快速補漏洞，系統更穩固

在本文中以在某臺Windows Server 2012中安裝WSUS（Windows Server Update Services）為例，該機已加入到“xxx.com”的域中，假設其名稱為“wsus1.xxx.com”，IP為192.168.1.50。

在服務器管理器中點擊“添加角色和功能”項，在向導界面中的角色列表中 選 擇“Windows Server更新服務”項，點擊“下一步”按鈕，在角色服務列表中選擇“WID數據庫”項，表示使用Windows內部數據庫配合WSUS工作，這適用于規模不大的內網環境。

圖1 WSUS安裝向導界面

若企業內網規模很大，可選擇“數據庫”項。在下一步的內容位置選擇窗口中選擇“在以下位置中存儲更新”項，輸入本地合適的目錄路徑（例如“D:gengxin”），當然，也可以指定網絡共享路徑（如圖1）。如果選擇了“數據庫”項，在數據庫實例選擇窗口中輸入具體的實例名。

在服務器管理器中依次點擊菜單“工具”、“Windows Server更新服務”項，打開WSUS配置向導（如圖 2），在“選擇上游服務器”窗口選擇“從Microsoft更新中進行同步”項，如果采用了多級管理模式，可選擇“從其他Windows Server Update Services服務器中進行同步”，設置上游服務器的名稱和端口號。如果在內網中部

配置WSUS角色

圖2 WSUS配置界面

署了類似于ISA、foreFront TMG等防火墻服務器，需在指定代理服務器窗口中選擇“在同步時使用代理服務器”項，設置TMG等主機的名稱和端口號（默認80），選擇“使用用戶憑據連接到代理服務器”項，輸入用戶名、密碼等參數。

在“下一步”窗口中點擊“開始連接”按鈕，從Microsoft Update中下載更新信息。之后依次選擇語言更新包，所需的補丁類型（例如安全更新程序，定義更新，關鍵更新程序等）。對于“Service Pack”類型來說，建議采用手工方式進行更新和測試。如果盲目直接安裝，有可能對生產環境造成不利影響。在配置同步計劃窗口可以選擇手動同步或者自動同步，點擊“完成”按鈕，完成所需的配置操作。在自動打開的更新服務控制臺左側選擇“更新服務”、“WSUS服務器名”、“同步”項，右側顯示所有的同步項目。在該節點的右鍵菜單上點擊“立即同步”項，可以按照預設的配置信息，立即執行同步操作。

新建OU組織單元

在DC域控制器上打開“Active Directory用戶和計算機”窗口，在其左側選擇“xxx.com”域名項，在其右鍵菜單上依次點擊“新建”及“組織單元”選項，創建所需的 OU，例如“Sales”，“Test”等。

選擇“Computers”容器，在其中選擇對應的主機，在其右鍵菜單上點擊“所有任務”、“移動”項，將其移動到上述新建的OU中。

實現自動更新

使用組策略，實現自動更新

打開組策略管理器，依次選擇在左側的“XXX.com”、“Default Domain Policy”項，在其右鍵菜單上點擊“編輯”項，在組策略編輯器左側依次選擇“計算機配置”、“策略”、“管 理 模 版”、“Windows組件”、“Windows更新”項，在右側雙擊“指定Intranet Microsoft更新服務器位置”項，在彈出窗口（如圖3）中選擇“已啟用”項，在“選項”欄中輸入更新服務器以及統計服務器的網址，例如“http://192.168.1.50:8530”。

配置自動更新檢測頻率

圖3 設置WSUS服務器位置信息

雙擊“自動更新檢測頻率”項，在彈出窗口中選擇“已啟用”項，在“選項”欄中設置檢測更新的周期，默認為22小時。雙擊“允許自動更新立即安裝”項，在彈出窗口中選擇“已啟用”項，可以自動安裝那些既不中斷Windows服務，也無需重啟系統的更新包。雙擊“對于有已經登錄用戶的計算機，計劃的自動更新不執行重新啟動”項，在彈出窗口中選擇“已啟用”項，表示當更新完畢后，不會強制重啟系統。雙擊“對計劃的安裝再次提示重新啟動”項，在彈出窗口中選擇“已啟用”項，表示在在更新過程中，出現提示重啟信息的時間間隔，在“選擇”欄中可以設置合適的時間，默認為10分鐘。

配置自動更新參數

雙擊“配置自動更新”項，在彈出窗口中選擇“已啟用”項，在“配置自動更新”列表中尋則更新方式，包括通知下載并通知安裝，自動現在并通知安裝，自動下載并計劃安裝，允許本地管理員選擇設置等。例如選擇“自動下載并計劃安裝”項，可以自動下載并安裝更新，無需用戶的干預，在其下設置計劃安裝的日期和時間。這樣，就實現了針對默認組策略的配置操作。

當然，也可以針對不同的OU，來配置相關的組策略。例如，選擇“Sales”組，在其右鍵菜單上點擊“在這個域中創建GPO并在此處鏈接”項，輸入GPO的名稱（例如“SalesGPO”），在該 GPO 項的右鍵菜單上點擊“編輯”項，在編輯窗口中可以針對上述和WSUS相關的策略進行合適的配置。

