|
查看: 6215|回复: 28
|
使用WSUS3自动更新及管理Domain Computers的安全补丁[更新:1/5/2007)
[复制链接]
|
|
|
简介:
Patch Management, 中文称之为补丁管理,是管理网络安全(Network Security)里不可忽视的重要部分。 在Windows系统,尤其是基于NT Kernel的系统如Windows 2000, Windows XP, Windows Server 2003的广泛使用,造成了此种类型的系统成为黑客(Hackers )或蠕虫(Worms)攻击的主要目标。
众所周知,Microsoft每月都会发表新的安全补丁(Security Patch)更新Windows系统所发现的安全漏洞,并建议使用者通过Windows Update, Microsoft Update或Automatic Updates来更新系统。
在局域网(Local Area Network)上,大量电脑(数目从20-1000之间),都必须按时更新系统,尤其是加入Domain的Windows 2000 Professional和 Windows XP Professional,需要不断的更新。这对系统管理员(System Administrator),确保每部电脑的系统都更新最新的安全补丁,是一种恶梦。那么我们要怎么解决这种问题,如何有效并轻易的管理所有网络上电脑的安全补丁,确保它们都有安装最新的补丁和了解每部电脑补丁安装的状况。
为了解决这个问题,Microsoft推出了Windows Server Update Services(WSUS),取代之前推出的SUS(Software Update Services),来更有效及方便的执行补丁管理, 这就是本文重点,我将在这个星期里写出如何使用WSUS来管理所有网络上电脑的补丁。
WSUS支援以下的更新:
1。Windows
Windows 2000
Windows XP
Windows XP 64-bit Edition Version 2003
Windows XP x64 Edition
Windows Vista Business/Ultimate
Windows Server 2003
Windows Server 2003 x64 Edition
Windows Server 2003 Datacenter Edtion
2。Exchange Server
Exchange 2000 Server
Exchange Server 2003
Exchange Server 2007
3。SQL Server
SQL Server 2000
SQL Server 2005
4。Office
Office XP/2002
Office 2003
Office 2007
并支援以下更新类型:
1。Critical Updates
重要及急需的更新
2。Drivers
新的驱动程式
3。Feature Packs
新的功能包
4。Security Updates
系统安全补丁
5。Service Packs
系统服务包
6。Tools
新的工具
7。Update Rollups
更新的最新更新
8。Updates
更新
WSUS运作原理:
1。通过Internet Information Service(IIS)的Web Extension,建立主要管理界面和让使用者进行WSUS设定管理和监督工作。
2。通过新的Group Policy Object(GPO),设定所有Domain Computer的Automatic Updates,将它们的联系方式改成WSUS管理方式。
3。执行Updates Services(WSUS的组成部分),监督和进行分配补丁工作。
WSUS界面及功能预览:
1。
WSUS主要管理界面
2。
没有被批准的更新(Unapproved Updates)
3。
一些电脑还需要的更新(Needed Updates)
4。
更新的安装状况(Installation Status),显示所有已经安装有关此更新的电脑。
系统需求:
OS: at least Windows Server 2003 SP1 or Windows 2000 Server SP4
Required Network Service:
1。Active Directory/Domain Controller-用来执行Group Policy Object(GPO)管理所有Domain Computer的Automatic Updates设定。
2。Application/IIS:提供一个管理界面来设定及管理WSUS。
Licence: WSUS的软体证件(Software Licence)是根据Windows Server 2003 Client Access License(CAL),意即如果你有20 CALs,那么你可以使用WSUS的电脑就是20。
下载:
文件名:WSUSSetup.exe
大小:127,415KBytes
版本:2。0。0。2472
