论文部分内容阅读
不管对于任何系统来说,都可能存在漏洞。因此,及时为系统打上各种补丁,不仅可以让系统更加顺畅地运行,而且可以大大提高其安全性。例如前一阵子闹腾的很厉害的勒索病毒,给全球的电脑用户造成了巨大的损失。其实该病毒自身并没有什么过人之处,实质上是利用了某些系统漏洞,才可以兴风作浪的。问题的根源在于大家的安全意识比较薄弱,对于系统升级打补丁等操作不以为然,才给不法之徒以可乘之机。所以,及时为系统打上补丁,对于保证系统的安全是有百利而无一害的。这里就从单机、小型局域网、大型网络等环境,来讲述快速为系统打补丁的方法。
一、在单机上快速为系统打补丁
在单机上进行在线升级时,有时会遇到各种问题,导致升级失败。遇到这种情况,可以借助于WSUS Offline Update这款小工具,来快速为系统打上补丁。该软件是一款绿色软件,解压后执行其中的“UpdateGenerator.exe”程序,在其主界面(如图1)中的“Windows”面板显示其支持的所有系统,包括Windows7/8.1/2008R2/2012R2/2016等,可以根据实际情况选择自己使用的系统。在“Options”栏中默认支持补丁包校驗,自动下载服务包、C++运行库和.NetFrameworks框架组件等。选择其他项目,还可以下载微软提供的SecurityEssentials安全软件以及WindowsDefender病毒库等。
在“Office”和“Legacy products”面板中可以根据需要,下载〇ffice2010/2013/2016升级包以及语言包等对象。选择好需要升级的组件后,点击“Start”按钮,会自动连接到微软升级服务器来下载补丁,注意,其实际上是使用命令行的方式进行连接扫描和下载的。当下载完毕后,在解压目录中打开“client”文件夹,在其中包含所有补丁包。执行其中的“Updatelnstaller.exe”程序,在更新窗口(如图2)中的“Installation”面板中显示相关的设置项目,包括安装C++运行库、微软银光组件、各版本的.Net框架、微软安全软件、升级远程桌面客户端等。
在“Control”面板中显示控制参数,包括校验安装包、自动重启、更新完成后关闭主机、显示日志文件等。可以根据实际情况进行选择,点击“Start”按钮,执行补丁的安装操作。与之对应的是,在实际更新时依然会打开命令提示符窗口,并使用命令行执行补丁安装动作。上述方法只能在可以正常上网的情况下进行,对于内网中无法上网的主机来说,可以采用变通的方法加以解决。例如,使用Dism++这款小工具,将更新补丁整合到系统安装盘中。这样,使用该安装盘对无法上网的主机进行系统重装操作,就可以有效地解决问题。
在Dism++主界面(如图3)中点击菜单“文件→挂载镜像”项,点击第一个浏览按钮,选择系统安装镜像,例如“install.wim”文件等。点击第二个浏览按钮,将其挂载到指定的目录。之后点击“打开会话”按钮,在Dism++主界面左侧选择“更新管理”项,点击“刷新”按钮,Disk++会联机到微软服务器,并扫描需要安装的补丁文件,选择所有的补丁项目,点击菜单“文件→另存为镜像”项,将更新包集成到加载的镜像文件中。这样,只需使用该镜像文件,就可以为无法上网的主机安装系统,并自动为其打上补丁。
二、在小型局域网中快速打补丁
对于规模较小的公司,其网络的规模也比较小。但是,采用逐台单机进行补丁更新的操作,又显得效率较低。其实,使用上述WSUS Offline Update软件,将下载的补丁包保存到某个共享目录中,就可以实现简单快速的升级操作了。当然,因为不同版本的系统(例如32位和64位)使用的补丁包是不同的,可以根据实际需要分别下载和存储类型不同的补丁包。
