高性能网站建设指南 pdf,手机网站 代码格式,广州新塘网站建设推广公司,揭阳网站设计公司Windows 系统补丁管理策略 (注#xff0c;这几天我只是在整理我以前自己写的一些东西#xff0c;有的可能已经有点过时#xff0c;希望不要见怪#xff0c;不过还是有一定参考价值的#xff09; 大部分对计算机比较熟悉的朋友都知道#xff0c;通常安装好Windows 操作系…Windows 系统补丁管理策略 (注这几天我只是在整理我以前自己写的一些东西有的可能已经有点过时希望不要见怪不过还是有一定参考价值的 大部分对计算机比较熟悉的朋友都知道通常安装好Windows 操作系统后常做的一件事就是上Windows Update网站去给Windows 安装补丁程序否则各种漏洞对系统就是一个很大的威胁。不过遗憾的是很多人还没有这样的意识疏忽了给系统打补丁。这也间接造成了病毒的横行比如前一段时间的“冲击波”病毒这个病毒就是利用了微软软件的RPC漏洞编写和传播的但是在这些病毒广泛流传之前相应软件的补丁程序早就已经由微软发布出来并提供了免费下载只要用户能经常性地访问Windows Update网站打补丁就不会感染这些病毒可是很多人都疏忽了这一点。好在经过这次教训更多的人知道“打补丁”的重要性可是问题又来了。 微软的升级服务器都架设在国外有时候由于网络的原因造成了国内用户连接服务器的速度非常慢这些时候光下载补丁就要一个多小时的时间效率非常低。另一方面对于有大量电脑的企业每台电脑都连接到微软的服务器去下载大量的补丁程序这对企业的网络带宽也是一个不小的负担而且对安全要求比较高的企业也不允许客户端机器接入外网那么windows补丁管理完全需要网管员手工进行这样不但麻烦而且效率低下从管理的角度来看不可控制的内容太多。 经过一段时间的研究对解决这个问题找到了一些方法和手段可以比较好的解决这个问题。 1使用微软提供的SUS服务 微软的SUSSoftware Update Service软件更新服务服务可以在企业内部搭建一个类似微软本身提供的Update服务器的服务器目前的SUS的版本是1.0 SP1到明年会提供SUS2.0版。 SUS分为服务端和客户端。 服务端软件主要用来和微软的Update服务器保持同步并且完成向企业内部的客户端进行补丁分发的功能。 客户端主要用来从Update服务器上查询需要升级的的补丁并完成相应的安装过程。 服务端程序安装简介。 用户可以到如下网址下载http://www.microsoft.com/downloads/details.aspx?FamilyIdA7AA96E4-6E41-4F54-972C-AE66A4E4BF6Cdisplaylangen 安装时微软推荐配置如下 硬件700MHz主频以上的CPU512MB以上内存6GB以上的硬盘空间 软件Windows 2000 Server SP2 以上的操作系统Windows Server 2003IIS 5以上版本IE 5.5以上版本 SUS对硬件的要求比较高但是微软推荐的这种硬件配置可以同时为15000台计算机提供升级服务因此如果你的网络没有这么大规模硬件的条件可以适当放宽。另一方面对于6GB的硬盘空间这是用来保存所有语种的补丁文件的如果你的网络中只有简体中文版或者英文版操作系统的计算机那你可以通过设置而不下载其他语种的补丁文件以节约硬盘空间。不过本人实际使用过程中觉得6个G的硬盘还是比较小光2个语种的补丁就占用了1个G的空间加上安装操作系统的空间那就不好说了 用户可以直接双击安装程序SUS10SP1.exe启动安装过程需要注意的是由于安全方面的原因SUS服务器的系统盘和保存SUS补丁文件的硬盘分区都必须是NTFS文件系统。另外如果你是在Windows 2000 Server操作系统上安装SUS安装程序还会同时为你安装IIS Lockdown Tool这是一个提高IIS安全性的软件。 安装成功以后用户只要在本地或远程在IE中键入http://服务器名/susadmin如果是远程需要输入相应的用户名和密码就可以打开SUS服务器管理界面。见图一 首先要对这个服务器进行配置在主界面左侧的“Other Options”菜单下点击的“Set Options”接着可以打开配置的界面见图二。 一般情况下我们不需要修改什么内容。其中有两个内容需要注意 1“Select how you want to handle new versions of previously approved updates”。在该选项下我们可以设置 一个已经经过审核发布的补丁有了新版本后将采取什么操作。如果你觉得新版本的补丁都可以不经过测试直接发布的话就在这里选择“Automatically approve new versions of previously approved updates” 否则就选中“Do not automatically approve new versions of approved updates. I will manually approve these updates later”这样如果 已有补丁程序有新版本发布这些新版的程序不会被马上发布出去而等待管理员验证然后手工发布。 2“Select where you want to store updates”。在该配置选项下你可以设置保存补丁程序的方式。你可以简单的选择“Maintain the updates on a Microsoft Windows Update server”这样SUS服务器的补丁下载就会跟微软的服务器保持完全同步通常建议选择“Save the updates to a local folder”并且仅选择你需要的补丁语种这样会减少额外的下载。 服务器配置完成以后需要进行服务器同步。点击主界面左侧“Synchronize server”打开同步界面见图三 点击“Synchronize Now”按钮马上开始同步。点击“Synchronization Schedule”按钮打开定时同步界面用户可以选择在适当的时间开始同步过程。 同步完成以后如果用户在配置过程中选择了“Automatically approve new versions of previously approved updates”那么新的补丁程序立刻可以发布了否则用户要点击主界面左侧“Approve updates”打开补丁发布界面见图四。 