善于向補丁升級要安全

有道是“沒有不透風的墻”，即使計算機安裝使用了最新版本的Windows系統，這也不能說明自己的計算機安全已經無懈可擊了，我們仍然要繼續(xù)時刻關注最新發(fā)布的漏洞補丁，因為再強大的Windows系統，也會每隔一段時間，發(fā)布各種漏洞補丁程序。我們只有在第一時間，下載升級最新的補丁程序，將最新發(fā)現的系統漏洞及時堵住，才能避免病毒木馬程序或黑客、入侵者通過系統漏洞，進入系統或單位網絡內部，給單位或個人造成不可估量的損失。

認識升級補丁重要性

在單位局域網環(huán)境中，終端系統的隨意性和復雜性往往較強，由終端系統存在的各種漏洞引起的安全問題，常常讓人防不勝防。很多病毒木馬程序，常常緊盯系統漏洞，實施各種非法攻擊，而安裝更新漏洞補丁，就是為了修補系統薄弱環(huán)節(jié)的，所以，及時升級補丁程序是十分重要的。

及時升級漏洞補丁，可以遠離各種惡意入侵。現在，大多數黑客入侵終端主機或服務器，都是先通過專業(yè)的漏洞掃描工具，尋找獲得被攻擊目標的系統漏洞，之后通過專門的入侵工具，沿著漏洞通道進行非法攻擊，最后預留下攻擊后門，以便日后通過該后門對被攻擊目標進行監(jiān)控或數據竊取操作。一旦為終端主機或服務器及時升級補丁程序后，非法攻擊通道就會被自動切斷，那么入侵者就沒有任何攻擊機會了。

及時升級漏洞補丁，可以拒絕多數網站攻擊。很多單位的Web網站動輒就被攻擊癱瘓，主要就是黑客或木馬程序通過Web漏洞進行攻擊引起的，不管是跨站腳本攻擊，還是SQL注入，不管是網站掛馬，還是CGI攻擊，無一例外都是通過網站漏洞實施的。因此，當將Web網站的所有漏洞全部堵上時，各種形式的攻擊都將無法進行，那么病毒或黑客攻擊Web網站的機率就會大大降低。

及時升級漏洞補丁，可以預防流行病毒感染。目前，系統漏洞已經成為病毒木馬程序，感染終端系統或服務器系統的重要途徑，給單位網絡造成巨大影響的狙擊波、震蕩波、沖擊波等流行病毒，幾乎都是利用的系統漏洞。這些流行病毒在實施攻擊時，首先會將漏洞代碼發(fā)送給終端或服務器系統，強制其產生緩沖區(qū)溢出，并執(zhí)行病毒代碼內容，進行惡意傳播擴散，最后要求計算機系統頻繁重新啟動。當及時為終端或服務器系統打上補丁后，流行病毒就無法向攻擊目標發(fā)送漏洞代碼，那么它們就沒有機會感染入侵終端或服務器系統了。此外，及時升級系統補丁，也能改善系統與程序、程序與程序之間的相互兼容性，提升系統或程序的運行穩(wěn)定性。

升級補丁的注意事項

盡管越來越多的網絡管理員開始認識到及時升級補丁的重要性，不過面對層出不窮的漏洞補丁程序，這些管理員在升級漏洞補丁時，常常不得要領，最終不但沒有提升系統安全防范能力，而且還影響了終端系統或服務器系統的運行效率。為了能讓漏洞補丁程序發(fā)揮出應有的作用，我們需要注意下面一些升級事項。

第一、要按需升級漏洞補丁。很多網絡管理員在升級補丁時，幾乎是逢漏必補，微軟官方網站中只要一有漏洞補丁發(fā)布，他們就會在第一時間照單全收，這種寧多勿缺的態(tài)度其實是完全沒有必要的，因為并不是任何補丁程序都適合自己。例如，對于一些普通的終端系統來說，那些用于彌補服務器系統漏洞的補丁程序，自然就不適合了，如果一股腦地將它們下載安裝起來，既會消耗寶貴的系統資源，又容易引發(fā)一些兼容性方面的故障，實在是好心干壞事。