按照上述方法,在WSUS Offline Update中选择并下载所需的补丁包,为了提高系统安全性,尽可能下载所有的补丁包。之后在局域网中创建一个共享目录,在其属性窗口中的“共享”面板中点击“高级共享”按钮,为该共享目录设置名称(例如“budingbao”),点击“权限”按钮,针对“Everyone”账户设置读取权限。这样,局域网中的所有用户就都可以访问该共享目录。之后将WSUS Offline Update解压目录“client”文件夹中的所有内容全部复制到该共享路径中。这样,局域网内的所有用户都可以打开该共享目录,执行其中的“Updatelnstallerexe”程序,来快速进行补丁的升级操作了。
三、在大型网络上快速打补丁
在大型的企业网络中,上述升级操作都显示很不适宜。这就需要使用系统提供的专业的Windows Server Update Services(简称WSUS)服务,来快速地大批量地高效升级系统。当部署了WSUS服务器之后,通过配置相关的策略,只允许WSUS服务器从微软网站下载更新包,内网中的主机只能从该服务器下载和安装更新包,不仅利于管理,而且可以节省网络带宽。使用WSUS服务有诸多优点,例如可以实现集中和分布式管理,有效降低网络带宽的占用率,通过统一管理和下发补丁包,可以兼顾补丁更新的效率和安全性,将WSUS和AD组策略结合,无疑可以提高运维的灵活性。
在Windows Server2012中,WSUS提供了一些新的功能,例如可以使用服务管理器进行添加和删除WSUS角色,允许通过PowerShell来管理WSUS中的一些重要任务,添加了SHA256哈希功能,提高了安全性,提供了客户机和服务器之间的分离功能等。在安装WSUS之前,建议禁用防病毒软件,防止在WSUS安装过程中锁定文件。当WSUS安装之后,再启动防病毒软件。为了避免无关干扰,需要将WSUS内容文件夹,“%windir%\wid\data”“\SoftwareDistribution\Datastore”“\SoftwareDistribution\Downloaci”等相关文件夹排除在防病毒软件监控范围外。 WSUS部署分为简单部署和多台部署两种方案,前者适用于规模较小的企业,内网中的客户端主机数量不多,使用一台WSUS服务器即可满足要求。
本例中在某台Windows Server 2012中安装WSUS角色,该机已经加入到“xxx.com”的域中,假设其名称为“wsusl.xxx.com”,IP为192.168.1.50。在服务管理器中点击“添加角色和功能”项,在向导界面中的角色列表中选择“Windows Server更新服务”项,点击下一步按钮,在角色服务列表中选择“WID数据库”项,表示使用Windows内部数据库配合WSUS工作,这适用于规模不大的内网环境。如果企业内网规模很大或者希望配置后台数据库的高可用性,可以选择“数据库”项,在下一步的内容位置选择窗口(如图4)中选择“在以下位置中存储更新”项,输入本地合适的目录路径(例如“D:\gengxin”),当然,也可以指定网络共享路径。
如果选择了“数据库”项,在数据库实例选择窗口中输入具体的实例名。点击安装按钮,来安装WSUS角色。当安装完毕后,点击“启动安装后的任务”链接,执行所需的任务,该过程是系统自动完成的。在服务管理器中点击菜单“丁具→Windows Server更新服务”项,打开WSUS配置向导(如图5),在选择上游服务器窗口中选择“从Microsoft更新中进行同步”项,如果采用了多级管理模式,可以选择“从其他Windows Server Update Services服务器中进行同步”,设置上游服务器的名称和端口号。如果在内网中部署了类似于ISA、foreFront TMG等防火墙服务器,需要在指定代理服务器窗口中选择“在同步时使用代理服务器”项,设置TMG等主机的名称和端口号(默认80),选择“使用用户凭据连接到代理服务器”项,输入用户名、域名、密码等参数。
