计算机网络管理技术ppt课件.ppt

1、a,1,计算机网络管理技术,第1章 网络管理技术概述 第2章 SNMP网络管理架构 第3章 网络流量监控技术与方法 第4章 磁盘管理 第5章 用户管理 第6章 组策略管理 第7章 补丁管理 第8章 IP地址管理 第9章 VLAN管理 第10章 网络存储管理,a,2,计算机网络管理技术,第7章 补丁管理 软件补丁是指一种插入到程序中并能对运行中的软件错误进行修改的软件编码。 由软件开发商开发和发布的。 安装软件补丁是保障网络安全和迅速解决小范围软件错误的有效途径。 根据补丁功能的不同，基本上可以分为安全补丁和非安全补丁两大类。 安全补丁主要针对系统软件或应用程序中存在的安全漏洞和缺陷，而非安全补

2、丁主要针对与安全因素无关的功能，如程序运行错误等。 本章的补丁管理主要是指安全补丁的管理，并以WSUS的部署为例进行说明,a,3,计算机网络管理技术,第7章 补丁管理 7.1 补丁管理概述 7.2 补丁管理技术 7.3 实验操作1：安装WSUS服务器 7.4 实验操作2：WSUS客户端的配置 7.5 实验操作3：WSUS系统的管理,a,4,计算机网络管理技术,7.1 补丁管理概述 近年来，大范围的互联网攻击事件频繁发生。 2002年全球的根域名服务器遭到大规模拒绝服务攻击， 2003年8月11日，利用MS03-26漏洞的“冲击波”蠕虫病毒（W32.BIaster.Worm）开始在全世界范围内爆

3、发并造成巨大经济损失。 系统存在的安全漏洞是产生以上安全问题的主要根源,a,5,计算机网络管理技术,7.1 补丁管理概述 7.1.1 补丁管理与网络安全 7.1.2 补丁管理的特性 7.1.3 补丁管理的发展趋势,a,6,计算机网络管理技术,7.1.1 补丁管理与网络安全 现实中，由于缺乏专门的补丁管理工具，大部分计算机系统处于未更新状态，存在大量安全隐患。 几乎所有的网络攻击都是基于操作系统或应用程序的漏洞进行的。 及时发现这些漏洞并采取适当的处理措施进行修补，就可以有效地阻止入侵、蠕虫等事件的发生。(对系统安装合适的软件补丁，可以避免95%的网络入侵.) 然而现实情况是在相应的漏洞补丁发布

4、后，用户往往并不及时更新系统的补丁程序,a,7,计算机网络管理技术,7.1.1 补丁管理与网络安全 不能及时更新系统的补丁程序的主要原因： 一是用户安全意识薄弱，没有对网络中隐藏的各种漏洞引起足够的重视； 二是没有根据单位网络的具体情况，有针对性地部署补丁管理系统； 三是补丁管理本身也是一件比较繁琐枯燥的工作，需要在管理人员、制度等方面保障此项工作的正常进行，然而实际难度很大。 以微软的Windows操作系统为例，每个星期都有漏洞警报和补丁程序发布，网络管理员不仅要追踪和应用这些最新的升级信息，还要从中鉴别哪些补丁是必须和适用的。 为加强网络的安全管理，网络管理员必须结合本单位网络的具体情况，

5、部署补丁自动管理系统。 在2004年Sasser蠕虫爆发的5天内从微软公司的主页上就下载了950万个补丁,a,8,计算机网络管理技术,7.1 补丁管理概述 7.1.1 补丁管理与网络安全 7.1.2 补丁管理的特性 7.1.3 补丁管理的发展趋势,a,9,计算机网络管理技术,7.1.2 补丁管理的特性 1及时性 一个漏洞从发现到针对该漏洞的攻击代码实现，或到蠕虫病毒的产生，已从几年前的几个月缩短到现在的几周甚至1天就可以完成。 要求我们的计算机尤其是暴露在Internet的计算机在第一时间安装补丁程序,a,10,计算机网络管理技术,2 严密性 迫于用户的压力，软件开发商一般会尽快发布补丁。 补

6、丁的测试次数就会减少，兼容性很容易出问题。 特别是针对系统底层的一些补丁，很容易导致系统不正常。 微软公司曾就承认其发布的MS042011的补丁存在问题，可能会引起某些Windows 2000系统锁死或者不能启动。 美国USENIX组织发表的一个针对CVE 漏洞和补丁的研究数字表明，由于测试不够充分，大约有18%的补丁因为带来了新的缺陷或安全漏洞。 一定要针对具体系统和应用环境做一个严密的测试 补丁的推广同样也需要严密的计划 哪些系统需要安装补丁，什么时候开始安装，安装补丁之前需要备份哪些数据，如何制订应急方案等，都需要有一个严密的计划,a,11,计算机网络管理技术,3 持续性 补丁管理工作不