第二、要選用合適升級方式。一般來說，網絡管理員都會使用Windows系統的Windows Update功能，定期對系統漏洞補丁程序進行自動在線升級，可是這種升級方式，有時無法正確安裝一些特定編號的補丁程序。遇到這種特殊情況時，不妨在Google或百度搜索引擎中搜索這個補丁編號，從搜索結果中找到網址是微軟官方站點的那一條，點擊之后會發(fā)現所有不同類型操作系統以及不同語言的特定補丁程序（如圖1所示），假設本地計算機使用的是Windows 7系統，那么我們就要下載對應系統版本的漏洞補丁程序，之后嘗試手工安裝就能解決問題。

第三、要重視漏洞補丁測試。考慮到局限性方面的原因，一些漏洞補丁程序在設計過程中，可能存在一定的不足，即使補丁程序自身很完美，還可能與實際應用環(huán)境存在兼容性方面的問題，所以貿然升級補丁程序，容易造成普通終端或服務器系統工作不穩(wěn)定。微軟在正式發(fā)布補丁之前，由于各方面的原因，不可能對所有的工作環(huán)境和操作系統進行針對性測試，這就要求我們在正式安裝使用漏洞補丁程序之前，重視對補丁程序的測試操作，防止新升級的補丁程序，與現有系統環(huán)境下的業(yè)務系統或應用軟件之間發(fā)生沖突。在進行補丁測試時，首先要從官方網站中下載獲取補丁程序，倘若漏洞補丁程序支持校驗操作，那么一定要進行安全校驗，以檢驗補丁程序的安全性和可靠性，防止惡意用戶篡改補丁程序。在測試過程中，一旦發(fā)現存在問題，應該及時進行分析，以弄清楚問題發(fā)生的原因，以便快速解決問題。要是不能解決問題，應該將發(fā)生問題的環(huán)境記錄下來，并進行反復驗證，當確認是操作環(huán)境和補丁程序存在沖突時，應該第一時間反饋給開發(fā)商。除了要測試補丁，還要測試已有系統的可用性，重點測試系統的剩余空間是否夠用，以防止在升級補丁程序時，由于系統空間不足引起升級操作半途而廢。為了安全起見，建議大家每次升級補丁程序之前，都要登錄相關網站，認真查閱說明材料，確認漏洞補丁的類別和等級，每次安裝更新完補丁程序后，都要做好跟蹤、監(jiān)控、確認、檢查，一旦發(fā)現補丁程序不適合時，要及時采取應急措施，保證現有業(yè)務系統的運行穩(wěn)定。

第四、不過分迷戀補丁程序。及時升級補丁程序，是單位網絡安全管理的一個重要內容，不過升級完補丁程序后，并不能說明安全問題以后就不要考慮了。盡管一些補丁程序確實能切斷病毒木馬攻擊通道，不過補丁開發(fā)廠商的認知水平是有限的，補丁升級之后，可能還會有更多的系統漏洞會被發(fā)現。還有一些補丁程序在開發(fā)設計過程中，自身就存在一定的問題，過分迷戀它們，反而會引起更大的安全麻煩。

實現自動升級補丁

利用微軟公司提供的WSUS，單位局域網可以架設一臺內部的補丁更新服務器，讓所有終端或服務器系統到該服務器中，下載升級補丁程序，這樣能有效提升補丁升級效率。要做到這一點，必須要先從微軟官方網站中下載安裝WSUS程序，并確保在Windows Server 2003系統中安裝SQL組件。在WSUS程序安裝過程中，大家可以按需選擇更新源，要是將“本地存儲更新”選中（如圖2所示），那么更新就會保存在WSUS服務器中，這時需要指定一個存儲更新位置，要是沒有選中“本地存儲更新”選項，那么終端系統日后將會連接到Microsoft Update，以進行升級更新。

當安裝向導要求設置“數據庫選項”時，只要將管理WSUS數據庫的軟件選擇好即可。如果Windows Server 2003服務器系統中已經安裝了SQL數據庫，那么建議大家選中“使用該計算機上現有的數據庫服務器”選項，之后正確輸入已有的SQL實例名稱。在“網站選擇”上，建議大家選中“使用現有IIS默認網站（推薦）”選項（如圖3所示），強制WSUS控制臺共享使用服務器系統中已有的IIS站點。