在下一步窗口中点击“开始连接”按钮,从Microsoft Update中下载更新信息。之后在选择语目窗口中选择“仅下载以下语言的更新”项,在列表中默认选择了简体中文和英语两种语言,当然,您可以根据需要选择更多的语言更新项目。在下一步窗口选择所需的补丁类型,可以看到,WSUS支持很多Windows产品类型。点击下一步按钮,在分类列表中选择所需的更新类型,默认选择安全更新程序、定义更新、关键更新程序等。对于“Service Pack”类型来说,建议采用手工方式进行更新。例如,可以将该类型的更新包下载到本地,在测试环境中对其进行分析评估,之后根据其对系统的实际影响,决定是否安装这类补丁。如果盲目直接安装,有可能对生产环境造成不利影响。
在配置同步计划窗口可以选择手动同步或者自动同步,对于自动同步来说,需要设置第一次同步的时间(建议设置到比较空闲的时段),每天同步的次数等。点击下一步按钮,选择“开始初始同步”项,点击“完成”按钮,完成所需的配置操作。在自动打开的更新服务控制台左侧选择“更新服务→WSUS服务器名→同步”项,右侧显示所有的同步项目。在该节点的右键菜单上点击“立即同步”项,可以按照预设的配置信息,立即执行同步操作。当同步完成后,在窗口底部显示其详细信息,包括启动时间、完成时间、结果、类型、错误、更新的数量等。在左侧选择“WSUS服务器名→更新”项,可以查看更新统计信息。
在域环境,可以根据不同计算机组的要求,来配置对应的WSUS自动更新策略,实现灵活的管控操作。在DC域控制器上打开Active Directory用户和计算机窗口,在左侧选择“xxx.com”域名项,在其右键菜单上点击“新建→组织单元”项,创建所需的0U,例如“Sales”“Test”等。選择“Computers”容器,在其中选择对应的主机,在其右键菜单上点击“所有任务→移动”项,将其移动到上述新建的OU中。打开组策略管理器,在左侧的“XXX.com→Ddault Domain Policy”项,在其右键菜单上点击“编辑”项,在组策略编辑器左侧选择“计算机配置—策略—管理模版→Windows组件→Windows更新”项,在右侧双击“指定Intranet Microsoft更新服务器位置”项,在弹出窗口(如图6)中选择“已启用”项,在“选项”栏中输入更新服务器以及统计服务器的网址,例如“http://192.168.1.50:8530”。
双击“自动更新检测频率”项,在弹出窗口中选择“已启用”项,在“选项”栏中设置检测更新的周期,默认为22小时。双击“允许自动更新立即安装”项,在弹出窗口中选择“已启用”项,可以自动安装那些既不中断Windows服务,也无需重启系统的更新包。双击“对于有已经登录用户的计算机,计划的自动更新不执行重新启动”项,在弹出窗口中选择“已启用”项,表示当更新完毕后,不会强制重启系统。双击“对计划的安装再次提示重新启动”项,在弹出窗口中选择“已启用”项,表示在在更新过程中,出现提示重启信息的时间间隔,在“选择”栏中可以设置合适的时间,默认为10分钟。
双击“配置自动更新”项,在弹出窗口中选择“已启用”项,在“配置自动更新”列表中选择更新方式,包括通知下载并通知安装、自动下载并通知安装、自动下载并计划安装、允许本地管理员选择设置等。例如选择“自动下载并计划安装”项,可以自动下载并安装更新,无需用户的干预,在其下设置计划安装的日期和时间。这样,就实现了针对默认组策略的配置操作。当然,也可以针对不同的0U,来配置相关的组策略。例如,选择“Sales”组,在其右键菜单上点击“在这个域中创建GP0并在此处链接”项,输入GP0的名称(例如“SalesGPO”),在该GP0项的右键菜单上点击“编辑”项,在编辑窗口中可以针对上述和WSUS相关的策略进行合适的配置。
这样,不同的计算机分组,就分别拥有了自己的WSUS更新策略。在DC和相关主机上执行“gpupdate/force”命令,来刷新组策略。在客户机上执行“wuauclt/detectnow”命令,可以立即检测WSUS服务器。执行“netstat-ano Ifindstr“8530n”命令,可以在网络连接列表中搜索和WSUS服务器相关的连接,因为该连接使用了TCP 8530端口,如果连接存在,说明该机已经和WSUS服务器建立了连接。在WSUS服务器上打开更新服务控制台,在左侧需选择“计算机→所有的计算机→未分配的计算机”项,可以看到该机已经出现在列表中(注意,要经过5分钟左右的时间,才可以显示其状态信息)。
