如何使用wsus部署第三方补丁

WSUS的作用：

我们日常使用的微软系列软件，如操作系统（Windows 2000，XP等）、办公软件（Office 2000/XP/2003）、SQL Server数据库、Exchange等，经常发布升级补丁。这些补丁通过对系统的安全或重大缺陷进行修正，提高系统的安全性和稳定性。一些病毒和黑客程序正是利用系统的缺陷侵入系统的。所以及时升级系统补丁是保证系统安全的重要环节。

一般可以通过微软的升级服务器获得补丁。但是这些升级服务器多数架设在国外，公司内每台电脑都通过外网访问升级服务器，不仅速度慢、效率低，如果公司内部有大量电脑使用，每台电脑都通过外网更新补丁就会造成公司Internet带宽的浪费；此外，并不是所有的补丁都需要去升级，而对每个用户来说，很难判断哪些补丁适合于自己的电脑。

微软提供了一个免费的补丁升级系统Windows Server Update Services，简称WSUS，2007年发布了30版本，非常适合于中小规模的企业部署使用。

WSUS系统需要在局域网内设置企业的WSUS服务器，通过它与微软的升级服务器联系，并将所需补丁及时推送给企业局域网内的每台电脑。下面简介配置及部署过程

一、WSUS系统的安装要求

1、硬件要求需要一台服务器，要求配置：

CPU：10GHz以上

内存：1GB以上

目前大多数服务器均可满足要求；

2、磁盘要求要安装 WSUS，服务器上的文件系统必须满足以下要求：

系统分区和安装 WSUS 的分区都必须使用 NTFS 文件系统进行格式化。

系统分区至少需要 1 GB 的可用空间。

WSUS 用于存储内容的卷至少需要 6 GB 的可用空间，建议预留空间大于30 GB。

WSUS 安装程序用于安装 Windows SQL Server 2000 Desktop Engine (WMSDE) 的卷至少需要 2 GB 的可用空间。

3、软件要求：要使用默认选项安装 WSUS，必须在计算机上安装以下软件。

操作系统：Windows 2000 Server ＋ SP4，建议使用Windows Server 2003。

Windows Server 2003 Service Pack 2（32 位 x86）

Microsoft Internet 信息服务 (IIS) 60。

用于 Windows Server 2003 的 Microsoft NET work 11 Service Pack 1。

用于后台智能传输服务 (BITS) 20 和 WinHTTP 51 Windows Server 2003 的更新程序

用于 Windows Server 2003 的 Microsoft 管理控制台 30

用于 Windows XP 的 Microsoft 管理控制台 30（使用Windows XP系统管理WSUS系统时需要）

Microsoft Report Viewer Redistributable 2005 SP1

以上软件均可以从微软网站下载。安装WSUS前，应确保上述软件安装完毕。

4、客户端的要求接受自动更新管理的客户端应启动其自动更新 WSUS客户端组件。

除了需要连接到网络外，客户端自动更新没有其他的硬件要求。您可以针对运行以下任一操作系统的计算机上的 WSUS 使用自动更新：

Windows 2000系列：需带有 Service Pack 3 (SP3) 或 Service Pack 4 (SP4)。

Microsoft Windows XP Professional。

Microsoft Windows Server 2003系列。

WSUS服务器端安装

1、下载WSUS30软件32位版本的下载地址：

http://downloadmicrosoftcom/download/1/a/7/1a745ad1-0b08-4703-b876-4575411af74b/WSUS3Setupx86exe。

64位版本的下载地址：

http://downloadmicrosoftcom/download/1/a/7/1a745ad1-0b08-4703-b876-4575411af74b/WSUS3Setupx64exe。

2、双击安装程序文件“WSUSSetupexe”。 3、在向导的“欢迎使用”页上，单击“下一步”。4、仔细阅读许可协议的条款，单击“我接受许可协议中的条款”，然后单击“下一步”。 5、选择更新源在“选择更新源”页上，可以指定客户端获得更新的来源。如果选中“本地存储更新”复选框，更新便会存储在 WSUS 服务器上，您需要在文件系统中选择一个用于存储更新的位置。如果不在本地存储更新，客户端计算机将连接到 Microsoft Update 以获取已批准的更新。

