電力企業信息內網終端計算機補丁更新方案研究

盧 寧，左曉軍，陳 澤，洪 杰

(河北省電力研究院，石家莊 050021)

隨著國家電網公司信息化建設工作的不斷深入，公司日常生產經營工作對信息系統的依賴性越來越高，對信息系統的安全要求也越來越高。作為信息系統的終端節點，辦公計算機的信息安全成為信息安全體系中不可或缺的一環。為此，國家電網公司針對終端計算機的信息安全出臺了很多管理要求，其中包括對操作系統及時進行補丁更新的要求。目前，河北省電力公司(簡稱“省公司”)部署的桌面終端標準化管理系統，對終端計算機的系統補丁、桌面安全等內容進行管理，對提高桌面終端安全水平起到了顯著作用。為進一步提高桌面終端安全運行的穩定性，減輕桌面終端標準化管理系統下發補丁時負載過大對系統的影響，以下通過試驗研究提出一種能夠與桌面終端標準化管理系統并行的補丁分發方案，為桌面終端安全提供雙保險，確保終端計算機能夠穩定更新補丁。

1 補丁修復系統選型原則

a. 經濟性。在選擇補丁修復系統時，盡量考慮省公司現有系統功能的挖掘，達到最好的投資效果。

b. 通用性。選擇補丁修復系統時，要充分考慮修復系統與桌面終端標準化管理系統的兼容，使終端計算機補丁修復完成后，省公司統一部署的桌面終端標準化管理系統能夠識別，提高桌面終端標準化管理系統的補丁修復率。

c. 可管理性。采用的補丁修復系統，能夠提供統一的管理平臺進行管理，便于運維人員的管理和數據報表的統計。

基于以上原則，對WSUS(Windows Server Update Service)3.0和360安全衛士企業版2種補丁修復系統進行測試。

360安全衛士企業版是奇虎360科技有限公司推出的企業級網絡安全產品。360安全衛士企業版提供了終端計算機補丁更新的集中管理方式。通過研究，發現360安全衛士企業版只能通過在線方式獲取微軟官方補丁，并沒有提供補丁導入導出或離線補丁包等功能，無法實現離線更新補丁。河北省電力公司信息內網是與互聯網物理隔離的，因此360安全衛士企業版無法滿足公司的需求。

WSUS同樣只能通過在線方式獲取微軟官方補丁，但是提供了補丁導入導出功能，因此可以實現離線更新補丁。

2 WSUS的功能及部署方式

WSUS是微軟公司面向其軟件產品免費提供的軟件升級更新解決方案，支持微軟Windows所有系列操作系統、Office辦公套件、SQL Server等產品的補丁更新。WSUS 3.0除了繼承2.0版本的優點之外，還增加了一些新的特性。

WSUS 3.0通過Microsoft管理控制臺進行管理，與WSUS 2.0通過網頁進行管理相比，操作更加方便和快捷。WSUS 3.0提供了各種形式的報告，可以從補丁、計算機等各個角度自動生成統計分析報表，并能導出為PDF或Excel文件。WSUS 3.0提供了電子郵件通知功能，可以定時向指定郵箱中發送報告。WSUS 3.0還支持以下部署方式。

2.1 單獨部署

單獨部署方式是WSUS提供的最基本的部署方式，搭建1臺WSUS服務器從微軟官方在線獲取補丁，并為私有網絡中的所有計算機提供補丁更新服務。部署結構如圖1所示。

圖1 單獨部署方式

2.2 級聯部署

對于層次結構較多或終端計算機較多的網絡，WSUS還提供了級聯的部署方式，如圖2所示。首先，部署1臺上游服務器直接從微軟官方在線獲取補丁。然后，在網絡的分支節點上部署下游服務器。下游服務器從上游服務器在線獲取補丁。上游服務器和下游服務器均可以直接為終端計算機提供補丁更新服務。

圖2 級聯部署方式

級聯部署的優點在于：

a. 只需要從外部網絡下載一次補丁，然后通過下游服務器分發到終端計算機。可以極大的節省企業的網絡帶寬。

b. 每個終端計算機都可以從距離自己最近的WSUS服務器獲取補丁，減輕了內部網絡的傳輸壓力。

c. 可以對每個WSUS服務器單獨設置更新策略，實現為不同的終端計算機群配置不同的補丁更新策略。

2.3 隔離部署

如果公司網絡中存在與互聯網隔離的網絡，可以通過圖3方式部署WSUS，以實現與互聯網隔離網絡中補丁的更新。首先，在能夠訪問互聯網的網絡中部署1臺WSUS服務器，在線獲取微軟官方更新補丁。然后，在與互聯網隔離的網絡中部署1臺WSUS服務器。通過WSUS的導入導出工具，將WSUS的補丁庫從外部網絡服務器導入到內部網絡服務器上，這樣就實現了與互聯網隔離網絡中WSUS服務器補丁的更新。

圖3 隔離部署方式

3 WSUS部署實例分析

3.1 隔離部署WSUS服務器

隔離部署的WSUS服務器與互聯網是物理隔離的，因此無法通過微軟官方在線獲取更新補丁。所以需要在能夠訪問互聯網的網絡中單獨部署1個WSUS服務器，即外網WSUS服務器，用于獲取補丁更新。通過WSUS提供的導入導出功能可以將外網WSUS服務器上的補丁更新導入到隔離部署的服務器中。

3.1.1 導入導出補丁的方法

a. 將外網WSUS服務器中補丁存放目錄(WsusContent)下的所有補丁拷貝至內網WSUS服務器相同目錄下。

b. 利用C∶Program FilesUpdate ServicesTools下的wsusutil.exe工具將WSUS的數據庫文件從外網WSUS服務器導出，并導入到內網WSUS服務器。

