刘　姝　高桂英

摘要Windows Server Update Services(WSUS)是微软公司提供的免费软件，它向Windows操作系统提供更新文件的分发。基于此技术构建的WSUS服务器，可以向图书馆局域网中的用户提供免费的WSUS服务。使用此服务，可以快速进行部分Windows操作系统的关键补丁更新，不仅大大节省了更新时间，同时也节省了网络带宽。该文详细介绍WSUS系统在图书馆的部署和应用。

关键词系统更新WSUS图书馆

1前言

随着图书馆信息化建设的发展，图书馆的日常运转越来越依赖计算机，各种书目信息的装载及检索、电子资源的服务及应用等，无时无刻不需要计算机的支持。因此如何最大程度地保证计算机系统的运行稳定及系统安全正日益引起我们的关注。

回顾2003年，针对Windows系统漏洞的冲击波病毒曾经波及了全世界，同年针对SQL Server系统漏洞的Slammer蠕虫也肆虐横行。对于这类专门针对微软系统漏洞传播的病毒，如果不及时进行系统文件更新，只是单纯依靠防病毒软件，病毒仍然会通过系统漏洞长驱直入。因此及时更新操作系统的漏洞补丁，已成为提高系统安全性的重要手段。

2架设图书馆系统升级服务器的必要性

我们知道，微软的Windows2000、Windows XP及以上版本的操作系统目前已具备自动更新功能，即Windows系统会在国际网络畅通的情况下，自动连接微软的Windows Update网站去例行检查最新更新，这些最新更新可以保护计算机免受新的病毒感染和对系统安全造成威胁的攻击。这些高优先级的更新包括：安全更新、重要更新和Service Pack。微软在提供分发系统更新文件的同时，还提供了WSUS(Microsoft Windows Server Update Services)软件，使得用户可以搭建自己的Windows Update服务器，通过使用Windows Server更新服务(WSUS)，管理员可以快速而可靠地将Windows 2000操作系统及更高版本、Office XP及更高版本、Exchange Server2003以及SQL Server 2000的最新关键更新和安全更新部署到相应的操作系统上。

基于以上两种条件，北大图书馆的计算机系统更新可以通过连接国际网，去Windows Update网站检查是否对本系统有新的更新，如果出现更新提示，则通过人工干预的方式下载并安装。这种方法虽然可以达到系统更新目的，但是对于北京大学特殊的网络环境——需要国际IP网关才能连接WindowsUpdate网站，不仅会为计算机使用者产生大量的国际流量费用，而且没有国际网关的人员就不能实现Windows Update更新。因此学校的计算中心提供了WSUS更新服务器，以方便北京大学校内计算机Windows Update更新。在这种环境下，图书馆的Windows Update可以连接到学校计算中心的WSUS服务器上下载更新，但这又突显出了几个问题，一是图书馆计算机维护人员无法了解图书馆内每台机器的更新情况(由于微机使用者的水平参差不齐，需要微机维护人员经常关注计算机的系统安全)，二是检查是否有新的更新时，等待时间较长，给微机维护人员的工作带来极大不便，三是系统在缺乏安全保障的情况下进入Internet，容易给系统安全造成隐患。因此，我们利用微软提供的WSUS软件，构建图书馆自己的Windows Update服务器，实现局域网内快速、安全、有效的系统文件更新服务，使得每台计算机都最大程度地保证了系统安全。

3原理及特点

目前我们较熟悉的微软更新服务体系为三级结构：Microsoft Update→本地企业网络中的WSUS服务器→客户端计算机的自动更新。在部署WSUS之后，只需要配置客户端计算机使用WSUS服务器上的更新服务，就可以轻松地享受WSUS服务器所带来的好处。例如在大中型企业网络，当部署WSUS服务器以后，只有WSUS服务器才从Microsoft Up-date或者从另一台WSUS服务器(称之为上游服务器)下载更新，而内部客户端计算机则自动访问WSUS服务器来获取更新，就不再需要访问外部的Windows Update，从而节省了大量的网络带宽。

在图书馆局域网中架设微软补丁升级服务器WSUS，可以帮助工作人员自动、及时、全面地进行微软补丁升级，它就好像是微软补丁升级网络在局域网中的一个镜像，其特点是：

●支持更多的微软产品的更新，除了能为Win-dows操作系统提供补丁更新外，还支持其他的微软产品的补丁更新，如Office、Exchange Server、SOLserver、ISA和Visual Studio等。