建议选择“本地存储更新”并将存储更新目录设置在系统盘C以外，如“D:\WSUS”，然后单击“下一步”。

6、数据库选项在“数据库选项”页上，选择用于管理 WSUS 数据库的软件。默认情况下，如果要安装的计算机运行 Windows Server 2003，WSUS 安装程序将提出安装 WMSDE。如果无法使用 WMSDE，则必须为 WSUS 提供可以使用的 SQL Server 实例，具体操作方法是：单击“使用该计算机上现有的数据库服务器”，然后在“选择 SQL 实例名”框中键入实例名。然后“下一步”。

建议使用WMSDE。并将数据库安装在前面选择的目录（D:\WSUS）中。

7、网站选项用于指定WSUS服务的网站，客户端根据这个参数配置，以获得更新服务。

有两个选择：

一是“使用现有IIS默认网站”，——本服务器没有其它IIS网站时选择，端口将为80。客户端配置时使用：http://<服务器名>。

另一种选择“创建Windows Server Update Services 30网站”，将使用8530端口，不改变原有的IIS网站设置。客户端配置时使用：http://<服务器名>:8530。

WSUS系统服务器端配置

1、开始配置前准备安装完毕后，将启动WSUS配置向导。开始配置前，应做到：

l 服务器防火墙配置为允许客户端访问；

l WSUS服务器应配置成能访问Internet，以便从微软Update服务网站获得更新；

2、Microsoft Update改善计划没有精力的话就不要选择参与改善计划；

3、选择上游服务器这里应该选择“从Microsoft Update进行同步”。

4、选择代理服务器对于WSUS服务器通过代理访问Internet的，需要设置。

在接下来的界面中，点击“开始连接”。等待连接完成。

5、选择语言连接过程中，系统会下载可选的语言等内容，时间较长。连接完成后，进入“选择语言”。

建议选择“简体中文”以及英文就可以了。

6、选择产品可以根据公司现有使用的微软公司产品选择。如果WSUS服务器的硬盘容量足够大，可以选择所有产品。

一般来说，应当选择Office、SQL Server、Windows等常用程序。

7、选择分来这是系统补丁的分类。建议选择全部。

8、配置同步这里配置WSUS服务器与微软的Windows Update服务器的同步，建议配置成自动同步，同步时间设置在每天的深夜，这样可以利用Internet带宽空闲的时候同步。

9、完成配置完成配置后，选择“启动Windows Server Update Services管理控制台”以及“开始初始同步”。

WSUS系统其它配置

1、配置审批WSUS系统可以选择对某些分类的补丁执行自动审批。建议选择“默认的自动审批规则”，即对“安全更新程序”、“关键更新程序”执行自动审批。而对其它类型的更新程序，建议管理员进行必要的测试后再审批给客户端安装。

2、选择“下载快速安装文件”“下载快速安装文件”可以在计算机上更快地进行下载和安装。

WSUS系统客户端的配置与管理

1、使用域策略公司建有域的，如果所有电脑都加入域，可以在域中设置WSUS的计算机策略，使得每台加入域的电脑都可以接受WSUS补丁。

新建一个WSUS域策略于所有受管理计算机账户，该策略设置下列参数：

在WSUS策略的“计算机配置/管理模板/Windows组件/Windows Update”中：

l 启用“配置自动更新”

l 启用“指定Intranet Microsoft更新的位置”，并设置“为检测更新设置Intranet更新服务：”及“设置Intranet统计服务器”为WSUS服务器：http://<服务器名>，如是新创建的IIS站点，为：http://<服务器名>:8530。

