論企業服務器補丁部署的高效實現

任一新+李書

[摘 要] 企業應用系統服務器由于其特殊性，往往無法及時獲得安全補丁更新，導致系統存在大量的高危漏洞，而這些漏洞一旦被利用，將使我們的應用系統宕機甚至損壞，對企業造成無法估量的損失。通過在企業內部搭建和配置WSUS補丁更新服務器，實現服務器高危漏洞補丁的自動下載和推送，并利用客戶端安裝自動化配置腳本程序，實現服務器推送補丁的高效和智能化部署。

[關鍵詞] 企業；高危漏洞；補丁更新服務器；推送；部署

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 17. 038

[中圖分類號] TP393.08 [文獻標識碼] A [文章編號] 1673 - 0194（2017）17- 0076- 04

0 引 言

隨著信息化的深入發展，企業內部運行的OA、ERP、門戶等各種應用系統支撐著企業的正常運作，對于大型企業來說，應用系統的數量更是驚人，如何保障這么多應用系統的信息安全，使其免于遭受來自于企業外部和內部的網絡威脅，是一個不容忽視的問題。拋開管理制度的要求，我們僅僅從技術層面來看，無非兩點，首先是從網絡層面增強抵御外部風險的能力，這點我們可以通過部署防火墻、IPS，WAF等安全設備來實現，其次就是應用系統必須要不斷增強自身的健壯性來應對無法避免的攻擊行為。

應用系統運行在服務器操作系統之上，要提高自身的抗攻擊性，首要其沖的就是保障服務器操作系統的安全，而操作系統的安全無外乎就是四點：口令、基線設置、防病毒軟件和系統補丁。口令和基線設置最簡單，防病毒軟件也可以通過部署統一的防病毒系統實現，最難的是服務器系統補丁的部署，因為一方面大多服務器從安全角度考慮是不允許連接互聯網的，無法直接從互聯網獲得系統補丁；另一方面由于企業內部存在著各種操作系統，操作系統的版本也不盡相同，而我們應用系統管理員本身的信息安全知識確實是比較匱乏的，很難獲得適合自己應用系統的操作系統補丁。

1 服務器補丁安裝的現狀分析

根據企業去年信息安全評估項目的報告顯示，存在高危漏洞的服務器占所有服務器的比例接近70%，而高危漏洞的總數接近400個，其中不乏MS08-067、MS12-020等可被利用的原理性漏洞；同時存在著部分應用系統服務器未安裝過任何補丁的現象。究其原因主要是：

（1）應用系統管理員信息安全意識薄弱。

（2）部分應用系統管理員為兼職網管，技術能力有限無法獲取操作系統補丁。

（3）手動下載更新費時費力還容易出現下載錯誤問題。

針對目前服務器補丁安裝這種現狀，如何能在不增加應用系統管理工作強度和難度的基礎上，高效地完成服務器補丁的部署呢？本文也正是基于這個問題，研究利用在企業內部搭建及配置企業自己的WSUS服務器，最終實現企業服務器補丁的高效和智能化部署。

2 WSUS補丁更新服務器的部署

2.1 WSUS補丁更新服務器簡介

WSUS是Windows Server Update Services的簡稱，是微軟推出的網絡化補丁分發方案。通過WSUS可以集中下載所有的微軟產品更新，使客戶端可以從WSUS服務器快速、方便地下載所需要的更新。WSUS對計算機的要求不多，只要有足夠的硬盤空間即可。WSUS支持Microsoft眾多的操作系統、應用程序與服務器類產品，例如Windows XP、Windows Server 2003、Windows 7、Windows Server 2008、Windows Server 2012、Office XP、Office 2003、Office 2007、SQL Server、Exchange等。

2.2 部署WSUS補丁更新服務器

本次選擇了Windows Server 2008 R2 SP1 作為WSUS服務器的操作系統，WSUS選擇了3.0 SP2版本。在安裝 WSUS前服務器需要安裝必備的組件：Microsoft .NET Framework 3.0、IIS和報表組件ReportViewer。

2.2.1 NET Framework3.5.1功能安裝

安裝Microsoft .NET Framework，主要步驟如下：在“服務器管理器”對話框中添加“功能”，在“選擇功能”對話框中選中“.Net Framework 3.0功能”復選框，安裝步驟很簡單，直接根據提示選擇，然后一步步安裝。

2.2.2 IIS安裝

安裝IIS，主要步驟如下：打開服務器角色管理功能，添加“角色”，安裝IIS服務。選擇IIS角色后，直接點擊“下一步”，盡量選擇所有的IIS功能，至少要選擇“靜態內容”、ASP.NET、“6.0 管理兼容性”“Windows 身份驗證”服務。

