打补丁实现了“自动化”

SUS（软件更新服务，Software Updates Service）是微软发布的一款用于针对解决工作在微软操作系统上，要经常安装或者更新系统安全漏洞和错误补丁问题的软件，主要针对的操作平台是Windows 2000/XP和Windows Server 2003。也许有的朋友要问，我的计算机上不是已经有了自动更新服务了吗，为什么还要用SUS？对，您的计算机上是有了自动更新，但那是针对您自己的计算机，而SUS主要针对的是企业内部局域网或Intranet上对全网计算机集体实施的一种安全更新服务。举个例子，就拿前一段时间出现的RPC（Romote Procedure Call）漏洞来说，如果您所管理的局域网中有一百台左右的连网计算机，虽然每台计算机上都有自动更新服务，但有可能内部连网计算机在局域网内部不具有上外部Internet的条件；或者由于用户没有安装补丁的意识因而没有打补丁，即使全部自动更新也会将一个补丁程序下载一百遍，这样既会造成网络拥挤也会造成网络资源的浪费。面对这种情况，作为局域网的网络管理员是否要下载补丁手动给每台计算机安装一遍呢？如果明天又出个其他补丁呢？网络管理员会疲于奔命。 SUS可以帮助我们，我们可以在一台有条件上Internet的计算机上安装SUS server，让这台服务器定时自动下载更新补丁，然后在局域网上的计算机上做一下简单的配置，局域网内的计算机就可以通过这台服务器在局域网内部将补丁安装上，而且安装过程是完全自动完成的。 服务器端软件的安装与配置 1、 安装前的准备。SUS server必须要安装在打过SP2的Windows 2000 Server或Windows 2003 Server上，还必须要有IIS5.0和IE5.5或更高的版本，同时安装SUS的分区必须是NTFS分区。 2、下载SUS软件。SUS是免费下载的，具体下载网址是
http://go.microsoft.com/fwlink/?LinkId=6930，大小为33M，现在只有英文和日文两个语言版本。 3、软件的安装。SUS的安装很容易，只要一直“next”下去就行了。安装完成后从“开始”菜单→“程序”→“管理工具”，单击“Microsoft Software Update Services”就可以进入到SUS的主界面。 4、 SUS的配置。用鼠标单击左侧的“Set Options”进入配置界面，见图1。

图1

 1）如果您的局域网通过代理服务器或防火墙连接Internet，就要指定代理服务器的IP地址、端口和用来认证的用户名称和密码。
2）指定安装了SUS服务的服务器的名称或IP地址。
3）选择同步的服务器，一般要从微软的更新服务服务器上进行同步，按默认选项即可。您也可以选择另一台安装了SUS服务的计算机，这样就可以分级建立SUS服务器，避免由于更新服务带来的流量过于集中。 4） 选择如何处理对以前已安装过的补丁包又有新的版本补丁包的问题，选择默认设置就可以。
5） 最后一项是设置是否将补丁包存在本地服务器上，还有就是选择补丁包的语言版本，一般选简体中文和英文即可，这样在“Set Options”中的设置就完成了。
5、用鼠标选择“Synchronize server”，可以选择“Synchronize now”马上同步或者是选择“Synchronization Schedule”指定同步时间表。建议最好通过指定同步时间表来同步，这样可以避过上网高峰时间，而在晚上下载软件更新包。
6、 实施更新。用鼠标选择“Approve updates”，如果您已经激活了与微软网站的同步，您就会在这里看见下载下来的补丁包，其中包括补丁包名称、使用平台等信息，您可以选择分配给终端计算机的补丁包，选好后点击最下面的“Approve”按钮来执行更新，见图2。

图2

这样服务器端的设置就基本完成了，以后可以通过“Synchronize log”和“Approve log”来查看同步和实施更新的日志。客户端的配置客户端的配置相对来说就比较容易一些，主要分以下几步：
1、 对于Windows 2000 Professional/Server、Windows 2000 Advanced Server（Service Pack 2）、 Windows XP Professional、Windows XP Home Edition用户来说，需要到微软网站单独下载一个自动更新客户端程序，下载网址是http://go.microsoft.com/fwlink/?LinkId=6928。对于打过SP3或更高版本补丁的Windows 2000用户、打过SP1的Windows XP用户和Windows 2003的用户就不用单独下载了。“自动更新”的位置就在“控制面板”中。
2、 通过组策略编辑器来指定更新时间和更新服务器，打开“开始”菜单→“程序”→“运行”，在命令栏中敲入“gpedit.msc”进入组策略编辑器，选中“计算机配置”下的“管理模板”，单击鼠标右键，选择“添加／删除模板”，进入“添加删除模板”框中，单击“添加”按钮，选择“wuau.adm”，单击“打开”，然后单击“关闭”，这样您就可以在“管理模板”下的“Windows组件”中看到“Windows Update”，见图3。

图3
3、 在“Windows Update”中有四个策略，其中前两个对我们比较有用。鼠标双击“配置自动更新”，启用它并指定更新计划。双击“指定intranet Microsoft更新服务位置”，启用它并设置提供SUS服务的服务器，可以写服务器名或者是IP地址，见图4。

图4
这样我们完成了客户端的设置，现在我们就可以等着它自动更新补丁了。客户端的更新如果在服务器上已经实施了更新包，则客户端计算机会定时收到更新包的提醒。双击图标可以看到可以利用的更新包，用户可以选择是否更新，是否将更新包下载到本地。当补丁包下载成功后也会收到提醒，让用户确认是否进行安装，确定后即可安装补丁包了。有待改进的地方首先，SUS现在只有英文和日文两个版本；其次，在SUS服务器上好像没有办法事先选择想要更新的包，只能先下载下来再说，有些浪费；最后，对于局域网不是在域管理的模式下，需要每台客户端都要设置一次组策略，工作量不小。但总的来说，SUS这个程序不大，安装和配置也很简单，功能很实用，确实为我们提供了不少方便，尤其是在需要隔三岔五地安装补丁包的情况下。

作者:北京航空材料研究院 王冬 周力