現在發現的Windows漏洞越來越多,特別是一些重大漏洞可能會造成整個網絡癱瘓,雖說我們可以使用Windows XP/2000自帶的Windows Updata進行在線升級,但是對於機房、公司中大批量的電腦升級就沒有那麼容易了,特別是在局域網的出帶寬較小或者不方便上網的情況下升級非常麻煩,令管理員非常頭痛。
現在微軟為我們准備了合適的解決方法,那就是SUS(Software Update Service軟件升級服務器)。通過SUS可以在局域網中建立一個Windows升級服務器,以後局域網中的電腦就可以通過這個服務器來升級。
提示:目前SUS只能給客戶端提供Windows操作系統和IE浏覽器的關鍵更新和操作系統的Service Pack,還不能為Office或者其他微軟軟件提供更新服務。而且所有的更新活動都是通過Windows後台自動更新進行的,不需要任何人的干預,非常方便。
服務器端的安裝: 對於服務器端,推薦配置:主頻不低於700MHz的處理器,512MB以上的內存,6GB以上的硬盤空間;而軟件的要求是:Windows 2000 Server或者Windows Server 2003,IIS5或者IIS 6,IE 5.5以上版本。
提示:該配置是按照15000台計算機提供升級服務而推薦的,如果你局域網中的機器比較少那麼服務器配置可以相應降低。
在安裝之前服務器上首先要安裝和配置好IIS,安裝SUS的服務器端,安裝過程很簡單,一切按照默認設置就可以。隨後開始對SUS進行設置,這裡有兩種方法,本地設置或者遠程設置。本地設置的話可以在“控制面板/管理工具”中雙擊“Microsoft Software Update Services”;遠程設置可以隨便使用一台安裝了IE5.5的計算機,然後在IE的地址欄中輸入http://IP/susadmin,回車後需要輸入SUS服務器所在電腦上具有管理員權限的用戶賬戶和密碼,然後就可以看到(如圖1)的管理界面。
首先在左側的列表中點擊“Set Options(操作設置)”對服務器進行設置,這裡我們有以下幾點需要注意:
Select which server to synchronize content from(選擇服務同步源),這個選項可以讓你設置SUS服務器更新的源,如果你的網絡中有多台SUS服務器,那麼你可以讓其他服務器都跟一台同步,這樣速度要快很多,但是如果你的網絡中只有一台SUS服務器,那你就只能設置“Synchronize directly from the Microsoft Windows Update servers(直接跟微軟的Windows Update 服務器同步)”了。
Select how you want to handle new versions of previously approved updates(選擇你發布新補丁的方式),這個選項可以選擇新補丁的發布方式,如果你覺得每個新補丁在發布到自己的網絡之前都應該經過仔細測試,那麼可以選擇“Do not automatically approve new versions of approved updates. I will manually approve these updates later(不自動發布,手動發布)”,這樣每當同步出一個新的補丁後這個補丁還不能立刻被你的客戶端下載到,而是先由你進行有效的測試,當你認為這個補丁沒問題後,才可以發布到網絡中去。這樣可以防止某些更新會和局域網使用的軟件沖突。
Synchronize installation packages only for these locales(僅僅同步以下語言版本的補丁),這個選項你尤其要注意,默認情況下SUS服務器會把微軟那裡所有語種的補丁程序都下載回來,如果網絡中只有簡體中文版的系統或者其他語種,那麼就沒必要花費額外的時間來下載這些你並不需要的語種補丁,能節省不少硬盤空間。
設置好後點擊頁面右下角的“Apply(應用)”按鈕,這些設置就可以生效了。
接著從左側的列表中點擊“Synchronize server(同步服務器)”鏈接,你能看見(圖2)的界面,在這裡可以指定SUS立刻跟其他服務器保持同步。
另外,這裡可以設定同步計劃,這樣你可以設置服務器在每天晚上進行同步工作,因為這時候網絡的利用率最低,不會影響到其他人。點擊“Synchronization Schedule(同步計劃)”按鈕,這時會彈出一個窗口,在這裡你可以設置同步的時間、頻率以及重試次數等。如果點擊“Synchronize Now”按鈕,則會立刻開始同步。第一次同步的過程會很漫長,這取決於網速和下載的補丁的數量。
如果設置了發布補丁前進行測試,並且也測試過了所有補丁,那麼現在要把它們發布到局域網中去。點擊左側的“Approve updates(發布更新)”鏈接,可以看見(圖3)的界面。所有還沒有被批准的補丁後面都用紅色的“New”做了標記。選中需要批准的補丁前面的復選框,然後點擊右下角的“Approve(發布)”按鈕,就可以完成批准工作了。
服務器端的設置完以後,下面開始配置客戶端。
SUS對客戶端有一些要求,首先是操作系統,SUS只支持Windows 2000 SP2及以上版本的操作系統,軟件方面,Windows 2000 SP2和Windows XP首先都需要安裝一個SUS的客戶端軟件,而Windows 2000 SP3、Windows XP SP1和Windows Server 2003已經自帶了客戶端軟件,不需要額外安裝。
如果你的網絡是工作組環境,那麼你需要分別在每台電腦上設置SUS客戶端。運行Gpedit.msc打開組策略編輯器,打開“計算機配置/管理模板”,然後在“管理模板”上點擊鼠標右鍵,選擇“添加/刪除模版”,然後在(圖4)的界面上點擊“添加”按鈕,並找到%windir%\inf目錄下的wuau.adm文件,雙擊添加。接著繼續打開“Windows組件/Windows Update”(這一項只有在安裝了客戶端軟件並添加後才會出現),在窗口右側會顯示出兩條可用的策略。其中“配置自動更新”可以讓你設置進行更新的時間和處理方法,“指定企業內部互聯網…”則用來指定服務器的位置,你可以以“http://服務器名稱”或者“http://服務器IP”的方式輸入。
如果你的網絡中有域控制器且所有計算機都加入了域,那就更簡單了,給需要安裝客戶端的操作系統安裝了客戶端以後,在域控制器上的運行中輸入“dsa.msc”並回車,打開Active Directory用戶和計算機設置窗口,在要創建策略的OU或者域上點擊鼠標右鍵,選擇“屬性”,然後在屬性窗口中打開“組策略”選項卡,並點擊“新建”按鈕,給新建的策略命名(圖5)。選中新建的組策略,點擊“編輯”按鈕,接著會彈出一個組策略設置窗口,這跟我們平常運行gpedit.msc打開窗口很類似,不過這裡可以為整個域中的所有計算機設置組策略。
在這個窗口中依次打開“計算機配置/管理模板/Windows 組件/Windows Update”,然後通過設置這裡的策略就可以給所有登錄域的計算機設置SUS客戶端的工作參數。所有的客戶機下次重啟動就會應用這些設置。
客戶端的部署完成了,相信經過這樣的部署,你的網絡中計算機打補丁將更方便和迅速,而安全性也能得到很大的提高。