一、在单机上快速为系统打补丁
在单机上进行在线升级时,有时会遇到各种问题,导致升级失败。遇到这种情况,可以借助于WSUS Offline Update这款小工具,来快速为系统打上补丁。该软件是一款绿色软件,解压后执行其中的“UpdateGenerator.exe”程序,在其主界面(如图1)中的“Windows”面板显示其支持的所有系统,包括Windows7/8.1/2008R2/2012R2/2016等,可以根据实际情况选择自己使用的系统。在“Options”栏中默认支持补丁包校驗,自动下载服务包、C++运行库和.NetFrameworks框架组件等。选择其他项目,还可以下载微软提供的SecurityEssentials安全软件以及WindowsDefender病毒库等。
在“Office”和“Legacy products”面板中可以根据需要,下载〇ffice2010/2013/2016升级包以及语言包等对象。选择好需要升级的组件后,点击“Start”按钮,会自动连接到微软升级服务器来下载补丁,注意,其实际上是使用命令行的方式进行连接扫描和下载的。当下载完毕后,在解压目录中打开“client”文件夹,在其中包含所有补丁包。执行其中的“Updatelnstaller.exe”程序,在更新窗口(如图2)中的“Installation”面板中显示相关的设置项目,包括安装C++运行库、微软银光组件、各版本的.Net框架、微软安全软件、升级远程桌面客户端等。
在“Control”面板中显示控制参数,包括校验安装包、自动重启、更新完成后关闭主机、显示日志文件等。可以根据实际情况进行选择,点击“Start”按钮,执行补丁的安装操作。与之对应的是,在实际更新时依然会打开命令提示符窗口,并使用命令行执行补丁安装动作。上述方法只能在可以正常上网的情况下进行,对于内网中无法上网的主机来说,可以采用变通的方法加以解决。例如,使用Dism++这款小工具,将更新补丁整合到系统安装盘中。这样,使用该安装盘对无法上网的主机进行系统重装操作,就可以有效地解决问题。
在Dism++主界面(如图3)中点击菜单“文件→挂载镜像”项,点击第一个浏览按钮,选择系统安装镜像,例如“install.wim”文件等。点击第二个浏览按钮,将其挂载到指定的目录。之后点击“打开会话”按钮,在Dism++主界面左侧选择“更新管理”项,点击“刷新”按钮,Disk++会联机到微软服务器,并扫描需要安装的补丁文件,选择所有的补丁项目,点击菜单“文件→另存为镜像”项,将更新包集成到加载的镜像文件中。这样,只需使用该镜像文件,就可以为无法上网的主机安装系统,并自动为其打上补丁。
二、在小型局域网中快速打补丁
对于规模较小的公司,其网络的规模也比较小。但是,采用逐台单机进行补丁更新的操作,又显得效率较低。其实,使用上述WSUS Offline Update软件,将下载的补丁包保存到某个共享目录中,就可以实现简单快速的升级操作了。当然,因为不同版本的系统(例如32位和64位)使用的补丁包是不同的,可以根据实际需要分别下载和存储类型不同的补丁包。
按照上述方法,在WSUS Offline Update中选择并下载所需的补丁包,为了提高系统安全性,尽可能下载所有的补丁包。之后在局域网中创建一个共享目录,在其属性窗口中的“共享”面板中点击“高级共享”按钮,为该共享目录设置名称(例如“budingbao”),点击“权限”按钮,针对“Everyone”账户设置读取权限。这样,局域网中的所有用户就都可以访问该共享目录。之后将WSUS Offline Update解压目录“client”文件夹中的所有内容全部复制到该共享路径中。这样,局域网内的所有用户都可以打开该共享目录,执行其中的“Updatelnstallerexe”程序,来快速进行补丁的升级操作了。