●对更新程序进行管理，控制更新程序的分发：可以批准更新在客户端计算机上进行安装，或者仅仅是检测客户端计算机是否需要此更新，也可以拒绝此更新。

●每天都与微软补丁升级网站或者上游服务器进行同步，确保有最新、最全的补丁库，所有补丁文件都下载到硬盘中等待下发。

●节省网络带宽。当计算机接入网络后，会自行下发补丁文件。因为是内部局域网，所以补丁下载的速度比直接去微软补丁升级网站快许多倍。

●能够判断每台电脑中安装的微软产品，自动下发各类所需要的补丁文件。同时建立每台计算机打补丁的状态库，需要打多少补丁，已经打了多少补丁，一目了然。

4图书馆局域网内部署WSUS

4．1准备安装

在安装WSUS之前要根据局域网的客户机情况进行合理的规划，为WSUS选择合理的硬件和软件平台。

4．1．1硬件要求

(1)系统分区和存储WSUS更新文件的分区文件系统必须采用NTFS格式；

(2)进行本地存储时，存储WSUS更新文件内容的分区至少需要6G剩余空间，推荐30G，系统分区至少有1C的剩余空间；

(3)应根据服务的客户端数量来决定服务器的硬件配置，对于服务500个客户计算机的v6sUS服务器，推荐采用至少为CPU 1G/内存1G的硬件配置。

4．1．2软件要求

默认情况下，Windows Server操作系统是不包含WSUS组件的，我们需要通过在微软下载中心下载WSUS安装包，并安装至服务器，WSUS服务器只能在Windows2000服务器或者Windows server 2003上进行安装。在不同的操作系统上进行安装时，WSUS所要求的已安装软件略为不同，在Windowsserver2003上进行安装时，要求必须安装以下软件：

(1)Intemet信息服务(IIS)6.0；

(2)后台智能传输服务(BITS)2.0；

(3)Microsoft，NET Framework 1.1 Servioe PackI forWindows Server 2003。

WSUS服务器的软硬件要求如表1示。

图书馆局域网客户机数目接近500台，属于中小型局域网，考虑到未来的发展要求，我们选择了一台方正PC机来部署WSUS服务，它的配置是：P42.93GHz处理器、1GB内存、80GB SCSI硬盘，并且安装了Windows Server 2003操作系统，所有分区都采用了NTFS文件系统。

4．2安装与配置服务器

4．2．1安装WSUS。

从微软的网站上下载WSUSSetup.exe并安装。安装WSUS的方法和普通软件一样，顺着安装向导一步一步进行就可以了，但是在选择安装路径的时候要注意所选择的空间必须要大于6G，在网站选择窗口，要选择“使用现有IIS默认网站”，整个安装过程大约为15分钟。安装过程中的选项都可选取默认的选项。

需要注意的是：WSUS提供了镜像管理服务功能，它可以从网络上的另一台WSUS服务器(即上游服务器)中镜像已批准的补丁更新列表。我们选择的是北京大学计算中心提供的WSUS服务器liveup-date.pku.edu.cn:80作为上游服务器，并同步镜像其提供的补丁更新列表和所有规则。

安装WSUS后，服务器启动时会自动启动WSUS服务，我们可以在ⅡE中输入：http://YourServerNameor IP address/WSUSAdmin来启动WSUS管理页面(注：YourServerName or IP address即安装的这台WSUS服务器的计算机名或IP地址)。

4．2．2通过镜像上游服务器，下载所有的系统更新补丁到本地WSUS服务器中。

在安装WSUS的过程中已经选择了北京大学计算中心的更新服务器(liveupdate.pku.edu.cn:80)作为上游服务器，现在可以通过WSUS的管理页面(如图2)来下载和管理系统更新补丁了。

在WSUS管理页面上会列出一些相关信息，有下载的更新数、加入WSUS的计算机、同步状态、下载的状态和需要做的待办事项。进入“同步选项”页面中“在严计划”一栏里选中“立即同步”，检查“更新源”一栏中的上游“服务器名”是否为：liveupdate.pku.edu.cn，“端口号”是否为80，最后点击“任务”一栏中的“立即同步”，如图3所示。至此，开始从选定的上游WSUS服务器下载所有提供系统更新补丁到本地的WSUS服务器，下载过程需要几个小时。