7、是一蹴而就的，而是一个长期的、持续性的工作。 随着漏洞的不断被发现，补丁也就会持续不断地发布，所以要要时刻跟踪厂商的补丁公告和安全厂商（主要有病毒软件开发商）的安全公告,a,12,计算机网络管理技术,7.1 补丁管理概述 7.1.1 补丁管理与网络安全 7.1.2 补丁管理的特性 7.1.3 补丁管理的发展趋势,a,13,计算机网络管理技术,7.1.3 补丁管理的发展趋势 每天公布出来的软件补丁从几种到几十种，都需要社会机构来评估病毒的风险和验证补丁的有效性。 需要共享技术力量，需要专家公正地评估结果，然后给出正确的预警和补丁的正确使用方法。 需要成立一个中立的权威机构，它在危险评估、验证和补

8、救上提供社会指导。 通过引入知识共享服务，设计与整体信息技术基础设施管理系统相匹配的补丁管理策略和操作流程，减少漏洞和补丁学习过程的消耗，建立有效的补丁管理流程。 引入自动化的补丁和漏洞管理工具，将对广大用户产生强大指导作用和预警作用,a,14,计算机网络管理技术,补丁软件已不仅仅存在于计算机操作系统或应用软件中，同时涉及到手机等移动设备。 手机智能化趋势明显 驱动这些装置的软件日趋复杂，并越来越多地借鉴并吸收了3G网络以及其它先进网络的优势。 随之而来的负面效应是给用户带来了诸多问题，其中包括应用程序缺陷以及设备故障和新功能的需求,a,15,计算机网络管理技术,第7章 补丁管理 7.1 补丁

9、管理概述 7.2 补丁管理技术 7.3 实验操作1：安装WSUS服务器 7.4 实验操作2：WSUS客户端的配置 7.5 实验操作3：WSUS系统的管理,a,16,计算机网络管理技术,7.2 补丁管理技术 保持网络系统不受攻击的最好方法是消除或降低系统的漏洞，这需要考虑两个方面的问题： 一是进行安全系统的开发和应用； 二是为存在安全漏洞的系统和软件及时安装补丁程序。 不管采取那一种方式，都需要对补丁管理技术有一个较为全面的认识,a,17,计算机网络管理技术,7.2 补丁管理技术 7.2.1 补丁管理技术产生的动因 7.2.2 补丁管理系统的功能 7.2.3 Hotfix和SP 7.2.4 补丁

10、管理工具,a,18,计算机网络管理技术,7.2.1 补丁管理技术产生的动因 病毒和蠕虫的泛滥是现代计算机网络面对的首要安全风险。 像红色代码、冲击波、SQL杀手、ARP欺骗、DHCP欺骗等病毒和蠕虫的广泛传播，对网络造成极大的破坏。 杀毒软件一般是针对具体的病毒和蠕虫的。只有病毒和蠕虫出现以后，才会有针对性的进行查杀。 为每台计算机系统及时安装最新的补丁才是网络管理中“预防为主，积极防御”的有效方法,a,19,计算机网络管理技术,7.2 补丁管理技术 7.2.1 补丁管理技术产生的动因 7.2.2 补丁管理系统的功能 7.2.3 Hotfix和SP 7.2.4 补丁管理工具,a,20,计算机网

11、络管理技术,7.2.2 补丁管理系统的功能 一个功能完善的补丁管理系统，将从“配置管理”的角度考虑操作系统和应用软件的维护和更新问题（收集、验证、分发、安装和统计） 从系统组成的角度来看，补丁管理系统包括 补丁制作与发行系统 补丁应用管理系统 补丁中心服务器 补丁管理客户端,补丁管理系统,补丁制作与发行系统,补丁应用管理系统,补丁中心服务器,补丁管理客户端,a,21,计算机网络管理技术,补丁制作与发行系统 收集各种操作系统和应用软件的补丁。 总结补丁文件的相关信息（如运行平台、功能、解决的问题、对系统的影响等）。 进行补丁的测试和验证。 提供已验证补丁的下载和补丁信息文件的下载,a,22,计算

12、机网络管理技术,补丁应用管理系统 补丁中心服务器 以网络方式或手工拷贝方式从“补丁制作与发行系统”或上级“补丁中心服务器”得到补丁和补丁信息文件，提供给下级“补丁中心服务器”和“补丁管理客户端”。 补丁管理客户端 安装在每个需要进行系统更新和补丁安装的计算机系统上 从的“补丁中心服务器”上获得补丁文件列表，检查本系统所需要安装的补丁文件，然后进行下载和安装，最后还要报告本机的补丁状态。 “补丁管理客户端”也可以利用浏览器替代，通过浏览器访问“补丁中心服务器”，进行系统检测、补丁下载和状态汇报,a,23,计算机网络管理技术,一个功能完善的补丁管理系统应提供以下的主要功能： 升级补丁数据库，补丁信

13、息应该包括最新的升级。 客户端自动发现升级补丁。 自动为客户端配置补丁程序。 用户可有选择地安装或删除补丁程序。 存储不同时期补丁的跟踪报告及变更信息,a,24,计算机网络管理技术,7.2 补丁管理技术 7.2.1 补丁管理技术产生的动因 7.2.2 补丁管理系统的功能 7.2.3 Hotfix和SP 7.2.4 补丁管理工具,a,25,计算机网络管理技术,7.2.3 Hotfix和SP 下面以微软公司的补丁为例，介绍补丁管理中的两个重要概念Hotfix和SP，以及它们之间的关系。 1 Hotfix 针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序，通常称为修补程序。

