论企业服务器补丁部署的高效实现

任一新+李书

[摘 要] 企业应用系统服务器由于其特殊性，往往无法及时获得安全补丁更新，导致系统存在大量的高危漏洞，而这些漏洞一旦被利用，将使我们的应用系统宕机甚至损坏，对企业造成无法估量的损失。通过在企业内部搭建和配置WSUS补丁更新服务器，实现服务器高危漏洞补丁的自动下载和推送，并利用客户端安装自动化配置脚本程序，实现服务器推送补丁的高效和智能化部署。

[关键词] 企业；高危漏洞；补丁更新服务器；推送；部署

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 17. 038

[中图分类号] TP393.08 [文献标识码] A [文章编号] 1673 - 0194（2017）17- 0076- 04

0 引 言

随着信息化的深入发展，企业内部运行的OA、ERP、门户等各种应用系统支撑着企业的正常运作，对于大型企业来说，应用系统的数量更是惊人，如何保障这么多应用系统的信息安全，使其免于遭受来自于企业外部和内部的网络威胁，是一个不容忽视的问题。抛开管理制度的要求，我们仅仅从技术层面来看，无非两点，首先是从网络层面增强抵御外部风险的能力，这点我们可以通过部署防火墙、IPS，WAF等安全设备来实现，其次就是应用系统必须要不断增强自身的健壮性来应对无法避免的攻击行为。

应用系统运行在服务器操作系统之上，要提高自身的抗攻击性，首要其冲的就是保障服务器操作系统的安全，而操作系统的安全无外乎就是四点：口令、基线设置、防病毒软件和系统补丁。口令和基线设置最简单，防病毒软件也可以通过部署统一的防病毒系统实现，最难的是服务器系统补丁的部署，因为一方面大多服务器从安全角度考虑是不允许连接互联网的，无法直接从互联网获得系统补丁；另一方面由于企业内部存在着各种操作系统，操作系统的版本也不尽相同，而我们应用系统管理员本身的信息安全知识确实是比较匮乏的，很难获得适合自己应用系统的操作系统补丁。

1 服务器补丁安装的现状分析

根据企业去年信息安全评估项目的报告显示，存在高危漏洞的服务器占所有服务器的比例接近70%，而高危漏洞的总数接近400个，其中不乏MS08-067、MS12-020等可被利用的原理性漏洞；同时存在着部分应用系统服务器未安装过任何补丁的现象。究其原因主要是：

（1）应用系统管理员信息安全意识薄弱。

（2）部分应用系统管理员为兼职网管，技术能力有限无法获取操作系统补丁。

（3）手动下载更新费时费力还容易出现下载错误问题。

针对目前服务器补丁安装这种现状，如何能在不增加应用系统管理工作强度和难度的基础上，高效地完成服务器补丁的部署呢？本文也正是基于这个问题，研究利用在企业内部搭建及配置企业自己的WSUS服务器，最终实现企业服务器补丁的高效和智能化部署。

2 WSUS补丁更新服务器的部署

2.1 WSUS补丁更新服务器简介

WSUS是Windows Server Update Services的简称，是微软推出的网络化补丁分发方案。通过WSUS可以集中下载所有的微软产品更新，使客户端可以从WSUS服务器快速、方便地下载所需要的更新。WSUS对计算机的要求不多，只要有足够的硬盘空间即可。WSUS支持Microsoft众多的操作系统、应用程序与服务器类产品，例如Windows XP、Windows Server 2003、Windows 7、Windows Server 2008、Windows Server 2012、Office XP、Office 2003、Office 2007、SQL Server、Exchange等。

2.2 部署WSUS补丁更新服务器

本次选择了Windows Server 2008 R2 SP1 作为WSUS服务器的操作系统，WSUS选择了3.0 SP2版本。在安装 WSUS前服务器需要安装必备的组件：Microsoft .NET Framework 3.0、IIS和报表组件ReportViewer。

2.2.1 NET Framework3.5.1功能安装

安装Microsoft .NET Framework，主要步骤如下：在“服务器管理器”对话框中添加“功能”，在“选择功能”对话框中选中“.Net Framework 3.0功能”复选框，安装步骤很简单，直接根据提示选择，然后一步步安装。

2.2.2 IIS安装

安装IIS，主要步骤如下：打开服务器角色管理功能，添加“角色”，安装IIS服务。选择IIS角色后，直接点击“下一步”，尽量选择所有的IIS功能，至少要选择“静态内容”、ASP.NET、“6.0 管理兼容性”“Windows 身份验证”服务。

