系統安全更新WSUS在政務網中的實現

政務網內計算機更新補丁的重要性

近年來，病毒制作者和黑客活動日益頻繁，他們利用Windows漏洞，頻頻發起網絡攻擊，使得政務網網內安全不到位的計算機成為“肉雞”的可能性大大增加，進而可攻擊其他計算機，嚴重擾亂政務網的正常運行。為此，我們在加強防御外來攻擊的同時，必須消除政務網內計算機自身的缺陷。檢查中發現，政務網中的計算機補丁安裝不及時、防火墻、殺毒軟件更新不及時現象普遍存在。

其中補丁不安裝或不及時安裝的主要原因是:一是使用Windows自帶的UPDATE下載補丁速度非常慢，往往要等待3小時以上甚至更多，用戶怕麻煩，拒絕打補丁;二是有些用戶使用的不是正版的操作系統，微軟不提供補丁下載服務;三是部分用戶對Windows補丁認識不足，認為補丁打不打無所謂，也有的用戶不知道如何打補丁。針對上述情況，我們除了對用戶進行計算機安全知識培訓之外，還迫切需要一種軟件，把用戶計算機的補丁安裝管理起來，讓用戶計算機能夠自動地、快速地安裝補丁，并且能夠遠程查看用戶計算機補丁安裝情況。

WSUS系統部署在政務網內的作用

鑒于微軟公司操作系統更新服務器在國外，造成下載更新補丁的速度偏慢，同時，對于局域網用戶數量大，在每臺機器上更新會帶來繁重的重復性操作，故而在本地局域網內架設部署一臺集中式微軟軟件更新服務器成為保障Windows系列操作系統及時更新最為行之有效的方法之一。WSUS(Windows Server Update Services)是Windows操作系統的升級服務，通過在內部網絡中配置WSUS服務器，所有Windows的更新都能集中下載到這個服務器中。內部網絡中的客戶機就可以通過WSUS服務器得到更新。它的作用在于:

補丁更新速度快。在擁有大概近上萬臺計算機中大規范的政務網絡中，如果每臺客戶端計算機都直接鏈接到微軟Mircosoft Update來實現更新，將為占據大量網絡的出口帶寬，嚴重影響了網絡的暢通運行。若將WSUS補丁服務器部署在政務網內，升級操作系統補丁的時間縮短到幾分鐘，效果十分明顯，且只要一臺WSUS服務器就可保證全網絡內操作系統的自動升級。這既節省了資源，又避免了資源浪費，并且提高了效率。

補丁更新時問自定義。Windows自動更新程序會不定時檢測微軟網站上的補丁發布情況，這就造成了時間不可控性，而架設WSUS服務器后，可以設定補丁更新的時間，服務器端下載完補丁后，可以在設定的時間點向客戶端推送補丁，并且WSUS服務器與微軟補丁服務器同步補丁時間也可以設定，這樣可以保存不在工作時間因同步補丁而占用帶寬，影響終端用戶使用網絡的情況。

補丁全。WSUS服務器會自動與微軟補丁服務器同步，因此補丁全，不會造成漏更新某一補丁的情況發生。并且可以自動下載微軟全系列的補丁，包括Windows、Office等。

WSUS 部署方式

通常來講，WSUS服務器的部署方式有以下三種:

(一)單WSUS服務器環境

這是最常見的WSUS服務部署方式，如下圖1所示:

局域網絡中部署了一臺WSUS服務器，WSUS服務器連接到Microsoft Update來獲取更新程序(稱之為同步)，并分發給局域網絡中的客戶端計算機。當WSUS服務器和Microsoft Update進行同步時，WSUS會檢查Microsoft Update是否具有新的更新程序并進行下載;當第一次進行同步時，WSUS會下載本地設置要求下載的所有更新程序。

