WSUS系统补丁测试报告

1、WSUS系统补丁测试报告公司部署WSUS服务器是为了避免公司上外网的系统用户都直接从WindowsUpdate下更新补丁，占用有限的外网带宽资源，同时解决局域网内没有外网权限的系统用户能及时从WSUS服务器上下载更新补丁。配置WSUS服务器从WindowsUpdateT载更新补丁，存储在本地WSUS服务器，让所有局域网的所有计算机系统用户通过内部局域网络从该服务器下载，节省有限的外网带宽资源，同时解决局域网内没有外网权限的系统用户更新补丁的需求，加强整体计算机系统安全。公司现在使用的WindowsServerUpdateService3.0sp1简写WSUS3.0SP1此版本不支持window

2、s7、windowsserver2008以上版本的客户端更新。目前公司新购进计算机的操作系统都为windows7以上版本，因此必要升级WSUS服务器。鉴于公司目前所安装windows服务器操作系统的版本为windowsserver2008R2集成了WSUS3.0SP2为了更为无缝兼容，决定将现有的WSUS3.0SP侃级为WSUS3.0SP2=WSUS3.0SP2安装要求2.1、WSUS3.0SP2远程控制台安装的系统要求WSUS3.0SP2远程控制台可以在以下任一操作系统中安装：?WindowsServer2008R2、WindowsServer2008SP1或更高版本、WindowsServ

3、er2003SP2或更高版本、WindowsSmallBusinessServer2003、WindowsSmallBusinessServer2005或WindowsSmallBusinessServer2008、WindowsVista,或WindowsXPProfessionalSP3或更高版本。2.2、WSUS客户端安装的系统要求自动更新和WSUS客户端软件可在以下任一操作系统上安装：?WindowsServer2008R2、WindowsServer2008SP1或更高版本、WindowsServer2003SP2或更高版本、WindowsSmallBusinessServer200

4、3、WindowsSmallBusinessServer2005或WindowsSmallBusinessServer2008、WindowsVista、WindowsXPProfessionalRTM、WindowsXPProfessionalSP1、WindowsXPProfessionalSP2WindowsXPProfessionalSP3或更高版本、Windows2000SP4,或Windows7客户端。三、wsuSj能描述3.1更新源和代理服务器WSUSI艮务器为唯一的更新此项是设置本WSUSI艮务器从上游服务器进行同步。因我们只配置本台服务器，因此本服务器的上游服务器仅有Micr

5、osoftUpdate如下图：IflicrQEQftUpdate进行叵步，还是M行同步中3上心3:lUpgteServices牌务盲触更新的,青理月步让割可以选麝动避行同Ml(C敲鹰痢谪组自胃理露机腿licjE"aiEoftUp,L您可反藉如入J络中的上游ffindrOwSsrerVpdiitServices月国3.2产品和分类3.2.1产品指定需要更新的产品以及所需的更新类型。可以更新所有微软的产品，包括Windows、office、MSSQLVSExchange等。这里我们根据公司情况，仅更新Windowsxp、Windowsserver2003、Windows7、Windows

6、server2008/R1/R2。如下图：o更琴源科代理圈务罟F-qIRliSlrLWindCTS.ServerIpdateStrvicesWjcroscftUplate堪什或为(Jd上:阵RincLcw"肓醍重榆产品以瞧的吏割类型。乌昌雅矗谴可&.指云要同纭歪郁的产品U产品和分空Hicr-AEcf#Up您司以迭拄勃YvvvvvvYV回口口口口口口口网耳SnalLthigirsjB011StAndhr，|览器近接更斩程序(仅适用超洲)200：70fiyiiLarnxcUp8Lu.i4.g4In.(Grf4c«14ejeE8Lme印Fh虹6.1«&d

7、LLrdrivwx8-1yMnicVpdo-tcQLuifni.-E.gaTn*tarPa.drs:9.1LanfaaceiacksmnVMS,JMS.>*H3.iVSJgZB>>«5XME：JMSs¥iAIIwriMir】，音腰矗）醵3.2.2分类可以选择补丁分类，目前我们只选择【安全更新程序】：如下图里最矗蓄t果嗫申声沁V"UpdateSarricci月膀器是MMicrosoftUpdate进行同步，还;icrosoftUp您可以送择加入.寸击品以度所秉的更制举型。盲膈普魏岛副本昌醴动进息昌器暮际选3.3更新文件和语言【更新文件】此项我们选择

