⑴ 如何在區域網中建設windows補丁伺服器
開始系統的自動更新是無法實現這個功能的,不過你可以使用一些更新補丁的軟體,如360或者迅雷的漏洞修復。把補丁存放的默認路徑只向一個共享好的區域網內的文件夾,這樣就不必重新下載了。
⑵ 區域網內如何將補丁上傳到伺服器上以至每台電腦都能打補丁
WSUS(Windows Server Update Services )是Windows操作系統的升級服務,通過在內部網路中配置WSUS伺服器,所有Windows的更新都能集中下載到這個伺服器中,內部網路中的客戶機就可以通過WSUS伺服器得到更新。升級操作系統補丁的時間可以縮短到幾分鍾,效果十分明顯,且只要一台WSUS伺服器就可保證全網路內操作系統的自動升級。這既節省了資源,又避免了資源浪費,並且提高了效率。
WSUS的安裝主要分4個步驟:系統准備與輔助軟體的安裝;WSUS伺服器的安裝;配置和管理WSUS伺服器;客戶機設置。
1.系統准備與輔助軟體的安裝。
安裝WSUS伺服器之前,要確保伺服器符合SUS的最低硬體要求:奔騰III 750MHz或更高的處理器,512MB內存,8GB硬碟空間,NTFS文件系統格式,如需要升級的客戶機在500台以上,對CPU的要求更高,內存應在1GB以上。
相關軟體要求如下:
①操作系統安裝:只有包含SP4或更高版本的Windows2000 Advanced Server(Windows2000 Server),以及Windows Server 2003才能夠作為WSUS伺服器,建議採用Windows2000 Advanced Server。
②在操作系統上安裝Microsoft Internet Information Services (IIS)5.0。
③在操作系統上安裝Background Intelligent Transfer Service (BITS)2.0。
④在操作系統上安裝Microsoft SQL Server2000及SQL的SP4補丁。
⑤在操作系統上安裝Microsoft Internet Explorer 6.0 Service Pack 1。
⑥在操作系統上安裝Microsoft
.NET Framework Version 1.1 Redistributable Package。
⑦在操作系統上安裝Microsoft
.NET Framework 1.1 Service Pack 1。
⑧最後打好所有的系統補丁。
以上相關軟體到微軟的網站上下載即可。
2.安裝WSUS。
默認情況下,Windows Server操作系統是不包含WSUS組件的,需要在微軟下載中心下載WSUS安裝包,再安裝至伺服器。
①下載WSUS安裝程序。
②打開下載的WSUSSetup.exe文件,啟動安裝程序。
③單擊「下一步」,在「最終用戶許可協議」步驟中選擇「I accept the terms in the License Agreement」,並單擊「下一步」。
④選擇存儲分區,用來存放WSUS下載的更新文件。要注意的是,這個分區必須是NTFS格式,並且最少要有6GB的自由空間。
⑤接下來是選擇安裝WMSDE數據的存儲分區,這個分區也必須是NTFS格式,以及最少要有2GB的自由空間,如果把它與存儲本地更新文件裝在同一個分區,這個分區最少要有8GB的自由空間。
⑥選擇WSUS站點的管理工具與WEB服務網站的埠,可以使用默認埠(80)或是選擇一個獨立的埠(8530),這是不能更改的。如果伺服器上面還有別的網站,建議使用8530埠來實現WSUS的管理以及WEB服務更新。這里使用系統推薦的80埠。
⑦WSUS提供了鏡像管理服務功能,它可以從網路上的另一台WSUS伺服器中復制已批準的更新列表。
接下來就是安裝程序的自動安裝過程,大概需要15分鍾左右。
3.配置和管理WSUS伺服器。
安裝完成,接下來需要進入它的管理頁面進行配置,默認情況下WSUS是不進行任何同步更新的。
從安裝時提示的管理地址進入WSUS的WEB管理界面。
