肖 红

（山东工商学院图书馆，山东 烟台 264005）

1 引言

目前网络上相当比例的恶意攻击是利用微软的操作系统设计缺陷展开的，这个缺陷或错误可以被不法者或者电脑黑客利用，通过植入木马、病毒等方式来攻击或控制整个电脑，进而会威胁到整个局域网的安全。因此及时更新操作系统的漏洞补丁，已成为提高系统安全性的主要手段。通常安装补丁程序的方式是自动通过HTTP/HTTPS协议直接连接到Microsoft Update来下载更新程序，而这样做的弊端是在客户端数量较多的情况下，会极大地影响学校的外部网络带宽。

图书馆局域网内部分计算机未能及时安装补丁程序，是由以下几方面原因造成的：一是部分使用者不能认识到补丁程序重要性；二是等待更新的时间较长；三是部分电脑考虑系统安全的问题不能连入互联网。因此，我们需要利用微软提供的WSUS软件，来构建图书馆自己的补丁更新服务器，实现局域网内快速、安全、有效的系统文件更新服务，使得每台计算机都最大程度地保证系统安全。

2 WSUS特性

2.1 WSUS简介

WSUS（Windows Server Update Services）是 Windows操作系统的升级服务，通过在内部网络中配置WSUS服务器，所有Windows的更新都能集中下载到这个服务器中，内部网络中的客户机就可以通过WSUS服务器得到更新，没有连接Internet的计算机只要在内网中能顺利访问WSUS服务器，也可实现随时安装补丁，有效地防止漏洞型病毒在内网传播。这既节省了资源，又提高了计算机和网络的安全性。

2.2 架设WSUS服务器的优点

①更新速度快，节省外部网络带宽。因为所有客户端更新补丁时都是从内网服务器下载，这样极大地节省外部网络带宽。

②通过选择的方式更新程序。包含Feature Pack、Service Pack、安全更新、关键更新、更新程序、更新程序集、工具、驱动程序等都可以选择从Microsoft Update下载至本地安装源。

③对更新程序进行管理，控制更新程序的分发。可以批准更新在客户端计算机上进行安装，或者仅仅是检测客户端计算机是否需要此更新，也可以拒绝此更新程序。

④对网络中的客户端计算机进行分组，控制更新程序在不同客户端计算机上的分发。

⑤补丁全。支持更多微软产品的更新,除了能为Windows操作系统提供补丁更新外，还支持其他微软产品的补丁更新，如 Office、Exchange Server、SQLserver、ISA 和 Visual Studio等。

3 WSUS服务器的架设

3.1 方案设计

通常情况是在网络中部署1台WSUS服务器，当网络具有很大规模时，1台WSUS服务器可能无法满足需求，此时就可以使用多台WSUS服务器组成链式结构。WSUS服务器不仅仅可以从Windows Update中获取更新程序，也可以从其他WSUS服务器中获取更新程序。

部署1台WSUS服务器的网络结构如图1。它直接将内容与Microsoft Update同步，然后再将更新程序分发到客户端计算机。WSUS服务器使用HTTP（TCP 80）和HTTPS（TCP 443）从Microsoft Update获取更新程序，如果在内部和外部网络之间部署有防火墙，必须在防火墙上允许WSUS服务器到Microsoft Update站点的访问。

3． 2 WSUS服务器硬件和软件的安装需求

WSUS服务器的硬件和软件要求是根据网络中需要进行更新的客户端计算机数量来决定的（见表1）。

表1

3.3 WSUS3.0服务器端的安装

首先从微软网站下载WSUS安装程序，目前最新版本为3.0，双击下载的安装程序，自解压完成后，会自动弹出安装向导，单击“下一步”按钮，选择“包括管理控制台和完整服务器安装”项，接下来就按照提示进行相应的设置即可完成安装。安装过程需要注意以下几点：

①WSUS3.0的一个重要新功能是支持把服务器程序和管理控制台分离安装。这里可以选择第一项同时安装服务器程序和管理控制台，当然也可以只安装服务器，然后把管理控制台安装在局域网中任意一台机器上。

②选择存储位置。Microsoft Update上的每个可用更新都由以下两部分构成：元数据和更新文件。元数据是提供有关更新的信息，更新文件是指在计算机上安装更新所需的实际文件。将更新同步到WSUS服务器时，元数据和更新文件将存储在两个不同的位置。元数据存储在WSUS数据库中，而根据配置同步选项的方式，更新文件可存储在WSUS服务器上（即本地存储），也可存储在Microsoft Update服务器上（即远程存储）。一般情况下选择本地存储。