8、“将更新文件本地存储在此服务器上）服务器下载更新补丁。【更新语言】目前公司的计算机版本有“英语”和“中文（简体）言。如下图,局域网的所有计算机可以从本”，所以在我们只选择这两种语新器亦黯强5侦5H步住/f:要更刻前产园以及所需的更£d*w件下兹文件驴sServerUpdateSrTie«电岛留黯为敬组白浒批更新安法的穴敲-裸嬲B理火瞒器白清除旧T下敬睛汇忌更新和id3.4同步计划同步计划应该避开网络使用的高峰，我们配置在凌晨自动同步到WindowsUpdateo3.5自动审批可以指定为所选组自动审批更新安装的方式以及对现有更新所做修订的审批方式。这里我们按照计算机分组设置自

9、动审批更新规则。当更新属于“安全更新程序”、“关键更新程序”和当更新属于Windows7的操作系统时，就为Windows7的计算机组全部成员下发审批更新。我们设置完这步后，整个过程：服务器检查新客户端选择相应系统版本的更新补丁审批安装到对应的计算机组服务器端动作完成。如图：迭项可以使用此视囹来况割骄器二的i!兽建W算机分酉倒组的：.可以指定摭则以在同步更翔寸自动审批斯的更新。端辑堡）wig皓7旦幼更浙规削Vwindowszsrver2DO8上博K删眸心运行知呻0厘遍也理碰盎.抑值可证厅编辑）当虎疝属亍名全雨若琨匡.走避聿窘琨里07当更新属干iindomT时为wmdg7审此更浙翳滴器商甄月瞬4碇

10、I职消|一户：件适期ffindovsServerUpdateSericeE通过电子邮件发送斯更浙和状'态报吉的通期0密誉例暮皿TW竭匚总更斩和计算机状态。,IlicrosoflLUpdate改善计划金修可炯1知1忒Microsoft'魄膈施M至讣剑以搭冬Mlicroft蛟性1倍单*日堂社1序寸祐队四、wsuSj能实现4.1更新此项是显示与WindowsUpdate同步的更新程序的列表，管理员可以在这里将更新程序审批分发安装到对应的计算机工作组，比如我要将一个关于windowsserver2003的补丁审批安装到计算机组为【windowsserver2003】，点击【所有更新】审

11、批栏选择【未经审批】状态栏选择【任何】选中合适的更新程序右键，选择【审批】，如下图：计算机组选择【windowsserver2003】右键点击【已审批进行安装】，如下图:这样，这个补丁就审批安装到相应的计算机组中，并返回审批结果报告，如下图:当客户端向WSUSB务器请求更新服务时，客户端会到所在的计算机组的经过审批的更新程序里检索适合自己更新程序进行下载。4.2计算机WSUJS艮务器将检测到有更新服务请求的计算机存放在未分配的计算机组，这里我们根据操作系统的版本进行分组。比如我们分有windowsserver2008,windowsserver2003,windows乙windowsxp等。如

12、下图ffL9Z.ICC.50.231一g程室面FLTpatiServices日>WSUEVTI曰疝颜f-所有更新甘美褪更新'号安全更新李计算机土所有计算机未分面的计箕抓server200windows7windcwsserver2003wiiLdoisserver200a64位windcvsup同步瘫选项4.3报告表格更新报告；更新程序已有4千多条，为了演示方便，我们缩小范围，只筛选【安全更新程序】里的windows?版本的【windows7计算机工作组而且已经审批安装的程序。如下表任务O'）损吉赠S报告迭项）逐i粮右（X）板哲抿告箜型伽：1真剧踣"3£