费用:免费,根据Windows Server CALs
网址: http://www.microsoft.com/windows ... downloads/WSUS.mspx
文件名:WSUS3Setupx86.exe
大小:81,305KBytes
版本:3。0。6000。374
费用:免费,根据Windows Server CALs
网址:http://www.microsoft.com/downloads/details.aspx?FamilyId=E4A868D7-A820-46A0-B4DB-ED6AA4A336D9&displaylang=en
注:WSUS只能安装在Windows Server 2003 SP1和Windows 2000 Server SP4, 非Server系统如Windows 2000 Professional和Windows XP Professional 都不能安装。
作者系统统配备:
CPU: Intel Pentium 4 2.4Ghz with HyperThreading
System Bus : 800Mhz
RAM: 4x512MB Dual Channel DDR400, Total: 2.0GB RAM
Harddisk: Maxtor 6Y080M0 with 8MB Cache
OS : Windows Server 2003 SP1
Network Service installed:
Active Directory/Domain Controller: Yes, running
DNS Server: Yes, running
DHCP Server: Yes, running
Application Server/IIS: Yes, running WSUS Port:8530, running SharePoint Services Port:32622
File Server: Yes, running
Terminal Server: Yes, running
Remote Access/VPN Server: Yes, running
WINS Server: Yes, running
Apache Web Proxy Server: Yes, running Port:8080
[ 本帖最后由 goolb78 于 1-5-2007 09:55 PM 编辑 ] |
评分
-
查看全部评分
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 21-10-2005 02:27 PM
|
显示全部楼层
(1)安装前准备工作和进行WSUS安装
安装前准备工作:
1。确保IIS已经正确安装,你可以通过Manage Your Server来检查, 参考Windows Server 2003的IIS安装方法,将之安装,安装完毕后就如图下的画面。
2。Group Policy Management Console(GPMC)是管理和编辑GPO的主要工具。它提供了简易及快捷的方式管理Domain Controller的所有GPOs. Microsoft已经推出GPMC SP1,支持Windows XP Professional SP2和Windows Server 2003 SP1,它是免费工具,建议将之安装:-
下载网址:http://www.microsoft.com/downloa ... &displaylang=en
安装WSUS要注意事项
1。安装WSUS是一个简单的工作,按照安装程式的指示,我们的只需要按"Next",可是有一项是需要注意的事项,那就是安装程式会询问你是否要将WSUS安装在Port 80,或Port 8530。笔者建议使用Port 8530,就算你的电脑没有网站在使用Port 80, 将Port 80保留在使用主要网站的用处,将其他使用IIS的程式安装使用其他的Port。这样一来我们可以在以后设立主要网站在Port 80,而不会因为安装了其他程式如WSUS在Port 80,而必须重新设定过。安装程式也会询问你输入使用者和密码。请输入你所要的使用者和密码。
*Port 80是Web Server使用的标准Port,绝大部分的Web Server都是使用这个Port。
2。当安装完毕后,如果系统要求你重新启动电脑,请重新启动电脑。
执行WSUS管理界面
1。如果你的WSUS安装在Port 8530, 那么你要打开WSUS的管理界面就是将WSUS的网址输入IE(Internet Explorer)的网址(笔者没有试过其他浏览器,不过笔者强烈建议IE, Microsoft 软体总是在Microsoft 的工作环境特别的稳定。):
http://yourservername:8530/wsusadmin/
* yourservername代表你的WSUS Server在网络(Network)的名字,就是我们知道的Network ID或者在Windows XP和Windows Server 2003称之为Computer Name。
