补丁管理的安全解决方案详解
补丁管理是个重要的工作,不重视的年代已经过去了,因为在一次次的病毒大规模冲击下,补丁的管理成为不得不解决的问题。微软提供了WSUS,这实际已成为补丁管理的标准解决方案。WSUS的有效性自不必说,但是最重要的是它的正统性,因为打补丁不仅是重要的,也是个需要慎重的,打补丁的过程的安全性也至为重要。 在WSUS推出后的这么长的时间里,很多单位都采用了WSUS(随便搜一下网络,我们发现云南大学、清华大学和北京大学等很多学校都采用了这样的方案,并且在学校的有关网站上有很详细的说明。)。但是仍然有很多单位不清楚怎么来解决补丁的管理难题,并且也很为之困惑。这是个有趣的现象,足以说明咱们国家是个非常辽阔的国家,所以信息并不是那么流畅。 我们在这里介绍一下WSUS的使用,主要是一些我们对WSUS的一些细节的理解,有助于关心此问题的人来掌握这个技术。 WSUS是个微软推出的网络化的补丁分发方案,是免费的,可以在微软网站上去下载。 WSUS采用C/S模式,客户端已被包含在各个WINDOWS操作系统上。从微软网站上下载的是WSUS服务器端。 通过配置,将客户端和服务器端关联起来,就可以自动下载补丁了。这个配置几乎就是使用WSUS的全部工作了。 配置工作是区分域与工作组环境的,在域的前提下,可以通过设置域的组策略来实现,比较简单。配置可参看(http://www.qycx.com/luntanwz5.htm). 在工作组的环境里,因为配置是需要用到管理员权限,于是就变成了逐台配置。 对单机的配置也可以用单机的组策略配置来实现,也可以采用修改注册表的方式来实现。因为单机的组策略配置反而麻烦,所以还不如修改注册表来的方便。(通过使用也发现,配置组策略也实际也是修改注册表。所以这2种方案实际是一样的。) 注册表的修改项包括: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] RescheduleWaitTime 重新计划自动更新计划后的等待时间 NoAutoRebootWithLoggedOnUsers 计划的自动更新安装后是否重新启动 NoAutoUpdate 启停自动更新 AUOptions 配置自动更新 ScheduledInstallDay 计划安装日期 ScheduledInstallTime 计划安装时间 UseWUServer 是否起用WSUS服务器 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] WUServer WSUS服务器 WUStatusServer 统计服务器 ElevateNonAdmins 是否允许普通用户审批更新 TargetGroupEnabled 是否设置目标组 TargetGroup 目标组名称 这上面简单的列举了些重要的注册表项。可能有些名称有些拗口。不过,这基本是从组策略里摘出来的,主要是为了引起一些简单的联想。实际上一看WSUS文档也就差不多了解了。 修改注册表的工作方式,完全可以采用形成一个注册表文件,然后放在单位内部网站上要求大家下载即可。 对工作组的环境,考虑到希望更简单和可靠的使用的用户,也可以使用清扬内网管理系统(http://www.qycx.com/qywsus.htm),里面有辅助的全网配置工具,也可以防止各终端用户的无意中破坏。 WSUS还有非常清晰的对从微软网站上的下载补丁的状态的描述,你可以看到哪些补丁没有下载完毕,并且 容易的恢复下载。 WSUS也有非常清晰的对各终端的下载补丁情况的描述,这也可以用来查看有关补丁分发的情况。微软也提供了SMS等更加高级的企业网络使用工具,不过,说实在的,为了打补丁去考虑这样的软件,实在是浪费。因为WSUS已经足够好用,并且是免费的 像补丁管理这样的工作,其实完全是微软的应尽的义务,毕竟是Windows需要打补丁。作为目前的软件巨无霸,它应该承担这样的职责,才能更长久的建立软件厂商的信誉。从WSUS上, 我们看到它现在是这样做的
在新浪上写博客的,请加入新浪博客圈子“企业信息化发展讨论”,或者点击http://q.blog.sina.com.cn/eim0进入。
清扬创新
2006年5月29日
声明:本文章为原创,版权归北京清扬创新网络科技有限公司所有。未经授权严禁转载。否则应承担相应的法律责任。
相关主题:
WSUS服务器的详细配置和部署 全网补丁分发-清扬内网管理补丁管理方案 如何在微软网站上免费注册下载WSUS工具 企业网络保密的原理和方法 企业网络的安全保障:新的防病毒木马体系的建议 网络流量监控和网络故障的定位和排解 禁用QQ、BT、MSN、游戏软件的正确方法 禁用USB、监控USB拷贝文件、防止失泄密
