劉　姝　高桂英

摘要Windows Server Update Services(WSUS)是微軟公司提供的免費軟件，它向Windows操作系統(tǒng)提供更新文件的分發(fā)。基于此技術(shù)構(gòu)建的WSUS服務(wù)器，可以向圖書館局域網(wǎng)中的用戶提供免費的WSUS服務(wù)。使用此服務(wù)，可以快速進行部分Windows操作系統(tǒng)的關(guān)鍵補丁更新，不僅大大節(jié)省了更新時間，同時也節(jié)省了網(wǎng)絡(luò)帶寬。該文詳細介紹WSUS系統(tǒng)在圖書館的部署和應(yīng)用。

關(guān)鍵詞系統(tǒng)更新WSUS圖書館

1前言

隨著圖書館信息化建設(shè)的發(fā)展，圖書館的日常運轉(zhuǎn)越來越依賴計算機，各種書目信息的裝載及檢索、電子資源的服務(wù)及應(yīng)用等，無時無刻不需要計算機的支持。因此如何最大程度地保證計算機系統(tǒng)的運行穩(wěn)定及系統(tǒng)安全正日益引起我們的關(guān)注。

回顧2003年，針對Windows系統(tǒng)漏洞的沖擊波病毒曾經(jīng)波及了全世界，同年針對SQL Server系統(tǒng)漏洞的Slammer蠕蟲也肆虐橫行。對于這類專門針對微軟系統(tǒng)漏洞傳播的病毒，如果不及時進行系統(tǒng)文件更新，只是單純依靠防病毒軟件，病毒仍然會通過系統(tǒng)漏洞長驅(qū)直入。因此及時更新操作系統(tǒng)的漏洞補丁，已成為提高系統(tǒng)安全性的重要手段。

2架設(shè)圖書館系統(tǒng)升級服務(wù)器的必要性

我們知道，微軟的Windows2000、Windows XP及以上版本的操作系統(tǒng)目前已具備自動更新功能，即Windows系統(tǒng)會在國際網(wǎng)絡(luò)暢通的情況下，自動連接微軟的Windows Update網(wǎng)站去例行檢查最新更新，這些最新更新可以保護計算機免受新的病毒感染和對系統(tǒng)安全造成威脅的攻擊。這些高優(yōu)先級的更新包括：安全更新、重要更新和Service Pack。微軟在提供分發(fā)系統(tǒng)更新文件的同時，還提供了WSUS(Microsoft Windows Server Update Services)軟件，使得用戶可以搭建自己的Windows Update服務(wù)器，通過使用Windows Server更新服務(wù)(WSUS)，管理員可以快速而可靠地將Windows 2000操作系統(tǒng)及更高版本、Office XP及更高版本、Exchange Server2003以及SQL Server 2000的最新關(guān)鍵更新和安全更新部署到相應(yīng)的操作系統(tǒng)上。

基于以上兩種條件，北大圖書館的計算機系統(tǒng)更新可以通過連接國際網(wǎng)，去Windows Update網(wǎng)站檢查是否對本系統(tǒng)有新的更新，如果出現(xiàn)更新提示，則通過人工干預(yù)的方式下載并安裝。這種方法雖然可以達到系統(tǒng)更新目的，但是對于北京大學特殊的網(wǎng)絡(luò)環(huán)境——需要國際IP網(wǎng)關(guān)才能連接WindowsUpdate網(wǎng)站，不僅會為計算機使用者產(chǎn)生大量的國際流量費用，而且沒有國際網(wǎng)關(guān)的人員就不能實現(xiàn)Windows Update更新。因此學校的計算中心提供了WSUS更新服務(wù)器，以方便北京大學校內(nèi)計算機Windows Update更新。在這種環(huán)境下，圖書館的Windows Update可以連接到學校計算中心的WSUS服務(wù)器上下載更新，但這又突顯出了幾個問題，一是圖書館計算機維護人員無法了解圖書館內(nèi)每臺機器的更新情況(由于微機使用者的水平參差不齊，需要微機維護人員經(jīng)常關(guān)注計算機的系統(tǒng)安全)，二是檢查是否有新的更新時，等待時間較長，給微機維護人員的工作帶來極大不便，三是系統(tǒng)在缺乏安全保障的情況下進入Internet，容易給系統(tǒng)安全造成隱患。因此，我們利用微軟提供的WSUS軟件，構(gòu)建圖書館自己的Windows Update服務(wù)器，實現(xiàn)局域網(wǎng)內(nèi)快速、安全、有效的系統(tǒng)文件更新服務(wù)，使得每臺計算機都最大程度地保證了系統(tǒng)安全。

