肖 紅

（山東工商學(xué)院圖書館，山東 煙臺 264005）

1 引言

目前網(wǎng)絡(luò)上相當(dāng)比例的惡意攻擊是利用微軟的操作系統(tǒng)設(shè)計缺陷展開的，這個缺陷或錯誤可以被不法者或者電腦黑客利用，通過植入木馬、病毒等方式來攻擊或控制整個電腦，進(jìn)而會威脅到整個局域網(wǎng)的安全。因此及時更新操作系統(tǒng)的漏洞補(bǔ)丁，已成為提高系統(tǒng)安全性的主要手段。通常安裝補(bǔ)丁程序的方式是自動通過HTTP/HTTPS協(xié)議直接連接到Microsoft Update來下載更新程序，而這樣做的弊端是在客戶端數(shù)量較多的情況下，會極大地影響學(xué)校的外部網(wǎng)絡(luò)帶寬。

圖書館局域網(wǎng)內(nèi)部分計算機(jī)未能及時安裝補(bǔ)丁程序，是由以下幾方面原因造成的：一是部分使用者不能認(rèn)識到補(bǔ)丁程序重要性；二是等待更新的時間較長；三是部分電腦考慮系統(tǒng)安全的問題不能連入互聯(lián)網(wǎng)。因此，我們需要利用微軟提供的WSUS軟件，來構(gòu)建圖書館自己的補(bǔ)丁更新服務(wù)器，實現(xiàn)局域網(wǎng)內(nèi)快速、安全、有效的系統(tǒng)文件更新服務(wù)，使得每臺計算機(jī)都最大程度地保證系統(tǒng)安全。

2 WSUS特性

2.1 WSUS簡介

WSUS（Windows Server Update Services）是 Windows操作系統(tǒng)的升級服務(wù)，通過在內(nèi)部網(wǎng)絡(luò)中配置WSUS服務(wù)器，所有Windows的更新都能集中下載到這個服務(wù)器中，內(nèi)部網(wǎng)絡(luò)中的客戶機(jī)就可以通過WSUS服務(wù)器得到更新，沒有連接Internet的計算機(jī)只要在內(nèi)網(wǎng)中能順利訪問WSUS服務(wù)器，也可實現(xiàn)隨時安裝補(bǔ)丁，有效地防止漏洞型病毒在內(nèi)網(wǎng)傳播。這既節(jié)省了資源，又提高了計算機(jī)和網(wǎng)絡(luò)的安全性。

2.2 架設(shè)WSUS服務(wù)器的優(yōu)點

①更新速度快，節(jié)省外部網(wǎng)絡(luò)帶寬。因為所有客戶端更新補(bǔ)丁時都是從內(nèi)網(wǎng)服務(wù)器下載，這樣極大地節(jié)省外部網(wǎng)絡(luò)帶寬。

②通過選擇的方式更新程序。包含F(xiàn)eature Pack、Service Pack、安全更新、關(guān)鍵更新、更新程序、更新程序集、工具、驅(qū)動程序等都可以選擇從Microsoft Update下載至本地安裝源。

③對更新程序進(jìn)行管理，控制更新程序的分發(fā)?？梢耘鷾?zhǔn)更新在客戶端計算機(jī)上進(jìn)行安裝，或者僅僅是檢測客戶端計算機(jī)是否需要此更新，也可以拒絕此更新程序。

④對網(wǎng)絡(luò)中的客戶端計算機(jī)進(jìn)行分組，控制更新程序在不同客戶端計算機(jī)上的分發(fā)。

⑤補(bǔ)丁全。支持更多微軟產(chǎn)品的更新,除了能為Windows操作系統(tǒng)提供補(bǔ)丁更新外，還支持其他微軟產(chǎn)品的補(bǔ)丁更新，如 Office、Exchange Server、SQLserver、ISA 和 Visual Studio等。

3 WSUS服務(wù)器的架設(shè)

3.1 方案設(shè)計

通常情況是在網(wǎng)絡(luò)中部署1臺WSUS服務(wù)器，當(dāng)網(wǎng)絡(luò)具有很大規(guī)模時，1臺WSUS服務(wù)器可能無法滿足需求，此時就可以使用多臺WSUS服務(wù)器組成鏈?zhǔn)浇Y(jié)構(gòu)。WSUS服務(wù)器不僅僅可以從Windows Update中獲取更新程序，也可以從其他WSUS服務(wù)器中獲取更新程序。

