操作系统总有这样那样的安全漏洞,需要不断的更新补丁。如果你是一个企业的管理员,你一定为这样的事情发愁吧?全公司那么多的机器,每个机器都要安装补丁,而大多数的补丁又不能通过组策略来分发,指望用户自己安装,又难免有疏漏的地方。一旦发生病毒什么的,后果就不堪设想。前几天的冲击波,大家现在想起还有些后怕吧?这不,10日,MS有发布了新的关于RPC的漏洞补丁,看起来,大家又要开始忙了。有没有一个办法将大家从这样单一的重复操作中摆脱出来呢?答案肯定是有的。现在让我们来看看一个新的服务(其实也不算新了,我都用了好长时间了)---SUS服务。
一、什么是SUS服务?
SUS服务的英文全名叫SOFTWARE UPDATE SERVICES,翻译过来就是软件更新服务,它是STPP(Strategic Technology Protection Program)的一个有效组成部分。它是建立在Microsoft Windows Update技术上的针对企业用户的一项定制服务。它提供了企业管理和发布重要更新、安全更新的解决方案。通过SUS,你可以不必在经常查看安全更新,并手工下载人工安装。SUS可以提供动态的部署、发布安全更新的功能。
不过,由于SUS是一个定制的服务,因此也有一定的限制:
* SUS只适用于WINDOWS平台,包括WIN 2000、WIN XP、WIN 2003。不包括WIN NT、WIN 98和其他非WINDOWS平台操作系统。
* SUS需要安装客户端程序支持
* SUS只能发布安全更新和重要更新,不能发布SP包和其他非WINDOWS产品
如果你需要提供其他产品的发布,请使用另一产品--SMS。
二、SUS的组成
SUS由服务端和客户端组成。
SUS服务端:SUS服务端组件需要安装在运行有WIN 2000或WIN 2003的服务器上。SUS服务端需要能直接连接INTERNET或通过防火墙连接INTERNET。
SUS客户端:SUS需要客户端安装自动更新客户程序,该程序已经包括在2000 SP3或XP SP1中了。如果你的机器安装的是SP2或以前版本,可以手工安装客户程序。WIN 2003不需要安装。
三、SUS安装
1、系统需求:
·Pentium III 700 MHz or higher processor
·512 megabytes of RAM.
·6 gigabytes (GB) of free hard disk space for setup and security packages
以上的配置可以提供15000个用户的支持。如果需要在WAN上部署SUS,请参考高级特性。
2、语言支持
SUS服务端程序支持英语和日语
3、安装组件
SUS安装需要IIS 5.0服务支持,建议不要安装在有WEB服务或其他需要80端口服务的服务器上。
SUS安装需要有IE 5.5以上版本支持。
SUS必须安装在NTFS分区上
SUS如要安装在DC上,需要有SUS SP1补丁
SUS安装的服务器应该有SP2以上补丁或2003
4、服务端安装
1)获得安装包,你可以在MS网站上获得SUS安装包,目前版本为SUS SP1。地址如下:http://go.microsoft.com/fwlink/?LinkId=6930.安装包的大小为33MB。
2)安装:双击安装文件,启动安装向导进行安装。要注意的是,SUS SP1在安装时会自动安装IIS Lockdown。一般不需要改变配置。但如你的服务器上需要运行其他的WEB服务,则有可能需要修改IIS Lockdown的配置。
5、服务器配置
1)安装好后,你可以在管理工具中看到Microsoft Software Update Services。
2)你可以从管理工具里启动Microsoft Software Update Services,也可以通过IE来打开Microsoft Software Update Services,默认地址为:http://<yourservername>/SUSAdmin,来管理你的SUS SERVER。
注意:访问以上URL需要有本地管理员身份。
3)在SUSADMIN页上选择[SET OPTIONS],设置SUS
4)第一个需要设置的是代理设置,这个很简单啦,不说了。
5)第二个要设置的是服务器名,默认是计算机的名字,如果你有内部的DNS,或客户不能使用计算机名访问服务器,建议修改成合法内部域名或IP地址。
6)第三个需要设置的是获取更新的位置,你可以选择Synchronize directly from the Microsoft Windows Update servers直接从MS网站同步更新,或选择Synchronize from a local Software Update Services server从另一个SUS服务器同步更新。通常必须有一个SUS服务器是直接MS网站同步的。
7)接下来需要设置的是已经确认的补丁的更新的确认方式,SUS对于每个下载的更新,默认都需要管理员手工确认发布,这样可以使管理员可以自己先测试这些更新,确认没有问题后才进行发布。当原来的补丁有更新后,仍需要管理员重新确认。当然你也可以让系统自动帮你确认已经确认过的更新的更新版本。选择Automatically approve new versions of previously approved updates可以自动确认更新。选择Do not automatically approve new versions of previously approved updates. I will manually approve these later手工确认。
8)还需要设置补丁的下载方式,如果你的客户都可以连接INTERNET,你可以直接让客户从INTERNET更新,选择Maintain the updates on a Microsoft Windows Updates server ,如果你的客户端不能INTERNET,可以将这些更新下载到本地再分发部署,选择Save the updates to a local folder。建议使用后者,可以有效的降低网络流量。
如果你选择将更新下载到本地,你还需要选择下载的语言版本。建议你不要选择太多的语言版本,以免占用太大的硬盘空间。
6、服务器操作
1)同步周期:你可以设置服务器的定期同步周期。建议每天一次
2)同步更新:你可以随时从指定的服务器同步更新。同步获得的更新会自动标记为NEW放入带确认更新中。
3)确认更新:在Approve updates里,选择自己需要发布的更新,按Approve确认发布。确认以最后的操作为准,可以反复确认。
4)其他操作:
* 更新的详细信息:可以通过查看更新中的连接,获得更新的详细信息
* 日志查看:你可以通过日志来查看更新情况和确认信息
7、高级功能
1)SUS支持多级SUS级连
2)SUS支持NLB技术
8、客户端操作
1)客户端需要安装自动更新客户端。该客户端可以用于Windows 2000 Professional, Windows 2000 Server, and Windows 2000 Advanced Server (all with Service Pack 2 or higher), Windows XP Professional, Windows XP Home Edition, and Windows Server 2003 family.安装好后,可以在控制面板中找到它。