2. WSUS会询问你有关使用者和密码,这个使用者和密码是安装程式在安装WSUS时要求输入的,请将正确的使用者和密码输入。接着WSUS的管理界面就会出现。
[ 本帖最后由 goolb78 于 19-5-2006 08:06 AM 编辑 ] |
评分
-
查看全部评分
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 21-10-2005 03:21 PM
|
显示全部楼层
(2)设定WSUS工作方式
1。将WSUS Server和Microsoft Update同步化(Synchoronized)
在WSUS主要网页,选择Options, 然后Synchronization Options。
首先,将WSUS和Microsoft Update同步化最主要目的是确保WSUS能不断的接收Microsoft Update最新的更新(Updates),让WSUS在指定时间里不断到Microsoft Update接收需要的最新更新。
a) 建议使用"Synchonize daily at: xx:xx",让WSUS自动地每天向Microsoft Update同步化,这里需要注意的是时间编排,请尽量选择非Internet繁忙时间,因为如果你在繁忙时间同步化,对其他网络使用者来说是干扰的。
笔者建议"Synchonize daily at: 03:00",亦即在夜晚3时进行同步化。
b) 我们可以指定WSUS需要那种软体的最新更新和其更新类型。在Products里面,你可以选择Domain Computers需要更新的软体,就如以下图示。
注意:为了让WSUS更有效的管理更新,请选择需要的OS,不要选择没有使用的OS,因为这样会让WSUS的数据库(Database)庞大,执行得比较慢。
在更新类型里,笔者建议选择:Critical Updates, Security Updates, Updates Rollups, Updates。有鉴于Service Packs的容量很大,笔者选择手动更新。
注意:为了让WSUS更有效的管理更新,请选择需要的更新类型,不要选择没有使用的更新类型,因为这样会让WSUS的数据库(Database)庞大,执行得比较慢。
c) 如果你的网络有使用Proxy Server,你可以使用它来进行同步化,本文没有详述。
d) Updates Source里我们可以选择WSUS Server同步化的对象。如果这是你的唯一的WSUS Server,选择Synchornozie from Microsoft Update.如果你有多部的WSUS Server,你可以指定向那部WSUS Server同步化。
e) WSUS支援多种语言的更新,如果你需要的话,可以选择需要更新的语言。
注意:为了让WSUS更有效的管理更新,请选择需要的更新语言,不要选择没有使用的更新语言,因为这样会让WSUS的数据库(Database)庞大,执行得比较慢。
f)请按Save Settings储存所有的Synchronization Options。
2。自动批准已下载的更新
在WSUS主要网页,选择Options, 然后Automatic Approval Options。
a) Approve for Detection:自动侦察所指定的更新类型和此设定所包括的电脑群。
笔者建议选择Critical Updates, Security Updates和All Computers为此种默认选择。
b) Approve for Installation:自动安装所指定的更新类型和此设定所包括的电脑群。
笔者建议选择Critical Updates, Security Updates和All Computers为此种默认选择。
注:有鉴于Domain Users是没有Administrator的权限,如果你没有设置好这个选项,所有更新是不能自动更新,也不能自动安装。
c) Revisions to updates: 是否要自动批准和安装最新改良的更新。
笔者建议选择Automatically approve the latest revision of the updates。
d) Windows Server Update Services Updates:是否也批准和安装最新的WSUS更新
笔者建议选择Automatically approve WSUS Updates。
e)请按Save Settings 储存所有的Automatic Approval Options。
3。电脑分门别类选项
在WSUS主要网页,选择Options, 然后Computers Options.
a) Computers Options:是否让WSUS自动分门别类新加入的电脑,还是使用GPO来控制有关的工作
笔者建议选择Use the Move computers task in Windows Server Update Services来分门别类新加入电脑。
b)请按Save Settings 储存所有的Computers Options.