13、;邑谜些分螭的更新忙）去空审湘陶傍包括些产跆悝新饥：咒心扫T凸包括旅自该组由详算机企）:心队T（J）包括具有厦E枝嘉的更新G3伺/人诂申一_包括市自新本下海用芳辎状态用福床再雨弗厂T31八1心卫ina«T更折白用此更满的表格状本抿告舟标箜:客叠船（可己安装床适用W<WindowsServerUpdateSevces3.0失败:无状态:Windlrw:VisitaWirdowT、Str-tr2006祀sootR2黄字拳源序IK1I2917501JJW3Cn用干草干t&4的耕留Tin侦wT安全更新程庠®3266（X49）1400用十星十h引来统的七我目"

14、=7竹IitcmatIxplortfB的累枳玄全更新程序皿冲四川）1400用土皇十至毓的YmMT的Int*riwtIxploratQ的宣全更布群摩il泌7迥1400用干旱干i64系统的VimJwe7的3icpl»rar8的累视审宝甲布f程序CEEOTl）400用干其干工别菜藐的Vidwi7的Imturn砒IicplfrTQir8的累视安全更新程序皿湿打莅）1400用于基于顽系貌明Ti对OVETfflT»tirn*tEwplnv"Fl的累EJ?全更新程序皿芫仰E犯）1400用丁基于xCI系缅的71400报告报表有几点说明：【需要的】表示更新程序适合的计算机台数；【已

15、安装/不适用】表示更新程序已经审批安装的计算机台数；【失败】表示安装此更新程序失败的计算机台数；五、客户端连接实现5.1域计算机的连接WSUSI务器下载更新程序5.1.1新建OU取名【WSUSTes】，然后在下面新建OU取名【计算机】，将测试计算机移动到改OU中，如下图：5.1.2修改域计算机的指定更新地址（针对【WSUSTes】的计算机配置特定组策略）：打开【组策略管理】【一汽海马汽车有限公司】【WSUSTeSt【计算机】【在这个域中创建GPg在此处链接】，创建GP说后，右键【编制】如下图：5.1.3【计算机配置】【策略】【管理模板】【Windows附件】【WindowsUpdate,然后启

16、用【配置自动更新】、【允许非管理员接受更新通知】等等，其中启用【指定InternetMicrosoft更新服务位置】时，请在"设置检测更新的Intranet更新服务”和"设置Intranet,确定保存后，域计算机的组策略配置统计服务器”都填入：“31完成。（客户端要学习到域组策略需30分钟左右。）如下图:5.1.4客户端的连接WSUS组策略配置完成后，因域服务器之前学习并应用到相应的客户端，一般需要经过30分钟左右，打开域客户端的【WindowsUpdate】【检查更新】，检查到有7个重要更新，如下图：-h投制亘而，宿切s电南顽,眄mdo

17、sU吵伯F判F：*E|N，'|一miliHlWindovjsUpdate1斤肾奁匕百；吏既用1个里夏吏野可用BiSff7个里要登虬孤。WB职=JbR»EHESKJJ最£t也更昭外闾造站/妥更奇匕町旬短吠苧琮M1AW踞1世庆眈。兰左克尹五主i三宗兰2?玲晶mz户在曲律束目WindowsUpdate的更点击查看7个更新程序代码：如下图:游择枝军安翳的吏制5名祢K小3SP)Winders1EWindows7室全更将程序(KB357509)珈KB7WMowK盅全更铮程厦(ICR*LQZ2)1S3KB团Windavft；W里皂劈留字厦瓯7125C)IMH71YifinckMS

18、；右主审符1够很强网跪1】2.7M8)|用亍响Clog1钓InternetElQfcrll酹虫全更Sf程序(KB1929仞)24,3ME0用亍WfJo楸1的htanctETplortrll雇和安M更靳程序392962872)X.OME用于郴in也傩7的的硕HE中I。佗E里斯宕主逐雌.序(KB应39初17.7MF安装更新完成后，复查更新的历史记录，本次更新6条更新成功，1条更新失败。如下图:然后查看客户端的更新日志WindowsUpdate.log,看WindowsUpdate是否是从我们的WSUS服务器下载。根据以上日志分析，客户端通过指定31的服务器下载了更新程序。5

