劉　姝　高桂英

摘要Windows Server Update Services(WSUS)是微軟公司提供的免費(fèi)軟件，它向Windows操作系統(tǒng)提供更新文件的分發(fā)?；诖思夹g(shù)構(gòu)建的WSUS服務(wù)器，可以向圖書館局域網(wǎng)中的用戶提供免費(fèi)的WSUS服務(wù)。使用此服務(wù)，可以快速進(jìn)行部分Windows操作系統(tǒng)的關(guān)鍵補(bǔ)丁更新，不僅大大節(jié)省了更新時(shí)間，同時(shí)也節(jié)省了網(wǎng)絡(luò)帶寬。該文詳細(xì)介紹WSUS系統(tǒng)在圖書館的部署和應(yīng)用。

關(guān)鍵詞系統(tǒng)更新WSUS圖書館

1前言

隨著圖書館信息化建設(shè)的發(fā)展，圖書館的日常運(yùn)轉(zhuǎn)越來越依賴計(jì)算機(jī)，各種書目信息的裝載及檢索、電子資源的服務(wù)及應(yīng)用等，無時(shí)無刻不需要計(jì)算機(jī)的支持。因此如何最大程度地保證計(jì)算機(jī)系統(tǒng)的運(yùn)行穩(wěn)定及系統(tǒng)安全正日益引起我們的關(guān)注。

回顧2003年，針對(duì)Windows系統(tǒng)漏洞的沖擊波病毒曾經(jīng)波及了全世界，同年針對(duì)SQL Server系統(tǒng)漏洞的Slammer蠕蟲也肆虐橫行。對(duì)于這類專門針對(duì)微軟系統(tǒng)漏洞傳播的病毒，如果不及時(shí)進(jìn)行系統(tǒng)文件更新，只是單純依靠防病毒軟件，病毒仍然會(huì)通過系統(tǒng)漏洞長(zhǎng)驅(qū)直入。因此及時(shí)更新操作系統(tǒng)的漏洞補(bǔ)丁，已成為提高系統(tǒng)安全性的重要手段。

2架設(shè)圖書館系統(tǒng)升級(jí)服務(wù)器的必要性

我們知道，微軟的Windows2000、Windows XP及以上版本的操作系統(tǒng)目前已具備自動(dòng)更新功能，即Windows系統(tǒng)會(huì)在國(guó)際網(wǎng)絡(luò)暢通的情況下，自動(dòng)連接微軟的Windows Update網(wǎng)站去例行檢查最新更新，這些最新更新可以保護(hù)計(jì)算機(jī)免受新的病毒感染和對(duì)系統(tǒng)安全造成威脅的攻擊。這些高優(yōu)先級(jí)的更新包括：安全更新、重要更新和Service Pack。微軟在提供分發(fā)系統(tǒng)更新文件的同時(shí)，還提供了WSUS(Microsoft Windows Server Update Services)軟件，使得用戶可以搭建自己的Windows Update服務(wù)器，通過使用Windows Server更新服務(wù)(WSUS)，管理員可以快速而可靠地將Windows 2000操作系統(tǒng)及更高版本、Office XP及更高版本、Exchange Server2003以及SQL Server 2000的最新關(guān)鍵更新和安全更新部署到相應(yīng)的操作系統(tǒng)上。