部署1臺WSUS服務(wù)器的網(wǎng)絡(luò)結(jié)構(gòu)如圖1。它直接將內(nèi)容與Microsoft Update同步，然后再將更新程序分發(fā)到客戶端計算機(jī)。WSUS服務(wù)器使用HTTP（TCP 80）和HTTPS（TCP 443）從Microsoft Update獲取更新程序，如果在內(nèi)部和外部網(wǎng)絡(luò)之間部署有防火墻，必須在防火墻上允許WSUS服務(wù)器到Microsoft Update站點的訪問。

3． 2 WSUS服務(wù)器硬件和軟件的安裝需求

WSUS服務(wù)器的硬件和軟件要求是根據(jù)網(wǎng)絡(luò)中需要進(jìn)行更新的客戶端計算機(jī)數(shù)量來決定的（見表1）。

表1

3.3 WSUS3.0服務(wù)器端的安裝

首先從微軟網(wǎng)站下載WSUS安裝程序，目前最新版本為3.0，雙擊下載的安裝程序，自解壓完成后，會自動彈出安裝向?qū)?，單擊“下一步”按鈕，選擇“包括管理控制臺和完整服務(wù)器安裝”項，接下來就按照提示進(jìn)行相應(yīng)的設(shè)置即可完成安裝。安裝過程需要注意以下幾點：

①WSUS3.0的一個重要新功能是支持把服務(wù)器程序和管理控制臺分離安裝。這里可以選擇第一項同時安裝服務(wù)器程序和管理控制臺，當(dāng)然也可以只安裝服務(wù)器，然后把管理控制臺安裝在局域網(wǎng)中任意一臺機(jī)器上。

②選擇存儲位置。Microsoft Update上的每個可用更新都由以下兩部分構(gòu)成：元數(shù)據(jù)和更新文件。元數(shù)據(jù)是提供有關(guān)更新的信息，更新文件是指在計算機(jī)上安裝更新所需的實際文件。將更新同步到WSUS服務(wù)器時，元數(shù)據(jù)和更新文件將存儲在兩個不同的位置。元數(shù)據(jù)存儲在WSUS數(shù)據(jù)庫中，而根據(jù)配置同步選項的方式，更新文件可存儲在WSUS服務(wù)器上（即本地存儲），也可存儲在Microsoft Update服務(wù)器上（即遠(yuǎn)程存儲）。一般情況下選擇本地存儲。

③數(shù)據(jù)庫選擇。WSUS數(shù)據(jù)庫存儲的信息包括：WSUS服務(wù)器配置信息；用于描述更新程序作用的元數(shù)據(jù)；客戶端計算機(jī)、更新程序信息以及客戶端計算機(jī)所進(jìn)行的更新情況。在Windows server 2003上安裝時默認(rèn)使用WMSDE數(shù)據(jù)庫。

④網(wǎng)站選擇。WSUS與IIS服務(wù)器結(jié)合創(chuàng)建Web站點來實現(xiàn)更新程序的分發(fā)，可以配置WSUS Web站點共享使用默認(rèn)Web站點（服務(wù)端口為TCP 80）或者使用其他的端口為客戶端計算機(jī)提供服務(wù)。在安裝WSUS服務(wù)器時，如果你不選擇使用默認(rèn)的Web站點，那么WSUS將創(chuàng)建自定義的Web站點并在TCP端口8530偵聽HTTP連接請求。

3.4 WSUS3.0服務(wù)器配置

在完成WSUS的安裝后，安裝程序會自動跳轉(zhuǎn)到“WSUS配置向?qū)А薄Ｊ紫冗M(jìn)入“選擇上游服務(wù)器”的對話框（選擇“從microsoft update”進(jìn)行同步或從其他WSUS服務(wù)器進(jìn)行同步）→“語言”（更新補(bǔ)丁的語言類型）→“選擇產(chǎn)品”（微軟產(chǎn)品類型）→“選擇分類”（補(bǔ)丁類型）→“設(shè)置同步計劃”（選擇手動或自動同步，并設(shè)置同步周期和時間）（見圖2）。

