論企業(yè)服務(wù)器補(bǔ)丁部署的高效實(shí)現(xiàn)

任一新+李書

[摘 要] 企業(yè)應(yīng)用系統(tǒng)服務(wù)器由于其特殊性，往往無法及時(shí)獲得安全補(bǔ)丁更新，導(dǎo)致系統(tǒng)存在大量的高危漏洞，而這些漏洞一旦被利用，將使我們的應(yīng)用系統(tǒng)宕機(jī)甚至損壞，對(duì)企業(yè)造成無法估量的損失。通過在企業(yè)內(nèi)部搭建和配置WSUS補(bǔ)丁更新服務(wù)器，實(shí)現(xiàn)服務(wù)器高危漏洞補(bǔ)丁的自動(dòng)下載和推送，并利用客戶端安裝自動(dòng)化配置腳本程序，實(shí)現(xiàn)服務(wù)器推送補(bǔ)丁的高效和智能化部署。

[關(guān)鍵詞] 企業(yè)；高危漏洞；補(bǔ)丁更新服務(wù)器；推送；部署

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 17. 038

[中圖分類號(hào)] TP393.08 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2017）17- 0076- 04

0 引 言

隨著信息化的深入發(fā)展，企業(yè)內(nèi)部運(yùn)行的OA、ERP、門戶等各種應(yīng)用系統(tǒng)支撐著企業(yè)的正常運(yùn)作，對(duì)于大型企業(yè)來說，應(yīng)用系統(tǒng)的數(shù)量更是驚人，如何保障這么多應(yīng)用系統(tǒng)的信息安全，使其免于遭受來自于企業(yè)外部和內(nèi)部的網(wǎng)絡(luò)威脅，是一個(gè)不容忽視的問題。拋開管理制度的要求，我們僅僅從技術(shù)層面來看，無非兩點(diǎn)，首先是從網(wǎng)絡(luò)層面增強(qiáng)抵御外部風(fēng)險(xiǎn)的能力，這點(diǎn)我們可以通過部署防火墻、IPS，WAF等安全設(shè)備來實(shí)現(xiàn)，其次就是應(yīng)用系統(tǒng)必須要不斷增強(qiáng)自身的健壯性來應(yīng)對(duì)無法避免的攻擊行為。

應(yīng)用系統(tǒng)運(yùn)行在服務(wù)器操作系統(tǒng)之上，要提高自身的抗攻擊性，首要其沖的就是保障服務(wù)器操作系統(tǒng)的安全，而操作系統(tǒng)的安全無外乎就是四點(diǎn)：口令、基線設(shè)置、防病毒軟件和系統(tǒng)補(bǔ)丁。口令和基線設(shè)置最簡單，防病毒軟件也可以通過部署統(tǒng)一的防病毒系統(tǒng)實(shí)現(xiàn)，最難的是服務(wù)器系統(tǒng)補(bǔ)丁的部署，因?yàn)橐环矫娲蠖喾?wù)器從安全角度考慮是不允許連接互聯(lián)網(wǎng)的，無法直接從互聯(lián)網(wǎng)獲得系統(tǒng)補(bǔ)丁；另一方面由于企業(yè)內(nèi)部存在著各種操作系統(tǒng)，操作系統(tǒng)的版本也不盡相同，而我們應(yīng)用系統(tǒng)管理員本身的信息安全知識(shí)確實(shí)是比較匱乏的，很難獲得適合自己應(yīng)用系統(tǒng)的操作系統(tǒng)補(bǔ)丁。

1 服務(wù)器補(bǔ)丁安裝的現(xiàn)狀分析

根據(jù)企業(yè)去年信息安全評(píng)估項(xiàng)目的報(bào)告顯示，存在高危漏洞的服務(wù)器占所有服務(wù)器的比例接近70%，而高危漏洞的總數(shù)接近400個(gè)，其中不乏MS08-067、MS12-020等可被利用的原理性漏洞；同時(shí)存在著部分應(yīng)用系統(tǒng)服務(wù)器未安裝過任何補(bǔ)丁的現(xiàn)象。究其原因主要是：

（1）應(yīng)用系統(tǒng)管理員信息安全意識(shí)薄弱。

（2）部分應(yīng)用系統(tǒng)管理員為兼職網(wǎng)管，技術(shù)能力有限無法獲取操作系統(tǒng)補(bǔ)丁。

（3）手動(dòng)下載更新費(fèi)時(shí)費(fèi)力還容易出現(xiàn)下載錯(cuò)誤問題。

針對(duì)目前服務(wù)器補(bǔ)丁安裝這種現(xiàn)狀，如何能在不增加應(yīng)用系統(tǒng)管理工作強(qiáng)度和難度的基礎(chǔ)上，高效地完成服務(wù)器補(bǔ)丁的部署呢？本文也正是基于這個(gè)問題，研究利用在企業(yè)內(nèi)部搭建及配置企業(yè)自己的WSUS服務(wù)器，最終實(shí)現(xiàn)企業(yè)服務(wù)器補(bǔ)丁的高效和智能化部署。

