SUS和WSUS服務(wù)器的搭建

SUS和WSUS效勞器的搭建補(bǔ)丁安裝的重要性各種補(bǔ)丁的安裝方法以及補(bǔ)丁安裝的必要性SUS的一個簡單介紹如何配置SUS各種補(bǔ)丁的安裝方法以及補(bǔ)丁安裝的必要性漏洞時間線

產(chǎn)品發(fā)行到初期的使用這個個時間段漏洞和Buger并沒有被發(fā)現(xiàn)漏洞被發(fā)現(xiàn)漏洞被公開〔尋找解決方案〕只有少數(shù)人知道漏洞發(fā)布更新〔少數(shù)的人，下載補(bǔ)丁，反編譯補(bǔ)丁，查看補(bǔ)丁對系統(tǒng)的修補(bǔ)點(diǎn)，編寫攻擊工具〕大多數(shù)人往往是在攻擊發(fā)生以后才開始去打補(bǔ)丁知名的漏洞和病毒從更新發(fā)布到病毒爆發(fā)之間留給用戶的打補(bǔ)丁的時間尼姆達(dá)〔蠕蟲病毒〕331天〔也就是說用戶有331天將近一年的時間可以去打補(bǔ)丁，同時反映出這個攻擊工具黑客大約花了一年的時間去研發(fā)〕Exploitvt.開拓,開發(fā),開采,剝削,v.使用Blaster沖擊波〔25天〕Sasser震蕩波〔14天〕皆是利用緩沖區(qū)漏洞攻擊可以看出留給我們打補(bǔ)丁的時間越來越短漏洞的嚴(yán)重等級程度漏洞的嚴(yán)重程度等級與時間用于修補(bǔ)程序管理的微軟的技術(shù)本錢的比較管理功能的比較補(bǔ)丁的安裝方法winndowsUpdate基于網(wǎng)頁的AutomaticUpdates后臺下載更新補(bǔ)丁以上兩種模型主要適合個人用戶或者客戶端對于企業(yè)來說以上兩種模型有缺點(diǎn)浪費(fèi)帶寬下載速度慢不方便管理補(bǔ)丁解決方案SoftwareUpdateServicesSoftwareUpdateServicesProcess處理過程客戶端設(shè)置SUS效勞器地址設(shè)置客戶端是否立即重起計算機(jī)SUS效勞器的軟件硬件要求

SoftwareUpdateServicesServerDistributionPoints

SUS分發(fā)點(diǎn)

HowSynchronizationWorks

同步

自動或者手動

安裝選擇安裝的語言MBSA部署

WSUSWSUS概覽設(shè)計WSUS部署安裝WSUS效勞器配置WSUS效勞器加固WSUS效勞器配置WSUS客戶端通過WSUS(WindowsServerUpdateServices)可全面的管理和獲取MicrosoftUpdate發(fā)布的更新,然后將這些更新分發(fā)到客戶端計算機(jī)管理根底架構(gòu)MicrosoftUpdateWSUSServerWSUSClient根底架構(gòu)設(shè)計WSUS部署

選擇部署類型復(fù)制模式

主WSUS〔主〕復(fù)制WSUS〔從〕鏈?zhǔn)疥P(guān)系復(fù)制更新的批準(zhǔn)情況組的關(guān)系注意組成員是不會被復(fù)制的組的關(guān)系被復(fù)制到下面的去以后各個WSUS效勞器的下面的組的關(guān)系會和主WSUS下面的組關(guān)系是一致的主WSUS有三個組下面的復(fù)制WSUS也有三個組復(fù)制WSUS效勞器上的具體用戶要在下面的復(fù)制WSUS上手動添加注意區(qū)分更新源和復(fù)制模式是不同的