這樣，不同的計算機分組，就分別擁有了自己的WSUS更新策略。在DC和相關主機上執行“gpupdate /force”命令，來刷新組策略。在客戶機上執行“wuauclt/detectnow”命令，可以立即檢測WSUS服務器。執行“netstat -ano |findstr"8530"”命令，可以在網絡連接列表中搜索和WSUS服務器相關的連接，因為該連接使用了TCP 8530端口，如果連接存在，說明該機已經和WSUS服務器建立了連接。在WSUS服務器上打開更新服務控制臺，在左側需依次選擇“計算機”、“所有的計算機”、“未分配的計算機”項，可以看到該機已經出現在列表中（注意，這要經過5分鐘左右的時間，才可以顯示其狀態信息）。

管理計算機組和客戶端目標

管理計算機組

在更新服務控制臺依次選擇“計算機”、“所有的計算機”項，在其右鍵菜單上點擊“添加計算機組”項，輸入組名，可以創建新的計算機組。在控制臺左側選擇“選項”項，在右側點擊“計算機”鏈接，在打開窗口中如果選擇“使用Update Service控制臺”項，表示新連入的客戶機自動添加到“未分配的計算機”組中。管理員在該組中需要手動選擇合適的主機，在其右鍵菜單中點擊“更改成員身份”項，選擇合適的計算機組，將其移動到該計算機組中。如果選擇“使用計算機上的組策略或注冊表設置”項，那么可以先創建和AD用戶和計算機管理窗口中OU同名的組名，例如“Sale”，“Test”等。

圖4 設置客戶端目標

管理客戶端目標

之后在DC上打開組策略管理器，在其中選擇某個OU（例如“Sales”），在其下點擊“SalesGPO”項的右鍵菜單上點擊“編輯”項，在編輯窗口中依次定位到“計算機配置”、“策略”、“管理模版”、“Windows組 件”、“Windows更新”項，在右側雙擊“允許客戶端目標設置”項，在彈出窗口（如圖4）中選擇“已啟用”項，在“次計算機的目標

組名稱”欄中輸入“Sales”，點擊“確定”按鈕保存配置。注意，如果在該OU中存在多級的OU結構，例如在“Sales”中包含“Sales01”、“Sales02”等，可以同時輸入，彼此之間以分號相隔。

例如在該OU中存在名為“PC1”的主機，在該機上刷新組策略，并執行“wuauclt /detectnow”命令后，該機就會自動添加到更新服務控制臺對應的計算機組中。例如“PC1”屬于“Sales”的OU，那么其就會存儲到“Sales”組中。需要注意，AD中的OU組名，WSUS中的計算機組名以及組策略中的客戶端目標設置名稱三者必須一致。按照以上方法，可以將不同OU中的計算機，分別自動添加到WSUS的與OU同名的計算機組中。

配置自動審批規則

在WSUS更新服務控制臺左側選擇“選項”項，在右側點擊“自動審批”項，在彈出窗口中點擊“新建規則”按鈕，在“添加規則”窗口（如圖5）中的“步驟1：選擇屬性”列表中選擇“當更新屬于特定產品時”項，在“步驟2：編輯屬性”欄中點擊“任何產品”鏈接，在“打開”窗口中只選擇所需的產品類型，例如“Windows Defender”。默認情況下，可以為所有的計算機審批更新，也可以點擊“所有計算機”鏈接，選擇特定的計算機組，來針對該組中的計算機自動審批更新。

圖5 創建自動審批規則

當然，也可選擇“當更新屬于特定的分類時”項，可以在分類列表中選擇特定的類型，例如定義更新，驅動程序等。這樣，所有選定類別的更新都會自動審批。選擇“設置審批期限”項，可以精確的設置自動審批的具體期限。在“步驟3：指定名稱”欄中輸入其名稱（如“Autosp”），點擊“應用”按鈕保存該規則。選擇該規則，點擊“運行規則”按鈕，WSUS可自動審批符合條件的更新包。默認情況下，當出現針對自動審批更新的修訂版本時，WSUS會自動對其執行審批處理，而無需管理員的干預。

在客戶端執行更新操作

在特定的客戶機上打開控制面板，在其中打開“Windows Update”項目，執行檢測更新操作，就可以從WSUS上檢測并下載上述自動審批的更新包，之后進行安裝即可。在WSUS更新控制臺左側選擇“選項”項，在右側點擊“更新源和代理服務器”項，在彈出窗口中可設置更新源和代理服務器信息。

點擊“產品和分類”項，可以更改需要更新的產品或者類型。點擊“更新文件和語言”項，在彈出窗口中選擇“下載快速安裝文件”項，可以更快的進行下載和安裝。點擊“服務器清理向導”項，可以從WSUS中清除舊計算機，更新和更新文件。在

一般情況下，建議每隔一個月執行一次清理操作。在向導界面中選擇清理的內容，包括未使用的更新和更新續訂，沒有連接到服務器的計算機，不需要的更新文件，過期的更新，被取代的更新等，默認全部處于選擇狀態。點擊“下一步”按鈕，執行具體的清理操作。