3原理及特點

目前我們較熟悉的微軟更新服務(wù)體系為三級結(jié)構(gòu)：Microsoft Update→本地企業(yè)網(wǎng)絡(luò)中的WSUS服務(wù)器→客戶端計算機的自動更新。在部署WSUS之后，只需要配置客戶端計算機使用WSUS服務(wù)器上的更新服務(wù)，就可以輕松地享受WSUS服務(wù)器所帶來的好處。例如在大中型企業(yè)網(wǎng)絡(luò)，當部署WSUS服務(wù)器以后，只有WSUS服務(wù)器才從Microsoft Up-date或者從另一臺WSUS服務(wù)器(稱之為上游服務(wù)器)下載更新，而內(nèi)部客戶端計算機則自動訪問WSUS服務(wù)器來獲取更新，就不再需要訪問外部的Windows Update，從而節(jié)省了大量的網(wǎng)絡(luò)帶寬。

在圖書館局域網(wǎng)中架設(shè)微軟補丁升級服務(wù)器WSUS，可以幫助工作人員自動、及時、全面地進行微軟補丁升級，它就好像是微軟補丁升級網(wǎng)絡(luò)在局域網(wǎng)中的一個鏡像，其特點是：

●支持更多的微軟產(chǎn)品的更新，除了能為Win-dows操作系統(tǒng)提供補丁更新外，還支持其他的微軟產(chǎn)品的補丁更新，如Office、Exchange Server、SOLserver、ISA和Visual Studio等。

●對更新程序進行管理，控制更新程序的分發(fā)：可以批準更新在客戶端計算機上進行安裝，或者僅僅是檢測客戶端計算機是否需要此更新，也可以拒絕此更新。

●每天都與微軟補丁升級網(wǎng)站或者上游服務(wù)器進行同步，確保有最新、最全的補丁庫，所有補丁文件都下載到硬盤中等待下發(fā)。

●節(jié)省網(wǎng)絡(luò)帶寬。當計算機接入網(wǎng)絡(luò)后，會自行下發(fā)補丁文件。因為是內(nèi)部局域網(wǎng)，所以補丁下載的速度比直接去微軟補丁升級網(wǎng)站快許多倍。

●能夠判斷每臺電腦中安裝的微軟產(chǎn)品，自動下發(fā)各類所需要的補丁文件。同時建立每臺計算機打補丁的狀態(tài)庫，需要打多少補丁，已經(jīng)打了多少補丁，一目了然。

4圖書館局域網(wǎng)內(nèi)部署WSUS

4．1準備安裝

在安裝WSUS之前要根據(jù)局域網(wǎng)的客戶機情況進行合理的規(guī)劃，為WSUS選擇合理的硬件和軟件平臺。

4．1．1硬件要求

(1)系統(tǒng)分區(qū)和存儲WSUS更新文件的分區(qū)文件系統(tǒng)必須采用NTFS格式；

(2)進行本地存儲時，存儲WSUS更新文件內(nèi)容的分區(qū)至少需要6G剩余空間，推薦30G，系統(tǒng)分區(qū)至少有1C的剩余空間；

(3)應(yīng)根據(jù)服務(wù)的客戶端數(shù)量來決定服務(wù)器的硬件配置，對于服務(wù)500個客戶計算機的v6sUS服務(wù)器，推薦采用至少為CPU 1G/內(nèi)存1G的硬件配置。

4．1．2軟件要求

默認情況下，Windows Server操作系統(tǒng)是不包含WSUS組件的，我們需要通過在微軟下載中心下載WSUS安裝包，并安裝至服務(wù)器，WSUS服務(wù)器只能在Windows2000服務(wù)器或者Windows server 2003上進行安裝。在不同的操作系統(tǒng)上進行安裝時，WSUS所要求的已安裝軟件略為不同，在Windowsserver2003上進行安裝時，要求必須安裝以下軟件：