完成了以上3个步骤之后,接下来的工作就是让WSUS Server自动地和Microsoft Update同步化,WSUS Server会自动的下载所有指定的更新类型。
你可以让WSUS在指定的时间去进行同步化,也可以即刻进行同步化:
在WSUS主要网页,选择Options, 然后Synchronization Options,然后选择Synchoronize now。
[ 本帖最后由 goolb78 于 19-5-2006 08:06 AM 编辑 ] |
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 21-10-2005 06:40 PM
|
显示全部楼层
(3)使用GPO让所有Domain Computers自动使用WSUS来自动更新
Group Policy Object(GPO)是Domain Controller非常重要的组成部分。GPO最重要的功能是通过编辑特别的设定,让所有的Domain Computers都使用这些设定。使用者在登录Domain时,Domain Controller就将所有GPOs传送至Domain Computer,并进行自动的更改其系统设定。
通过GPOs, 我们可以确定特别的设定都实践在Domain Computes的设定中。这对实行Managed Environment,更能轻易及方便。
建立新的GPO来管理WSUS设定
1。Start -> Administrative Tools -> Group Policy Management
2。右击Group Policy Object,然后选择New, 输入你要的名字,列如:WSUS Automatic Updates Client's Computer, 然后按OK。
3。在Group Policy Object Editor视窗,打开Computer Configuration -> Administrative Templates -> Windows Components -> Windows Update。右边的设定是可以修改的。(如以下图示)
4。修改以下的设定:
a) Configure Automatic Updates
选择Enabled,4. Automatic download and schedule the install,6. Every Friday, 13:00。(如以下图示)
注:选择正确的时间表,可以确保Automatic Updates能及时更新所有的电脑。
b) Specify intranet Microsoft update service location
选择Enabled, http://yourservername:8530。(如以下图示)
c) No auto-restart for scheduled Automatic Updates'installations
选择Enabled。
注:记得选择Enabled, 如果没有选择这个,当Automatic Updates更新电脑后,它就将在5分钟后就自动重新启动电脑,那么使用者在打开的文件也因为自动重新启动电脑而没有储存,使用者一般都不喜欢这种情况发生。
d) Automatic Updates detection frequency
选择Enabled。22hours
e) Allow Automatic Updates Immediate Installation
选择Enabled。
注:如果这个设定是Disabled, 那么WSUS会根据Configure Automatic Updates的时间表来更新电脑。
f) Allow non-administators to received update notifications
选择Disabled。
注:选择Disabled,可以避免使用者因为时常出现黄色的感叹号(!) ,而对其使用的电脑感到厌倦和担心。
5。关闭Group Policy Object Editor视窗。右击yourdomainname -> Link an existing GPO -> WSUS Automatic Updates Client's Computer
* yourdomainname就是你的Domain名字
注:如果GPO没有连接,WSUS的设定就不能生效。
6。确保GPO已经完全的连接在yourdomainname。(如以下图示)
[ 本帖最后由 goolb78 于 19-5-2006 08:07 AM 编辑 ] |
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 21-10-2005 10:12 PM
|
显示全部楼层
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 23-10-2005 07:08 PM
|
显示全部楼层
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 24-10-2005 11:17 AM
|
显示全部楼层
[size=-2]原帖由 warzero 于 17-10-2005 18:00 发表
期待goolb78網友早日完成這個教學。 
等教學完成后,再來一起加分加精華吧。
总算完成了。期望这个创作能分享Patch Management的概念和管理给大家。
[ 本帖最后由 goolb78 于 24-10-2005 03:27 PM 编辑 ] |
|
|
|
|
|
|
|
|
|
|
|
发表于 24-10-2005 02:15 PM
|
显示全部楼层
期待的好文章終于完成了。 
那麽在此正式加入為精華III和300分作爲獎勵。
希望goolb78網友可以早日將Windows Server 2003的文章早日完成。
另: 關於之前的一些網友們的回帖我刪除掉了。目的是要弄得更整齊。 |
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 24-10-2005 03:31 PM
|
显示全部楼层
原帖由 warzero 于 24-10-2005 14:15 发表
期待的好文章終于完成了。
那麽在此正式加入為精華III和300分作爲獎勵。
希望goolb78網友可以早日將Windows Server 2003的文章早日完成。
另: 關於之前的一些網友們的回帖我刪除掉了。目的是要弄得更 ...
谢谢版主的加分+精华鼓励,我会完成关于Windows Server 2003的创作。
P/S: 我对Windows Server System有兴趣,请问版主可否要求管理员开新版关于Server System,我希望申请该版版主,希望能在Server方面更能精益求精。 |
|
|
|
|
|
|
|
|
|
|
|
发表于 26-10-2005 03:06 PM
|
显示全部楼层
谢谢 , goolb78.
小弟有个问题想问。
我是用 window server 2000 SP4的。根据 Microsoft的 white paper,我到了 Group policy object editor 的 step.可是找不到 Group policy object editor ,只好在 run打 mmc.我是用 server side targeting,根据 Microsoft white paper,我应该在这个时候看到 client的,当我打开 WSUS 时,为什么我看不到呢?