基于以上兩種條件，北大圖書館的計(jì)算機(jī)系統(tǒng)更新可以通過連接國(guó)際網(wǎng)，去Windows Update網(wǎng)站檢查是否對(duì)本系統(tǒng)有新的更新，如果出現(xiàn)更新提示，則通過人工干預(yù)的方式下載并安裝。這種方法雖然可以達(dá)到系統(tǒng)更新目的，但是對(duì)于北京大學(xué)特殊的網(wǎng)絡(luò)環(huán)境——需要國(guó)際IP網(wǎng)關(guān)才能連接WindowsUpdate網(wǎng)站，不僅會(huì)為計(jì)算機(jī)使用者產(chǎn)生大量的國(guó)際流量費(fèi)用，而且沒有國(guó)際網(wǎng)關(guān)的人員就不能實(shí)現(xiàn)Windows Update更新。因此學(xué)校的計(jì)算中心提供了WSUS更新服務(wù)器，以方便北京大學(xué)校內(nèi)計(jì)算機(jī)Windows Update更新。在這種環(huán)境下，圖書館的Windows Update可以連接到學(xué)校計(jì)算中心的WSUS服務(wù)器上下載更新，但這又突顯出了幾個(gè)問題，一是圖書館計(jì)算機(jī)維護(hù)人員無法了解圖書館內(nèi)每臺(tái)機(jī)器的更新情況(由于微機(jī)使用者的水平參差不齊，需要微機(jī)維護(hù)人員經(jīng)常關(guān)注計(jì)算機(jī)的系統(tǒng)安全)，二是檢查是否有新的更新時(shí)，等待時(shí)間較長(zhǎng)，給微機(jī)維護(hù)人員的工作帶來極大不便，三是系統(tǒng)在缺乏安全保障的情況下進(jìn)入Internet，容易給系統(tǒng)安全造成隱患。因此，我們利用微軟提供的WSUS軟件，構(gòu)建圖書館自己的Windows Update服務(wù)器，實(shí)現(xiàn)局域網(wǎng)內(nèi)快速、安全、有效的系統(tǒng)文件更新服務(wù)，使得每臺(tái)計(jì)算機(jī)都最大程度地保證了系統(tǒng)安全。

3原理及特點(diǎn)

目前我們較熟悉的微軟更新服務(wù)體系為三級(jí)結(jié)構(gòu)：Microsoft Update→本地企業(yè)網(wǎng)絡(luò)中的WSUS服務(wù)器→客戶端計(jì)算機(jī)的自動(dòng)更新。在部署WSUS之后，只需要配置客戶端計(jì)算機(jī)使用WSUS服務(wù)器上的更新服務(wù)，就可以輕松地享受WSUS服務(wù)器所帶來的好處。例如在大中型企業(yè)網(wǎng)絡(luò)，當(dāng)部署WSUS服務(wù)器以后，只有WSUS服務(wù)器才從Microsoft Up-date或者從另一臺(tái)WSUS服務(wù)器(稱之為上游服務(wù)器)下載更新，而內(nèi)部客戶端計(jì)算機(jī)則自動(dòng)訪問WSUS服務(wù)器來獲取更新，就不再需要訪問外部的Windows Update，從而節(jié)省了大量的網(wǎng)絡(luò)帶寬。

在圖書館局域網(wǎng)中架設(shè)微軟補(bǔ)丁升級(jí)服務(wù)器WSUS，可以幫助工作人員自動(dòng)、及時(shí)、全面地進(jìn)行微軟補(bǔ)丁升級(jí)，它就好像是微軟補(bǔ)丁升級(jí)網(wǎng)絡(luò)在局域網(wǎng)中的一個(gè)鏡像，其特點(diǎn)是：

●支持更多的微軟產(chǎn)品的更新，除了能為Win-dows操作系統(tǒng)提供補(bǔ)丁更新外，還支持其他的微軟產(chǎn)品的補(bǔ)丁更新，如Office、Exchange Server、SOLserver、ISA和Visual Studio等。

●對(duì)更新程序進(jìn)行管理，控制更新程序的分發(fā)：可以批準(zhǔn)更新在客戶端計(jì)算機(jī)上進(jìn)行安裝，或者僅僅是檢測(cè)客戶端計(jì)算機(jī)是否需要此更新，也可以拒絕此更新。

●每天都與微軟補(bǔ)丁升級(jí)網(wǎng)站或者上游服務(wù)器進(jìn)行同步，確保有最新、最全的補(bǔ)丁庫，所有補(bǔ)丁文件都下載到硬盤中等待下發(fā)。

●節(jié)省網(wǎng)絡(luò)帶寬。當(dāng)計(jì)算機(jī)接入網(wǎng)絡(luò)后，會(huì)自行下發(fā)補(bǔ)丁文件。因?yàn)槭莾?nèi)部局域網(wǎng)，所以補(bǔ)丁下載的速度比直接去微軟補(bǔ)丁升級(jí)網(wǎng)站快許多倍。