2 WSUS補(bǔ)丁更新服務(wù)器的部署

2.1 WSUS補(bǔ)丁更新服務(wù)器簡介

WSUS是Windows Server Update Services的簡稱，是微軟推出的網(wǎng)絡(luò)化補(bǔ)丁分發(fā)方案。通過WSUS可以集中下載所有的微軟產(chǎn)品更新，使客戶端可以從WSUS服務(wù)器快速、方便地下載所需要的更新。WSUS對(duì)計(jì)算機(jī)的要求不多，只要有足夠的硬盤空間即可。WSUS支持Microsoft眾多的操作系統(tǒng)、應(yīng)用程序與服務(wù)器類產(chǎn)品，例如Windows XP、Windows Server 2003、Windows 7、Windows Server 2008、Windows Server 2012、Office XP、Office 2003、Office 2007、SQL Server、Exchange等。

2.2 部署WSUS補(bǔ)丁更新服務(wù)器

本次選擇了Windows Server 2008 R2 SP1 作為WSUS服務(wù)器的操作系統(tǒng)，WSUS選擇了3.0 SP2版本。在安裝 WSUS前服務(wù)器需要安裝必備的組件：Microsoft .NET Framework 3.0、IIS和報(bào)表組件ReportViewer。

2.2.1 NET Framework3.5.1功能安裝

安裝Microsoft .NET Framework，主要步驟如下：在“服務(wù)器管理器”對(duì)話框中添加“功能”，在“選擇功能”對(duì)話框中選中“.Net Framework 3.0功能”復(fù)選框，安裝步驟很簡單，直接根據(jù)提示選擇，然后一步步安裝。

2.2.2 IIS安裝

安裝IIS，主要步驟如下：打開服務(wù)器角色管理功能，添加“角色”，安裝IIS服務(wù)。選擇IIS角色后，直接點(diǎn)擊“下一步”，盡量選擇所有的IIS功能，至少要選擇“靜態(tài)內(nèi)容”、ASP.NET、“6.0 管理兼容性”“Windows 身份驗(yàn)證”服務(wù)。

2.2.3 報(bào)表組件安裝

安裝ReportViewer軟件，以便支持WSUS的報(bào)告查看功能。

2.2.4 WSUS補(bǔ)丁服務(wù)安裝

在安裝完.NET Framework、IIS服務(wù)以及報(bào)表組件后，就可以安裝WSUS 3.0 SP2了，主要步驟如下：

（1）運(yùn)行WSUS 3.0 SP2的安裝程序，進(jìn)入WSUS 3.0 SP2的安裝向?qū)А?/p>

（2）在“安裝模式選擇”對(duì)話框中，選擇“包括管理控制臺(tái)的完整服務(wù)器安裝”單選按鈕，然后單擊“下一步”按鈕。

（3）在“許可協(xié)議”對(duì)話框中選擇“我接受許可協(xié)議條款”單選按鈕，然后單擊“下一步”按鈕。

（4）在“選擇更新源”對(duì)話框中，選擇保存WSUS更新文件的位置。在默認(rèn)情況下，安裝程序會(huì)自動(dòng)選擇一個(gè)空間最大的分區(qū)，并且保存在WSUS文件夾中。endprint

（5）在“數(shù)據(jù)庫選項(xiàng)”對(duì)話框中，選擇保存WSUS 3.0數(shù)據(jù)庫的文件位置。選擇內(nèi)部數(shù)據(jù)庫作為存儲(chǔ)對(duì)象。

（6）在“網(wǎng)站選擇”對(duì)話框中，指定用于WSUS 3.0服務(wù)的網(wǎng)站。選擇“創(chuàng)建Windows Server Update Services 3.0 SP2網(wǎng)站”單選按鈕，這樣，所有WSUS客戶端將使用TCP的8530端口訪問和更新補(bǔ)丁。

（7）點(diǎn)擊下一步，直接安裝內(nèi)部數(shù)據(jù)庫和補(bǔ)丁服務(wù)。

（8）等待安裝完成后，WSUS3.0 SP2服務(wù)可以使用。

3 WSUS補(bǔ)丁更新服務(wù)器的配置

3.1 基礎(chǔ)配置

在完成WSUS安裝之后，首先會(huì)進(jìn)入“Windows Server Update Services配置向?qū)А睂?duì)話框，接下來將介紹WSUS服務(wù)器端的配置，步驟如下：

（1）單擊“完成”按鈕后彈出“Windows Server Update Services配置向?qū)А睂?duì)話框，“在您開始之前”頁中單擊“下一步”按鈕。

（2）在“選擇‘上游服務(wù)器”對(duì)話框中，選擇當(dāng)前WSUS服務(wù)器中同步的“上游”服務(wù)器。選擇“從Microsoft Update進(jìn)行同步”單選按鈕。