14、 微软公司会及时地将软件产品中发现的重大问题以安全公告的形式公布于众，这些公告都有一个惟一的编号，即“MS”，如MS04-011。 还有一种形式为Q或KB（2003年4月份后用此编号）的编号，这个编号是微软知识库中的一个编号，下面以补丁“WindowsXP-KB823980-x86-CHS32.exe”为例来说明,a,26,计算机网络管理技术,其中： Windows XP：产品名称，说明该补丁适用的操作系统为Windows XP。 KB823980：KB是Knowledge Base的首字母缩写（即“基本知识库”），823980是该补丁在微软知识库中相应的说明性文章的编号。 x86：处理器平台

15、的标识，本例中x86说明该补丁应用于Intel公司x86构架的处理器平台。可能出现的选项有x86、AMD64和IA64等。 CHS32.exe：语言版本的标识。 CHS表明该补丁应用于中文版的Windows操作系统。可能出现的选项有CHS、ENU和INTL，分别应用于中文版、英文版和多语言版的Windows操作系统中； 32表示的是应用于32位的处理器平台； 表明该补丁为非正式版，只是一个测试版。 、常用来表示软件测试过程中的三个阶段,a,27,计算机网络管理技术,2 SP SP（Service Pack，服务包）是微软公司针对已经发现的问题进行修补的程序。 SP补丁包中包含有SP发布日期前所

16、发布的所有Hotfix。 SP补丁包是可叠加补丁包，也就是说SP2中已包含有SP1中的所有补丁，SP3中已包含有SP2、SP1中的所有补丁。 对于Office产品则必须下载并安装所有的SP补丁包，这一点需要引起大家的注意,a,28,计算机网络管理技术,添加/删除程序”可查看已安装的SP补丁，其中“Windows XXXX修补程序包”字样的选项就是系统安装的补丁程序,a,29,计算机网络管理技术,7.2 补丁管理技术 7.2.1 补丁管理技术产生的动因 7.2.2 补丁管理系统的功能 7.2.3 Hotfix和SP 7.2.4 补丁管理工具,a,30,计算机网络管理技术,7.2.4 补丁管理工具

17、 一是购买独立的补丁管理工具，如BigFix、PatchLink、St.BernardSoftware、ShavlikTechnologies等公司都提供了独立的补丁管理工具。（由于不同的补丁管理工具支持不同的操作系统和应用，因此用户在应用之前需要考虑其兼容性。） 二是购买包含补丁更新组件的系统管理包，如ECM、Ecora、IBM、LANDeskSoftware等公司都提供管理系统补丁的组件。（这些组件能够确保补丁程序与用户系统之间的兼容性，但费用比购买独立的补丁管理工具昂贵。） 此外，具有开发实力的用户还可以自己开发补丁管理系统。为便于用户选择，下面介绍几款主要补丁管理工具的特性,a,31,

18、计算机网络管理技术,1 微软公司的补丁管理工具 微软提供了三种途径来修补服务器和桌面应用程序存在的漏洞： 一是通过服务器管理系统（SMS）控制台，向用户推送软件升级包。（目前主要的产品有SUS（Software Update Services，软件更新服务）、WSUS（Windows Server Update Services，Windows更新服务）和SMS（Systems Management Server，系统管理服务器） 二是提供让用户桌面系统自动登陆微软公司网站并自动下载补丁程序的系统升级服务（System Update Services） 三是提供安全漏洞评估的免费在线工具，即微

19、软基线安全分析器（Microsoft Baseline Security Analyzer)，可用于识别微软产品中错误的安全配置问题，生成并存储个人XML安全报告,a,32,计算机网络管理技术,2 BigFix BigFix企业管理套件是BigFix公司研发的业界领先的企业级系统安全配置管理软件。 可以为不同规模的企业提供可升级的、灵活的、强大的安全平台和分布式处理模型， BigFix可以不间断地监控被管理系统，自动发现并修复系统安全漏洞，保证系统安全。 在补丁管理方面，BigFix可以自动发现、下载、定位和安装补丁包，并实现基于策略的自动化的补丁管理。 支持Windows、Linux、UNI

20、X和Macintosh等主流操作系统平台。 涉及企业管理各方面。 2010年7月，IBM收购BigFix,a,33,计算机网络管理技术,3 HFNetCHkPro Shavlik Technologies 公司产品。 侧重补丁管理。 HFNetCHkPro读取Microsoft网站上的特定XML文件，该文件描述了当前可用的补丁程序。然后，HFNetChkPro会对网络中的系统进行扫描，查出计算机上已经安装过的补丁。在主用户界面中可以用几种不同的视图来查看当前的系统情况。 面向Windows。 包括微软公司和赛门铁克公司(Symantec)等众多厂商都在自己的补丁管理套装中使用了Shavlik技