(1)Intemet信息服務(wù)(IIS)6.0；

(2)后臺智能傳輸服務(wù)(BITS)2.0；

(3)Microsoft，NET Framework 1.1 Servioe PackI forWindows Server 2003。

WSUS服務(wù)器的軟硬件要求如表1示。

圖書館局域網(wǎng)客戶機數(shù)目接近500臺，屬于中小型局域網(wǎng)，考慮到未來的發(fā)展要求，我們選擇了一臺方正PC機來部署WSUS服務(wù)，它的配置是：P42.93GHz處理器、1GB內(nèi)存、80GB SCSI硬盤，并且安裝了Windows Server 2003操作系統(tǒng)，所有分區(qū)都采用了NTFS文件系統(tǒng)。

4．2安裝與配置服務(wù)器

4．2．1安裝WSUS。

從微軟的網(wǎng)站上下載WSUSSetup.exe并安裝。安裝WSUS的方法和普通軟件一樣，順著安裝向?qū)б徊揭徊竭M行就可以了，但是在選擇安裝路徑的時候要注意所選擇的空間必須要大于6G，在網(wǎng)站選擇窗口，要選擇“使用現(xiàn)有IIS默認網(wǎng)站”，整個安裝過程大約為15分鐘。安裝過程中的選項都可選取默認的選項。

需要注意的是：WSUS提供了鏡像管理服務(wù)功能，它可以從網(wǎng)絡(luò)上的另一臺WSUS服務(wù)器(即上游服務(wù)器)中鏡像已批準的補丁更新列表。我們選擇的是北京大學計算中心提供的WSUS服務(wù)器liveup-date.pku.edu.cn:80作為上游服務(wù)器，并同步鏡像其提供的補丁更新列表和所有規(guī)則。

安裝WSUS后，服務(wù)器啟動時會自動啟動WSUS服務(wù)，我們可以在ⅡE中輸入：http://YourServerNameor IP address/WSUSAdmin來啟動WSUS管理頁面(注：YourServerName or IP address即安裝的這臺WSUS服務(wù)器的計算機名或IP地址)。

4．2．2通過鏡像上游服務(wù)器，下載所有的系統(tǒng)更新補丁到本地WSUS服務(wù)器中。

在安裝WSUS的過程中已經(jīng)選擇了北京大學計算中心的更新服務(wù)器(liveupdate.pku.edu.cn:80)作為上游服務(wù)器，現(xiàn)在可以通過WSUS的管理頁面(如圖2)來下載和管理系統(tǒng)更新補丁了。

在WSUS管理頁面上會列出一些相關(guān)信息，有下載的更新數(shù)、加入WSUS的計算機、同步狀態(tài)、下載的狀態(tài)和需要做的待辦事項。進入“同步選項”頁面中“在嚴計劃”一欄里選中“立即同步”，檢查“更新源”一欄中的上游“服務(wù)器名”是否為：liveupdate.pku.edu.cn，“端口號”是否為80，最后點擊“任務(wù)”一欄中的“立即同步”，如圖3所示。至此，開始從選定的上游WSUS服務(wù)器下載所有提供系統(tǒng)更新補丁到本地的WSUS服務(wù)器，下載過程需要幾個小時。

4．2．3批準和部署更新。

在此步驟中，將批準對所有客戶端計算機進行更新。

(1)WSUS控制臺工具欄上，單擊“更新”。默認情況下將對更新列表進行篩選，從而只顯示那些批準在客戶端計算機上進行檢測的關(guān)鍵更新和安全更新。此過程使用默認篩選條件。