第二,怎样 create a new policy object for WSUS settings,and link the GPO on the domain level 呢?怎样知道成功弄到了呢? |
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 26-10-2005 03:16 PM
|
显示全部楼层
请详读本文。
1。请安装GPMC,本文有提到。Windows 2000 Server支援GPMC,请下载。如果你使用GPO,Server必须安装有Domain Controller或网络必须有Domain Controller( 这是必需条件)。
2。关于这个问题,我已经在上面写得很清楚。如果你的WSUS GPO设定准确。那么你的WSUS首页会看到Client开始报告的信息。
请注意WSUS GPO的Link Enabled,如果已经linked,那么它就显示Yes。
[ 本帖最后由 goolb78 于 26-10-2005 03:53 PM 编辑 ] |
|
|
|
|
|
|
|
|
|
|
|
发表于 26-10-2005 05:49 PM
|
显示全部楼层
|
试过了。或许老大可以给小弟 link 吗?你给的 gpmc 不能 support windows 2000 server... |
|
|
|
|
|
|
|
|
|
|
|
发表于 26-10-2005 06:11 PM
|
显示全部楼层
|
Domian controller 怎样使用 呢?Domian controller去哪里找呢?不好意思,小弟第一次接触,是新手。有劳老大教导和多多包涵.如有得罪,敬请海涵... |
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 27-10-2005 08:36 AM
|
显示全部楼层
原帖由 johnsonlim026 于 26-10-2005 18:11 发表
Domian controller 怎样使用 呢?Domian controller去哪里找呢?不好意思,小弟第一次接触,是新手。有劳老大教导和多多包涵.如有得罪,敬请海涵...
GPMC并不能在Windows 2000 Server直接执行,可是你可以使用Windows XP Professional来进行Windows 2000 Server的GPO编辑。
关于Domain Controller,你必须设定Active Directory和DNS。详情你可以参考:
Windows Deployment and Resource Kits:http://www.microsoft.com/windows/reskits/default.asp
如果你的Server是已经安装Domain Controller(Active Directory),就如图下:
 |
|
|
|
|
|
|
|
|
|
|
|
发表于 27-10-2005 09:42 AM
|
显示全部楼层
|
在 Window XP Professional进行Windows 2000 Server的GPO编辑,怎样搬过去Window 2000 server 使用呢?不明白.... |
|
|
|
|
|
|
|
|
|
|
|
发表于 27-10-2005 11:31 AM
|
显示全部楼层
|
请问,我需要在 domain controller(Active directory)做什么? |
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 27-10-2005 12:48 PM
|
显示全部楼层
原帖由 johnsonlim026 于 27-10-2005 11:31 发表
请问,我需要在 domain controller(Active directory)做什么?
在你的Windows XP Professional安装GPMC SP1,条件是你的Windows XP Professional必须登录Windows 2000 Server SP4所建立的Domain.那GPMC就可以让你不用在Windows 2000 Server的主机上,也可以编辑GPO。
Domain Controller(Active Directory+DNS)是需要安装的。当你的Server开始操作当儿,你就必须建立新的Domain。你必须要详细作好准备和参考使用手册,不然的话,你会面对比较多的问题。 |
|
|
|
|
|
|
|
|
|
|
|
发表于 27-10-2005 01:54 PM
|
显示全部楼层
|
请问怎么 set domain呢?和哪里找手册?? |
|
|
|
|
|
|
|
|
|
|
|
发表于 16-11-2005 08:47 PM
|
显示全部楼层
我成功 detect 到 client 了。可是面对几个问题:
1.当我在 Status Of Computer 要expand client的资料时,IE prompt out error message 后,Wsus administrative console 就自动关掉 .在client试过了,也是一样.请问我有需要 configure一些 settting 或 哪里出了问题? 想了很久,还是找不到问题在哪里。 |
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 17-11-2005 08:19 AM
|
显示全部楼层
在Domain Computer是不需要任何設定﹐只需要加入Domain。 你可否捉圖拿來看看﹖
|
|
|
|
|
|
|
|
|
|
| |
 本周最热论坛帖子
|
变色卡
千斤顶
3116 
48