點擊右上方「選項」菜單,進行系統設置。
①點擊「同步選項」。可以選擇手動同步伺服器,查看同步狀態,指定代理伺服器設置以及管理更新。也可以設置同步更新的時間,以及要求從微軟站點下載的產品、更新分類、代理伺服器、更新源以及更新文件和語言。
②更新源:可以選擇讓該 WSUS伺服器與 Microsoft Update 或者網路上的某台上游WSUS伺服器同步更新信息。如果使用 SSL,請確保上游WSUS 伺服器配置為支持 SSL。此伺服器上的埠設置必須配置為與上游 WSUS 伺服器匹配。
③自動批准選項:可以指定如何為選定組自動批准更新的安裝或檢測,以及如何批准對現有更新的修訂,即WSUS對同步下載的補丁是否執行自動批准加入系統的分發庫的命令,並設置分發的對象即計算機組。
④更新的修訂:對於已批準的更新,有時會有更新版本發布,可以選擇是否自動批准修訂。如果不選擇自動批准修訂版本,則舊版本將繼續保持已批准狀態。
⑤WSUS更新:需要WSUS 更新,以確保可以正確更新計算機。如果 WSUS 更新未得到批准,則計算機可能無法正確檢測某些更新,默認是批準的。
4.客戶機設置。
如果客戶機與WSUS伺服器在同一個域中,則只要通過域功能分發一下即可。如客戶機與WSUS伺服器不在同一個域中,則每一台客戶機都必須作如下設置才能起作用:
①打開「開始」菜單,點擊「運行」,輸入「Gpedit.msc」,啟動Windows策略組。
②在策略組中,點擊「管理模板」,選擇「添加/刪除模板」,點擊「添加」,選擇「wuau.adm」,再點「打開」即可。
③雙擊「配置自動更新」,在打開窗口中,選擇「啟用」。
④雙擊「指定Internet Microsoft更新服務位置」,在打開窗口中,選擇「啟用」,並在紅色框中填上http://(SUS伺服器IP)即可。
⑤為保證客戶機立即更新,要在「開始」菜單下「運行」中輸入「secedit/refreshpolicy machine_policy /enforce」,客戶機將立即與WSUS伺服器連接,下載並更新補丁。
⑶ 雲伺服器安全
及時安裝系統補丁:不論是Windows還是Linux,任何操作系統都有漏洞,及時的打上補丁避免漏洞被蓄意攻擊利用,是伺服器安全最重要的保證之一。
安裝和設置防火牆:現在有許多基於硬體或軟體的防火牆,很多安全廠商也都推出了相關的產品。對伺服器安全而言,安裝防火牆非常必要。防火牆對於非法訪問具有很好的預防作用,但是安裝了防火牆並不等於伺服器安全了。在安裝防火牆之後,你需要根據自身的網路環境,對防火牆進行適當的配置以達到最好的防護效果。
安裝網路:現在網路上的病毒非常猖獗,這就需要在網路伺服器上安裝網路版的殺毒軟體來控制病毒傳播,同時,在網路殺毒軟體的使用中,必須要定期或及時升級殺毒軟體,並且每天自動更新病毒庫。
關閉不需要的服務和埠:伺服器操作系統在安裝時,會啟動一些不需要的服務,這樣會佔用系統的資源,而且也會增加系統的安全隱患。對於一段時間內完全不會用到的伺服器,可以完全關閉;對於期間要使用的伺服器,也應該關閉不需要的服務,如Telnet等。另外,還要關掉沒有必要開的TCP埠。
定期對伺服器進行備份:為防止不能預料的系統故障或用戶不小心的非法操作,必須對系統進行安全備份。州鎮除了對全系統進行每月一次的備份外,還應對修改過的數據進行每周一次的備份。同拍睜時,應該將修改過的重要系統文件存放在不同伺服器上,以便出現系統崩潰時(通常冊賀粗是硬碟出錯),可以及時地將系統恢復到正常狀態。
賬號和密碼保護:賬號和密碼保護可以說是伺服器系統的第一道防線,目前網上大部分對伺服器系統的攻擊都是從截獲或猜測密碼開始。一旦黑客進入了系統,那麼前面的防衛措施幾乎就失去了作用,所以對伺服器系統管理員的賬號和密碼進行管理是保證系統安全非常重要的措施。
監測系統日誌:通過運行系統日誌程序,系統會記錄下所有用戶使用系統的情形,包括最近登錄時間、使用的賬號、進行的活動等。日誌程序會定期生成報表,通過對報表進行分析,你可以知道是否有異常現象。