WSUS服務(wù)器在圖書館網(wǎng)內(nèi)的架設(shè)

肖 紅

（山東工商學(xué)院圖書館，山東 煙臺(tái) 264005）

1 引言

目前網(wǎng)絡(luò)上相當(dāng)比例的惡意攻擊是利用微軟的操作系統(tǒng)設(shè)計(jì)缺陷展開的，這個(gè)缺陷或錯(cuò)誤可以被不法者或者電腦黑客利用，通過植入木馬、病毒等方式來攻擊或控制整個(gè)電腦，進(jìn)而會(huì)威脅到整個(gè)局域網(wǎng)的安全。因此及時(shí)更新操作系統(tǒng)的漏洞補(bǔ)丁，已成為提高系統(tǒng)安全性的主要手段。通常安裝補(bǔ)丁程序的方式是自動(dòng)通過HTTP/HTTPS協(xié)議直接連接到Microsoft Update來下載更新程序，而這樣做的弊端是在客戶端數(shù)量較多的情況下，會(huì)極大地影響學(xué)校的外部網(wǎng)絡(luò)帶寬。

圖書館局域網(wǎng)內(nèi)部分計(jì)算機(jī)未能及時(shí)安裝補(bǔ)丁程序，是由以下幾方面原因造成的：一是部分使用者不能認(rèn)識(shí)到補(bǔ)丁程序重要性；二是等待更新的時(shí)間較長；三是部分電腦考慮系統(tǒng)安全的問題不能連入互聯(lián)網(wǎng)。因此，我們需要利用微軟提供的WSUS軟件，來構(gòu)建圖書館自己的補(bǔ)丁更新服務(wù)器，實(shí)現(xiàn)局域網(wǎng)內(nèi)快速、安全、有效的系統(tǒng)文件更新服務(wù)，使得每臺(tái)計(jì)算機(jī)都最大程度地保證系統(tǒng)安全。

2 WSUS特性

2.1 WSUS簡介

WSUS（Windows Server Update Services）是 Windows操作系統(tǒng)的升級(jí)服務(wù)，通過在內(nèi)部網(wǎng)絡(luò)中配置WSUS服務(wù)器，所有Windows的更新都能集中下載到這個(gè)服務(wù)器中，內(nèi)部網(wǎng)絡(luò)中的客戶機(jī)就可以通過WSUS服務(wù)器得到更新，沒有連接Internet的計(jì)算機(jī)只要在內(nèi)網(wǎng)中能順利訪問WSUS服務(wù)器，也可實(shí)現(xiàn)隨時(shí)安裝補(bǔ)丁，有效地防止漏洞型病毒在內(nèi)網(wǎng)傳播。這既節(jié)省了資源，又提高了計(jì)算機(jī)和網(wǎng)絡(luò)的安全性。

2.2 架設(shè)WSUS服務(wù)器的優(yōu)點(diǎn)

①更新速度快，節(jié)省外部網(wǎng)絡(luò)帶寬。因?yàn)樗锌蛻舳烁卵a(bǔ)丁時(shí)都是從內(nèi)網(wǎng)服務(wù)器下載，這樣極大地節(jié)省外部網(wǎng)絡(luò)帶寬。

②通過選擇的方式更新程序。包含F(xiàn)eature Pack、Service Pack、安全更新、關(guān)鍵更新、更新程序、更新程序集、工具、驅(qū)動(dòng)程序等都可以選擇從Microsoft Update下載至本地安裝源。

③對(duì)更新程序進(jìn)行管理，控制更新程序的分發(fā)?？梢耘鷾?zhǔn)更新在客戶端計(jì)算機(jī)上進(jìn)行安裝，或者僅僅是檢測客戶端計(jì)算機(jī)是否需要此更新，也可以拒絕此更新程序。

④對(duì)網(wǎng)絡(luò)中的客戶端計(jì)算機(jī)進(jìn)行分組，控制更新程序在不同客戶端計(jì)算機(jī)上的分發(fā)。

⑤補(bǔ)丁全。支持更多微軟產(chǎn)品的更新,除了能為Windows操作系統(tǒng)提供補(bǔ)丁更新外，還支持其他微軟產(chǎn)品的補(bǔ)丁更新，如 Office、Exchange Server、SQLserver、ISA 和 Visual Studio等。

3 WSUS服務(wù)器的架設(shè)

3.1 方案設(shè)計(jì)

通常情況是在網(wǎng)絡(luò)中部署1臺(tái)WSUS服務(wù)器，當(dāng)網(wǎng)絡(luò)具有很大規(guī)模時(shí)，1臺(tái)WSUS服務(wù)器可能無法滿足需求，此時(shí)就可以使用多臺(tái)WSUS服務(wù)器組成鏈?zhǔn)浇Y(jié)構(gòu)。WSUS服務(wù)器不僅僅可以從Windows Update中獲取更新程序，也可以從其他WSUS服務(wù)器中獲取更新程序。