WSUS中可以對客戶端計算機進行分組，在WSUS中內建有兩個計算機組:所有計算機和未指定的計算機。默認情況下，任何一個客戶端計算機訪問WSUS服務器時，都將被加入到這兩個組中。你可以創建計算機組，并將客戶端計算機對象從未指定的計算機組中移動到你所創建的計算機組中，但是你不能將客戶端計算機對象從所有計算機組中移動到其他組。這是因為所有計算機組是便于你指定將更新程序應用到所有的客戶端計算機，而不同的計算機組則便于你針對不同的客戶端計算機應用不同的更新程序。

使用計算機組的好處之一是便于你測試更新程序。例如針對某個重要的更新程序，你可以創建一個包含少量客戶端計算機的計算機組Test Group，然后將更新程序應用到此計算機組，當更新程序運行成功后，你再將此更新程序應用到其他計算機組或者所有計算機組。如圖2所示:

(注意:不要使用WSUS分發未授權的更新程序到客戶端計算機，WSUS授權協議禁止這一點。 )

(二)鏈式WSUS服務器環境

WSUS 服務器不僅僅可以從Windows Update中獲取更新程序，也可以從其他WSUS服務器中獲取更新程序。當局域網具有很大的規模時，一臺WSUS服務器可能不能滿足你的需求，此時你就可以使用多臺WSUS服務器組成鏈式結構，如下圖3所示，一臺WSUS服務器作為上游服務器，一臺WSUS服務器作為下游服務器。

你可以使用鏈式的WSUS結構滿足局域網中不同地域的需求或者局域網規模擴大后的更新服務需求。鏈式WSUS服務器的級數是沒有限制的，但是由于每一級WSUS服務器增加了更新程序的延遲，所以推薦部署不超過三級的鏈式WSUS服務結構。上游服務器不能和下游服務器進行同步，否則WSUS就不能正常提供服務。

在鏈式WSUS服務器部署中，下游WSUS服務器繼承上游WSUS服務器的高級同步選項，你不能在下游服務器上修改高級同步選項。默認情況下，上游WSUS服務器只把更新元數據和更新文件同步到下游WSUS服務器中，而不包含其他的信息，例如計算機組和更新批準信息。如果你想讓上游WSUS服務器向下游 WSUS服務器同步計算機組和更新批準信息，則下游WSUS服務器必須配置為集中管理模式中的復制服務器，詳細信息請參見文章的后續章節選擇管理模式。

(三)和Internet斷開的WSUS服務器環境

部署WSUS服務時，并不要求你必須連接到Internet。對于沒有連接到Internet的網絡環境，你一樣可以部署WSUS服務。通過在其他連接到 Internet上的WSUS服務器上導出更新程序數據，再通過其他媒體復制到此WSUS服務器上，最后導入更新程序數據，一樣可以實現WSUS服務器更新程序的同步，此過程如下圖4所示。

WSUS詳細要求安裝過程

1. 硬件要求

要安裝WSUS，服務器上的文件系統必須滿足以下要求:

◎至少1GHz的處理器;

◎至少1GB的內存;

◎系統分區和安裝WSUS的分區都必須使用NTFS文件系統進行格式化。

◎系統分區至少需要保留1GB的可用空間。

◎WSUS用于存儲內容的卷至少需要6GB的可用空間，建議預留空間為30GB。

◎WSUS安裝程序用于安裝Windows SQL Server 2005的卷至少需要5GB的可用空間。

2. 軟件要求:

◎要使用默認選項安裝 WSUS，在Windows server 2003 R2 Standart Edition SP2系統上必須上安裝以下軟件。WSUS 3.0 SP2下載地址:

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cnFamilyID=df628245-8449-4b93-948c-0926deb1197a

◎Microsoft Internet信息服務(IIS)6.0。(注:只需在win2003系統添加/刪除程序中添加即可。)

◎用于Windows Server 2003的Microsoft.NET Framework 3.5.下載地址:

http://www.microsoft.com/downloads/zh-cn/results.aspx?pocId=freetext=Microsoft%20.NET%20Framework%203.5DisplayLang=zh-cn

◎Background Intelligent Transfer Service (BITS) 2.0。下載地址:

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cnFamilyID=b93356b1-ba43-480f-983d-eb19368f9047