2.2.3 報表組件安裝

安裝ReportViewer軟件，以便支持WSUS的報告查看功能。

2.2.4 WSUS補丁服務安裝

在安裝完.NET Framework、IIS服務以及報表組件后，就可以安裝WSUS 3.0 SP2了，主要步驟如下：

（1）運行WSUS 3.0 SP2的安裝程序，進入WSUS 3.0 SP2的安裝向導。

（2）在“安裝模式選擇”對話框中，選擇“包括管理控制臺的完整服務器安裝”單選按鈕，然后單擊“下一步”按鈕。

（3）在“許可協議”對話框中選擇“我接受許可協議條款”單選按鈕，然后單擊“下一步”按鈕。

（4）在“選擇更新源”對話框中，選擇保存WSUS更新文件的位置。在默認情況下，安裝程序會自動選擇一個空間最大的分區，并且保存在WSUS文件夾中。endprint

（5）在“數據庫選項”對話框中，選擇保存WSUS 3.0數據庫的文件位置。選擇內部數據庫作為存儲對象。

（6）在“網站選擇”對話框中，指定用于WSUS 3.0服務的網站。選擇“創建Windows Server Update Services 3.0 SP2網站”單選按鈕，這樣，所有WSUS客戶端將使用TCP的8530端口訪問和更新補丁。

（7）點擊下一步，直接安裝內部數據庫和補丁服務。

（8）等待安裝完成后，WSUS3.0 SP2服務可以使用。

3 WSUS補丁更新服務器的配置

3.1 基礎配置

在完成WSUS安裝之后，首先會進入“Windows Server Update Services配置向導”對話框，接下來將介紹WSUS服務器端的配置，步驟如下：

（1）單擊“完成”按鈕后彈出“Windows Server Update Services配置向導”對話框，“在您開始之前”頁中單擊“下一步”按鈕。

（2）在“選擇‘上游服務器”對話框中，選擇當前WSUS服務器中同步的“上游”服務器。選擇“從Microsoft Update進行同步”單選按鈕。

（3）在“指定代理服務器”對話框中，設置當前WSUS服務器訪問Internet的方式。如果當前計算機需要使用代理服務器訪問Microsoft Update（或者WSUS上游服務器），請選中“在同步時使用代理服務器”復選框并且正確設置代理服務器的參數。

（4）開始進行測試，測試完成后會選擇語言等信息。

（5）選擇產品，針對服務器主要選擇windows操作系統補丁和SQL數據庫等軟件進行補丁安裝。

（6）選擇更新的類別，選擇安全更新程序、定義更新、關鍵更新程序。

（7）選擇同步時間，同步時間可以選擇空閑的時間。

安裝完成后直接與微軟官方同步補丁信息。

3.2 WSUS其他配置功能

3.2.1 補丁的自動審批功能和手動審批

審批補丁的目的是為了給客戶端下發補丁，所有補丁必須要經過審批后才能推送給客戶端。

為了讓WSUS服務器“完全自動”從Microsoft的更新服務器獲得更新并自動審批，可以在“選項”中，單擊“自動審批”。

在“自動審批”對話框中，選中啟用“默認的自動審批規則”。

當然也可以不選擇自動審批規則，對補丁進行手動審批。特別是針對服務器的補丁，由于可能存在補丁和應用不兼容的問題，建議只審批特別嚴重的漏洞。

3.2.2 更新文件和語言

打開“更新文件和語言”對話框，建議在“更新文件”選項卡中選中“僅當審批更新后才能將更新文件下載到此服務器上”復選框，如圖1所示。特別對于硬盤空間較小的WSUS服務器，建議選擇此項。如果要修改更新語言，可以在“更新語言”選項卡中修改。

4 WSUS客戶端部署

WSUS客戶端的部署可以通過客戶機組策略實現。但為了不增加應用系統管理員的工作量，我們選擇用批處理腳本來實現自動部署。僅僅在客戶端運行以下腳本就能夠自動完成部署工作，大大減輕了系統管理員的工作難度和強度。

該腳本主要完成如下功能：

（1）啟動自動更新服務。

（2）設置WSUS服務器地址。

（3）啟用自動升級。

（4）每天檢測更新。

（5）設置每天安裝補丁的時間。

（6）使用WSUS而不從微軟更新。

（7）設置為提醒安裝補丁。

（8）啟用后臺安裝補丁。

（9）允許用戶可以選擇稍后再重新啟動服務器。

5 WSUS部署結果驗證

5.1 服務器端驗證

WSUS服務器安裝及客戶端腳本部署后，等待一段時間，服務器端便可以看到已接受管理并上報狀態報告的客戶端：

5.2 客戶端驗證

服務器根據客戶端上報的狀態報告，自動推送已審批并下載的補丁給客戶端，客戶端已接收到服務器推送來的更新。

6 結 語

通過在企業內部搭建補丁服務器，實時下載及推送安全更新，為應用系統服務器提供了一種補丁智能化部署的方式，大大降低了信息系統遭受網絡攻擊的安全風險。同時大大降低了信息系統管理員的工作難度，減輕了工作量。

主要參考文獻

[1]謝希仁.計算機網絡[M].第5版.北京：電子工業出版社，2008.

[2]陳梅志.計算機網絡信息安全及其應對措施淺析[J]. 硅谷，2014，7（2）：143.

[3]袁向英.架設局域網升級服務器WSUS[J]. 網絡安全技術與應用，2007（2）：53-56.endprint