部署1臺(tái)WSUS服務(wù)器的網(wǎng)絡(luò)結(jié)構(gòu)如圖1。它直接將內(nèi)容與Microsoft Update同步，然后再將更新程序分發(fā)到客戶端計(jì)算機(jī)。WSUS服務(wù)器使用HTTP（TCP 80）和HTTPS（TCP 443）從Microsoft Update獲取更新程序，如果在內(nèi)部和外部網(wǎng)絡(luò)之間部署有防火墻，必須在防火墻上允許WSUS服務(wù)器到Microsoft Update站點(diǎn)的訪問。

3． 2 WSUS服務(wù)器硬件和軟件的安裝需求

WSUS服務(wù)器的硬件和軟件要求是根據(jù)網(wǎng)絡(luò)中需要進(jìn)行更新的客戶端計(jì)算機(jī)數(shù)量來決定的（見表1）。

表1

3.3 WSUS3.0服務(wù)器端的安裝

首先從微軟網(wǎng)站下載WSUS安裝程序，目前最新版本為3.0，雙擊下載的安裝程序，自解壓完成后，會(huì)自動(dòng)彈出安裝向?qū)?，單擊“下一步”按鈕，選擇“包括管理控制臺(tái)和完整服務(wù)器安裝”項(xiàng)，接下來就按照提示進(jìn)行相應(yīng)的設(shè)置即可完成安裝。安裝過程需要注意以下幾點(diǎn)：

①WSUS3.0的一個(gè)重要新功能是支持把服務(wù)器程序和管理控制臺(tái)分離安裝。這里可以選擇第一項(xiàng)同時(shí)安裝服務(wù)器程序和管理控制臺(tái)，當(dāng)然也可以只安裝服務(wù)器，然后把管理控制臺(tái)安裝在局域網(wǎng)中任意一臺(tái)機(jī)器上。

②選擇存儲(chǔ)位置。Microsoft Update上的每個(gè)可用更新都由以下兩部分構(gòu)成：元數(shù)據(jù)和更新文件。元數(shù)據(jù)是提供有關(guān)更新的信息，更新文件是指在計(jì)算機(jī)上安裝更新所需的實(shí)際文件。將更新同步到WSUS服務(wù)器時(shí)，元數(shù)據(jù)和更新文件將存儲(chǔ)在兩個(gè)不同的位置。元數(shù)據(jù)存儲(chǔ)在WSUS數(shù)據(jù)庫中，而根據(jù)配置同步選項(xiàng)的方式，更新文件可存儲(chǔ)在WSUS服務(wù)器上（即本地存儲(chǔ)），也可存儲(chǔ)在Microsoft Update服務(wù)器上（即遠(yuǎn)程存儲(chǔ)）。一般情況下選擇本地存儲(chǔ)。

③數(shù)據(jù)庫選擇。WSUS數(shù)據(jù)庫存儲(chǔ)的信息包括：WSUS服務(wù)器配置信息；用于描述更新程序作用的元數(shù)據(jù)；客戶端計(jì)算機(jī)、更新程序信息以及客戶端計(jì)算機(jī)所進(jìn)行的更新情況。在Windows server 2003上安裝時(shí)默認(rèn)使用WMSDE數(shù)據(jù)庫。

④網(wǎng)站選擇。WSUS與IIS服務(wù)器結(jié)合創(chuàng)建Web站點(diǎn)來實(shí)現(xiàn)更新程序的分發(fā)，可以配置WSUS Web站點(diǎn)共享使用默認(rèn)Web站點(diǎn)（服務(wù)端口為TCP 80）或者使用其他的端口為客戶端計(jì)算機(jī)提供服務(wù)。在安裝WSUS服務(wù)器時(shí)，如果你不選擇使用默認(rèn)的Web站點(diǎn)，那么WSUS將創(chuàng)建自定義的Web站點(diǎn)并在TCP端口8530偵聽HTTP連接請(qǐng)求。

3.4 WSUS3.0服務(wù)器配置

在完成WSUS的安裝后，安裝程序會(huì)自動(dòng)跳轉(zhuǎn)到“WSUS配置向?qū)А?。首先進(jìn)入“選擇上游服務(wù)器”的對(duì)話框（選擇“從microsoft update”進(jìn)行同步或從其他WSUS服務(wù)器進(jìn)行同步）→“語言”（更新補(bǔ)丁的語言類型）→“選擇產(chǎn)品”（微軟產(chǎn)品類型）→“選擇分類”（補(bǔ)丁類型）→“設(shè)置同步計(jì)劃”（選擇手動(dòng)或自動(dòng)同步，并設(shè)置同步周期和時(shí)間）（見圖2）。

