS服务器应放置在网络防火墙之后并保持及时安装最新补丁,其用户口令应该是最高强度的,运行的网络应用应比较单一且便于监视,还应该安装病毒防火墙,见图1。
WSUS安装相当容易,安装过程为纯中文界面,只要按照提示一步一步点下去就能完成安装。WSUS安装完毕后,打开浏览器,使用地址http://WSUS服务器IP/wsusadmin访问WSUS的管理界面。输入Windows 2003系统的管理员账户和密码即可成功登录WSUS服务器。第一次成功登录WSUS的界面后,会在下方“待做事项列表”中看到“同步服务器,现在就开始”的提示信息,见图2,点击该选项开始设置WSUS。
图1 网络拓扑图
在同步选项设置界面,设置的参数较多,平常用到最多的是“计划”下的“手动同步”或“每天定时同步”,一般情况下设置为“每天定时同步”。另外还有“产品和分类”下方的设置,可以在产品处选择可供更新的产品种类,除了Windows外,还有Office、Exchange、SQL等产品的补丁和更新包都可以通过WSUS发布。在“更新分类”处可以详细设置提供下载的补丁类别,见图3。
图2 WSUS登陆界面
图3 服务器同步设置
设置“产品和分类”与“更新分类”后,还要选择更新的语言种类,在同步选项设置界面的最下方有一个“高级同步选项”,通过它可以设置更新的语言为简体中文。
图3所示界面的左侧点击“立即同步”将启动服务器的同步功能,服务器将连接微软官方Update服务器下载相应补丁。补丁类型已经在设定补丁操作中进行了选择,服务器将只下载满足设定条件的补丁,下载的补丁供客户端使用。在下载过程中是不能进行任何操作,只能点击“停止同步”来结束更新操作。由于学院机房内的计算机使用的都是Windows 2000操作系统,所以可以选择更新Windows 2000补丁包及驱动程序。
仅仅下载完更新包还不能提供补丁更新服务,还需要对刚刚下载的“安全和关键更新”进行复查和批准,经过批准的补丁才能让客户端下载(实际上批准过程就是服务器对下载补丁进行检查的过程)。在待做事项列表中点击“复查安全和关键更新”。在“更新”界面中可将所有补丁选中,选择完毕点击左侧“更新任务”栏中的“更改批准”,这样就会批准安装刚才下载的所有补丁,见图4。
图4 WSUS更新设置
点击“更改批准”后会进入“批准更新”窗口,可在批准下拉选项中选择“安装”,然后点击“确定”。现在,所有客户端就可下载并安装刚刚批准下载的补丁程序了,至此服务器上的所有设置完毕。
3.2 客户端设置
由于机房内部局域网的计算机环境为工作组环境,故需在每台WSUS 客户端上进行参数配置,这样客户端才能自动到WSUS 服务器获取更新。默认情况下,这些计算机都是通过微软官方的Update服务器下载补丁的,因此需要将它们的Update服务器手动修改为刚刚建立的WSUS服务器。在“运行”栏中输入“gpedit.msc”启动组策略。依次点击“本地计算机策略→计算机配置→管理模板”,右键点击“管理模板”,选择“添加/删除模板”。通过“添加”按钮将wuau模板加入到“当前策略模板”中,添加这个模板后才能对Update站点信息进行修改。接着依次进入“本地计算机策略→计算机配置→管理模板→Windows组件→Windows Update”,双击“配置自动更新”,然后选择自动更新补丁的类型,可以是手动更新也可以是自动更新。在“Windows Update”中双击“指定Intranet Microsoft更新服务位置”,将刚刚建立的WSUS服务器地址添加进来。
进入命令行模式,输入“wuauclt.exe /detectnow”命令启动更新,客户机会立刻连接WSUS服务器下载并安装补丁。在组策略的“配置自动更新”中设定自动更新让客户端定时到WSUS服务器下载补丁。所有的补丁安装过程都是在后台进行的,可以通过服务器上的管理界面来进行查看。
这样WSUS的设置工作就算完成了,学院机房计算机包括整个学校其他电脑都可使用配置好的WSUS服务器来更新多个微软产品的补丁,下载速度比连接官方站点快得多。而且,在实际使用过程中,还可通过WSUS的分组设定功能将不同用户划分到不同的更新组,从而实现学校内部计算机补丁下载的权限管理。
4 结束语
通过成功部署WSUS,我们已经将该方法应用到公共机房的计算机系统升级中,免除以往必须逐台安装更新的烦琐劳动,既保障了公共机房的日常顺利运行,又极大地减轻了管理人员的工作负担。
当然,没有任何一个系统可以百分之百地保护计算机设备,虽然微软提供了一些免费Windows系统补丁管理工具如WSUS,但它目前尚不能够强制性地运用系统进行特殊而精细的升级,必须等待下一次用户通过WSUS服务器进行检查的时候来予以实施。另外,学校机房的教学用机对于升级软件最大的顾虑就是软件的兼容性,若微软的升级软件影响到了计算机内部的某些软件系统,该如何进行处理,这些都是我们今后要考虑和逐步解决的问题。
参考文献:
[1]黄洁,董小英,伍大清. 基于开放式机房管理模式的探讨[J]. 湖南科技学院学报,2005,26(5):238-239.
[2]魏炜,关鸿志,等. 用SUS在局域网内更新Windows安全补丁[J]. 广东气象,2005.4:45-47.
[3]连良琦. 内联网部署WSUS服务群实施方案[J]. 华南金融电脑,2005.10:34-36.
[4]陈旻, 张戈. 局域网内微软补丁自动更新的实现[J]. 计算机时代,2005,10:56-58.
[5]李蔷. 网络机房管理的思考与实践[J]. 内蒙古财经学院学报,2004,3(3):35-38.
[6]刘丹, 马同伟. 计算机机房管理中若干问题的探讨[J]. 河南高等机电专科学校学报,2005.2:45-48.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。