2)自动更新服务可以在服务中找到,请确保其启动
3)自动更新服务可以自动的检索需要的更新,并自动下载和安装。
4)自动更新客户端也可以使用组策略来部署。或修改以下注册表:
1.Open Registry Editor.
2.Navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Critical Update
3.Create SelfUpdServer value under this key as REG_SZ..“SelfUpdServer”=”http://<YourServer>/SelfUpdate/CUN5_4”
4.Navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Critical Update\Critical Update SelfUpdate
5.Create SelfUpdServer value under this key as
REG_SZ. ”SelfUpdServer”=”http://<YourServer>/SelfUpdate/CUN5_4”
9、自动更新客户配置操作:
1)组策略:加载WUAU.adm管理模板(该模板可以在计算机策略中的管理工具中增加),设置相应的组策略条目。
2)注册表:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
RescheduleWaitTime
Range: n; where n = time in minutes (1-60)
Registry value type: REG_DWORD
NoAutoRebootWithLoggedOnUsers
Set this to 1 if you want the logged on users to choose whether or not to reboot their system
Registry value type: REG_DWORD
NoAutoUpdate
Range = 0|1. 0 = Automatic Updates is enabled (default), 1 = Automatic Updates is disabled.
Registry value Type: Reg_DWORD
AUOptions
Range = 2|3|4. 2 = notify of download and installation, 3 = automatically download and notify of installation, and 4 = automatic download and scheduled installation. All options notify the local administrator.
Registry value Type: Reg_DWORD
ScheduledInstallDay
Range = 0|1|2|3|4|5|6|7. 0 = Every day; 1 through 7 = the days of the week from Sunday (1) to Saturday (7).
Registry value Type: Reg_DWORD
ScheduledInstallTime
Range = n; where n = the time of day in 24-hour format (0-23).
Registry value Type: Reg_DWORD
UseWUServer
Set this to 1 to enable Automatic Updates to use the server running Software Update Services as specified in WUServer below.
Registry value Type: Reg_DWORD
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
WUServer
Sets the SUS server by HTTP name (for example, http://IntranetSUS).
Registry value Type: Reg_SZ
WUStatusServer
Sets the SUS statistics server by HTTP name (for example, http://IntranetSUS).
Registry value Type: Reg_SZ
10、结语
以上简单的分析了SUS服务的功能和使用方法。有关详细情况,请参考网站资料。
11、相关资料:
For more information, see the following resources:
·Software Update Services Home Page at: http://go.microsoft.com/fwlink/?LinkId=6930.
·Applying Service Pack 1 to Microsoft Software Update Services version 1.0 at: http://go.microsoft.com/fwlink/?LinkId=6930
·Software Update Services Overview at: http://go.microsoft.com/fwlink/?LinkId=6927
·Automatic Updates Group Policy Settings (.adm files) at: http://go.microsoft.com/fwlink/?LinkId=12954
·Microsoft Security at: http://www.microsoft.com/security/ Web site.
·Microsoft Windows Update at http://www.windowsupdate.microsoft.com Web site.
·Understanding Group Policy white paper at: http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp Web site.
·Managing Windows XP in a Windows 2000 Server Environment at: http://www.microsoft.com/windowsxp/pro/techinfo/administration/policy/default.asp.
·Network Load Balancing Technical Overview at: http://www.microsoft.com/windows2000/techinfo/planning/clustering.asp.