三、在大型网络上快速打补丁
在大型的企业网络中,上述升级操作都显示很不适宜。这就需要使用系统提供的专业的Windows Server Update Services(简称WSUS)服务,来快速地大批量地高效升级系统。当部署了WSUS服务器之后,通过配置相关的策略,只允许WSUS服务器从微软网站下载更新包,内网中的主机只能从该服务器下载和安装更新包,不仅利于管理,而且可以节省网络带宽。使用WSUS服务有诸多优点,例如可以实现集中和分布式管理,有效降低网络带宽的占用率,通过统一管理和下发补丁包,可以兼顾补丁更新的效率和安全性,将WSUS和AD组策略结合,无疑可以提高运维的灵活性。
在Windows Server2012中,WSUS提供了一些新的功能,例如可以使用服务管理器进行添加和删除WSUS角色,允许通过PowerShell来管理WSUS中的一些重要任务,添加了SHA256哈希功能,提高了安全性,提供了客户机和服务器之间的分离功能等。在安装WSUS之前,建议禁用防病毒软件,防止在WSUS安装过程中锁定文件。当WSUS安装之后,再启动防病毒软件。为了避免无关干扰,需要将WSUS内容文件夹,“%windir%\wid\data”“\SoftwareDistribution\Datastore”“\SoftwareDistribution\Downloaci”等相关文件夹排除在防病毒软件监控范围外。 WSUS部署分为简单部署和多台部署两种方案,前者适用于规模较小的企业,内网中的客户端主机数量不多,使用一台WSUS服务器即可满足要求。
本例中在某台Windows Server 2012中安装WSUS角色,该机已经加入到“xxx.com”的域中,假设其名称为“wsusl.xxx.com”,IP为192.168.1.50。在服务管理器中点击“添加角色和功能”项,在向导界面中的角色列表中选择“Windows Server更新服务”项,点击下一步按钮,在角色服务列表中选择“WID数据库”项,表示使用Windows内部数据库配合WSUS工作,这适用于规模不大的内网环境。如果企业内网规模很大或者希望配置后台数据库的高可用性,可以选择“数据库”项,在下一步的内容位置选择窗口(如图4)中选择“在以下位置中存储更新”项,输入本地合适的目录路径(例如“D:\gengxin”),当然,也可以指定网络共享路径。
如果选择了“数据库”项,在数据库实例选择窗口中输入具体的实例名。点击安装按钮,来安装WSUS角色。当安装完毕后,点击“启动安装后的任务”链接,执行所需的任务,该过程是系统自动完成的。在服务管理器中点击菜单“丁具→Windows Server更新服务”项,打开WSUS配置向导(如图5),在选择上游服务器窗口中选择“从Microsoft更新中进行同步”项,如果采用了多级管理模式,可以选择“从其他Windows Server Update Services服务器中进行同步”,设置上游服务器的名称和端口号。如果在内网中部署了类似于ISA、foreFront TMG等防火墙服务器,需要在指定代理服务器窗口中选择“在同步时使用代理服务器”项,设置TMG等主机的名称和端口号(默认80),选择“使用用户凭据连接到代理服务器”项,输入用户名、域名、密码等参数。
在下一步窗口中点击“开始连接”按钮,从Microsoft Update中下载更新信息。之后在选择语目窗口中选择“仅下载以下语言的更新”项,在列表中默认选择了简体中文和英语两种语言,当然,您可以根据需要选择更多的语言更新项目。在下一步窗口选择所需的补丁类型,可以看到,WSUS支持很多Windows产品类型。点击下一步按钮,在分类列表中选择所需的更新类型,默认选择安全更新程序、定义更新、关键更新程序等。对于“Service Pack”类型来说,建议采用手工方式进行更新。例如,可以将该类型的更新包下载到本地,在测试环境中对其进行分析评估,之后根据其对系统的实际影响,决定是否安装这类补丁。如果盲目直接安装,有可能对生产环境造成不利影响。
