保障企业内网安全架设补丁服务器

尽管在病毒大规模传播之前，微软已经提供了相应的补丁程序，但是还是有数以万计的windows系统由于没有及时的更新系统而受到攻击。因此很多企业网利用WSUS架设局域网内部补丁服务器。为用户提供补丁服务。

引言

大家对“振荡波”、“冲击波”和“尼姆达”等病毒的肆虐还记忆犹新吧!尽管在这些病毒大规模传播之前，微软已经提供了相应的补丁程序，但是还是有数以万计的Windows系统由于没有及时的更新系统而受到攻击。虽然很多用户养成了及时安装操作系统补丁的习惯，但对于那些网络规模较大，电脑数目众多的企业网来说。用户采用手工方式从微软网站下载补丁程序，或者利用Windows操作系统自带的“Windows Update”在线更新方式都不能让人满意。先放着正版验证的事不说，光是近百个补丁的下载和安装所耗费的时间，占用的网络带宽，就足够你头疼的!而更可怕的是这一切都将随着系统重装周而复始。虽然网上有很多现成的补丁包下载，可是安全性让人担心。因此很多企业网利用WSUS架设局域网内部补丁服务器。为用户提供补丁服务。

一、WSUS简介

WSUS全称为Windows Server Update Services是微软新的系统补丁服务器。作为最新版本，WSUS3.0新增了改良的管理员控制处理，减少网络带宽影响和使用，发布剩余报告信息功能，对最终用户的优化、增加管理员管理等功能。

二、安装WSUS

系统需求：IIS 6.0、NET FRAMEWORK 2.0、MMC。先检查系统是否安装以上服务及程序。如安装了，就可以安装WSUS了。

1.双击安装程序文件“WSUSSetup.exe”。

2.在安装向导的“欢迎”页中。单击“下一步”。

3.在“安装模式选择”页中，如果您希望在此计算机上安装服务器，请单击“包括管理控制台的完整服务器安装”，如果仅希望安装管理控制台，请单击“”仅限管理控制台”。

4.在“许可协议”页中，仔细阅许可协议条款，单击“我接受许可协议”，然后单击“下一步”。

5.在安装向导的“选择更新源”页中，可以指定客户端获得更新的位置。如果选中“在本地存储更新”复选框，则会将更新存储在WSUS服务器上，您需要在文件系统中选择一个用于存储更新的位置。如果不在本地存储更新，客户端计算机将连接到Microsoft Update以获取已审批的更新。请将存储位置放到系统盘以外的分区上存放，同时该分区推荐不要少于20G，然后单击“下一步”。

6.在“数据库选项”页中，选择用于管理WSUS数据库的软件。

7.在“网站选择”页中，指定WSUS将使用的网站。

8.在“准备安装WSUS”页中，检查各项选择，然后单击“下一步”。

9.安装向导的最后一页将说明WSUS安装是否成功完成。单击“完成”后，将动配置向导。

二、配置WSUS 3.0服务器端

1.从配置向导中单击“下一步”，以选择上游服务器。

2.根据需要选择从“Microsoft Updat进行同步”或“从上游服务器更新”。

3.如果选择从另一台WSUS服务器进行同步，请指定该服务器的名称及其与上游服务器进行通信所使用的端口。

4.要使用SSL，请选中“在同步更新信息时使用SSL”复选框。在这种情况下，服务器将使用端口443进行同步。(应确保该服务器及上游服务器都支持SSL)

5.如果这是副本服务器，请选中“这是上游服务器的副本”复选框。

6.现在，您已完成了上游服务器配置。单击“下一步”，或者从左面板中选择“指定代理服务器”。

7.通常不用设定代理服务器。

8.单击“开始连接”按钮，这将会保存并上载设置以及获取有关可用更新的信息。

9.当建立连接时，“停止连接”按钮将变为可用。如果连接出现问题，请单击“停止连接”，解决该问题，然后重新启动该连接。

10.在下载成功完成后，单击“下一步”转到“选择语言”页，或者从左面板中选择其他页。

11.选择更新语言。

12.选择更新产品及分类在“选择产品”页中，您可以指定所需的更新产品。在“选择分类”页中，可以选择要获取的更新分类。您可以选择所有分类或它的一个子集。

三、配置客户端自动更新

目前公司的网络结构为基于Active Directory的环境中，可以使用基于域的GPO来进行对客户端的自动更新部署。通过GPO先将客户端计算机指向WSUS服务器，然后才能配置自动更新。

1.在详细信息窗格中，双击“配置自动更新”。

2.单击“已启用”，然后单击以下选项之一。

通知下载并通知安装：该选项在下载之前以及安装更新之前通知已登录的管理用户。

自动下载并通知安装：该选项自动开始下载更新，然后在安装更新之前通知已登录的管理用户。

自动下载并计划安装：如果将自动更新配置为执行计划安装，您还必须设置执行定期计划安装的日期和时间。

四、为更新创建计算机组

计算机组是WSUS部署的重要组成部分，可以创建自定义计算机组。方便对所属的服务器和客户端进行管理。在生产环境中，我们可以按部门、客户端的类型和OS类型进行分类，建立相对应的计算机组。建计算机组的—个好处是，可以在大范围部署更新之前对更新进行测试。如果测试进行顺利，便可将更新部署到“所有计算机”组中。

五、在组中添加计算机

1.在WSUS管理控制台中单击“计算机”。

2.单击要移动的计算机的组。

3.在计算机列表中，选择要移动的计算机。

4.右键单击“更改成员身份”。

5.将会看到“设置计算机组成员身份”对话框，其中包含—个组列表。

6.选中要将计算机移动到的组，然后单击“确定”。

六、在WSUS中审批和部署更新？审批和部署更新

1.在WSUS管理控制台上，单击“更新”。这样样会在默认视图中显示更新摘要。请在此过程中使用“所有更新”。

2.在更新列表上，选择要审批安装的更新在“更新”面板的最下面的窗格中，将提供有关选定更新的信息。要选择多个连续的更新。

3.右键单击选定的新，然后单击“审批”。将出现“审批更新”对话框。

4.选择其中的一个组(例如，Test1)，然后单击其左侧的箭头。将会看到包含以下选项的上下文菜单：“已审批进行安装”、“已审批删除”、“未审批”、“最后期限”“与父组相同”以及“应用到子组”。单击“已审批进行安装”，然后单击“确定”。