●能夠判斷每臺(tái)電腦中安裝的微軟產(chǎn)品，自動(dòng)下發(fā)各類所需要的補(bǔ)丁文件。同時(shí)建立每臺(tái)計(jì)算機(jī)打補(bǔ)丁的狀態(tài)庫，需要打多少補(bǔ)丁，已經(jīng)打了多少補(bǔ)丁，一目了然。

4圖書館局域網(wǎng)內(nèi)部署WSUS

4．1準(zhǔn)備安裝

在安裝WSUS之前要根據(jù)局域網(wǎng)的客戶機(jī)情況進(jìn)行合理的規(guī)劃，為WSUS選擇合理的硬件和軟件平臺(tái)。

4．1．1硬件要求

(1)系統(tǒng)分區(qū)和存儲(chǔ)WSUS更新文件的分區(qū)文件系統(tǒng)必須采用NTFS格式；

(2)進(jìn)行本地存儲(chǔ)時(shí)，存儲(chǔ)WSUS更新文件內(nèi)容的分區(qū)至少需要6G剩余空間，推薦30G，系統(tǒng)分區(qū)至少有1C的剩余空間；

(3)應(yīng)根據(jù)服務(wù)的客戶端數(shù)量來決定服務(wù)器的硬件配置，對(duì)于服務(wù)500個(gè)客戶計(jì)算機(jī)的v6sUS服務(wù)器，推薦采用至少為CPU 1G/內(nèi)存1G的硬件配置。

4．1．2軟件要求

默認(rèn)情況下，Windows Server操作系統(tǒng)是不包含WSUS組件的，我們需要通過在微軟下載中心下載WSUS安裝包，并安裝至服務(wù)器，WSUS服務(wù)器只能在Windows2000服務(wù)器或者Windows server 2003上進(jìn)行安裝。在不同的操作系統(tǒng)上進(jìn)行安裝時(shí)，WSUS所要求的已安裝軟件略為不同，在Windowsserver2003上進(jìn)行安裝時(shí)，要求必須安裝以下軟件：

(1)Intemet信息服務(wù)(IIS)6.0；

(2)后臺(tái)智能傳輸服務(wù)(BITS)2.0；

(3)Microsoft，NET Framework 1.1 Servioe PackI forWindows Server 2003。

WSUS服務(wù)器的軟硬件要求如表1示。

圖書館局域網(wǎng)客戶機(jī)數(shù)目接近500臺(tái)，屬于中小型局域網(wǎng)，考慮到未來的發(fā)展要求，我們選擇了一臺(tái)方正PC機(jī)來部署WSUS服務(wù)，它的配置是：P42.93GHz處理器、1GB內(nèi)存、80GB SCSI硬盤，并且安裝了Windows Server 2003操作系統(tǒng)，所有分區(qū)都采用了NTFS文件系統(tǒng)。

4．2安裝與配置服務(wù)器

4．2．1安裝WSUS。

從微軟的網(wǎng)站上下載WSUSSetup.exe并安裝。安裝WSUS的方法和普通軟件一樣，順著安裝向?qū)б徊揭徊竭M(jìn)行就可以了，但是在選擇安裝路徑的時(shí)候要注意所選擇的空間必須要大于6G，在網(wǎng)站選擇窗口，要選擇“使用現(xiàn)有IIS默認(rèn)網(wǎng)站”，整個(gè)安裝過程大約為15分鐘。安裝過程中的選項(xiàng)都可選取默認(rèn)的選項(xiàng)。

需要注意的是：WSUS提供了鏡像管理服務(wù)功能，它可以從網(wǎng)絡(luò)上的另一臺(tái)WSUS服務(wù)器(即上游服務(wù)器)中鏡像已批準(zhǔn)的補(bǔ)丁更新列表。我們選擇的是北京大學(xué)計(jì)算中心提供的WSUS服務(wù)器liveup-date.pku.edu.cn:80作為上游服務(wù)器，并同步鏡像其提供的補(bǔ)丁更新列表和所有規(guī)則。

