补丁管理的安全解决方案详解
补丁管理是个重要的工作,不重视的年代已经过去了,因为在一次次的病毒大规模冲击下,补丁的管理成为不得不解决的问题。微软提供了WSUS,这实际已成为补丁管理的标准解决方案。WSUS的有效性自不必说,但是 重要的是它的正统性,因为打补丁不仅是重要的,也是个需要慎重的,打补丁的过程的安全性也至为重要。在WSUS推出后的这么长的时间里,很多单位都采用了WSUS(随便搜一下网络,我们发现云南大学、北京大学等很多学校都采用了这样的方案,并且在学校的有关网站上有很详细的说明。)。但是仍然有很多单位不清楚怎么来解决补丁的管理难题,并且也很为之困惑。这是个有趣的现象,足以说明咱们国家是个非常辽阔的国家,所以信息并不是那么流畅。
我们在这里介绍一下WSUS的使用,主要是一些我们对WSUS的一些细节的理解,有助于关心此问题的人来掌握这个技术。
WSUS是个微软推出的网络化的补丁分发方案,是免费的,可以在微软网站上去下载。
WSUS采用C/S模式,客户端已被包含在各个WINDOWS操作系统上。从微软网站上下载的是WSUS服务器端。
通过配置,将客户端和服务器端关联起来,就可以自动下载补丁了。这个配置几乎就是使用WSUS的全部工作了。
配置工作是区分域与工作组环境的,在域的前提下,可以通过设置域的组策略来实现,比较简单。
在工作组的环境里,因为配置是需要用到管理员权限,于是就变成了逐台配置。
对单机的配置也可以用单机的组策略配置来实现,也可以采用修改注册表的方式来实现。因为单机的组策略配置反而麻烦,所以还不如修改注册表来的方便。(通过使用也发现,配置组策略也实际也是修改注册表。所以这2种方案实际是一样的。)
注册表的修改项包括:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
RescheduleWaitTime 重新计划自动更新计划后的等待时间
NoAutoRebootWithLoggedOnUsers 计划的自动更新安装后是否重新启动
NoAutoUpdate 启停自动更新
AUOptions 配置自动更新
ScheduledInstallDay 计划安装日期
ScheduledInstallTime 计划安装时间
UseWUServer 是否起用WSUS服务器
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
WUServer WSUS服务器
WUStatusServer 统计服务器
ElevateNonAdmins 是否允许普通用户审批更新
TargetGroupEnabled 是否设置目标组
TargetGroup 目标组名称
这上面简单的列举了些重要的注册表项。可能有些名称有些拗口。不过,这基本是从组策略里摘出来的,主要是为了引起一些简单的联想。实际上一看WSUS文档也就差不多了解了。
修改注册表的工作方式,完全可以采用形成一个注册表文件,然后放在单位内部网站上要求大家下载即可。
对工作组的环境,考虑到希望更简单和可靠的使用的用户,也可以使用清扬内网管理系统(http://www.qycx.com/qywsus.htm),里面有辅助的全网配置工具,也可以防止各终端用户的无意中破坏。
WSUS还有非常清晰的对从微软网站上的下载补丁的状态的描述,你可以看到哪些补丁没有下载完毕,并且容易的恢复下载。
WSUS也有非常清晰的对各终端的下载补丁情况的描述,这也可以用来查看有关补丁分发的情况。微软也提供了SMS等更加高级的企业网络使用工具,不过,说实在的,为了打补丁去考虑这样的软件,实在是浪费。因为WSUS已经足够好用,并且是免费的 。
像补丁管理这样的工作,其实完全是微软的应尽的义务,毕竟是Windows需要打补丁。作为目前的软件巨无霸,它应该承担这样的职责,才能更长久的建立软件厂商的信誉。