◎SQL Server 2005下載地址:

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cnFamilyID=220549b5-0b07-4448-8848-dcc397514b41

◎Microsoft Report Viewer Redistributable 2008 下載地址:

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cnFamilyID=c1df3b07-09d7-48cb-bb63-df6d3c2f8141

◎管理控制臺(MMC)3.0

3. 客戶端計算機平臺要求

Windows 2000 SP4 、Windows XP (SP1 、SP2、SP3)和Windows Server 2003( SP1、SP2)。

4.WSUS 3.0 SP2安裝過程

1)WSUS安裝前奏(系統補丁，殺毒軟件，數據庫，IIS)

在安裝WSUS之前，先更新WIN 2003系統補丁，安裝殺毒軟件及時更新病毒庫并進行對系統全盤殺毒掃描，然后檢查是否安裝了SQL數據庫和Internet Information Services(IIS，互聯網信息服務)。

2)安裝WSUS 3.0 SP2

復查安裝要求之后，便可安裝WSUS。您必須使用本地Administrators 組成員的帳戶登錄到要安裝WSUS的服務器系統。只有本地Administrators組的成員才能安裝WSUS。以下過程使用Windows Server 2003的默認WSUS安裝選項，其中包括安裝用于WSUS的Windows SQL Server 20005 Desktop Engine(WMSDE) 數據庫軟件、在本地存儲更新以及在端口80上使用IIS 默認網站。

◎雙擊安裝程序文件“WSUS30-KB972455-x86.exe”。

◎在向導的“歡迎使用”頁上，單擊“下一步”。

◎在控制Windows Server Update Services安裝選項中，選擇“包括管理控制臺的完整服務器安裝”選項。

◎仔細閱讀許可協議的條款，單擊“我接受許可協議中的條款”，然后單擊“下一步”。

◎在“選擇更新源”頁上，可以指定客戶端獲得更新的來源。如果選中“本地存儲更新”復選框，更新補丁文件便會存儲在WSUS服務器上，您需要在文件系統中選擇一個用于存儲更新文件的位置。(注:選擇更新文件的存儲分驅，空間不得少于6GB(建議安裝分區的空間要大于30G)，本例路徑選擇為D:\\WWW\\WSUS，然后單擊“下一步”。)

◎單擊“下一步”選擇安裝Windows Internal Database數據庫的存儲位置，可以使用本地的SQL Server也可使用遠程的SQLServer，如果都沒有，就用WSUS自帶的Database。

◎單擊“下一步”，這里我們選擇IIS網站，一般情況下推薦選擇默認的。如果你的服務器上還有其它的網站服務，這里就只一個“創建Windows Server Update Services 3.0”的選項，(注:端口一般為80，這里因80端口被其它應用服務程序占用，所以自動分配其它端口。本例自動分配端口為“8530”，(如圖5所示)端口也可自己在IIS中自己任意修改。

◎在“鏡像更新設置”頁上，可以指定此WSUS服務器的管理角色。如果這是網絡上的第一臺WSUS服務器，或者您需要一個分布式管理拓撲，請跳過此屏幕。

如果需要集中管理拓撲，而且這不是網絡上的第一臺WSUS 服務器，請選中該復選框，然后在“服務器名”框中鍵入其他 WSUS 服務器的名稱保留默認選項，然后單擊“下一步”。

◎等了大約7-8分鐘終于安裝完成了，點擊“完成”。

WSUS的配置

(一)服務器端配置

1、下面介紹一下WSUS的配置向導，依次選擇“開始”菜單中的“程序”→“管理工具”→“Windows Server Update Services 3.0”啟動WSUS配置向導程序，這里沒有可設置項，直接點擊“下一步”。如下圖6所示

2、進入“加入Mircrosoft Update改善計劃”對話框，這里我沒有選擇“是的，我希望加入Mircosoft Update改善計劃”。如果是盜版Windows系統就不要選擇“下一步”。