21、术的产品,a,34,计算机网络管理技术,4 Configuresoft公司的ECM （Enterprise Configuration Manager，ECM） Configuresoft公司的企业配置管理器ECM能够有效地完成报告、分析、标准化、执行、变化管理等工作。 它首先从所管理的每台计算机上收集大量的数据点，其中的信息可以被利用来生成报告、进行分析、标准化、改变管理和强化管理能力。 ECM可以执行不同的功能，包括安全漏洞评估、变化管理、一致性审计、补丁管理。 在补丁管理方面，ECM从补丁发现、测试、部署一直到验证的所有功能进行管理。 侧重虚拟化技术 2009被EMC收购,a,35,计算

22、机网络管理技术,第7章 补丁管理 7.1 补丁管理概述 7.2 补丁管理技术 7.3 实验操作1：安装WSUS服务器 7.4 实验操作2：WSUS客户端的配置 7.5 实验操作3：WSUS系统的管理,a,36,计算机网络管理技术,7.3 实验操作1：安装WSUS服务器 WSUS（Windows Server Update Services，Windows更新服务）是Microsoft公司推出的用于局域网内计算机操作系统和Office等应用软件升级的一种服务器软件，它可以快速、方便地为网络中的每台运行Windows操作系统的计算机升级操作系统和应用软件的补丁,a,37,计算机网络管理技术,7.3

23、 实验操作1：安装WSUS服务器 7.3.1 WSUS的特点 7.3.2 安装WSUS的注意事项 7.3.3 安装WSUS服务器 7.3.4 WSUS服务器的设置,a,38,计算机网络管理技术,7.3.1 WSUS的特点 WSUS是SUS的升级产品，与SUS相比，WSUS具有以下的特点： 客户端不需要加入Active Directory，也不需要身份验证，只要能通过网络访问WSUS服务器，就可以从WSUS服务器下载相应的补丁并进行升级。 WSUS服务器的安装、配置都很简单，使用非常方便。 使用WSUS进行升级的客户端，不需要安装软件，只要进行简单的配置即可。 使用WSUS与使用Windows

24、Update程序从Microsoft公司的站点升级其效果相同，使用方法也相同,a,39,计算机网络管理技术,全免费产品。 支持的补丁除了Windows 2000及以上版本的操作系统外，还支持Microsoft SQL Server、Exchange Server 2000/ 2003和Office XP/2003等产品的升级补丁。 通过BITS 2.0（Background Intelligent Transfer Service，后台智能传送服务）来最大化有效带宽。所以，在安装WSUS服务器时，需要安装“Internet信息服务(IIS)”中的“后台智能传送服务(BITS)服务器扩展”组件。

25、 WSUS支持统计和报告功能。 多语言支持，WSUS提供了包括中文在内的多种语言版本。 可以从Windows公司的网址http:/,a,40,计算机网络管理技术,7.3 实验操作1：安装WSUS服务器 7.3.1 WSUS的特点 7.3.2 安装WSUS的注意事项 7.3.3 安装WSUS服务器 7.3.4 WSUS服务器的设置,a,41,计算机网络管理技术,7.3.2 安装WSUS的注意事项 为了顺利安装WSUS的安装，在具体安装之前，需要注意以下的几点： （1） WSUS不能在安装了“终端服务”的计算机上进行安装，如果强行安装，将会出现如图7-3所示的出错提示,a,42,计算机网络管理技术

26、,2）在安装WSUS之前，需要安装Microsoft .NET Framework 1.1 Service Pack1和Background Intelligent Transfer Services（BITS）2.0。如果是在Windows 2000 Server上安装，还需要安装Microsoft Internet Explorer 6.0 Service Pack1和MSDE 2000a for Windows 2000。 其中，如果在Windows 2000 Server上安装WSUS，在安装WSUS之前要先安装MSDE，并展开MSDE，然后使用setup sapwd=password

27、 instancename=WSUS的方式安装。其中，password为设置的数据库密码。在安装MSDE之后需要升级MSDE的补丁，目前为SP4。 （3） 不要修改Windows系统目录下文件夹的权限，Windows系统目录是指安装Windows操作系统所在的目录。如果在安装WSUS之后，WSUS不能运行或出现错误，可能是Windows系统下相应目录的权限不对，这时需要修改C:WINDOWSMicrosoft.NET和C:WINDOWS TEMP文件夹的安全性,a,43,计算机网络管理技术,如果是在Windows Server 2003系统上，需要添加“Network Service” 账户对

28、这两个文件夹的读写权；如果是在Windows 2000 Server系统上，需要添加“ASP.NET 账户”对这两个文件夹的完全控制权限，设置过程分别如图7-4和图7-5所示。其中C:WINDOWS表示系统文件夹路径,4）WSUS必须要有IIS的支持，如果是在Windows 2000 Server系统上，IIS中至少需要有一个网站才能安装 WSUS,a,44,计算机网络管理技术,7.3 实验操作1：安装WSUS服务器 7.3.1 WSUS的特点 7.3.2 安装WSUS的注意事项 7.3.3 安装WSUS服务器 7.3.4 WSUS服务器的设置,a,45,计算机网络管理技术,7.3.3 安装W

