论企业服务器补丁部署的高效实现4200字

1、论企业效劳器补丁部署的高效实现4200字 摘 要 企业应用系统效劳器由于其特殊性，往往无法及时获得平安补丁更新，导致系统存在大量的高危破绽，而这些破绽一旦被利用，将使我们的应用系统宕机甚至损坏，对企业造成无法估量的损失。通过在企业内部搭建和配置WSUS补丁更新效劳器，实现效劳器高危破绽补丁的自动下载和推送，并利用客户端安装自动化配置脚本程序，实现效劳器推送补丁的高效和智能化部署。 关键词 企业；高危破绽；补丁更新效劳器；推送；部署doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2022. 17. 038中图分类号 TP393.08 文献标识码 A 文章编号

2、 1673 - 0194202217- 0076- 040 引 言随着信息化的深化开展，企业内部运行的OA、ERP、门户等各种应用系统支撑着企业的正常运作，对于大型企业来说，应用系统的数量更是惊人，如何保障这么多应用系统的信息平安，使其免于遭受来自于企业外部和内部的网络威胁，是一个不容无视的问题。抛开管理制度的要求，我们仅仅从技术层面来看，无非两点，首先是从网络层面增强抵御外部风险的才能，这点我们可以通过部署防火墙、IPS，WAF等平安设备来实现，其次就是应用系统必需要不断增强自身的强健性来应对无法防止的攻击行为。应用系统运行在效劳器操作系统之上，要进步自身的抗攻击性，首要其冲的就是保障效劳器

3、操作系统的平安，而操作系统的平安无外乎就是四点：口令、基线设置、防病毒软件和系统补丁。口令和基线设置最简单，防病毒软件也可以通过部署统一的防病毒系统实现，最难的是效劳器系统补丁的部署，因为一方面大多效劳器从平安角度考虑是不允许连接互联网的，无法直接从互联网获得系统补丁；另一方面由于企业内部存在着各种操作系统，操作系统的版本也不尽一样，而我们应用系统管理员本身的信息平安知识确实是比拟匮乏的，很难获得合适自己应用系统的操作系统补丁。1 效劳器补丁安装的现状分析根据企业去年信息平安评估工程的报告显示，存在高危破绽的效劳器占所有效劳器的比例接近70%，而高危破绽的总数接近400个，其中不乏MS08-0

4、67、MS12-020等可被利用的原理性破绽；同时存在着局部应用系统效劳器未安装过任何补丁的现象。究其原因主要是：1应用系统管理员信息平安意识薄弱。2局部应用系统管理员为兼职网管，技术才能有限无法获取操作系统补丁。3手动下载更新费时费力还容易出现下载错误问题。针对目前效劳器补丁安装这种现状，如何能在不增加应用系统管理工作强度和难度的根底上，高效地完成效劳器补丁的部署呢？本文也正是基于这个问题，研究利用在企业内部搭建及配置企业自己的WSUS效劳器，最终实现企业效劳器补丁的高效和智能化部署。2 WSUS补丁更新效劳器的部署2.1 WSUS补丁更新效劳器简介WSUS是Windows Server U

5、pdate Services的简称，是微软推出的网络化补丁分发方案。通过WSUS可以集中下载所有的微软产品更新，使客户端可以从WSUS效劳器快速、方便地下载所需要的更新。WSUS对计算机的要求不多，只要有足够的硬盘空间即可。WSUS支持Microsoft众多的操作系统、应用程序与效劳器类产品，例如Windows XP、Windows Server 2022、Windows 7、Windows Server 2022、Windows Server 2022、Office XP、Office 2022、Office 2022、SQL Server、Exchange等。2.2 部署WSUS补丁更新效

6、劳器本次选择了Windows Server 2022 R2 SP1 作为WSUS效劳器的操作系统，WSUS选择了3.0 SP2版本。在安装 WSUS前效劳器需要安装必备的组件：Microsoft .NET Framework 3.0、IIS和报表组件ReportViewer。2.2.1 NET Framework3.5.1功能安装安装Microsoft .NET Framework，主要步骤如下：在“效劳器管理器对话框中添加“功能，在“选择功能对话框中选中“.Net Framework 3.0功能复选框，安装步骤很简单，直接根据提示选择，然后一步步安装。2.2.2 IIS安装安装IIS，主要步