3.5 WSUS3.0服務(wù)器管理

①自動審批。從上游WSUS上同步下載的更新需要經(jīng)過審批才能允許布署到客戶端安裝，自動審批就不需要我們?nèi)ゲ榭疵恳粋€更新，再逐個審批更新了。在“審批規(guī)則”選項卡里已經(jīng)有“默認(rèn)的自動審批規(guī)則”，規(guī)則屬性欄里顯示的是在什么狀況下會進(jìn)行自動審批。我們可以單擊帶下劃線的選項進(jìn)行編輯，也可以刪除或新建規(guī)則（見圖3）。

②在WSUS 3.0里，還可以通過“服務(wù)器清理向?qū)А睂Ψ?wù)器上的更新文件進(jìn)行清理，這個功能在WSUS2.0里是不曾有的。

③查看報告，點擊左邊工具菜單欄的“報告”，會顯示我們可以查看的各種更新報告和計算機(jī)報告，但是查看報告，需要安裝有“Mircrosoft Report viewer 2005 Redistributable”這個組件。

4 客戶端配置

4.1 在域環(huán)境下，用組策略是效率最高的方法

在域控制器上依次點擊開始→程序→管理工具→Active Directory用戶和計算機(jī)，右鍵點擊域，選擇屬性。在屬性中切換到組策略標(biāo)簽，選擇默認(rèn)組策略“Default Domain Policy”。

編輯“配置自動更新”策略，如圖4所示，在此策略中我們選擇啟用自動更新，并且將自動更新模式配置為自動下載并通知安裝，在此模式下客戶機(jī)會自動下載補(bǔ)丁但在安裝補(bǔ)丁前會通知用戶。

編輯“指定Intranet Microsoft更新服務(wù)位置”策略，如圖5所示，在此策略中可以設(shè)定WSUS更新服務(wù)器和統(tǒng)計服務(wù)器。Intranet更新服務(wù)器提供補(bǔ)丁下載，Intranet統(tǒng)計服務(wù)器提供報表統(tǒng)計。

4.2 非域環(huán)境下客戶端的配置

運行“Gpedit.msc”打開組策略編輯器。在組策略編輯器中，依次單擊“計算機(jī)配置→管理模板→Windows組件→Windows Update”。在右側(cè)雙擊“配置自動更新”，將自動更新策略設(shè)置為“啟用”，并設(shè)置為“自動下載并計劃安裝”（見圖4）。

雙擊“指定Intranet Microsoft更新服務(wù)位置”，選擇“已啟用”項，在“為檢測更新設(shè)置Intranet更新服務(wù)”下方輸入http：//WSUS服務(wù)器的機(jī)器名稱或者IP地址（見圖5）。重新啟動計算機(jī)，這時客戶端組策略便會刷新，設(shè)置便會起作用。

5 小結(jié)

操作系統(tǒng)是網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)，病毒的泛濫在很大程度上是由于操作系統(tǒng)的補(bǔ)丁沒有及時安裝。利用WSUS，客戶端能及時發(fā)現(xiàn)、獲取微軟的更新補(bǔ)丁，再配合防火墻和防病毒軟件，可以有效避免因系統(tǒng)漏洞引起的病毒爆發(fā)和惡意攻擊。我們在減少維護(hù)工作量的同時，更重要的是使圖書館網(wǎng)絡(luò)的安全性得到了較大提高。

[1] 微軟WSUS白皮書 [EB/OL].[2009-01-10].http：//technet.Microsoft.com/en2us/wsus/de2fault.aspx.

[2] 蔣國松等．構(gòu)建圖書館局域網(wǎng)系統(tǒng)升級服務(wù)器WSUS[J]．計算機(jī)安全，2009（8）：56-61.

[3] 王淼．局域網(wǎng)內(nèi)架設(shè)微軟補(bǔ)丁分發(fā)系統(tǒng)WSUS服務(wù)器[J]．高校實驗室工作研究，2008（6）：21-23.

[4] 楊洪剛，張迎，高東懷．內(nèi)部網(wǎng)絡(luò)WSUS的部署與更新優(yōu)化研究[J]．科學(xué)技術(shù)與工程，2009（8）：4840-4843.