3、進入“選擇<上游服務器>”的對話框，這里選擇默認即可，如果你的局域網中已經有另一臺WSUS服務器存在，那么也可以選擇第二項，從向一個WSUS服務器同步更新。不過需要設置好另一個WSUS服務器的服務器名和端口號。設置好后點擊“下一步”。

4、進入“指定代理服務器”對話框，如果你的這臺服務器是通過代理上網的，這里就需要設置代理參數了。如果服務器直接可以上網，就無需任何設置，直接“下一步”。

5、進入“連接到上游服務器”的對話框，這里可以點擊“開始連接”測試跟上游服務器是否連通，并下載一些信息，連接的時間會比較長。等了幾分鐘終于下載成功，“下一步”。

6、進入“選擇語”對框，選擇更新下載的語言，這里可以根據你服務器和客戶機操作系統的語言種類，選擇是“簡體中文”或者“繁體中文”并點擊“下一步”。

7、進入“選擇產品”對話框，這里指定你需要更新的產品，比如:Windows XP、Windows 2000、Office 2003、Sql 2000等等。選擇好后點擊“下一步”。

8、進入“選擇分類”對話框，選擇更新分類，這里我選擇Service pack、安全更新程序、關鍵更新程序。點擊“下一步”。

9、進入“設置同步計劃”對話框，選擇自動同步并設置同步周期和時間。并點擊“下一步”。

10、進入“完成”對話框，完成服務器的初始配置向導，這里不點選“開始初始同步”，因為比較費時間。點擊完成。

(二)客戶端配置

1、選擇“開始”中“運行”，輸入gpedit.msc，打開組策略窗口。

2、選擇“管理模板”右鍵單擊，然后從菜單中選擇“操作”，“添加/刪除模板”。

3、在“添加/刪除模板”窗口中選擇名為“conf”的文件并點擊“添加”。

4、在“策略模板”中選擇“wuau.adm”，并選擇“打開”。

5、選擇“關閉”，關閉“添加/刪除模板”窗口。

6、選擇“計算機配置”->“管理模板”->“Windows 組件”->“Windows Update”，并選擇“配置自動更新”。

7、在“配置自動更新”的屬性窗口中，選擇“啟用”，并選擇“確定”。

8、在“指定Intranet Microsoft更新服務器位置”的屬性窗口中，選擇“啟用”，并在“設置檢測更新的Intranet更新服務:”框中輸入“http://10.1.9.100:8530”，在“設置Intranet統計服務器:”框中輸入“http://10.1.9.100:8530”，并選擇確定。

9、其它的選項請設置為“已啟用”就可以了。

10、現在您的電腦已經和局域網的WUSU服務器建立了連接，配置完成。

總結及注意事項

通過在政務網部署WSUS，一方面可以緩解政務網互聯網出口帶寬的壓力，保障了網絡的順暢運行，另一方面有效的減少基于系統漏洞的攻擊和病毒的入侵，在一定程度上能保障政務網的安全。但同時也存在一定的安全隱患，需要加強注意:

1、由于系統更新程序的下載完全是在后臺進行，因此用戶很難有效地監控管理;同時微軟并不能保證其提供的補丁程序是完美無缺，如果補丁本身存在缺陷，那么通過自動安裝到客戶端后將會擴大影響的范圍，后果不堪設想。因此在下發補丁文件時，需要先下發到一組測試的客戶端進行測試通過后，才能將補丁文件分發到政務網內各客戶端

如果政務網的WSUS服務器被非法入侵變成了惡意代碼的分發中心，當這些補丁被自動安裝到客戶端，其后果也將是災難性的。因此，針對這個情況，WSUS服務器的安全保障措施十分重要。

2、政務網的安全是整體的、動態的，內容上包括物理安全、系統安全、網絡安全、應用安全等多個方面，不僅需要諸如防火墻、數據加密、授權認證等先進的安全技術手段，同時還需要完善的安全管理規章制度和技術精湛的網絡管理人員，才能有效實現政務網安全、可靠、穩定地運行。

(作者單位:江西省政務信息網網管中心)