快速补漏洞,系统更稳固
2018-11-09
在本文中以在某台Windows Server 2012中安装WSUS(Windows Server Update Services)为例,该机已加入到“xxx.com”的域中,假设其名称为“wsus1.xxx.com”,IP为192.168.1.50。
在服务器管理器中点击“添加角色和功能”项,在向导界面中的角色列表中 选 择“Windows Server更新服务”项,点击“下一步”按钮,在角色服务列表中选择“WID数据库”项,表示使用Windows内部数据库配合WSUS工作,这适用于规模不大的内网环境。
图1 WSUS安装向导界面
若企业内网规模很大,可选择“数据库”项。在下一步的内容位置选择窗口中选择“在以下位置中存储更新”项,输入本地合适的目录路径(例如“D:gengxin”),当然,也可以指定网络共享路径(如图1)。如果选择了“数据库”项,在数据库实例选择窗口中输入具体的实例名。
在服务器管理器中依次点击菜单“工具”、“Windows Server更新服务”项,打开WSUS配置向导(如图 2),在“选择上游服务器”窗口选择“从Microsoft更新中进行同步”项,如果采用了多级管理模式,可选择“从其他Windows Server Update Services服务器中进行同步”,设置上游服务器的名称和端口号。如果在内网中部
配置WSUS角色
图2 WSUS配置界面
署了类似于ISA、foreFront TMG等防火墙服务器,需在指定代理服务器窗口中选择“在同步时使用代理服务器”项,设置TMG等主机的名称和端口号(默认80),选择“使用用户凭据连接到代理服务器”项,输入用户名、密码等参数。
在“下一步”窗口中点击“开始连接”按钮,从Microsoft Update中下载更新信息。之后依次选择语言更新包,所需的补丁类型(例如安全更新程序,定义更新,关键更新程序等)。对于“Service Pack”类型来说,建议采用手工方式进行更新和测试。如果盲目直接安装,有可能对生产环境造成不利影响。在配置同步计划窗口可以选择手动同步或者自动同步,点击“完成”按钮,完成所需的配置操作。在自动打开的更新服务控制台左侧选择“更新服务”、“WSUS服务器名”、“同步”项,右侧显示所有的同步项目。在该节点的右键菜单上点击“立即同步”项,可以按照预设的配置信息,立即执行同步操作。
新建OU组织单元
在DC域控制器上打开“Active Directory用户和计算机”窗口,在其左侧选择“xxx.com”域名项,在其右键菜单上依次点击“新建”及“组织单元”选项,创建所需的 OU,例如“Sales”,“Test”等。
选择“Computers”容器,在其中选择对应的主机,在其右键菜单上点击“所有任务”、“移动”项,将其移动到上述新建的OU中。
实现自动更新
使用组策略,实现自动更新
打开组策略管理器,依次选择在左侧的“XXX.com”、“Default Domain Policy”项,在其右键菜单上点击“编辑”项,在组策略编辑器左侧依次选择“计算机配置”、“策略”、“管 理 模 版”、“Windows组件”、“Windows更新”项,在右侧双击“指定Intranet Microsoft更新服务器位置”项,在弹出窗口(如图3)中选择“已启用”项,在“选项”栏中输入更新服务器以及统计服务器的网址,例如“http://192.168.1.50:8530”。
配置自动更新检测频率
图3 设置WSUS服务器位置信息
双击“自动更新检测频率”项,在弹出窗口中选择“已启用”项,在“选项”栏中设置检测更新的周期,默认为22小时。双击“允许自动更新立即安装”项,在弹出窗口中选择“已启用”项,可以自动安装那些既不中断Windows服务,也无需重启系统的更新包。双击“对于有已经登录用户的计算机,计划的自动更新不执行重新启动”项,在弹出窗口中选择“已启用”项,表示当更新完毕后,不会强制重启系统。双击“对计划的安装再次提示重新启动”项,在弹出窗口中选择“已启用”项,表示在在更新过程中,出现提示重启信息的时间间隔,在“选择”栏中可以设置合适的时间,默认为10分钟。
配置自动更新参数
双击“配置自动更新”项,在弹出窗口中选择“已启用”项,在“配置自动更新”列表中寻则更新方式,包括通知下载并通知安装,自动现在并通知安装,自动下载并计划安装,允许本地管理员选择设置等。例如选择“自动下载并计划安装”项,可以自动下载并安装更新,无需用户的干预,在其下设置计划安装的日期和时间。这样,就实现了针对默认组策略的配置操作。
当然,也可以针对不同的OU,来配置相关的组策略。例如,选择“Sales”组,在其右键菜单上点击“在这个域中创建GPO并在此处链接”项,输入GPO的名称(例如“SalesGPO”),在该 GPO 项的右键菜单上点击“编辑”项,在编辑窗口中可以针对上述和WSUS相关的策略进行合适的配置。