(2)在更新列表上，選擇要批準安裝的更新。有關(guān)選定更新的信息將顯示在“詳細信息”選項卡上。

(3)在“更新任務(wù)”下，單擊“更改批準”。屏幕上將出現(xiàn)“批準更新”對話框。

(4)在“選定更新的組批準設(shè)置”列表中，單擊測試組“批準”列中列表內(nèi)的“安裝”，然后單擊“確定”。

4．2．4查看“更新的狀態(tài)”報告

(1)在WSUs控制臺工具欄上，單擊“報告”。在“報告”頁上，單擊“更新的狀態(tài)”。

(2)如果要對更新列表進行篩選，請在“查看”下選擇要使用的條件，然后單擊“應(yīng)用”。

(3)如果要先按計算機組，然后再按計算機查看更新的狀態(tài)，請根據(jù)需要展開更新的視圖。

(4)如果要打印“更新的狀態(tài)”報告，請在“任務(wù)”下單擊“打印報告”。

4．3配置客戶端

(1)點擊“開始—運行”，輸入gpedit.mac后點擊確定，打開組策略編輯器。選擇“計算機配置”，右擊“管理模板”，選擇“添加／刪除模板”：如果當前策略模板中有“wuan”項則關(guān)閉窗口，直接進行第3步；如果當前策略模板中沒有“wuau”，則單擊添加／刪除模板窗口中的“添加”。

(2)選中策略模板中的“wuau.adm”策略文件，單擊“打開”，最后“關(guān)閉”此窗口。

(3)選擇點擊“本地計算機策略—計算機配置—管理模板—Windows組件—Windows Update”。

(4)分別設(shè)置“配置自動更新”、“指定IntranetMicrosoft更新服務(wù)位置”和“允許非管理員接收更新通知”。

打開“配置自動更新”，選擇“已啟用”，可選擇“3一自動下載并通知安裝”，“0－每天”，“12:00”(如圖4)，這樣就可以自動下載最新補丁，并于每天12"00通知安裝。

打開“指定Intranet Microsoft更新服務(wù)位置”，選擇“已啟用”，兩處都填入http://WSUS服務(wù)器的IP地址或計算機名(如圖5)。

打開“允許非管理員接收更新通知”，選擇“已啟用”(如圖6)，這樣，作為poweruser用戶的工作人員也能自己更新系統(tǒng)了。

(5)重新啟動計算機，組策略會自動更新，在WSUS服務(wù)器上就能看見這臺客戶端了。

上述WSUS客戶端的設(shè)置正確完成后，您的系統(tǒng)將具備系統(tǒng)文件更新提示功能，當系統(tǒng)有新的文件系統(tǒng)更新時，桌面右下角將出現(xiàn)WindowsUpdate的圖標。

需要說明的是，出于對計算機系統(tǒng)的安全考慮，圖書館的工作人員用戶都是POWERUSER組，而非管理員組，因此啟用了“允許非管理員接收更新通知”選項，以便工作人員自己可以操作從圖書館的這臺WSUS服務(wù)器上下載安全補丁。

當客戶端啟動了更新設(shè)置后，我們就可以在服務(wù)器上通過管理界面看到這些客戶端。當然所有的補丁安裝過程都是在后臺進行的，我們在客戶端上是不容易察覺的，要想了解客戶端的補丁安裝情況，可以通過服務(wù)器上的管理界面來查看。例如2007年9月18日，服務(wù)器管理界面顯示的客戶端更新情況如圖7示。

5結(jié)語

我們已成功部署WSUS，并將該方法應(yīng)用到圖書館的計算機系統(tǒng)升級中，既為計算機的安全提供了保障，也減輕了管理人員的工作負擔。

當然，沒有任何一個系統(tǒng)可以百分之百地保護計算機系統(tǒng)。WSUS服務(wù)器目前還不能自動檢測網(wǎng)絡(luò)內(nèi)的計算機，必須由客戶端主動連接服務(wù)器，服務(wù)器才對其提供更新服務(wù)；另外，WSUS服務(wù)器提供分組分發(fā)更新補丁的功能，在今后。可以進一步考慮根據(jù)機器配置的不同，將圖書館工作人員用機、OPAC檢索用機、服務(wù)器等分成不同的組，針對各組機器的工作范圍及功能，提供不同的軟件補??；第三，升級軟件最大的顧慮就是軟件的兼容性，若微軟的升級軟件影響到某些軟件系統(tǒng)，該如何進行處理等等，這些都是我們今后要考慮和逐步解決的問題。