更新源可以設(shè)置成和MicrosoftUpdata同步也可以到主WSUS去同步但是復(fù)制模式是指更新的批準(zhǔn)情況

組的關(guān)系復(fù)制

復(fù)制并不是復(fù)制的更新分散模式每一個WSUS效勞器都需要一個管理員組的劃分更新的批準(zhǔn)都需要獨(dú)立去在每一臺效勞器上做相互獨(dú)立的WSUS選擇WSUS所使用的數(shù)據(jù)庫WMSDEWindowsServer2003數(shù)據(jù)庫大小,無連接限制MSDEWindowsServer2000ServerFamily數(shù)據(jù)庫性能大小(2G)受限制MSSQLServer2000+sp4效勞器的配置更新源數(shù)據(jù)都是存儲在數(shù)據(jù)庫中的具體的更新的數(shù)據(jù)不是存儲在數(shù)據(jù)庫中的決定更新內(nèi)容存放的位置本地存儲-------WSUS效勞器最少6G最好30G遠(yuǎn)程存儲-------WindowsUpdate決定帶寬的選項使用多臺WSUS效勞器延遲更新下載延遲更新下載篩選更新

使用快速安裝文件按照我們的局域網(wǎng)內(nèi)部的系統(tǒng)的需求選擇需要的更新------更新分類----篩選-------減少不必要的帶寬容量的規(guī)劃客戶端計算機(jī)小于500客戶端計算機(jī)大于500安裝必須的軟件Windowsserver2003IIS6.0.NETFramework２．０Ｂｉｔｓ２．０BITS根底

BITS是一個新的Windows文件傳輸特性，它通過HTTP異步從遠(yuǎn)程效勞器下載文件。BITS可以使用專門的空閑帶寬管理多個用戶的多個下載。盡管BITS的使用不限于自動更新應(yīng)用程序，但是它是Windows更新使用的低層API。由于它對于任何應(yīng)用程序都是可用的，因而用于做許多實(shí)際的工作，包括建立自動更新的應(yīng)用程序。

以下是根本的想法。應(yīng)用程序請求BITS管理文件的下載。BITS將工作添加到它的隊列并將它與應(yīng)用程序運(yùn)行的用戶環(huán)境關(guān)聯(lián)。一旦用戶登錄，BITS就使用空閑帶寬通過網(wǎng)絡(luò)慢慢下載文件。實(shí)際上BITS技術(shù)的代碼名稱是Drizzle，它描述BITS做什么。安裝ＩＩＳ端口安裝演示是否以復(fù)制模式運(yùn)行直接鍵入效勞器名就可以了不需要鍵入HTTP或者HTTPS配置WSUS訪問WSUS管理控制臺本地管理員組或WSUS管理員組成員訪問方式管理工具M(jìn)icrosoftIE://WSUSServername:port/WSUSAdmin/其他配置任務(wù)配置ＷＳＵＳ使用代理效勞器選擇產(chǎn)品和分類同步ＷＳＵＳ效勞器配置高級同步選項更新存儲選項延遲下載選項快速安裝文件選項篩選更新選項鏈接ＷＳＵＳ效勞器創(chuàng)立復(fù)制組〔安裝〕