7、骤如下：翻开效劳器角色管理功能，添加“角色，安装IIS效劳。选择IIS角色后，直接点击“下一步，尽量选择所有的IIS功能，至少要选择“静态内容、ASP.NET、“6.0 管理兼容性“Windows 身份验证效劳。2.2.3 报表组件安装安装ReportViewer软件，以便支持WSUS的报告查看功能。2.2.4 WSUS补丁效劳安装在安装完.NET Framework、IIS效劳以及报表组件后，就可以安装WSUS 3.0 SP2了，主要步骤如下：1运行WSUS 3.0 SP2的安装程序，进入WSUS 3.0 SP2的安装向导。2在“安装形式选择对话框中，选择“包括管理控制台的完好效劳器安装单项

8、选择按钮，然后单击“下一步按钮。3在“答应协议对话框中选择“我承受?S可协议条款单项选择按钮，然后单击“下一步按钮。4在“选择更新源对话框中，选择保存WSUS更新文件的位置。在默认情况下，安装程序会自动选择一个空间最大的分区，并且保存在WSUS文件夹中。 5在“数据库选项对话框中，选择保存WSUS 3.0数据库的文件位置。选择内部数据库作为存储对象。6在“网站选择对话框中，指定用于WSUS 3.0效劳的网站。选择“创立Windows Server Update Services 3.0 SP2网站单项选择按钮，这样，所有WSUS客户端将使用TCP的8530端口访问和更新补丁。7点击下一步，直接

9、安装内部数据库和补丁效劳。8等待安装完成后，WSUS3.0 SP2效劳可以使用。3 WSUS补丁更新效劳器的配置3.1 根底配置在完成WSUS安装之后，首先会进入“Windows Server Update Services配置向导对话框，接下来将介绍WSUS效劳器端的配置，步骤如下：1单击“完成按钮后弹出“Windows Server Update Services配置向导对话框，“在您开场之前页中单击“下一步按钮。2在“选择上游效劳器对话框中，选择当前WSUS效劳器中同步的“上游效劳器。选择“从Microsoft Update进展同步单项选择按钮。3在“指定代理效劳器对话框中，设置当前WS

10、US效劳器访问Internet的方式。假如当前计算机需要使用代理效劳器访问Microsoft Update或者WSUS上游效劳器，请选中“在同步时使用代理效劳器复选框并且正确设置代理效劳器的参数。4开场进展测试，测试完成后会选择语言等信息。5选择产品，针对效劳器主要选择windows操作系统补丁和SQL数据库等软件进展补丁安装。6选择更新的类别，选择平安更新程序、定义更新、关键更新程序。7选择同步时间，同步时间可以选择空闲的时间。安装完成后直接与微软官方同步补丁信息。3.2 WSUS其他配置功能3.2.1 补丁的自动审批功能和手动审批审批补丁的目的是为了给客户端下发补丁，所有补丁必需要经过审批

11、后才能推送给客户端。为了让WSUS效劳器“完全自动从Microsoft的更新效劳器获得更新并自动审批，可以在“选项中，单击“自动审批。在“自?由笈?对话框中，选中启用“默认的自动审批规那么。当然也可以不选择自动审批规那么，对补丁进展手动审批。特别是针对效劳器的补丁，由于可能存在补丁和应用不兼容的问题，建议只审批特别严重的破绽。3.2.2 更新文件和语言翻开“更新文件和语言对话框，建议在“更新文件选项卡中选中“仅当审批更新后才能将更新文件下载到此效劳器上复选框，如图1所示。特别对于硬盘空间较小的WSUS效劳器，建议选择此项。假如要修改更新语言，可以在“更新语言选项卡中修改。4 WSUS客户端部署

12、WSUS客户端的部署可以通过客户机组策略实现。但为了不增加应用系统管理员的工作量，我们选择用批处理脚本来实现自动部署。仅仅在客户端运行以下脚本就可以自动完成部署工作，大大减轻了系统管理员的工作难度和强度。该脚本主要完成如下功能：1启动自动更新效劳。2设置WSUS效劳器地址。3启用自动晋级。4每天检测更新。5设置每天安装补丁的时间。6使用WSUS而不从微软更新。7设置为提醒安装补丁。8启用后台安装补丁。9允许用户可以选择稍后再重新启动效劳器。5 WSUS部署结果验证5.1 效劳器端验证WSUS效劳器安装及客户端脚本部署后，等待一段时间，效劳器端便可以看到已承受管理并上报状态报告的客户端：5.2 客户端验证效劳器根据客户端上报的状态报告，自动推送已审批并下载的补丁给客户端，客户端已接收到效劳器推送来的更新。6 结 语通过在企业内部搭建补丁效劳器，实时下载及推送平安更新，