安裝WSUS后，服務(wù)器啟動(dòng)時(shí)會(huì)自動(dòng)啟動(dòng)WSUS服務(wù)，我們可以在ⅡE中輸入：http://YourServerNameor IP address/WSUSAdmin來啟動(dòng)WSUS管理頁面(注：YourServerName or IP address即安裝的這臺(tái)WSUS服務(wù)器的計(jì)算機(jī)名或IP地址)。

4．2．2通過鏡像上游服務(wù)器，下載所有的系統(tǒng)更新補(bǔ)丁到本地WSUS服務(wù)器中。

在安裝WSUS的過程中已經(jīng)選擇了北京大學(xué)計(jì)算中心的更新服務(wù)器(liveupdate.pku.edu.cn:80)作為上游服務(wù)器，現(xiàn)在可以通過WSUS的管理頁面(如圖2)來下載和管理系統(tǒng)更新補(bǔ)丁了。

在WSUS管理頁面上會(huì)列出一些相關(guān)信息，有下載的更新數(shù)、加入WSUS的計(jì)算機(jī)、同步狀態(tài)、下載的狀態(tài)和需要做的待辦事項(xiàng)。進(jìn)入“同步選項(xiàng)”頁面中“在嚴(yán)計(jì)劃”一欄里選中“立即同步”，檢查“更新源”一欄中的上游“服務(wù)器名”是否為：liveupdate.pku.edu.cn，“端口號(hào)”是否為80，最后點(diǎn)擊“任務(wù)”一欄中的“立即同步”，如圖3所示。至此，開始從選定的上游WSUS服務(wù)器下載所有提供系統(tǒng)更新補(bǔ)丁到本地的WSUS服務(wù)器，下載過程需要幾個(gè)小時(shí)。

4．2．3批準(zhǔn)和部署更新。

在此步驟中，將批準(zhǔn)對(duì)所有客戶端計(jì)算機(jī)進(jìn)行更新。

(1)WSUS控制臺(tái)工具欄上，單擊“更新”。默認(rèn)情況下將對(duì)更新列表進(jìn)行篩選，從而只顯示那些批準(zhǔn)在客戶端計(jì)算機(jī)上進(jìn)行檢測(cè)的關(guān)鍵更新和安全更新。此過程使用默認(rèn)篩選條件。

(2)在更新列表上，選擇要批準(zhǔn)安裝的更新。有關(guān)選定更新的信息將顯示在“詳細(xì)信息”選項(xiàng)卡上。

(3)在“更新任務(wù)”下，單擊“更改批準(zhǔn)”。屏幕上將出現(xiàn)“批準(zhǔn)更新”對(duì)話框。

(4)在“選定更新的組批準(zhǔn)設(shè)置”列表中，單擊測(cè)試組“批準(zhǔn)”列中列表內(nèi)的“安裝”，然后單擊“確定”。

4．2．4查看“更新的狀態(tài)”報(bào)告

(1)在WSUs控制臺(tái)工具欄上，單擊“報(bào)告”。在“報(bào)告”頁上，單擊“更新的狀態(tài)”。

(2)如果要對(duì)更新列表進(jìn)行篩選，請(qǐng)?jiān)凇安榭础毕逻x擇要使用的條件，然后單擊“應(yīng)用”。

(3)如果要先按計(jì)算機(jī)組，然后再按計(jì)算機(jī)查看更新的狀態(tài)，請(qǐng)根據(jù)需要展開更新的視圖。

(4)如果要打印“更新的狀態(tài)”報(bào)告，請(qǐng)?jiān)凇叭蝿?wù)”下單擊“打印報(bào)告”。

4．3配置客戶端

(1)點(diǎn)擊“開始—運(yùn)行”，輸入gpedit.mac后點(diǎn)擊確定，打開組策略編輯器。選擇“計(jì)算機(jī)配置”，右擊“管理模板”，選擇“添加／刪除模板”：如果當(dāng)前策略模板中有“wuan”項(xiàng)則關(guān)閉窗口，直接進(jìn)行第3步；如果當(dāng)前策略模板中沒有“wuau”，則單擊添加／刪除模板窗口中的“添加”。