管理客戶端計算機(jī)查看計算機(jī)詳細(xì)信息及狀態(tài)移動計算機(jī)到計算機(jī)組刪除計算機(jī)管理計算機(jī)組創(chuàng)立計算機(jī)組刪除計算機(jī)組更新元數(shù)據(jù)更新的屬性信息，ＥＵＬＡｓ〔ＥＮＤ－ＵＳＥＲＬＩＣＥＮＳＥＡＧＲＥＥＭＥＮＴＳ〕更新文件操作查看更新批準(zhǔn)更新測試更新計算機(jī)組存儲更新Ｗｓｕｓｕｔｉｌｍｏｖｅｃｏｎｔｅｎｔ元數(shù)據(jù)描述更新的一些信息或者是終端用戶的一些許可協(xié)議更新文件我們通常說的更新文件元數(shù)據(jù)-----------數(shù)據(jù)庫更新的文件------------文件夾WSUS-----------批準(zhǔn)----僅檢測(檢查客戶端是否執(zhí)行了更新,生成報告)批準(zhǔn)----安裝批準(zhǔn)----已拒絕批準(zhǔn)----刪除(去客戶端刪除或者卸載更新僅很少的更新允許WSUS刪除)批準(zhǔn)----未許可(并不是一個批準(zhǔn)操作,它表示在指定操作之前不會執(zhí)行任何操作)1、僅檢測當(dāng)你批準(zhǔn)更新只是進(jìn)行檢測時，更新并不會在客戶端計算機(jī)上進(jìn)行安裝。但是，WSUS會在批準(zhǔn)更新對話框上所應(yīng)用到的計算機(jī)組上進(jìn)行檢測，以確定此更新是否適合客戶端計算機(jī)或者客戶端計算機(jī)是否需要。此檢測動作方案在當(dāng)客戶端計算機(jī)下次和WSUS效勞器進(jìn)行通訊時發(fā)生，你可以通過更新報告狀態(tài)或者在更新頁面點(diǎn)擊更新程序的狀態(tài)標(biāo)簽來查看結(jié)果。如果顯示為需要，那么說明客戶端計算機(jī)需要此更新。默認(rèn)情況下，關(guān)鍵更新和平安更新將自動批準(zhǔn)進(jìn)行檢測。2、安裝批準(zhǔn)更新在批準(zhǔn)更新對話框所指定的計算機(jī)組中進(jìn)行安裝。在批準(zhǔn)更新時，你可以選擇客戶端計算機(jī)安裝更新的不同方式：使用客戶端計算機(jī)的設(shè)置來決定如何安裝更新。當(dāng)你使用此方式時，批準(zhǔn)更新所應(yīng)用到的計算機(jī)組中的客戶端計算機(jī)將根據(jù)自己的設(shè)置來決定如何安裝更新程序，可能會提示當(dāng)前的用戶進(jìn)行安裝，也可以根據(jù)組策略的設(shè)置自動進(jìn)行安裝。定義自動安裝的最后期限。當(dāng)你使用此方式，你可以指定更新程序在客戶端計算機(jī)上安裝的日期和時間，此設(shè)置會覆蓋客戶端計算機(jī)上的任何設(shè)置。你可以指定一個過去的時間，這樣會導(dǎo)致客戶端計算機(jī)在下次訪問WSUS效勞器時立刻進(jìn)行安裝操作。注意，你不能為需要用戶輸入的更新程序進(jìn)行最后期限定義的自動安裝，否那么安裝會失敗。你可以在更新程序的詳細(xì)信息中查看可能要求用戶輸入字段來確定更新程序是否需要用戶輸入，并且在批準(zhǔn)更新時在批準(zhǔn)更新對話框上也會有相應(yīng)的提示。3、拒絕更新此選項只是存在于更新頁面的更新任務(wù)列表中。如果你選擇此選項，此更新將從可用更新列表中刪除，而不再進(jìn)行任何其他操作。只有在查看視圖中選擇查看已拒絕或者所有更新類別的更新程序時才可見。4、刪除你可以批準(zhǔn)某個更新進(jìn)行刪除，即從相應(yīng)的客戶端計算機(jī)上進(jìn)行卸載。此選項只有更新程序支持刪除時才會出現(xiàn)。針對刪除更新操作，你也同樣可以定義最后期限，當(dāng)你想讓客戶端計算機(jī)立即執(zhí)行時，你可以指定一個過去時間為最后期限。

5、未許可這是默認(rèn)的批準(zhǔn)選項。WSUS效勞器同步更新程序后，更新程序的默認(rèn)狀態(tài)即為未許可。在此狀態(tài)下，WSUS效勞器不會對更新程序進(jìn)行任何操作，客戶端計算機(jī)也不能對此更新進(jìn)行檢測或安裝，你必須手動批準(zhǔn)更新進(jìn)行安裝或檢測。以上五個批準(zhǔn)操作方式中，除了拒絕更新是通過點(diǎn)擊更新頁面的更新任務(wù)列表中的拒絕更新鏈接來實(shí)現(xiàn)外，其他均通過點(diǎn)擊更改批準(zhǔn)鏈接實(shí)現(xiàn)。上面直線標(biāo)注的配置是默認(rèn)