對於Windows用戶端而言,最重要的安全措施是做好Windows Update的管理,因為這才是一切資訊安全的根本,即便Windows 10的系統設計,已是由史以來最嚴密安全的版本,但IT部門仍必須在持續升級與部署的過程中,善用Windows Server 2016內建的Windows Server Update Services(WSUS),確實做好集中控管Windows 10補強更新的資安任務。
隨著駭客攻擊手法與惡意程式日新月異,即便Windows 10系統的核心設計已是Windows有史以來最嚴謹與最安全的版本,而更新程式的發布頻率也相當頻繁,但企業用戶端並不一定會隨時進行更新,這包括行動用戶端以及受Internet連線管制的用戶端,因此就可能形成資安管理上的一大缺口,一旦某台Windows 10用戶端電腦因系統漏洞問題遭受惡意程式感染,將可能在短時間內爆發群聚感染。
為了避免上述的重大資安事件發生,唯一的根本做法就是要比駭客的入侵與攻擊手法早一步,也就是在Windows 10的系統,甚至於所安裝的Microsoft相關產品(例如Office)被發現有安全漏洞時,能夠在惡意程式入侵系統之前,就已經完成安全漏洞的補強與更新。
既然Windows的系統安全是屬於資安控管的一部分,那麼就不能交由用戶端使用者來自由管理,而是必須交給IT部門進行完全或是局部管制。
其中最簡單與最直接的解決方案,就是建置WSUS(Windows Server Update Services)伺服器結合群組原則(Group Policy),讓不同屬性的Windows用戶端與伺服器,能夠透過組織單位容器的分類,有效率地配置不同管理需求的補強更新原則。
目前最佳的WSUS伺服器版本已內建於Windows Server 2016,它可以完全相容最新Windows 10作業系統的集中更新管理,因此若打算準備的Windows Server是較舊的版本,建議最好先行升級作業系統。另外,若想在Windows Server 2012或Windows Server 2012 R2的WSUS伺服器上集中控管Windows 10的補強更新,還必須在其伺服器上加裝KB3095113與KB3159706兩個修補程式。
接下來,就來實際動手建置與管理最新WSUS伺服器,並且透過它來集中控管企業Windows 10用戶端的補強更新。
安裝及設定伺服器
後續若想要有效率地管理WSUS與受管理的Windows伺服器或用戶端,最佳的做法就是讓這些Windows主機通通加入至相同的Active Directory內。當然,如果有少數幾部電腦因特殊需求而無法加入網域,實際上也可以採取個別設定的方式來連接WSUS服務,但這畢竟不是建議的選項。
在確定已將目前準備成為WSUS的Windows Server 2016伺服器加入Active Directory後,開啟「伺服器管理員」介面,在「管理」下拉選單中點選【新增角色及功能】。
接著,在「選取安裝類型」頁面內選取「角色型或功能型安裝」設定並按下〔下一步〕按鈕。然後,在「選取目的地伺服器」頁面內選取即將安裝WSUS伺服器角色的主機。
值得注意的是,也可以選擇將WSUS伺服器角色安裝在目前處於離線狀態下的Windows Server 2016虛擬機器內,只要在此設定好相對應的Hyper-V虛擬硬碟檔案即可。
如圖1所示,在「選取伺服器角色」頁面內勾選「Windows Server Update Services」項目。接著可能會出現需要一併安裝的相依功能清單,按一下〔新增功能〕按鈕即可。按下〔下一步〕來到「選取功能」頁面內,在此就會顯示目前已經自動勾選的必要項目。
|
▲圖1 選取伺服器角色。 |
未來若希望透過其他的Windows Server 2016或Windows 10電腦來直接連線管理此WSUS服務,只要在這些電腦上加裝必要的「遠端伺服器管理工具」即可,而必須注意的是Windows 10專用的版本,必須特別到以下的Microsoft官方網站下載:
‧Windows 10的遠端伺服器管理工具下載網址:https://www.microsoft.com/zh-TW/download/details.aspx?id=45520
接著來到WSUS「選取角色服務」頁面內,如圖2所示,一般只會選擇安裝「WID Connectivity」和「WSUS服務」,如果希望可以讓WSUS服務連接使用網域內的現行SQL Server服務,以便建立專屬的資料庫,則勾選「SQL Server Connectivity」選項並建立連線設定,否則將會直接安裝一個Windows內部的資料庫服務。再按一下〔下一步〕按鈕,繼續後面的設定。
|
▲圖2 選取角色服務。 |