（3）在“指定代理服務(wù)器”對(duì)話框中，設(shè)置當(dāng)前WSUS服務(wù)器訪問Internet的方式。如果當(dāng)前計(jì)算機(jī)需要使用代理服務(wù)器訪問Microsoft Update（或者WSUS上游服務(wù)器），請(qǐng)選中“在同步時(shí)使用代理服務(wù)器”復(fù)選框并且正確設(shè)置代理服務(wù)器的參數(shù)。

（4）開始進(jìn)行測(cè)試，測(cè)試完成后會(huì)選擇語言等信息。

（5）選擇產(chǎn)品，針對(duì)服務(wù)器主要選擇windows操作系統(tǒng)補(bǔ)丁和SQL數(shù)據(jù)庫等軟件進(jìn)行補(bǔ)丁安裝。

（6）選擇更新的類別，選擇安全更新程序、定義更新、關(guān)鍵更新程序。

（7）選擇同步時(shí)間，同步時(shí)間可以選擇空閑的時(shí)間。

安裝完成后直接與微軟官方同步補(bǔ)丁信息。

3.2 WSUS其他配置功能

3.2.1 補(bǔ)丁的自動(dòng)審批功能和手動(dòng)審批

審批補(bǔ)丁的目的是為了給客戶端下發(fā)補(bǔ)丁，所有補(bǔ)丁必須要經(jīng)過審批后才能推送給客戶端。

為了讓W(xué)SUS服務(wù)器“完全自動(dòng)”從Microsoft的更新服務(wù)器獲得更新并自動(dòng)審批，可以在“選項(xiàng)”中，單擊“自動(dòng)審批”。

在“自動(dòng)審批”對(duì)話框中，選中啟用“默認(rèn)的自動(dòng)審批規(guī)則”。

當(dāng)然也可以不選擇自動(dòng)審批規(guī)則，對(duì)補(bǔ)丁進(jìn)行手動(dòng)審批。特別是針對(duì)服務(wù)器的補(bǔ)丁，由于可能存在補(bǔ)丁和應(yīng)用不兼容的問題，建議只審批特別嚴(yán)重的漏洞。

3.2.2 更新文件和語言

打開“更新文件和語言”對(duì)話框，建議在“更新文件”選項(xiàng)卡中選中“僅當(dāng)審批更新后才能將更新文件下載到此服務(wù)器上”復(fù)選框，如圖1所示。特別對(duì)于硬盤空間較小的WSUS服務(wù)器，建議選擇此項(xiàng)。如果要修改更新語言，可以在“更新語言”選項(xiàng)卡中修改。

4 WSUS客戶端部署

WSUS客戶端的部署可以通過客戶機(jī)組策略實(shí)現(xiàn)。但為了不增加應(yīng)用系統(tǒng)管理員的工作量，我們選擇用批處理腳本來實(shí)現(xiàn)自動(dòng)部署。僅僅在客戶端運(yùn)行以下腳本就能夠自動(dòng)完成部署工作，大大減輕了系統(tǒng)管理員的工作難度和強(qiáng)度。

該腳本主要完成如下功能：

（1）啟動(dòng)自動(dòng)更新服務(wù)。

（2）設(shè)置WSUS服務(wù)器地址。

（3）啟用自動(dòng)升級(jí)。

（4）每天檢測(cè)更新。

（5）設(shè)置每天安裝補(bǔ)丁的時(shí)間。

（6）使用WSUS而不從微軟更新。

（7）設(shè)置為提醒安裝補(bǔ)丁。

（8）啟用后臺(tái)安裝補(bǔ)丁。

（9）允許用戶可以選擇稍后再重新啟動(dòng)服務(wù)器。

5 WSUS部署結(jié)果驗(yàn)證

5.1 服務(wù)器端驗(yàn)證

WSUS服務(wù)器安裝及客戶端腳本部署后，等待一段時(shí)間，服務(wù)器端便可以看到已接受管理并上報(bào)狀態(tài)報(bào)告的客戶端：

5.2 客戶端驗(yàn)證

服務(wù)器根據(jù)客戶端上報(bào)的狀態(tài)報(bào)告，自動(dòng)推送已審批并下載的補(bǔ)丁給客戶端，客戶端已接收到服務(wù)器推送來的更新。

6 結(jié) 語

通過在企業(yè)內(nèi)部搭建補(bǔ)丁服務(wù)器，實(shí)時(shí)下載及推送安全更新，為應(yīng)用系統(tǒng)服務(wù)器提供了一種補(bǔ)丁智能化部署的方式，大大降低了信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊的安全風(fēng)險(xiǎn)。同時(shí)大大降低了信息系統(tǒng)管理員的工作難度，減輕了工作量。

主要參考文獻(xiàn)

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].第5版.北京：電子工業(yè)出版社，2008.

[2]陳梅志.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其應(yīng)對(duì)措施淺析[J]. 硅谷，2014，7（2）：143.

[3]袁向英.架設(shè)局域網(wǎng)升級(jí)服務(wù)器WSUS[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007（2）：53-56.endprint