2、使用本地策略在“运行”中输入gpeditmsc，进行“本地计算机”设置，设置参数同上。

3、日常管理注意问题WSUS服务器配置好以后，系统会自动与微软的升级服务器同步，并按照既定审批规则，推送到客户端。

管理员可以在Windows XP客户端中安装管理控制台，远程管理WSUS服务器。

安装主板驱动 比如INTEL系列的主板为

INF

重起

ata iaa

dxdiag

补丁

2000的话

w2ksp4_cnexe

Windows2000-KB823980-x86-CHSexe

Windows2000-KB824105-x86-CHSexe

Windows2000-KB828028-x86-CHSexe

Windows2000-KB828749-x86-CHSexe

Windows2000-KB835732-x86-CHSexe

Windows2000-KB837001-x86-CHSexe

等防冲击波补丁

服务器装补丁一般对性能不会有太大的影响，补丁一般主要是修复系统漏洞问题的，及时的更新补丁，修复系统漏洞，可以令服务器更加的安全。建议可以在服务器上安装服务器安全狗，有补丁提示，可以及时修复，并且如果因为补丁造成了影响，可以通过服务器安全狗补丁管理还原回到原来的没装补丁的情况，并且服务器安全狗还可以为你的服务器起到防护作用，一举两得。

怎么为局域网更新系统补丁,公司搭建了SUS服务器，但是在一台新添加的客户端计算机（Windows XP系统）中进行手动升级时，总是连接到Microsoft的Windows Update服务器。请问为什么不能从本地的SUS服务器上下载更新呢，应该如何解决？

局域网中搭建了SUS服务器后，客户端计算机的默认配置却并不认识该服务器，只有通过编辑组策略才能将下载更新的链接指向局域网SUS服务器。

根据Microsoft的官方网站提供的资料，在Windows 2000 with SP3、Windows XP with SP1、Windows Server 2003及最新的Windows XP 中已经内置了SUS客户端，因此不再需要安装。只有Windows 2000 以下版本及未升级至SP1的Windows XP才需要安装客户端。因此只需找出没有内置SUS客户端的计算机，并执行下载的Wuau22chsmsi客户端程序进行安装即可。在Windows XP中编辑相关策略的步骤中如下：

第1步，依次单击“开始”→“运行”菜单项，在“打开”编辑框中键入gpeditmsc命令并回车，打开“组策略”窗口。在左窗格中展开“计算机配置”选项，右键单击“管理模板”选项，执行“添加/删除模板”命令，如图所示。

组策略编辑器

第2步，在打开的“添加/删除模板”对话框中单击“添加”按钮，打开“策略模板”对话框。在模板列表中选中wuauadm模板并单击“打开”按钮，如图2008120542所示。

选择wuauadm模块

wuauadm是组策略中设置Windows Update的模板文件。如果组策略内无该文件，客户端将无法进行下载和安装更新文件。因此需要将下载得到的模板文件拷贝至Windowsinf文件夹下。

第3步，在“添加/删除模板”对话框中可以看到添加的策略模板，单击“关闭”按钮关闭该对话框，如图所示。

查看新添加的策略模板

第4步，回到“组策略”对话框，依次展开“计算机配置/管理模板/Windows组件”目录，并单击选中Windows Update选项，如图所示。

选中Windows Updates选项

第5步，在右侧窗格中双击“配置自动更新”选项，在“配置自动更新 属性”对话框中选中“已启用”单选框。可以根据需要来设置更新方式，如选择“20081203自动下载并计划安装”方式，注意还需要分别设置“计划安装日期”和“计划安装时间”，如图所示。

设置更新计划

第6步，单击“下一设置”按钮，在“指定企业内部互联网Microsoft Update服务位置 属性”对话框中选中“已启用”单选框。在“为检测更新设置企业内部互联网更新服务”和“设置企业内部互联网统计服务器”编辑框中均键入SUS服务器URL，服务器URL即安装SUS服务器计算机的内部网络地址，并在后面加上/SUSAdmin（本例为http://101152231/SUSAdmin）。最后单击“确定”按钮完成设置，如图所示。

指定更新服务器地址

首先，需要做风险评估，评估已有的漏洞所能带来的风险，确定风险的级别和影响

其次，对于高风险的漏洞，建议打上，中低风险的漏洞根据情况，可以不打，这是在你能够接受的风险影响范围内

再次，并不需要一有补丁就打，打补丁建议先在测试环境上操作。频繁打补丁会影响业务的正常运行。

最后，虚拟化是基础，打补丁一般会影响业务服务，当然这只是在打补丁出错误的情况下。

对于客户端，一般建议打最新补丁，因为客户端不像服务器那么敏感、安全与没有服务器做的好、是比较容易被侵入的地方。