29、SUS服务器 在做好前面的准备工作之后，就可以开始安装WSUS了。在本操作实例中，WSUS安装在Windows Server 2003系统上，服务器的IP地址为。具体步骤如下： （1） 运行已下载的WSUS安装程序包（文件名为WSUSSetup.exe,注意： 1.这里，我们装WSUS3.0，所有后面步骤会有些差异. 2.路径统一到D:盘，需要是NTFS的，必要的话，先将其格式化,a,46,计算机网络管理技术,2）单击“下一步”按钮，在打开的如图7-7所示的“数据库选项”对话框中选择数据库保存路径。其中，在Windows Server 2003系统上，WSUS安装自带的MS

30、DE数据库，通过其数据库保存时磁盘至少要有2GB可用空间。如果数据库与WSUS下载的补丁位于在同一分区，则至少需要8GB的可用空间,注意： 1.这里数据变为了 Windows Internal Database,a,47,计算机网络管理技术,3）单击“下一步”按钮，打开如图7-8所示的“网站选择”对话框后。选择WSUS管理工具和服务网站使用的端口号。如果是全新安装的WSUS，可以选择使用TCP的80端口或TCP的8530端口；如果是升级安装，只能选择TCP的8530端口。如果WSUS只供内部局域网使用，则可以使用8530端口；如果供广域网上的其他系统使用，推荐使用TCP的80端口，否则如果选择

31、其他端口则有可能被防火墙屏蔽。(选择80端口,a,48,计算机网络管理技术,4）单击“下一步”按钮，如果网络中已经存在WSUS的升级服务器，则新安装的WSUS服务器可以从原有的WSUS服务器进行更新，这一项功能可以在打开的如图7-9所示的“镜像更新设置”对话框中进行设置。如果这是安装的第一台WSUS的服务器，则直接单击“下一步”按钮跳过这一操作。（默认,a,49,计算机网络管理技术,5）单击“下一步”按钮，接着在弹出的对话框中显示了摘要信息，包括WSUS的安装文件夹、数据库文件路径、管理站点链接地址、客户端自动更新站点以及将要安装的组件等，查看之后单击“下一步”按钮开始安装。 （6）之后将开始

32、安装WSUS，大约几分钟后WSUS安装完成，如图7-10所示。选取“启动Web管理工具”复选框，单击“完成”按钮，完成安装并启动WSUS管理程序,注意： 1.开始进入配置时，按“取消”.不从网上下载升级包，改为数据导入方式，具体见下页说明,a,50,WSUS的导入导出,导入和导出命令最常见的使用是在两台WSUS服务器之间同步更新元数据，这样可以让一台与Internet完全隔离的WSUS服务器和其他WSUS服务器之间进行更新的同步。你不能将元数据导入到运行为复制服务器模式的WSUS服务器上。 Export和Import命令的运行语法分别如下： wsusutil export package lo

33、gfile wsusutil import package logfile,a,51,WSUS的导入导出,注意 必须在导入元数据前复制更新文件到目的WSUS服务器上(将WSUSContent目录拷贝到D:WSUS ) WSUS“选项”中的几个参数要设为： 1. “产品”中只选Office2003 2. “语言“只选中文(简体) 对于package，建议加上.cab后缀 “wsusutil” 在C:Program FilesUpdate ServicesTools（先进入这个目录，再执行命令） 将2个备份文件 WSUS3-01.cab，和 WSUS3-01.txt (logfile)拷贝到当前目

34、录 执行 wsusutil import WSUS3-01.cab WSUS3-01.txt,a,52,计算机网络管理技术,7.3 实验操作1：安装WSUS服务器 7.3.1 WSUS的特点 7.3.2 安装WSUS的注意事项 7.3.3 安装WSUS服务器 7.3.4 WSUS服务器的设置,a,53,计算机网络管理技术,7.3.4 WSUS服务器的设置 在WSUS服务器安装结束后，还需要通过以下方法对WSUS服务器进行配置： （1）打开WSUS服务器的管理界面。WSUS管理界面的地址为http:/WSUS_IP/WSUSadmin或http:/WSUS_IP：8530/WSUSadmin，其

35、中“WSUS_IP”是安装WSUS服务器的IP地址。如果是从其他计算机上进行远程配置，需要输入WSUS服务器的管理员账户名和密码。如果是在WSUS本地计算机上管理，则无需输入密码,注意： 1.从“开始”进去打开管理界面，不用Web方式,a,54,计算机网络管理技术,首先进入的是WSUS的主页。此页面显示了WSUS的“状态”，包括WSUS已批准的更新、未批准的更新、拒绝的更新、需要更新的计算机、同步状态和待做事情列表等，如图7-11所示,a,55,计算机网络管理技术,2）单击图7-11中右上角的“选项”按钮，进入“选项”页。在WSUS的“选项”页中，主要包括3部分：同步选项、自动批准选项和计算机