(2)選中策略模板中的“wuau.adm”策略文件，單擊“打開”，最后“關(guān)閉”此窗口。

(3)選擇點(diǎn)擊“本地計(jì)算機(jī)策略—計(jì)算機(jī)配置—管理模板—Windows組件—Windows Update”。

(4)分別設(shè)置“配置自動(dòng)更新”、“指定IntranetMicrosoft更新服務(wù)位置”和“允許非管理員接收更新通知”。

打開“配置自動(dòng)更新”，選擇“已啟用”，可選擇“3一自動(dòng)下載并通知安裝”，“0－每天”，“12:00”(如圖4)，這樣就可以自動(dòng)下載最新補(bǔ)丁，并于每天12"00通知安裝。

打開“指定Intranet Microsoft更新服務(wù)位置”，選擇“已啟用”，兩處都填入http://WSUS服務(wù)器的IP地址或計(jì)算機(jī)名(如圖5)。

打開“允許非管理員接收更新通知”，選擇“已啟用”(如圖6)，這樣，作為poweruser用戶的工作人員也能自己更新系統(tǒng)了。

(5)重新啟動(dòng)計(jì)算機(jī)，組策略會(huì)自動(dòng)更新，在WSUS服務(wù)器上就能看見這臺(tái)客戶端了。

上述WSUS客戶端的設(shè)置正確完成后，您的系統(tǒng)將具備系統(tǒng)文件更新提示功能，當(dāng)系統(tǒng)有新的文件系統(tǒng)更新時(shí)，桌面右下角將出現(xiàn)WindowsUpdate的圖標(biāo)。

需要說明的是，出于對(duì)計(jì)算機(jī)系統(tǒng)的安全考慮，圖書館的工作人員用戶都是POWERUSER組，而非管理員組，因此啟用了“允許非管理員接收更新通知”選項(xiàng)，以便工作人員自己可以操作從圖書館的這臺(tái)WSUS服務(wù)器上下載安全補(bǔ)丁。

當(dāng)客戶端啟動(dòng)了更新設(shè)置后，我們就可以在服務(wù)器上通過管理界面看到這些客戶端。當(dāng)然所有的補(bǔ)丁安裝過程都是在后臺(tái)進(jìn)行的，我們?cè)诳蛻舳松鲜遣蝗菀撞煊X的，要想了解客戶端的補(bǔ)丁安裝情況，可以通過服務(wù)器上的管理界面來查看。例如2007年9月18日，服務(wù)器管理界面顯示的客戶端更新情況如圖7示。

5結(jié)語

我們已成功部署WSUS，并將該方法應(yīng)用到圖書館的計(jì)算機(jī)系統(tǒng)升級(jí)中，既為計(jì)算機(jī)的安全提供了保障，也減輕了管理人員的工作負(fù)擔(dān)。

當(dāng)然，沒有任何一個(gè)系統(tǒng)可以百分之百地保護(hù)計(jì)算機(jī)系統(tǒng)。WSUS服務(wù)器目前還不能自動(dòng)檢測(cè)網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)，必須由客戶端主動(dòng)連接服務(wù)器，服務(wù)器才對(duì)其提供更新服務(wù)；另外，WSUS服務(wù)器提供分組分發(fā)更新補(bǔ)丁的功能，在今后?？梢赃M(jìn)一步考慮根據(jù)機(jī)器配置的不同，將圖書館工作人員用機(jī)、OPAC檢索用機(jī)、服務(wù)器等分成不同的組，針對(duì)各組機(jī)器的工作范圍及功能，提供不同的軟件補(bǔ)?。坏谌?，升級(jí)軟件最大的顧慮就是軟件的兼容性，若微軟的升級(jí)軟件影響到某些軟件系統(tǒng)，該如何進(jìn)行處理等等，這些都是我們今后要考慮和逐步解決的問題。