Windows终端可能存在许多安全漏洞,如 WannaCry病毒就是利用系统安全漏洞进行攻击,应对此类攻击最有效的方法就是安装补丁。在进行安全漏洞修复时,需要全面、快速地完成补丁更新,依靠人工手动更新基本上是不现实的,这时需要有补丁更新系统。
常见的补丁更新系统有微软的WSUS. 或者使用准入系统、桌面管理软件自带的补丁更新模块。WSUS即 Windows Server Update Services. 是免费的补丁更新服务器,可以用于 Windows平台的补丁更新,如Win7 系统、Win 10系统、Office、IE浏览器等。
如果企业规模小,WSUS服务器只需要部署一台。WSUS服务器会从微软补丁更新中心下载补丁,Windows终端根据策略配置从WSUS服务器下载补丁并完成安装和更新。如果公司规模大,且有不同的办公场所,建议部署下游 WSUS 服务器,这样可以减少跨网流量的消耗。
在部署 WSUS 服务器前,建议公司计算机全部加入AD域,这样可以通过域的组策略设置客户端更新。
(1)首先需要在服务器上安装 Windows Server更新服务,选择需要更新的产品,如Office、Win 10 系统;然后选择需要更新的类型,一般是关键更新和安全更新,并设置与 Microsoft更新同步。
(2)接下来需要配置客户端更新策略,建议使用组策略配置更新,常见更新方法有通知下载并通知安装、自动下载并通知安装、自动下载并计划安装,建议使用“自动下载并计划安装”
(3)最后需要审批更新程序,可以设置自动审批所有已经下载的安全更新和关键更新,这样补丁就可以自动推送到所有被管理的计算机中。
不能排除极少数补丁安装后,会出现不可预估的问题,如计算机蓝屏、Windows无法启动等情况,如果要避免这些风险,需要设置一个更新测试计算机组,当有新的更新时,先将更新推送到测试计算机组,确保更新正常后,再进行全网推送。
也可以使用准入系统等第三方软件进行补丁管理,前提是在需要更新的终端上安装客户端,相比 WSUS,第三方补丁管理系统有以下优点。
-
可以进行非微软软件的更新。 -
在管理上可以更加精细化,如使用 WSUS时安全管理员常常要关注补丁是否已经安装并重新启动生效,但第三方补丁管理系统可以看到客户端的补丁更新生效情况。 -
用户可以在客户端界面上看到有哪些补丁、这些补丁是否已更新,也可以手动检查并更新补丁。
文章来源:选自《企业信息安全建设与运维指南》
天唯科技专注于大型组织信息安全领域及IT基础设施解决方案的规划、建设与持续运维服务。帮助客户提高IT基础设施及信息安全管控水平和安全运营能力,使客户在激烈的市场环境中保持竞争力。
我们一直秉承“精兵强将,专业专注”的发展理念。先后在江门、深圳成立分公司,在武汉、长沙成立办事处以及成立广州的服务支撑中心。公司已获得高新技术企业认证、已通过IS09001、IS027001、CCRC信息安全集成服务、CCRC信息安全风险评估、CCRC信息安全应急处理等认证。
原文始发于微信公众号(天唯信息安全):基础办公室安全体系建设-补丁更新系统建设
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论