19、.2未加入的计算机指向WSU龈务器下载更新程序(windowsxpSP3)5.2.1修改本地组策略指定到WSUS艮务器下载更新程序；其设置过程跟本报告的5.1.2到5.1.2节的配置步骤一样，这里就省略图片，配置步骤如下：【开始】【运行】输入gpedit.msc，打开本地组策略，【"本地计算机”策略】【计算机配置】【管理模板】【windows组件】【windowsUpdate】，在右边窗口启用【配置自动更新】和【指定InternetMicrosoft更新服务位置】，并设置【为检测更新设置Intranet更新服务】和【设置Intranet统计服务器】同为“http:/192.168.5

20、0.231”。5.2.2启动更新程序应用。【开始】【运行】输入：wuauclt.exe/detectnow,让更新程序应用启动，如下图gis/养的幅查看windowsUpdate.log时间16:08的日志：表明客户端正是连接到31的WSUS艮务器检索到有合适的更新程序，如下图：,gm帆sroH-nv-fF"精IBBFmm-E3tH4DI0$3V14-aE-K>tl«HI<K?Dd4-aR-0RBmEQdRYU-"2Qr34°at(KMdls.Fff-1-rnt*1fHrl4HB蝌fih?M

21、4-aB-4FIQrUiaB-itK-芝肺-臆-踮I»I4Q4愣whtnwan.J礼虬f3»i4-Ai-|Kr.4.F4Mi.MbSt机9新小»>批耻&!«.倾卫*|，略relz.Triggprrim(4etrctliTf奸W.miavdwLi»B*il4*RM4*RV4pkeiilrdHft的-tBrovhBrtrrtMuHFIiLI»ll(NUIIlint*id4_ll-*pkF>l=*；?EWZ胃gl叫Wit*tblEH.jdd«*-tMid&.：Ml7f"E“：心MEI*Mi*a

22、lHtLcuruE"cH1RcHi/2*?««7c«?n?2G«2U«2c#tc找<¥3SHIUirtDmStVEllForBpdJit«-EtalUdc49mVFHA-MEE-nTfiBMVIFA|*STAftT,AirfitiFinduiqvpiidtrs(tnllerrlti.cUp<3m* QnUfVT5i；ItffiorTiomlMrfprur*/-Ht* CrJtwlJiKlnKtiftlihf-twlEhtfImEjl.ljtIhi'MidMnU1M*IinriiIr4l-1nri

23、AriiIhhfe*1Aticm-hhplcyiMfYtfictUtt-J«niHtLJatlM"日"IsAslwd-lmN砒5uir»ii-1* -CmUAft*th«tUHJUCVIVFIMniJ* Sfi-iVCil1C:DM-tku.kii»1«志SMmlhhlhhlmmIftup湖叩SvIEupUtilWlAflinlgMtun”e:*lMiWSUFIwDittrEw«L4«$i*LIUp44i!eWidvl":Hiizmc<if1"tiqwhd;T*s-UJildtU

24、gilgMturtf«rcAVInWSlUFtunDltrltall：LtaS?Lf-U|>iUtF441nwidal：.C4I'TNinrafl*rviqm；m琮UJJlididtLfegiSigMturt"f*rC:WflWtMSXKFtAMrDlStrLMt4«1txvMJSWtUtL脂mcrmiKiiLyMClE*EUpiCh*£ltli1iJftiiSiOili1Wlf-pdKfrlailr#卜HFIMi*b-M*fc*jnffillvsCAWWHHHwilVMMii眦岫州由由HU，。ail倬,jam,bifHj融虹|ulk*11

25、窟B*TwCjUIHDnVt«¥*ri)Pir«*|iLa.<ll.ml：knjvlvtrtluasIIimm虹HUrruhirudfarCUawumtrnifM#ut11.h(tjurautveriiwiX-t.XflBfl.zsi,r*rUp«dtrMilrrqniirdI-nrC:UWUKSws-ti-iriJiTXjfwijcp.cpIitorqrtvrrs-lm=r,i'r：DVzfil>：E5I：9*：«t_251SlVSflCESI:0*L«f>-251：RV£fli：2S1:SEIW