36、选项，如图7-12所示。下面将分别介绍,a,56,计算机网络管理技术,1WSUS的同步选项设置 在“同步选项”页面中，有WSUS可以更新的产品和分类。其中，WSUS是否使用代理服务器、WSUS的更新源以及WSUS更新的补丁包的语言等选项，如图7-13所示。 在“计划”栏中，选择WSUS与Microsoft升级服务器或WSUS与上游WSUS同步的方式及时间。通常选择自动同步，并将同步时间设置为网络使用比较少的时刻，如凌晨0点到5点之间,a,57,计算机网络管理技术,在“产品和分类”栏中，选择WSUS更新的产品和需要更新的类型。默认情况下，WSUS更新所有的Windows产品，即Windows 2

37、000、Windows XP、Windows Server 2003等操作系统。单击“产品”下的“更改”按钮，将打开如图7-14所示的选择WSUS支持的产品对话框。选择在该WSUS服务器上将要支持的产品，然后单击“确定”按钮,a,58,计算机网络管理技术,在“更新分类”选项中，默认情况下WSUS只下载“安全更新程序”和“关键更新程序”。可以在“更新分类”下单击“更改”按钮选择需要下载的更新分类，如图7-15所示。在此对话框中选择需要下载的更新（根据需要选择）。之后，单击“确定”按钮，返回如图7-13所示的对话框,a,59,计算机网络管理技术,拖动页面右侧滑块，在“代理服务器”栏中，选择WSUS

38、与上游服务器或Microsoft公司的升级服务器在进行同步时，是否需要使用代理。如果用户的WSUS使用NAT代理方式或直接上网，则无须设置，如图7-16所示,a,60,计算机网络管理技术,在“更新源”栏中选择WSUS的更新方式。如果这是网络中的第一台WSUS服务器，则选择“从Microsoft Update进行同步”单选按钮；如果网络中已经存在WSUS，则选择“从上游Windows Server Update Services服务器进行同步”单选按钮。并在“服务器名”文本框中输入上游WSUS服务器的IP地址，在“端口号”后面的文本框中输入上游WSUS服务器使用的端口号（80或8530），如图7

39、-17所示,a,61,计算机网络管理技术,在“更新文件和语言”栏中，可以指定WSUS下载文件的存储位置和下载的更新语言。单击“高级”按钮，进入如图7-18所示的设置页面。在“更新文件”选项组中，如果选择“只有在更新得到批准后，才会将更新文件下载到该服务器”复选框，则WSUS更新时，只下载更新的信息，并不下载更新文件，只有当管理员批准后，才能从“更新源”服务器更新。如果只选取“下载快速安装文件”复选框，则WSUS不需要管理员批准即可下载完全的安装补丁文件,a,62,计算机网络管理技术,在“语言”栏中，选择需要下载的语言。通常情况下，选择“仅下载与该服务器区域设置（中文（简体）匹配的那些更新”单选

40、按钮的内容即可，当然，也可以根据实际需要进行选择，设置之后单击“确定”按钮返回。 之后，单击“任务”栏中的“保存设置”按钮，保存所做的更改，如图7-19所示。设置之后，可以单击“任务”栏中的“立即同步”按钮，立即从“更新源”更新补丁。我们将在设置完成后更新补丁，单击页面右上角的“选项”返回，在弹出的对话框中选择“取消”即可,a,63,计算机网络管理技术,需要说明的是，如果用户在“更新源”栏中选择了“从上游Windows Server Update Services服务器进行同步”单选按钮，则“更新文件和语言”将从上游的设置进行下载，当前的“高级”按钮将不可用,a,64,计算机网络管理技术,2自

41、动批准选项的设置 在图7-12中，单击右上角的“选项”按钮，然后单击“自动批准选项”按钮，进入设置页面，如图7-20所示,a,65,计算机网络管理技术,在“批准进行检测”栏中设置WSUS自动批准进行检测的分类。默认情况下包括“安全更新程序”和“关键更新程序”，可以通过单击“添加/删除分类”按钮进行更改，如图7-21所示。此批准中的分类，WSUS将自动从“更新源”进行检测,a,66,计算机网络管理技术,通过如图7-22中的“批准进行安装”处，可以设置WSUS自动批准进行安装的分类，默认情况下包括“安全更新程序”和“关键更新程序”。单击“添加/删除分类”按钮，在打开的如图7-23所示的对话框中，选

42、择WSUS将自动为指定的计算机进行安装的程序,a,67,计算机网络管理技术,默认情况下，在“批准进行检测”和“批准进行安装”栏中的“计算机组”为“所有计算机”。 在“更新的修订”栏中，选择“自动批准更新的最新修订”单选按钮，如图7-24所示。例如，在前一段时间，Microsoft发布了Windows Install 3.0、Windows Install 3.1等多个版本，在这种情况下，当选择“自动批准更新的最新修订”时，WSUS将自动拒绝Windows Install 3.0的安装并自动批准Windows Install 3.1的安装，这要比以前的SUS1.1安装所有的补丁要好多了,a,68

43、,计算机网络管理技术,在“Windows Server Update Services更新”栏中，选取“自动批准WSUS更新”复选框，这样可以确保正确更新计算机。 设置之后，单击右侧“任务”栏中的“保存设置”按钮，保存当前的配置,a,69,计算机网络管理技术,3计算机选项的设置 在如图7-12中，单击“选项”栏目中的“计算机选项”按钮，打开如图7-25所示的“计算机选项”页面。选择“使用计算机上的组策略或注册表设置”单选按钮，之后单击“保存设置”返回,a,70,计算机网络管理技术,4详细选择WSUS支持的产品 在如图7-12所示的对话框中，选择“选项”栏中的“同步选项”按钮，打开如图7-26所

