局域网内Windows系统补丁自动更新的实现与应用

1 引言

近年来，我国电子政务建设取得巨大成就，很多政府机关都建立了局域网。自2000年1月1日起施行的《计算机信息系统国际联网保密管理规定》第六条明确规定涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相联接，必须实行物理隔离。根据这一规定，许多党政机关的办公局域网都与互联网等外部网络实行了物理隔离，这些局域网内的计算机就不能联接到互联网进行操作系统更新，造成计算机操作系统漏洞不能及时得到修补。虽然有些局域网也安装了防病毒软件和防火墙等软硬件安全产品，但由于局域网中大量计算机操作系统本身有漏洞，所以，一旦一台电脑感染蠕虫类等传染性很强的计算机病毒，整个局域网就会受到严重威胁，有时甚至会导致整个网络瘫痪。因此，及时为操作系统安装补丁程序是防范计算机病毒，进而保证网络安全的基本前提。 对于与互联网物理隔离的局域网用户来讲，利用微软公司的Update网站进行在线更新或下载补丁程序到本地手动更新都不是可行的好的方法。微软公司的WSUS工具可以提供自动安装服务，当有新的系统补丁时，它会及时提醒用户下载和安装，升级服务器可以部署在局域网内部，局域网内用户只需进行一次简单的配置就可自动升级补丁程序。显然，在局域网内利用WSUS实现计算机操作系统自动更新是比较好的选择。

2 WSUS介绍

WSUS（windows Server Update Services）是微软公司继SUS（Software Update Service）之后推出的替代SUS的产品。它是帮助用户对Windows系列操作系统快速部署最新补丁的免费软件。WSUS由服务器组件和客户端组成，服务器组件负责更新服务，服务器端是基于Web的管理工具，具有分发更新的功能；客户端软件是微软的自动更新服务（Automatic Update），负责接收从服务器中传来的产品更新信息。

3 WSUS的安装与配置

WSUS的安装和配置主要有以下四个步骤：系统准备与辅助软件的安装；WSUS服务器的安装；配置和管理WSUS服务器；客户机设置。

3.1 系统准备与辅助软件的安装

安装WSUS服务器之前，要确保服务器符合WSUS的最低硬件要求：需要升级的客户机在500台以上，内存应在1GB以上。相关软件要求如下：①操作系统建议使用Windows Server 2003；②安装Microsoft Internet Information Services （IIS）5.0；③安装Background Intelligent Transfer Service （BITS）2.0；④安装Microsoft Internet Explorer 6.0 Service Pack 1；⑤安装Microsoft .NET Framework Version 1.1 Redistributable Package和Microsoft .NET Framework 1.1 Service Pack 1；⑥打好系统补丁。

3.2安装WSUS

WSUS的安装比较简单。首先下载WSUS安装程序，然后打开下载的WSUSSetup.exe文件，启动安装程序按照提示一步一步安装即可完成。在安装过程中需要注意以下几点：①用来存放WSUS下载的更新文件的存储分区必须是NTFS格式，并且最少要有6GB的自由空间；②安装WMSDE数据的存储分区，这个分区也必须是NTFS格式，以及最少要有2GB的自由空间，如果把它与存储本地更新文件装在同一个分区，这个分区最少要有8GB的自由空间。③选择WSUS站点的管理工具与WEB服务网站的端口，建议使用默认端口(80)或是选择一个独立的端口。

3.3配置和管理WSUS服务器

安装完成，接下来需要进入它的管理页面进行配置，默认情况下WSUS是不进行任何同步更新的。从安装时提示的管理地址进入WSUS的WEB管理界面。点击右上方“选项”菜单，进行系统设置。①点击“同步选项”。可以选择手动同步服务器，查看同步状态，指定服务器设置以及管理更新。也可以设置同步更新的时间，以及要求从微软站点下载的产品、更新分类、服务器、更新源以及更新文件和语言。②更新源：可以选择让该 WSUS服务器与 Microsoft Update 或者网络上的某台上游WSUS服务器同步更新信息。③自动批准选项：可以指定如何为选定组自动批准更新的安装或检测，以及如何批准对现有更新的修订，即WSUS对同步下载的补丁是否执行自动批准加入系统的分发库的命令，并设置分发的对象即计算机组。④更新的修订：对于已批准的更新，有时会有更新版本，可以选择是否自动批准修订。如果不选择自动批准修订版本，则旧版本将继续保持已批准状态。⑤WSUS更新：需要WSUS 更新，以确保可以正确更新计算机。如果 WSUS 更新未得到批准，则计算机可能无法正确检测某些更新，默认是批准的。

3.4客户机设置。

局域网中的客户机须作如下设置：①打开“开始”菜单，点击“运行”，输入“Gpedit.msc”，启动Windows策略组。②在策略组中，点击“管理模板”，选择“添加/删除模板”，点击“添加”，选择“wuau.adm”。③打开“指定Internet Microsoft更新服务位置”属性，选择“已启用”，并在白色框中填上10.37.16.2（WSUS服务器IP）。

以上设置也可编写为一个扩展名为reg的文件，双击该文件写入注册表即可完成客户端设置。

4 应用WSUS的效果

通过在局域网中设置WSUS服务器提供自动更新服务，解决了与互联网物理隔离局域网内计算机操作系统自动更新的问题，降低了计算机维护人员的工作强度，有效地防止了计算机病毒在局域网内的传播，保证了网络安全，收到了较好的效果。

参考文献

[1]梁世斌，张梁斌.《基于WSUS技术的高校机房系统更新的探索和实践》[J].电脑知识与技术（学术交流）,2007,3.

[2]陈晏，张戈.局域网内微软补丁自动更新的实现［J］.计算机时代，2005,10.