對於Windows用戶端而言,最重要的安全措施是做好Windows Update的管理,因為這才是一切資訊安全的根本,即便Windows 10的系統設計,已是由史以來最嚴密安全的版本,但IT部門仍必須在持續升級與部署的過程中,善用Windows Server 2016內建的Windows Server Update Services(WSUS),確實做好集中控管Windows 10補強更新的資安任務。
在「內容位置選取」頁面內,輸入一個準備用來儲存更新檔案的本機磁碟路徑,指定的磁碟路徑必須至少有6GB以上的可用空間。若想節省磁碟空間,也可以將此設定選項取消勾選,如此一來這些更新檔就會在確定進行更新安裝時,直接連線到Microsoft Update網站進行下載,但這種做法的缺點是部署大量更新至用戶端時的速度會變慢許多,且會占用掉許多WAN連接Internet的網路頻寬。
接下來,只要連續按下〔下一步〕按鈕直到「確認」頁面後,再按下〔安裝〕按鈕即可。在成功完成WSUS服務安裝的顯示頁面內,系統會提醒必須再進一步完成相關的安裝設定工作,才能讓WSUS伺服器服務的運作正常。可以在此立即點選「啟動後續安裝工作」連結,或是稍後再自行開啟WSUS管理工具來完成初始化配置任務。
WSUS服務有自己專屬的管理工具,在「系統管理工具」中可以找得到。但如果是在「伺服器管理員」介面內,則在WSUS的管理節點之下,針對網域中的任一部WSUS伺服器按一下滑鼠右鍵,待開啟快速選單後,選擇使用「Windows Server Update Services」管理工具來連線開啟它,或是從「工具」選單內開啟。
此外,也可以從這個頁面中檢視每一部WSUS伺服器的事件與服務狀態,例如當WSUS伺服器無法正常運作時,第一時間就去檢視WSUS的服務是否處於啟動狀態,甚至可以針對它們進行最佳化的診斷測試與報告。更理想的做法,則是當網域內有部署多部的WSUS伺服器時,能夠善用建立伺服器群組的方式,來做好WSUS伺服器的集中監視與管理。
WSUS初始化設置
初次開啟「Windows Server Update Services」管理工具,或是在安裝結果頁面內點選「啟動後續安裝工作」連結時,將會開啟組態精靈設定頁面,以協助先完成幾項正式運作時的必要設定。
首先在「選擇上游伺服器」頁面內,如果此WSUS主機是網域內的第一部更新伺服器,就選擇預設的「從Microsoft Update同步處理」。若是第二部以後的WSUS主機,則必須設定所要連線的第一部WSUS主機位址與連接埠號碼,後者的部署方式非常適用在跨地理位置的分支網域。
請注意!萬一在WSUS管理工具首次的執行時取消組態精靈功能,則在下一回再次開啟WSUS管理工具時便不會自動執行此組態精靈,此時只要從WSUS管理工具介面中的「選項」頁面,點選執行「WSUS伺服器組態精靈」即可。
接著,如果公司對外的Internet連線,已經強制主機必須經由指定的Proxy Server才能連線(例如TMG Server),無論該Proxy Server是Windows還是Linux產品,都必須在「指定Proxy伺服器」頁面內完成設定。然後,就可以執行「開始連線」作業,以便下載目前最新可用的更新類型、產品以及語言。
待成功完成連線後,將來到「選擇語言」頁面,在此唯一勾選所需要的語言即可,也就是在公司網路中的所有Microsoft產品,包括Windows、Office、SQL Server等等所使用到的版本語言有哪些,若是選取所有語言,在未來進行更新核准後,可能會讓本機儲存的更新檔案暴增。設定完畢,按下〔下一步〕按鈕。但請注意語言設定的變更,若是未來有建置WSUS的下游伺服器時,所有下游的WSUS伺服器都會自動同步變更。
同樣地,在「選擇產品」頁面內,建議盡量僅勾選目前公司網路中所使用到的產品,例如可以唯一勾選「Windows」大分類,如圖3所示。
|
▲圖3 選擇產品。 |
按下〔下一步〕按鈕,切換至「選擇分類」頁面內,如圖4所示最理想的做法就是直接勾選「所有分類」,因為它將會包括未來所有可能加入的新分類,其中最重要的就是「安全性更新」與「重大更新」,其次則是「Service Pack」與「Upgrades」,前者是包含Windows 7、Windows XP等舊版作業系統常用的更新套件,後者則是Windows 10版本開始專用的更新套件。最後按下〔下一步〕,進入下一個設定畫面。
|
▲圖4 選擇分類。 |
在「設定同步處理排程」頁面內,可以設定這部WSUS伺服器與Microsoft Update的同步方式。若設定成「自動同步處理」,即可進一步設定第一次同步處理的時間以及每天同步的次數。必須注意的是所設定的同步處理時間與實際的同步時間,將會有30分鐘的隨機差距。
最後來到「完成」頁面內,決定是否要在按下〔完成〕按鈕後,立即進行初始同步處理。至於同步的時間長短,除了現行的網際網路連線速度外,取決於在前面步驟中所勾選的產品數目、更新分類以及語言。
對於WSUS服務與Microsoft Update網站的更新同步進度,除了在如圖5所示的「同步處理」節點頁面中即時查看之外,也可以到伺服器名稱的節點頁面內查看,在未同步的狀態下將會顯示為「閒置」。值得注意的是,在同步的過程中仍然可以隨時點選「停止同步處理」。
|
▲圖5 檢視同步處理狀態。 |