之后，根據向導提示，結合單位網絡實際情況，設置好其他參數，再點擊“下一步”按鈕，開始進行WSUS程序的安裝操作。安裝任務結束后，我們會看到一個自動啟動配置向導，依照提示定義好代理服務器、選擇產品和分類以及配置好同步計劃。當然，我們也可以跳過配置向導，日后通過WSUS服務器管理頁面進行隨時配置。

完成WSUS服務器的架設配置任務后，我們還需要對終端系統進行配置，因為普通的終端系統在缺省狀態(tài)下，會從微軟官方網站的Update服務器中下載安裝補丁程序，我們需要通過合適設置，強制終端系統從WSUS服務器下載安裝補丁程序。只要依次點擊“開始”|“運行”命令，彈出系統運行對話框，在其中執(zhí)行“gpedit.msc”命令，切換到系統組策略控制臺界面。在該控制臺界面的左側列表中，依次跳轉到“本地計算機策略”|“計算機配置”|“管理模板”節(jié)點上，用鼠標右鍵單擊該節(jié)點，選擇右鍵菜單中的“添加刪除模板”命令，如圖4所示。在其后彈出的設置對話框中，導入“Wuau”模板文件，并點擊“添加”按鈕，將其添加到當前策略模板中。接著跳轉到“本地計算機策略”|“計算機配置”|“管理模板”|“Windows組件”|“Windows Update”節(jié)點上，用鼠標雙擊該節(jié)點下的“配置自動更新”組策略，打開如圖5所示的組策略屬性對話框，選中“已啟用”選項，同時設置好自動更新補丁類型，確認后保存設置操作。

再次定位到“本地計算機策略”|“計算機配置”|“管理模板”|“Windows組件”|“Windows Update”節(jié)點上，找到該節(jié)點下的“指定Intranet Microsoft更新服務位置”選項，并用鼠標雙擊之，彈出如圖6所示的選項設置對話框，選擇“已啟用”選項，同時將之前架設的單位局域網WSUS服務器的IP地址或主機名稱添加進來，單擊“確定”按鈕退出設置對話框。

最后依次單擊“開始”|“運行”命令，彈出系統運行對話框，在其中執(zhí)行“cmd”命令，切換到DOS命令行工作窗口，在該窗口命令行提示符下，執(zhí)行“wuauclt.exe /detectnow”命令來開啟更新就可以了。這樣，普通終端系統日后就能連接單位局域網中的WSUS服務器，在系統后臺悄悄進行補丁升級和安裝操作了，整個過程用戶是不容易覺察到的，只有從服務器的管理界面中，才能了解到補丁程序升級進度。

避免補丁升級黑屏

微軟的黑屏風波問題，讓很多用戶選擇了關閉Windows系統自動更新功能，這無疑會給病毒木馬程序攻擊帶來很多機會。為了避免黑屏現象，很多用戶不得已開始選用“360安全衛(wèi)士”之類的第三方軟件，進行補丁下載安裝操作，不過這種升級補丁方式，無法在第一時間知道是否有最新補丁可以下載。其實，微軟之所以能夠黑用戶的屏，主要是先下載安裝一個WGA和OGA的驗證通知，而該操作是利用微軟的自動更新功能來實現的。如果我們能通過合適設置，不讓自動更新功能下載安裝WGA和OGA的驗證通知，就能避免補丁升級黑屏，并能繼續(xù)利用微軟自動更新功能，及時升級安裝漏洞補丁程序了，下面就是具體的設置步驟：

首先用鼠標右鍵系統桌面上的“我的電腦”圖標，選擇右鍵菜單中的“屬性”命令，展開系統屬性對話框，選擇“自動更新”標簽，切換到如圖7所示的選項設置頁面，選中這里的“有可用下載時通知我，但是不要自動下載或安裝更新”選項，單擊“確定”按鈕保存設置操作。