这样,不同的计算机分组,就分别拥有了自己的WSUS更新策略。在DC和相关主机上执行“gpupdate /force”命令,来刷新组策略。在客户机上执行“wuauclt/detectnow”命令,可以立即检测WSUS服务器。执行“netstat -ano |findstr"8530"”命令,可以在网络连接列表中搜索和WSUS服务器相关的连接,因为该连接使用了TCP 8530端口,如果连接存在,说明该机已经和WSUS服务器建立了连接。在WSUS服务器上打开更新服务控制台,在左侧需依次选择“计算机”、“所有的计算机”、“未分配的计算机”项,可以看到该机已经出现在列表中(注意,这要经过5分钟左右的时间,才可以显示其状态信息)。
管理计算机组和客户端目标
管理计算机组
在更新服务控制台依次选择“计算机”、“所有的计算机”项,在其右键菜单上点击“添加计算机组”项,输入组名,可以创建新的计算机组。在控制台左侧选择“选项”项,在右侧点击“计算机”链接,在打开窗口中如果选择“使用Update Service控制台”项,表示新连入的客户机自动添加到“未分配的计算机”组中。管理员在该组中需要手动选择合适的主机,在其右键菜单中点击“更改成员身份”项,选择合适的计算机组,将其移动到该计算机组中。如果选择“使用计算机上的组策略或注册表设置”项,那么可以先创建和AD用户和计算机管理窗口中OU同名的组名,例如“Sale”,“Test”等。
图4 设置客户端目标
管理客户端目标
之后在DC上打开组策略管理器,在其中选择某个OU(例如“Sales”),在其下点击“SalesGPO”项的右键菜单上点击“编辑”项,在编辑窗口中依次定位到“计算机配置”、“策略”、“管理模版”、“Windows组 件”、“Windows更新”项,在右侧双击“允许客户端目标设置”项,在弹出窗口(如图4)中选择“已启用”项,在“次计算机的目标
组名称”栏中输入“Sales”,点击“确定”按钮保存配置。注意,如果在该OU中存在多级的OU结构,例如在“Sales”中包含“Sales01”、“Sales02”等,可以同时输入,彼此之间以分号相隔。
例如在该OU中存在名为“PC1”的主机,在该机上刷新组策略,并执行“wuauclt /detectnow”命令后,该机就会自动添加到更新服务控制台对应的计算机组中。例如“PC1”属于“Sales”的OU,那么其就会存储到“Sales”组中。需要注意,AD中的OU组名,WSUS中的计算机组名以及组策略中的客户端目标设置名称三者必须一致。按照以上方法,可以将不同OU中的计算机,分别自动添加到WSUS的与OU同名的计算机组中。
配置自动审批规则
在WSUS更新服务控制台左侧选择“选项”项,在右侧点击“自动审批”项,在弹出窗口中点击“新建规则”按钮,在“添加规则”窗口(如图5)中的“步骤1:选择属性”列表中选择“当更新属于特定产品时”项,在“步骤2:编辑属性”栏中点击“任何产品”链接,在“打开”窗口中只选择所需的产品类型,例如“Windows Defender”。默认情况下,可以为所有的计算机审批更新,也可以点击“所有计算机”链接,选择特定的计算机组,来针对该组中的计算机自动审批更新。
图5 创建自动审批规则
当然,也可选择“当更新属于特定的分类时”项,可以在分类列表中选择特定的类型,例如定义更新,驱动程序等。这样,所有选定类别的更新都会自动审批。选择“设置审批期限”项,可以精确的设置自动审批的具体期限。在“步骤3:指定名称”栏中输入其名称(如“Autosp”),点击“应用”按钮保存该规则。选择该规则,点击“运行规则”按钮,WSUS可自动审批符合条件的更新包。默认情况下,当出现针对自动审批更新的修订版本时,WSUS会自动对其执行审批处理,而无需管理员的干预。
在客户端执行更新操作
在特定的客户机上打开控制面板,在其中打开“Windows Update”项目,执行检测更新操作,就可以从WSUS上检测并下载上述自动审批的更新包,之后进行安装即可。在WSUS更新控制台左侧选择“选项”项,在右侧点击“更新源和代理服务器”项,在弹出窗口中可设置更新源和代理服务器信息。
点击“产品和分类”项,可以更改需要更新的产品或者类型。点击“更新文件和语言”项,在弹出窗口中选择“下载快速安装文件”项,可以更快的进行下载和安装。点击“服务器清理向导”项,可以从WSUS中清除旧计算机,更新和更新文件。在
一般情况下,建议每隔一个月执行一次清理操作。在向导界面中选择清理的内容,包括未使用的更新和更新续订,没有连接到服务器的计算机,不需要的更新文件,过期的更新,被取代的更新等,默认全部处于选择状态。点击“下一步”按钮,执行具体的清理操作。