44、示的“同步选项”页面。单击左侧“任务”栏中的“立即同步”按钮，开始同步WSUS,a,71,计算机网络管理技术,需要说明的是，图7-26中的“同步”，只是从Microsoft公司的站点下载WSUS支持的补丁时的“下载链接”，并不下载补丁文件。根据用户的网络速度，大约需要3060分钟时间。 下载完成后，单击“产品和分类”中“产品”下面的“更改”按钮，可以看到WSUS支持的更新，其中包括了Exchange、Office、SQL和Windows系列，如图7-27所示,a,72,计算机网络管理技术,从列表中选择需要下载的产品，如果用户的网络中只有Exchange 2003 Server，则取消对Exch

45、ange 2000 Server的选择。如果网络中使用了Office XP和Office 2003，则选取“Office 2002/XP”和“Office 2003”复选框，具体如图7-28所示。请用户根据自己网络中的产品及版本进行选择。 设置之后，单击“确定”按钮返回，并单击左侧“任务”中的“保存设置”按钮对刚才的设置进行保存,a,73,计算机网络管理技术,第7章 补丁管理 7.1 补丁管理概述 7.2 补丁管理技术 7.3 实验操作1：安装WSUS服务器 7.4 实验操作2：WSUS客户端的配置 7.5 实验操作3：WSUS系统的管理,a,74,计算机网络管理技术,7.4 实验操作2：WS

46、US客户端的配置 WSUS在提供升级补丁的时候，客户端首先向WSUS服务器提供下载补丁的请求，WSUS服务器在接到客户端的请求后再从Microsoft公司的网站上下载补丁，之后WSUS服务器再将该补丁分发给客户端,a,75,计算机网络管理技术,7.4 实验操作2：WSUS客户端的配置 7.4.1 WSUS客户端的配置方式 7.4.2 Windows 2000客户端的设置 7.4.3 Windows XP及以上版本客户端的设置 7.4.4 客户端的升级过程,a,76,计算机网络管理技术,7.4.1 WSUS客户端的配置方式 WSUS可以为Windows 2000及以上系统的计算机提供补丁更新。在

47、这些系统从WSUS获取更新以前，必须进行设置。对于加入到Active Directory中的计算机来说，可以通过组策略进行设置。对于没有加入到Active Directory的计算机，可以通过运行gpedit.msc进行添加设置。 如果通过组策略为Active Directory网络中的计算机指定WSUS升级服务器的地址，需要在包括网络中所有计算机的“组织单位”或其上一级“组织单位”配置组策略，或者将需要更新的计算机“移动”到一个新创建的“组织单位”中。指定内部升级服务器的地址，需要在组策略的“计算机配置管理模板Windows组件Windows Update”中进行设置。 如果计算机以工作组模

48、式加入网络（没有加入到Active Directory），或者想覆盖Active Directory中通过组策略指定的WSUS升级服务器的地址或配置，可以在客户端计算机上通过运行gpedit.msc，在打开的组策略编辑窗口中，从“计算机配置管理模板Windows组件Windows Update”中进行设置。下面针对不同的操作系统，介绍以工作组模式将客户端加入到WSUS服务器并接受补丁管理的具体方法,a,77,计算机网络管理技术,7.4 实验操作2：WSUS客户端的配置 7.4.1 WSUS客户端的配置方式 7.4.2 Windows 2000客户端的设置 7.4.3 Windows XP及以上

49、版本客户端的设置 7.4.4 客户端的升级过程,a,78,计算机网络管理技术,7.4.2 Windows 2000客户端的设置 在Windows 2000（安装SP3补丁或更新补丁）计算机上，以管理员身份登录，选择“开始运行”命令，在打开的文本框中输入gpedit.msc命令，然后单击“确定”按钮，进入Windows 2000“组策略”窗口。 依次选择“计算机配置管理模板”文件夹，选取“管理模板”，单击鼠标右键，在弹出的快捷菜单中选择“添加/删除模板”命令（如图7-29所示,a,79,计算机网络管理技术,弹出“添加/删除模板”文本框后单击“添加”按钮，在弹出的“策略模板”中单击wuau.adm

50、，然后单击“打开”按钮，如图7-30所示,a,80,计算机网络管理技术,在如图7-31所示的窗口中，依次选取“管理模板Windows组件Windows Update”文件夹，在右侧窗格中选取“配置自动更新”选项，单击鼠标右键，在弹出的快捷菜单中选择“属性”，打开如图7-32所示的对话框,a,81,计算机网络管理技术,首先选取“启用”单选按钮，然后从“配置自动更新”列表中选择自动更新的方式。通常选择“自动下载并提醒安装”或“自动下载并计划安装”。如果选择“自动下载并提醒安装”，当客户端检测到WSUS服务器有可用的更新时，将会自动下载，下载结束后，会提醒用户进行安装；如果选择“自动下载并计划安装”