3.5 WSUS3.0服務(wù)器管理

①自動(dòng)審批。從上游WSUS上同步下載的更新需要經(jīng)過審批才能允許布署到客戶端安裝，自動(dòng)審批就不需要我們?nèi)ゲ榭疵恳粋€(gè)更新，再逐個(gè)審批更新了。在“審批規(guī)則”選項(xiàng)卡里已經(jīng)有“默認(rèn)的自動(dòng)審批規(guī)則”，規(guī)則屬性欄里顯示的是在什么狀況下會(huì)進(jìn)行自動(dòng)審批。我們可以單擊帶下劃線的選項(xiàng)進(jìn)行編輯，也可以刪除或新建規(guī)則（見圖3）。

②在WSUS 3.0里，還可以通過“服務(wù)器清理向?qū)А睂?duì)服務(wù)器上的更新文件進(jìn)行清理，這個(gè)功能在WSUS2.0里是不曾有的。

③查看報(bào)告，點(diǎn)擊左邊工具菜單欄的“報(bào)告”，會(huì)顯示我們可以查看的各種更新報(bào)告和計(jì)算機(jī)報(bào)告，但是查看報(bào)告，需要安裝有“Mircrosoft Report viewer 2005 Redistributable”這個(gè)組件。

4 客戶端配置

4.1 在域環(huán)境下，用組策略是效率最高的方法

在域控制器上依次點(diǎn)擊開始→程序→管理工具→Active Directory用戶和計(jì)算機(jī)，右鍵點(diǎn)擊域，選擇屬性。在屬性中切換到組策略標(biāo)簽，選擇默認(rèn)組策略“Default Domain Policy”。

編輯“配置自動(dòng)更新”策略，如圖4所示，在此策略中我們選擇啟用自動(dòng)更新，并且將自動(dòng)更新模式配置為自動(dòng)下載并通知安裝，在此模式下客戶機(jī)會(huì)自動(dòng)下載補(bǔ)丁但在安裝補(bǔ)丁前會(huì)通知用戶。

編輯“指定Intranet Microsoft更新服務(wù)位置”策略，如圖5所示，在此策略中可以設(shè)定WSUS更新服務(wù)器和統(tǒng)計(jì)服務(wù)器。Intranet更新服務(wù)器提供補(bǔ)丁下載，Intranet統(tǒng)計(jì)服務(wù)器提供報(bào)表統(tǒng)計(jì)。

4.2 非域環(huán)境下客戶端的配置

運(yùn)行“Gpedit.msc”打開組策略編輯器。在組策略編輯器中，依次單擊“計(jì)算機(jī)配置→管理模板→Windows組件→Windows Update”。在右側(cè)雙擊“配置自動(dòng)更新”，將自動(dòng)更新策略設(shè)置為“啟用”，并設(shè)置為“自動(dòng)下載并計(jì)劃安裝”（見圖4）。

雙擊“指定Intranet Microsoft更新服務(wù)位置”，選擇“已啟用”項(xiàng)，在“為檢測更新設(shè)置Intranet更新服務(wù)”下方輸入http：//WSUS服務(wù)器的機(jī)器名稱或者IP地址（見圖5）。重新啟動(dòng)計(jì)算機(jī)，這時(shí)客戶端組策略便會(huì)刷新，設(shè)置便會(huì)起作用。

5 小結(jié)

操作系統(tǒng)是網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)，病毒的泛濫在很大程度上是由于操作系統(tǒng)的補(bǔ)丁沒有及時(shí)安裝。利用WSUS，客戶端能及時(shí)發(fā)現(xiàn)、獲取微軟的更新補(bǔ)丁，再配合防火墻和防病毒軟件，可以有效避免因系統(tǒng)漏洞引起的病毒爆發(fā)和惡意攻擊。我們?cè)跍p少維護(hù)工作量的同時(shí)，更重要的是使圖書館網(wǎng)絡(luò)的安全性得到了較大提高。

[1] 微軟WSUS白皮書 [EB/OL].[2009-01-10].http：//technet.Microsoft.com/en2us/wsus/de2fault.aspx.

[2] 蔣國松等．構(gòu)建圖書館局域網(wǎng)系統(tǒng)升級(jí)服務(wù)器WSUS[J]．計(jì)算機(jī)安全，2009（8）：56-61.

[3] 王淼．局域網(wǎng)內(nèi)架設(shè)微軟補(bǔ)丁分發(fā)系統(tǒng)WSUS服務(wù)器[J]．高校實(shí)驗(yàn)室工作研究，2008（6）：21-23.

[4] 楊洪剛，張迎，高東懷．內(nèi)部網(wǎng)絡(luò)WSUS的部署與更新優(yōu)化研究[J]．科學(xué)技術(shù)與工程，2009（8）：4840-4843.