2.2.3 报表组件安装

安装ReportViewer软件，以便支持WSUS的报告查看功能。

2.2.4 WSUS补丁服务安装

在安装完.NET Framework、IIS服务以及报表组件后，就可以安装WSUS 3.0 SP2了，主要步骤如下：

（1）运行WSUS 3.0 SP2的安装程序，进入WSUS 3.0 SP2的安装向导。

（2）在“安装模式选择”对话框中，选择“包括管理控制台的完整服务器安装”单选按钮，然后单击“下一步”按钮。

（3）在“许可协议”对话框中选择“我接受許可协议条款”单选按钮，然后单击“下一步”按钮。

（4）在“选择更新源”对话框中，选择保存WSUS更新文件的位置。在默认情况下，安装程序会自动选择一个空间最大的分区，并且保存在WSUS文件夹中。endprint

（5）在“数据库选项”对话框中，选择保存WSUS 3.0数据库的文件位置。选择内部数据库作为存储对象。

（6）在“网站选择”对话框中，指定用于WSUS 3.0服务的网站。选择“创建Windows Server Update Services 3.0 SP2网站”单选按钮，这样，所有WSUS客户端将使用TCP的8530端口访问和更新补丁。

（7）点击下一步，直接安装内部数据库和补丁服务。

（8）等待安装完成后，WSUS3.0 SP2服务可以使用。

3 WSUS补丁更新服务器的配置

3.1 基础配置

在完成WSUS安装之后，首先会进入“Windows Server Update Services配置向导”对话框，接下来将介绍WSUS服务器端的配置，步骤如下：

（1）单击“完成”按钮后弹出“Windows Server Update Services配置向导”对话框，“在您开始之前”页中单击“下一步”按钮。

（2）在“选择‘上游服务器”对话框中，选择当前WSUS服务器中同步的“上游”服务器。选择“从Microsoft Update进行同步”单选按钮。

（3）在“指定代理服务器”对话框中，设置当前WSUS服务器访问Internet的方式。如果当前计算机需要使用代理服务器访问Microsoft Update（或者WSUS上游服务器），请选中“在同步时使用代理服务器”复选框并且正确设置代理服务器的参数。

（4）开始进行测试，测试完成后会选择语言等信息。

（5）选择产品，针对服务器主要选择windows操作系统补丁和SQL数据库等软件进行补丁安装。

（6）选择更新的类别，选择安全更新程序、定义更新、关键更新程序。

（7）选择同步时间，同步时间可以选择空闲的时间。

安装完成后直接与微软官方同步补丁信息。

3.2 WSUS其他配置功能

3.2.1 补丁的自动审批功能和手动审批

审批补丁的目的是为了给客户端下发补丁，所有补丁必须要经过审批后才能推送给客户端。

为了让WSUS服务器“完全自动”从Microsoft的更新服务器获得更新并自动审批，可以在“选项”中，单击“自动审批”。

在“自動审批”对话框中，选中启用“默认的自动审批规则”。

当然也可以不选择自动审批规则，对补丁进行手动审批。特别是针对服务器的补丁，由于可能存在补丁和应用不兼容的问题，建议只审批特别严重的漏洞。

3.2.2 更新文件和语言

打开“更新文件和语言”对话框，建议在“更新文件”选项卡中选中“仅当审批更新后才能将更新文件下载到此服务器上”复选框，如图1所示。特别对于硬盘空间较小的WSUS服务器，建议选择此项。如果要修改更新语言，可以在“更新语言”选项卡中修改。

4 WSUS客户端部署

WSUS客户端的部署可以通过客户机组策略实现。但为了不增加应用系统管理员的工作量，我们选择用批处理脚本来实现自动部署。仅仅在客户端运行以下脚本就能够自动完成部署工作，大大减轻了系统管理员的工作难度和强度。

该脚本主要完成如下功能：

（1）启动自动更新服务。

（2）设置WSUS服务器地址。

（3）启用自动升级。

（4）每天检测更新。

（5）设置每天安装补丁的时间。

（6）使用WSUS而不从微软更新。

（7）设置为提醒安装补丁。

（8）启用后台安装补丁。

（9）允许用户可以选择稍后再重新启动服务器。

5 WSUS部署结果验证

5.1 服务器端验证

WSUS服务器安装及客户端脚本部署后，等待一段时间，服务器端便可以看到已接受管理并上报状态报告的客户端：

5.2 客户端验证

服务器根据客户端上报的状态报告，自动推送已审批并下载的补丁给客户端，客户端已接收到服务器推送来的更新。

6 结 语

通过在企业内部搭建补丁服务器，实时下载及推送安全更新，为应用系统服务器提供了一种补丁智能化部署的方式，大大降低了信息系统遭受网络攻击的安全风险。同时大大降低了信息系统管理员的工作难度，减轻了工作量。

主要参考文献

[1]谢希仁.计算机网络[M].第5版.北京：电子工业出版社，2008.

[2]陈梅志.计算机网络信息安全及其应对措施浅析[J]. 硅谷，2014，7（2）：143.

[3]袁向英.架设局域网升级服务器WSUS[J]. 网络安全技术与应用，2007（2）：53-56.endprint