浅谈局域网补丁的管理

来源:用户上传      作者:

　　摘要：文章主要对网络系统更新修补程序的管理流程进行了介绍，并着重对两种常用的修补程序Windows Update、SUS各自的特点进行了比较分析。
　　关键词：局域网 补丁 管理流程 管理工具
　　
　　前言：众所周知，每一款软件都存在一些潜在的漏洞或者缺陷，这些软件的漏洞和缺陷会随着时间的推移，慢慢地被人们发现。而软件的开发者或者软件的厂商为了使这些漏洞和缺陷不至于影响到用户对软件的使用，所以针对软件中的这些漏洞和缺陷专门地开发一个针对该软件的安全修补程序，在这些修补程序中包含了解决软件漏洞和缺陷的代码，如果用户安装针对该软件的安全修补程序，那么即可修补上软件存在的漏洞和缺陷。
　　
　　1.修补程序的管理流程
　　要在局域网中完成一个成功的修补程序管理，需要具备三个方面的条件，人员、技术、流程。作为人员来说，必须对对修补程序的管理有一个清醒的认识，并具备足够的技术，对各种自动化的安全修补程序的工具进行操作，根据网络的环境对其进行功能上的调整，让它的功能达到最佳的状态。最后还必须制定出一个很完善的流程，来支持整个安全修补程序分发的过程。
　　而修补程序管理的流程又分为了四个步骤，评估→识别→规划→部署，而这四个步骤又是一个循环的过程。首先我们需要对局域网中的资产情况以及系统数量做一个评估，然后进入识别阶段，这里的识别指的是对安全修补程序的识别。第三步要实现一个规划的过程，主要任务是把所需要的修补程序作相应测试，并且对可以部署的修补程序作一个批准。在完成规划之后，自然进入了最后一部――部署阶段，需要把所有的安全修补程序分发到局域网的每台系统中，在分发的过程中还需要有应急的相应程序，如果出现异常情况应如何解决。最后必须检查一下部署情况，在完成这些步骤以后，又将回到这个不断循环的流程。
　　
　　2.修补程序的管理工具
　　目前微软提供给了用户三种修补程序管理工具，分别是Windows Update、SUS（Software Update Service）、SMS（Systems Management Server）。而由于功能的不同它们所使用的网络环境也各不相同，下面文章将着重讨论一下WindowsUpdate和SUS这两种方法各自的特点。
　　2.1 使用Windows Update管理修补程序
　　根据网络的环境来说WindowsUpdate主要针对个人用户以及小型的局域网中所提供的一种安全修补程序的管理工具。WindowsUpdate其实是一个网站，这个网站主要提供对Windows系统以及Office软件的更新服务。而在WindowsUpdate中提供了两种访问方式供用户下载安全修补程序。这两种方式分别是：用户发起访问方式和自动更新方式。
　　2.1.1 用户发起访问方式
　　用户发起访问，需要用户使用IE浏览器手动的访问到WindowsUpdate这个网站，当访问到Windows Update网站之后，网站中的客户代码将自动的对客户的系统做一个扫描更新，以发现用户系统中到底缺少哪些补丁，然后会在页面中给出一个列表，让用户去选择需要安装的修补程序。确定之后，下载这些补丁，而操作系统就会自动检查这些补丁的数字签名，以确定这些补丁的来源是否来自微软，这样系统会自动地帮助用户完成一个识别修补程序的过程。当用户安装完补丁之后，WindowsUpdate还会自动的记录用户安装的一个修补程序的历史，在用户下次访问Windows Update网站的时候，可以从页面左边一栏中“查看历史记录”查看到这台系统曾经安装过的修补程序的历史记录。
　　2.1.2 自动更新方式
　　自动更新方式不需要用户手动访问WindowsUpdate网站，这样可以有效地避免忘记更新修补程序。自动更新方式只需要用户配置好系统当中的WindowsUpdate组件，那么每隔17到22小时，Windows Update组件会自动到网站中去查找最新的修补程序，并下载安装到用户系统当中。当然用户也可以自己指定一个时间段，让Windows Update组件在这个时间段之内去访问，并且下载完成之后，用户可以指定是自动安装还是给出安装提示。最后自动安装程序仍然会统计系统安装修补程序的历史记录。
　　2.2 使用SUS管理局域网补丁
　　虽然Windows Update自动更新程序能够非常方便用户检测、安装修补程序，但是它同样拥有很多局限性。例如不利于管理员对修补程序做集中的管理。还有一个最大的缺陷，在一个规模稍大的局域网中，如果管理用组策略指派了所有的客户机在同一时间内到Internet中去访问WindowsUpdate检查更新，那么这个局域网中的代理服务器可能会在这个时间之内不堪负荷。因为同一时间内局域网中的所有主机将同时对访问WindowsUpdate检查更新，并且还要接受Windows Update网站对局域网中所有主机的更新扫描，这对局域网的带宽消耗非常的大，所以Windows Update不适合在规模稍大的局域网中使用。
　　而SUS就可以非常容易的解决这些WindowsUpdate无法实现的功能。SUS最大的特点就是非常的简单宜用。而且SUS能够自动地为管理员完成修补程序管理的几个方面。比如说SUS可以自动地帮你鉴定这个修补程序是否来自于微软，还可以帮你自动地部署这些安全修补程序。管理员还能对它做一定地控制，比如收到的补丁，管理员可以对它做一个批准，只有批准了的修补程序，用户才能安装。如果是一个Domain（域）的环境，管理员可以通过组策略来限定局域网中所有的用户不能使用WindowsUpdate自己到Internet中去安装修补程序，这样局域网中的所有用户只有安装SUS中的被管理员批准的补丁。当然这只是一个SUS的最佳做法，在使用SUS的过程中可以没有Active Directory（活动目录）的支持。
　　总之，只要掌握了这两款补丁管理工具的特点及用法，在中小型局域网中，实现安全的修补程序管理就将成为一件比较轻松的事情。
　　

转载注明来源:https://www.xzbu.com/2/view-592798.htm