4．2．3批准和部署更新。

在此步骤中，将批准对所有客户端计算机进行更新。

(1)WSUS控制台工具栏上，单击“更新”。默认情况下将对更新列表进行筛选，从而只显示那些批准在客户端计算机上进行检测的关键更新和安全更新。此过程使用默认筛选条件。

(2)在更新列表上，选择要批准安装的更新。有关选定更新的信息将显示在“详细信息”选项卡上。

(3)在“更新任务”下，单击“更改批准”。屏幕上将出现“批准更新”对话框。

(4)在“选定更新的组批准设置”列表中，单击测试组“批准”列中列表内的“安装”，然后单击“确定”。

4．2．4查看“更新的状态”报告

(1)在WSUs控制台工具栏上，单击“报告”。在“报告”页上，单击“更新的状态”。

(2)如果要对更新列表进行筛选，请在“查看”下选择要使用的条件，然后单击“应用”。

(3)如果要先按计算机组，然后再按计算机查看更新的状态，请根据需要展开更新的视图。

(4)如果要打印“更新的状态”报告，请在“任务”下单击“打印报告”。

4．3配置客户端

(1)点击“开始—运行”，输入gpedit.mac后点击确定，打开组策略编辑器。选择“计算机配置”，右击“管理模板”，选择“添加／删除模板”：如果当前策略模板中有“wuan”项则关闭窗口，直接进行第3步；如果当前策略模板中没有“wuau”，则单击添加／删除模板窗口中的“添加”。

(2)选中策略模板中的“wuau.adm”策略文件，单击“打开”，最后“关闭”此窗口。

(3)选择点击“本地计算机策略—计算机配置—管理模板—Windows组件—Windows Update”。

(4)分别设置“配置自动更新”、“指定IntranetMicrosoft更新服务位置”和“允许非管理员接收更新通知”。

打开“配置自动更新”，选择“已启用”，可选择“3一自动下载并通知安装”，“0－每天”，“12:00”(如图4)，这样就可以自动下载最新补丁，并于每天12"00通知安装。

打开“指定Intranet Microsoft更新服务位置”，选择“已启用”，两处都填入http://WSUS服务器的IP地址或计算机名(如图5)。

打开“允许非管理员接收更新通知”，选择“已启用”(如图6)，这样，作为poweruser用户的工作人员也能自己更新系统了。

(5)重新启动计算机，组策略会自动更新，在WSUS服务器上就能看见这台客户端了。

上述WSUS客户端的设置正确完成后，您的系统将具备系统文件更新提示功能，当系统有新的文件系统更新时，桌面右下角将出现WindowsUpdate的图标。

需要说明的是，出于对计算机系统的安全考虑，图书馆的工作人员用户都是POWERUSER组，而非管理员组，因此启用了“允许非管理员接收更新通知”选项，以便工作人员自己可以操作从图书馆的这台WSUS服务器上下载安全补丁。

当客户端启动了更新设置后，我们就可以在服务器上通过管理界面看到这些客户端。当然所有的补丁安装过程都是在后台进行的，我们在客户端上是不容易察觉的，要想了解客户端的补丁安装情况，可以通过服务器上的管理界面来查看。例如2007年9月18日，服务器管理界面显示的客户端更新情况如图7示。

5结语

我们已成功部署WSUS，并将该方法应用到图书馆的计算机系统升级中，既为计算机的安全提供了保障，也减轻了管理人员的工作负担。

当然，没有任何一个系统可以百分之百地保护计算机系统。WSUS服务器目前还不能自动检测网络内的计算机，必须由客户端主动连接服务器，服务器才对其提供更新服务；另外，WSUS服务器提供分组分发更新补丁的功能，在今后。可以进一步考虑根据机器配置的不同，将图书馆工作人员用机、OPAC检索用机、服务器等分成不同的组，针对各组机器的工作范围及功能，提供不同的软件补丁；第三，升级软件最大的顾虑就是软件的兼容性，若微软的升级软件影响到某些软件系统，该如何进行处理等等，这些都是我们今后要考虑和逐步解决的问题。