所有已经下载回来的补丁程序都会列在这里每个补丁的右侧会显示该补丁的状态如果是“Approved”则表示该补丁已经经过了测试并批准发布出去如果一个补丁的状态是“Not Approved”那么就需要测试安装这些补丁程序如果一切正常那么就选中这个补丁程序名称前面的复选框最后点击右下角的“Approve”按钮完成发布过程。 这样就基本完成SUS服务器配置。 客户端程序配置简介。 Windows 2000 SP2和Windows XP首先还需要安装一个SUS的客户端程序用户可以到如下网址下载http://download.microsoft.com/download/win2000platform/Update/June2002/NT5/CN/WUAU22CHS.msi对于Windows 2000 SP3及以上版本Windows XP SP1 及以上版本和Windows Server 2003都不需要安装客户端直接就可以在组策略中进行设置。 在客户端的“运行”中输入“gpedit.msc”打开组策略编辑器并依次展开“计算机配置”-“管理模板”然后在“管理模板”上点击鼠标右键选择“添加/删除模版”然后在点击“添加”按钮并找到%windir%inf目录下的wuau.adm文件双击添加。接着继续打开“Windows组件”-“Windows Update”这一项只有在安装了客户端软件并添加后才会出现在窗口右侧就会显示出两条可用的策略。其中“配置自动更新”可以让你设置进行更新的时间和处理方法“指定企业内部互联网…”则用来指定服务器的位置你可以以“http://服务器名称”或者“http://服务器IP”的方式输入。 如果你的网络规模比较大使用了活动目录管理那么设置会更加方便。 在域控制器上的运行中输入“dsa.msc”并回车打开Active Directory用户和计算机设置窗口在要域上点击鼠标右键选择“属性”然后在属性窗口中打开“组策略”选项卡并点击“新建”按钮给新建的策略命名。选中新建的组策略点击“编辑”按钮接着会弹出一个组策略设置窗口这跟我们平常运行gpedit.msc打开的窗口很类似不过这里可以为整个域中的所有计算机设置组策略。这个窗口中依次展开“计算机配置”-“管理模板”-“Windows 组件”-“Windows Update”然后通过设置这里的策略就可以给所有登入域的计算机设置SUS客户端的配置参数。 经过上述的一些设置那么整个企业网的补丁管理就比较方便和容易了。 下面是配置过程中一些需要注意的问题。 1 SUS只能提供Windows操作系统的关键更新和Service Pack驱动程序和其他更新都是不包括在内的。而微软的其他产品例如Office、Exchange等的升级也不包括。 2 安装SUS服务器后用户其他的IIS应用可能会受到影响因此最好使用一台独立的服务器。 3 客户端一定要打开BITS服务否则客户端无法下载补丁包。 4 客户端用户可以到如下网址http://ftp.nextwish.org/utils/nwsusutil.zip下载一个工具解压后在控制台窗口直接执行“nwsusutil SUS服务器名”可以直接完成组策略修改同时可以实时启动自动更新过程。 2使用第三方软件 SUS只能提供Windows操作系统的关键更新和Service Pack驱动程序和其他更新都是不包括在内的。而微软的其他产品例如Office、Exchange等的升级也不包括。因此我们也可以使用一些第三方软件完成系统补丁管理功能。 第三方软件主要包括在客户端安装代理和不安装代理两种方式。 安装代理方式主要有如下一些厂商提供BigFixs Enterprise SuitePatchLinks Update和UpdateExpert感兴趣的用户可以自己下载试用版测试使用。 下面主要介绍一下不需要安装代理方式的补丁升级管理程序。 1Service Pack Manager 2000 用户可以到如下网址下载使用版http://www.securitybastion.com/使用版可以使用7天。下载完成以后直接安装安装完成后双击桌面“Service Pack Manager 2000”快捷方式打开Service Pack Manager 2000主界面见图五。 主界面主要包括OS Status、OS Info、Product Status、Product Info、Hotfix Profiler、EventLog和Configuration Options七个部分。 在OS Status中用户可以选择网络中的节点然后点击NetQuery查询该节点的补丁安装情况。查询的前提是用户用户给节点的相应的权限。 查询扫描完成以后会在右下脚的窗口中列出可用的安装补丁。用户可以选择安装。 在OS Info中列出了各种不同版本的系统的补丁列表。 在Product Status和Product Info中列出了用户定义的个别产品的补丁安装情况和补丁列表。 总的来说该款工具还是比较简单易用的能够满足不同用户的需求。 2HfNetChk Pro 用户可以到如下网址下载使用版http://www.securitybastion.com/使用版可以使用30天。下载完成以后直接安装安装要求比较多可以参考安装提示。完成后双击桌面“HFNetChkPro4”快捷方式打开HFNetChkPro4主界面见图六。 在左边的功能列表中“Scan What”可以选择需要扫描的机器“Scan Now”启动扫描过程把滚动条拉到最下边可以看到Patch Information选择不同类型的产品可以查看该产品的补丁列表。 除了以上的一些功能以外该工具还包括补丁的下载分发系统的测试等功能。具体的功能还需要用户自己去尝试。 除了以上两种软件以外还有一些免费的工具比如windows提供的“Microsoft Baseline Security Analyzer”或者“HfNetChk”都可以从微软的网站下载也可以完成系统补丁的检测和管理只是功能相对比较简单。 以上内容介绍比较简单只起一个抛砖引玉的作用具体内容大家可以下载试用。 转载于:https://www.cnblogs.com/wishma/archive/2008/07/25/1251351.html