日后，當Windows系統出現自動更新提示時，雙擊系統托盤區(qū)域處的黃色盾牌標志，這樣系統會告訴用戶找到了系統更新，我們不能直接點擊“安裝”按鈕進行安裝操作，而應該將“自定義安裝”選項選中，這時就能看到待下載的漏洞補丁程序列表了，從中將與WGA和OGA驗證通知有關的補丁程序取消選中，再點擊“安裝”按鈕，隨后系統會彈出提示對話框，詢問用戶是否始終不再提示更新對應補丁程序，確認后我們就能繼續(xù)使用自動更新功能，快速準確進行升級補丁操作了，而這種升級方式不會發(fā)生黑屏現象！

巧妙封裝最新補丁

為了保證Windows系統能夠始終穩(wěn)定運行，很多用戶都在系統工作正常的時候，將其制作成了GHO鏡像文件。然而，每隔一段時間，用戶可能會從微軟官方網站中，定期下載升級最新補丁，以確保系統運行安全，可這么一來，每次由于故障恢復系統后，都需要用戶重新升級補丁，之后再重復將系統制作成GHO映像文件，這顯然很麻煩。為了避免反復制作GHO映像文件，我們可以利用GhostEXP映像瀏覽器，巧妙將最新發(fā)布的漏洞補丁程序，添加封裝到GHO映像文件：

首先開啟GhostEXP工具的運行狀態(tài)，依次單擊“文件”|“打開”命令，彈出文件打開對話框，將要導入最新發(fā)布補丁的GHO映像文件打開。之后，在對應程序界面左側列表中，將鼠標定位到“Documents And Settings”|“All Users”|“開始菜單”|“程序”|“啟動”節(jié)點上，用鼠標右鍵單擊“啟動”選項，執(zhí)行快捷菜單中的“添加”命令，在其后出現的文件添加對話框中，將下載獲得的最新發(fā)布補丁程序文件選中并導入進來。

成功導入文件后，再從對應程序界面中的“文件”下拉菜單中，點擊“恢復”命令，對GHO映像文件的修改操作執(zhí)行保存。這樣一來，日后再次對Windows系統執(zhí)行恢復操作時，會在恢復操作成功后第一次啟動運行時，就能自動安裝升級最新發(fā)布的補丁程序，而不需要使用手工方法重復安裝補丁程序了。當然，在自動升級好補丁程序后，我們應該記得及時從系統“啟動”菜單中，刪除補丁啟動項。

拒絕頻繁升級提示

利用Windows系統自動更新功能，升級好補丁程序后，該功能常常會頻繁彈出提示，要求用戶對計算機系統進行重新啟動操作。盡管用戶可以選擇暫時不重啟系統，可是在缺省狀態(tài)下，該功能將每隔十分鐘，彈出一次重新啟動提示框，要求用戶及時啟動系統，這很容易干擾用戶正在進行的重要工作，怎樣拒絕系統更新的重啟提示呢？很簡單！只要進行下面的設置操作，就能拒絕Windows系統自動更新功能頻繁彈出升級提示：

首先逐一點擊“開始”|“運行”選項，彈出系統運行對話框，在其中執(zhí)行“gpedit.msc”命令，展開系統組策略控制臺窗口。在該窗口左側列表中，依次跳轉到“本地計算機策略”|“計算機配置”|“管理模板”|“Windows組件”|“Windows Update”節(jié)點上，找到該節(jié)點下面的“對計劃的安裝再次提示重新啟動”選項。

其次用鼠標雙擊該組策略選項，彈出如圖8所示的選項設置對話框，將“已啟用”選項選中，在“等待時間”設置項處，將缺省的10分鐘調整為更長的時間，比方說可以輸入240分鐘，確認后退出設置對話框，這樣計算機系統會每隔4小時，才會出現重新啟動系統提示信息。

如果想直接禁止提示信息出現時，我們也可以在系統組策略控制臺窗口左側區(qū)域，依次跳轉到“本地計算機策略”|“計算機配置”|“管理模板”|“Windows組件”|“Windows Update”節(jié)點上，雙擊該節(jié)點下的“計劃的自動更新安裝后不自動重啟動”選項，在對應選項設置框中，選擇“已啟用”選項，確認后保存設置即可。