③数据库选择。WSUS数据库存储的信息包括：WSUS服务器配置信息；用于描述更新程序作用的元数据；客户端计算机、更新程序信息以及客户端计算机所进行的更新情况。在Windows server 2003上安装时默认使用WMSDE数据库。

④网站选择。WSUS与IIS服务器结合创建Web站点来实现更新程序的分发，可以配置WSUS Web站点共享使用默认Web站点（服务端口为TCP 80）或者使用其他的端口为客户端计算机提供服务。在安装WSUS服务器时，如果你不选择使用默认的Web站点，那么WSUS将创建自定义的Web站点并在TCP端口8530侦听HTTP连接请求。

3.4 WSUS3.0服务器配置

在完成WSUS的安装后，安装程序会自动跳转到“WSUS配置向导”。首先进入“选择上游服务器”的对话框（选择“从microsoft update”进行同步或从其他WSUS服务器进行同步）→“语言”（更新补丁的语言类型）→“选择产品”（微软产品类型）→“选择分类”（补丁类型）→“设置同步计划”（选择手动或自动同步，并设置同步周期和时间）（见图2）。

3.5 WSUS3.0服务器管理

①自动审批。从上游WSUS上同步下载的更新需要经过审批才能允许布署到客户端安装，自动审批就不需要我们去查看每一个更新，再逐个审批更新了。在“审批规则”选项卡里已经有“默认的自动审批规则”，规则属性栏里显示的是在什么状况下会进行自动审批。我们可以单击带下划线的选项进行编辑，也可以删除或新建规则（见图3）。

②在WSUS 3.0里，还可以通过“服务器清理向导”对服务器上的更新文件进行清理，这个功能在WSUS2.0里是不曾有的。

③查看报告，点击左边工具菜单栏的“报告”，会显示我们可以查看的各种更新报告和计算机报告，但是查看报告，需要安装有“Mircrosoft Report viewer 2005 Redistributable”这个组件。

4 客户端配置

4.1 在域环境下，用组策略是效率最高的方法

在域控制器上依次点击开始→程序→管理工具→Active Directory用户和计算机，右键点击域，选择属性。在属性中切换到组策略标签，选择默认组策略“Default Domain Policy”。

编辑“配置自动更新”策略，如图4所示，在此策略中我们选择启用自动更新，并且将自动更新模式配置为自动下载并通知安装，在此模式下客户机会自动下载补丁但在安装补丁前会通知用户。

编辑“指定Intranet Microsoft更新服务位置”策略，如图5所示，在此策略中可以设定WSUS更新服务器和统计服务器。Intranet更新服务器提供补丁下载，Intranet统计服务器提供报表统计。

4.2 非域环境下客户端的配置

运行“Gpedit.msc”打开组策略编辑器。在组策略编辑器中，依次单击“计算机配置→管理模板→Windows组件→Windows Update”。在右侧双击“配置自动更新”，将自动更新策略设置为“启用”，并设置为“自动下载并计划安装”（见图4）。

双击“指定Intranet Microsoft更新服务位置”，选择“已启用”项，在“为检测更新设置Intranet更新服务”下方输入http：//WSUS服务器的机器名称或者IP地址（见图5）。重新启动计算机，这时客户端组策略便会刷新，设置便会起作用。

5 小结

操作系统是网络系统安全的基础，病毒的泛滥在很大程度上是由于操作系统的补丁没有及时安装。利用WSUS，客户端能及时发现、获取微软的更新补丁，再配合防火墙和防病毒软件，可以有效避免因系统漏洞引起的病毒爆发和恶意攻击。我们在减少维护工作量的同时，更重要的是使图书馆网络的安全性得到了较大提高。

[1] 微软WSUS白皮书 [EB/OL].[2009-01-10].http：//technet.Microsoft.com/en2us/wsus/de2fault.aspx.

[2] 蒋国松等．构建图书馆局域网系统升级服务器WSUS[J]．计算机安全，2009（8）：56-61.

[3] 王淼．局域网内架设微软补丁分发系统WSUS服务器[J]．高校实验室工作研究，2008（6）：21-23.

[4] 杨洪刚，张迎，高东怀．内部网络WSUS的部署与更新优化研究[J]．科学技术与工程，2009（8）：4840-4843.