26、g,；?*;?-ESI：N>：a:sti；WtOV；E5>1=H¥ii1Bz£Sl:0*5出VW-ESIIfl:Sfl4"-血EH?fiocZcfZCrZc*2Ct2cWbtieifirZc5tZc«Cc2r«7ce?c«2cr?r%Etfefrfil如腌咬*1!)*HW?AWWWMmFVIfpr«HP«pdJteiFE4WEB-A&&A-UFT-AZF3-1VZ315EEF29D玷prvHE«山场1Kimdl-1*litC5W2flh»u*15>F-ZM1SW

27、P-*N* iMidPid-HdM* Me«(BtWIBAB*M=TCfiCSSBW1JT).ZiM(#E«£B3ISF-Bt3«hC州队咀1545C).£n愕小网队队mit«H49+«E»fC5<rn«E5l).£K(Af-EBt*-4»lk-E92*7E*«aE2j|-.»nmvflmiFla“<3ntn皿4?A«7f->7*-H.IrK*E-g伊#*UplHte(CfEHJE*-D»»tnM).tn-iMamup

28、oit*(FrA1ECp4-A&U-«SHI-MaA-FSRFMIlWU?nMdril4Jp4vtrFW>-Z5<M5?(*tcrj.irfM74«7£F-rill|F4iFE«.fKH”“ uptfttr(WWMPEl*-05WF-44H1VECMTJOT?.Ziff ljpd4itFj村H*TF暑lih«tfiECtviliGt).719,Mdrvlup4ttrBD-U-WF-BM-R93F¥2BME?.7lr|*tMJIldUBHUdAtV-hICl，1£JlVHKJirbIIIWriFK.，&qu

29、ot;t#4JUIilUi；tiMHllMDUtdueto|4tE«ti4l.tutduetaIMtHtin3MTJiTtl1-(3911£,iiPdrctimultlyrtatiltEOwrtlr>KriltIUiCdCllI'tsrilloutilii#tfflfOTMt11ttlM?drciimHtI：口toiMrntiitmIt4111dh«t«iW：HHto5jr-jn»iiie-Milt10ivrtllmlI：tor-rjr-ctiintwltJUKI.FBlFhfrfH,MlifMMiI>>llHEHHE

30、DHAM-»,IU1gudM'EOIUtl£.«dit«-CS££»£«&4FtMr«SthrAni.2ktI.MtfLihMMU|bdaE«ClItiAt-SMC'卜z.匝rprtMUfrtHTH“t如KTftntHft7椁蛀4.，-曲蜗-*i快4*4胸而帼*：HFF>zrlk-w&i«；»#；rt：ri66-iW!f«1.uiwam-ngwswcetcfch*«K(-llMlt喘W*珈Lf»r-

31、(wQ1«FJwi-S-B1?4«AC9HFft«)JeHHMlM*iWVRiMhf«r琳E01)311»A#>|llifftRi*!*：f«4twtlMJtftltKAEiuiHItAlrfluMisettievMnr-Tt农KGlrwuntipmuttoWKctaidmiv4L»EtjJILlwt«STM，IVjEMI.UH返回系统桌面，点击右下角的图标,显示更新程序详细信息，如下图:已自动更新0选择要安装的更新更新标题00回回顷MicroEcft.NETFi虾到。办2.0版安全更新程序(K

32、E92835)Windo於XF安全更新程序0CB251053CWindow灯安全更新程序做了日5旺)Wind。怔XP安全更新程序IIBZ666509略TF安至更新程序(KB2TQ52ig)详细信息莉厂14.7mF现己确认有一个安全问题攻击者可能会利用此问题危及运行Microsoft.NETFraraework的Ni福mw系藐的安全，并获职对系统的完全控制根.您可以通过安装本Microsoft更制程序来保护计霞机不凳侵罟.安装本更新程序后，可号濡要重新启动计算机.5TI芹-R商舶赋埋姓芟1¥手M弟皇£神专晃栏自.+”/Jsqbr.sU+rEUalir”取消点由安装，自动安装完所有的更新程序，然后提示重新启动系统，这样未加入域的计算机通过WSUS服务器下载更新程序的整个过程完成。这样如下图：自动更新1叵区"正在安装更新安装状恋：正在安装XF安全更新程序正在安装Wind。傩IF安