在配置同步计划窗口可以选择手动同步或者自动同步,对于自动同步来说,需要设置第一次同步的时间(建议设置到比较空闲的时段),每天同步的次数等。点击下一步按钮,选择“开始初始同步”项,点击“完成”按钮,完成所需的配置操作。在自动打开的更新服务控制台左侧选择“更新服务→WSUS服务器名→同步”项,右侧显示所有的同步项目。在该节点的右键菜单上点击“立即同步”项,可以按照预设的配置信息,立即执行同步操作。当同步完成后,在窗口底部显示其详细信息,包括启动时间、完成时间、结果、类型、错误、更新的数量等。在左侧选择“WSUS服务器名→更新”项,可以查看更新统计信息。
在域环境,可以根据不同计算机组的要求,来配置对应的WSUS自动更新策略,实现灵活的管控操作。在DC域控制器上打开Active Directory用户和计算机窗口,在左侧选择“xxx.com”域名项,在其右键菜单上点击“新建→组织单元”项,创建所需的0U,例如“Sales”“Test”等。選择“Computers”容器,在其中选择对应的主机,在其右键菜单上点击“所有任务→移动”项,将其移动到上述新建的OU中。打开组策略管理器,在左侧的“XXX.com→Ddault Domain Policy”项,在其右键菜单上点击“编辑”项,在组策略编辑器左侧选择“计算机配置—策略—管理模版→Windows组件→Windows更新”项,在右侧双击“指定Intranet Microsoft更新服务器位置”项,在弹出窗口(如图6)中选择“已启用”项,在“选项”栏中输入更新服务器以及统计服务器的网址,例如“http://192.168.1.50:8530”。
双击“自动更新检测频率”项,在弹出窗口中选择“已启用”项,在“选项”栏中设置检测更新的周期,默认为22小时。双击“允许自动更新立即安装”项,在弹出窗口中选择“已启用”项,可以自动安装那些既不中断Windows服务,也无需重启系统的更新包。双击“对于有已经登录用户的计算机,计划的自动更新不执行重新启动”项,在弹出窗口中选择“已启用”项,表示当更新完毕后,不会强制重启系统。双击“对计划的安装再次提示重新启动”项,在弹出窗口中选择“已启用”项,表示在在更新过程中,出现提示重启信息的时间间隔,在“选择”栏中可以设置合适的时间,默认为10分钟。
双击“配置自动更新”项,在弹出窗口中选择“已启用”项,在“配置自动更新”列表中选择更新方式,包括通知下载并通知安装、自动下载并通知安装、自动下载并计划安装、允许本地管理员选择设置等。例如选择“自动下载并计划安装”项,可以自动下载并安装更新,无需用户的干预,在其下设置计划安装的日期和时间。这样,就实现了针对默认组策略的配置操作。当然,也可以针对不同的0U,来配置相关的组策略。例如,选择“Sales”组,在其右键菜单上点击“在这个域中创建GP0并在此处链接”项,输入GP0的名称(例如“SalesGPO”),在该GP0项的右键菜单上点击“编辑”项,在编辑窗口中可以针对上述和WSUS相关的策略进行合适的配置。
这样,不同的计算机分组,就分别拥有了自己的WSUS更新策略。在DC和相关主机上执行“gpupdate/force”命令,来刷新组策略。在客户机上执行“wuauclt/detectnow”命令,可以立即检测WSUS服务器。执行“netstat-ano Ifindstr“8530n”命令,可以在网络连接列表中搜索和WSUS服务器相关的连接,因为该连接使用了TCP 8530端口,如果连接存在,说明该机已经和WSUS服务器建立了连接。在WSUS服务器上打开更新服务控制台,在左侧需选择“计算机→所有的计算机→未分配的计算机”项,可以看到该机已经出现在列表中(注意,要经过5分钟左右的时间,才可以显示其状态信息)。