導出命令為：wsusutil.exe export %導出目錄%wsus.cab %導出目錄%wsus.log

導入命令為：wsusutil.exe import %文件存放目錄%wsus.cab %文件存放目錄%wsus.log

導入導出具體操作如圖4所示。

圖4 服務器導入導出功能

通過導入導出功能實現了與互聯網隔離服務器補丁的更新，但是每次導入導出過程中，需要將全部的補丁程序復制一遍。Windows系列操作系統的補丁程序集約為十幾GB。隨著新補丁的不斷發放，補丁的數量還會增加，需要復制的文件會越來越多，每次導入導出所需要的時間也會越來越長。

3.1.2 導入導出補丁的關鍵技術

通過將更新后WsusContent文件夾與更新前相比，發現WsusContent文件夾在補丁更新后只是新增了部分補丁文件，因此完全沒有必要每次都將整個文件夾復制一遍。為了更加方便和快捷的移植補丁，編寫了如下腳本程序(copy.bat)，代碼如下：

echo off

if exist list.txt goto nofirst

dir /AD /B >list.txt

for /F %%i in (list.txt) do xcopy %%i %1\%%i /S /E

goto end

∶nofirst

for /F %%a in ('dir /AD /B') do (

if exist listtemp.txt del listtemp.txt

for /F %%b in ('findstr /C∶"%%a" list.txt') do (

echo %%b in txt>listtemp.txt

)

if exist listtemp.txt (

) else (

xcopy %%a %1\%%a /S /E

)

)

if exist listorg.txt del listorg.txt

ren list.txt listorg.txt

dir /AD /B >list.txt

∶end

將本腳本放到WsusContent目錄下，然后執行命令copy.bat 要放置新補丁的目錄。腳本流程示意見圖5。

該腳本具體功能為，首先，檢測目錄下是否存在list.txt，如果不存在，則說明本次是第1次導出。將所有補丁復制到指定目錄，并將補丁目錄放置在list.txt文件中。如果檢測到目錄下已經存在list.txt，說明之前已經導出過，則將WsusContent目錄下的補丁文件與list.txt中的目錄進行對比，將list.txt中不存在的補丁(也就是新增的補丁)復制到指定目錄，同時更新list.txt。

使用該腳本時，用戶無需關心之前是否導出過，腳本會通過一個索引文件自動判斷哪些補丁是本次新增的，并自動復制到指定目錄。通過該腳本，提高了WSUS在企業信息內網部署時的實用性，降低了維護補丁庫的難度。

3.2 修改WSUS客戶端配置

為使終端計算機能夠從WSUS服務器獲取補丁更新，需要對WSUS客戶端進行一定的配置。通過修改組策略或修改注冊表均能實現該配置。

3.2.1 修改組策略

“開始-運行-gpedit.msc”，進入組策略，在“本地計算機策略-計算機配置-管理模板-windows組件-Windows Update”中；“配置自動更新”修改為“已啟用”、“自動下載并通知安裝”；“指定Intranet Microsoft更新服務位置”修改為“已啟用”；“為檢測更新設置Intranet更新服務”修改為“http://WSUS服務器IP地址:服務器指定的端口號(80或8530)；”“設置Intranet統計服務器”修改為“http://WSUS服務器IP地址:服務器指定的端口號(80或8530)”。

3.2.2 修改注冊表

在HKEY_LOCAL_MACHINE/SOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU下，NoAutoUpdate設置為“0”，表示啟動自動更新；AUOptions設置為“3”，表示自動下載并通知安裝；ScheduledInstallDay設置為“0”，表示每天都檢測補丁；UseWUServer設置為“1”，表示使用自己部署的WSUS服務器，而不是通過微軟官方獲取補丁。

在HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate下，WUServer設置為“http://WSUS服務器IP地址:服務器指定的端口號(80或8530)”，指定WSUS服務器地址；WUStatusServer設置為“http://WSUS服務器IP地址:服務器指定的端口號(80或8530)”，指定WSUS統計服務器地址；ElevateNonAdmins設置為“1”，表示任何用戶都可以為計算機打補丁。

也可以將上述配置制作成批處理文件，實現客戶端的快速配置。批處理文件的內容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]

"NoAutoUpdate"=dword∶00000000

"AUOptions"=dword∶00000003

"ScheduledInstallDay"= dword∶00000000

"UseWUServer"=dword∶00000001

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]

"WUServer"= http://WSUS服務器IP地址:服務器指定的端口號(80或8530)

"WUStatusServer"= http://WSUS服務器IP地址:服務器指定的端口號(80或8530)

"ElevateNonAdmins"=dword∶00000001

4 結束語

通過對360安全衛士企業版和WSUS的研究，得出一種能夠與公司桌面終端標準化管理系統并行，適合電力企業信息內網補丁更新的解決方案。具體方案為在省公司本部信息內網和信息外網各部署1套WSUS，通過信息外網WSUS在線獲取微軟官司方補丁，然后通過導出工具將補丁庫導出，再導入到信息內網WSUS中。每個基層單位信息內網部署1套WSUS，與省公司本部信息內網WSUS進行級聯，在線獲取補丁。該方案不僅適用于電力企業，對于任何與互聯網隔離的內部網絡均可以通過本方案解決終端計算機補丁更新的問題。同時，該方案還通過編寫腳本實現WSUS補丁的增量導出，大大提高了離線更新補丁的效率，縮短的導入導出補丁文件的時間。