51、，当客户端检测到WSUS服务器有可用的更新时，将会自动下载，并且在下载完成后，按照“计划安装日期”和“计划安装时间”文本框中设置的时刻，自动安装更新,a,82,计算机网络管理技术,设置之后，单击“下一策略”按钮，在弹出的对话框中设置WSUS服务器的位置。首先选取“启用”单选按钮，然后在“设置检测更新的intranet更新服务”和“设置intranet统计服务器”文本框中，设置当前网络中WSUS服务器的名称，设置的格式为“http:/ WSUS名称或IP地址”，如图7-33所示,设置之后，单击“确定”按钮，然后关闭“组策略”窗口。 WSUS的更新速度比较快，通常在设置几分钟后，客户端即开始从WS

52、US服务器检测更新并下载，然后通知用户安装,a,83,计算机网络管理技术,7.4 实验操作2：WSUS客户端的配置 7.4.1 WSUS客户端的配置方式 7.4.2 Windows 2000客户端的设置 7.4.3 Windows XP及以上版本客户端的设置 7.4.4 客户端的升级过程,a,84,计算机网络管理技术,7.4.3 Windows XP及以上版本客户端的设置 对于Windows XP及以上版本的客户端，不需要像在Windows 2000中的设置那样要添加wuau.adm管理模板，只要在组策略中启用自动更新并指定WSUS服务器的地址就可以了。下面以Windows Server 20

53、03客户端为例进行说明，其中Windows XP的配置与Windows Server 2003相同,a,85,计算机网络管理技术,运行“gpedit.msc”命令，进入“组策略编辑器”窗口，选取“计算机配置管理模板Windows组件Windows Update”，在打开对话框的右侧列表中双击“配置自动更新”选项，在打开的“配置自动更新”属性对话框（见图7-34所示）中将“配置自动更新”设置为“已启用”。如果选择了“自动下载并通知安装”选项，则需要设置“计划安装日期”和“计划安装时间”，如图7-34所示,a,86,计算机网络管理技术,然后单击“下一设置”，进入如图7-35所示的“指定Intern

54、et Microsoft更新服务位置属性”对话框，启用内部更新并指定升级服务器的地址，格式为http:/WSUS服务器IP地址,a,87,计算机网络管理技术,生效之后，客户机会联系WSUS服务器进行升级。对于 Active Directory网络中的客户端计算机，需要在组策略刷新（将所有新设置应用到客户端计算机）之后等待大约 20 分钟。而在默认情况下，每隔 90 分钟计算机组策略便会在后台刷新一次，刷新的时间可能随机偏移030分钟。如果想要以更快的速度刷新组策略，可以在服务器端设置组策略后，通过运行gpupdate命令让设置立即生效，并在客户端计算机上通过运行gpupdate /force命

55、令立刻生效。如果是没有加入Active Directory的计算机，需要通过输入wuauclt.exe /detectnow来消除20分钟的延时,a,88,计算机网络管理技术,7.4 实验操作2：WSUS客户端的配置 7.4.1 WSUS客户端的配置方式 7.4.2 Windows 2000客户端的设置 7.4.3 Windows XP及以上版本客户端的设置 7.4.4 客户端的升级过程,a,89,计算机网络管理技术,7.4.4 客户端的升级过程 设置好从内部WSUS服务器下载补丁后，当有可用的更新时，在操作系统的“任务栏”上将会显示图标，当从WSUS服务器下载补丁完成后，此图标会出现提示信息

56、。单击该图标，将会出现如图7-36所示的“您想怎样安装更新”的对话框，单击“安装”按钮即开始安装补丁。如果想在安装以前，查看补丁的情况，请在选取“自定义安装”选项后，在打开的如图7-37所示的对话框中选择当前需要安装的补丁,a,90,计算机网络管理技术,在选择了要安装的补丁程序后，单击“安装”按钮，开始补丁的安装。 当补丁安装完成后，会弹出对话框，提示重新启动计算机，如图7-38所示。单击“现在重启动”按钮，重新启动计算机，完成补丁的安装,如果设置了客户端自动下载并自动安装，则在安装补丁的过程中，不会有任何提示,a,91,计算机网络管理技术,7.5.1 管理WSUS服务器的补丁更新 在WSUS

57、服务器的管理页中，单击“更新”按钮，进入“更新”对话框，可以查看WSUS下载的更新状态，如图7-39所示,a,92,计算机网络管理技术,1筛选视图的设置 在如图7-39所示的“筛选的视图”列表中列出了当前的更新数目，在“此服务器上的总计”列表中列出当前WSUS服务器上所有的更新数目。可以在左侧的“查看”栏中，选择筛选的条件。 在“产品和分类”下拉列表框中，有“关键与安全更新（所有的关键更新和安全更新）”、“WSUS更新”和“自定义”3个选项。 在“批准”下拉列表框中，有“安装（已经批准安装）”、“仅检测（WSUS检测到的更新）”、“删除（删除的更新）”、“已拒绝（已经拒绝的更新）”、“任何批准（所有批准的更新）”