對於Windows用戶端而言,最重要的安全措施是做好Windows Update的管理,因為這才是一切資訊安全的根本,即便Windows 10的系統設計,已是由史以來最嚴密安全的版本,但IT部門仍必須在持續升級與部署的過程中,善用Windows Server 2016內建的Windows Server Update Services(WSUS),確實做好集中控管Windows 10補強更新的資安任務。
檢視與管理Windows 10更新
截至目前為止,官方所提供的Windows 10功能更新為1709(秋季創作者更新),因此接下來在網路中找一部尚未完成此更新的用戶端電腦,來試試看是否能夠順利透過WSUS的更新控管功能,來完成針對特定網域電腦的更新任務。
首先,從「報告」節點頁面中的「電腦詳細狀態報告」來查看選定電腦的詳細狀態報告,然後在翻頁過程中找到了一個尚未核准的更新,它的標題是「Windows 10功能更新,版本1709,zh-tw」,分類則屬於「Upgrades」。目前處於「未核准」狀態,將它設定成「已核准安裝」,其結果顯示將會立即變成「安裝」。
|
▲圖12 Windows 10功能更新中。 |
接著,只要在WSUS群組原則所設定的排定安裝日期與時間到來時,進入到該Windows 10用戶端的「Windows Update」頁面內,便可以如圖12所示查看到正在進行此功能更新的下載與安裝。由於已經透過WSUS伺服器來集中控管此Windows的更新運作,因此在這個頁面中也將看到一列紅字顯示「部分設定是由您的組織隱藏或管理」。
並非所有的Windows更新安裝都需要重新啟動電腦,這方面的資訊都可以在相對更新檔案的描述中查詢,而這個Windows 10的1709功能更新,是需要重新啟動系統後才會生效。至於是否真的有安裝成功,除了在Windows Update頁面的更新記錄中查看之外,也可以在「Windows設定」的「系統」→「關於」頁面內檢視到已出現1709的版本資訊。
如果在群組原則的自動更新設定中,已設定成「允許本機系統管理員選擇設定」,那麼只要在目前受管理的電腦上,是以擁有本機管理員群組的帳號登入,就有權限去自訂更新任務的執行以及相關選項設定的變更。如圖13所示便是開啟「變更使用時間」設定頁面,讓使用者可以根據自己不同的工作時間來進行彈性調整,有效避免在這段期間內因更新而自動重新啟動系統,造成工作上的困擾。
|
▲圖13 變更使用時間。 |
在「重新啟動選項」頁面內,若沒有受到群組原則的限制修改,則可以自訂更新安裝的執行時間,並且能夠決定是否要顯示重新啟動的提示通知。進一步地,在「進階選項」頁面內,同樣地如果沒有受到群組原則的限制修改,也可自行決定是否要在執行Windows系統更新時,一併完成Microsoft其他產品的更新,並且還可以決定是否要使用暫停更新功能,如圖14所示。
|
▲圖14 設定進階選項。 |
自訂Windows 10更新檢視
在WSUS的管理介面中至少有上千個更新選項,為了方便檢視與管理,系統預設提供了所有的更新、重大更新、安全性更新以及WSUS更新。在此建議再特別建立一個最多用戶端使用的Windows更新檢視,或是乾脆為每個版本的Windows皆建立一個獨立的分類檢視。
這裡以建立一個Windows 10的分類檢視來說明,在「更新」節點上按一下滑鼠右鍵,然後點選快速選單中的【新增更新檢視】。接著,如圖15所示在「新增更新檢視」頁面內選取「更新適用特定產品」屬性,然後從眾多產品分類清單內找到並勾選「Windows 10」,最後輸入此分類檢視的名稱,例如「Windows 10更新」。
|
▲圖15 新增更新檢視。 |
在所建立的「Windows 10更新」檢視中,除了可以從每個更新項目內來查看關於它的詳細資訊(包括發布的日期、知識庫文章編號、是否可卸除以及是否需要重新啟動)之外,還能夠從「核准」篩選欄位內選擇未核准、已核准、已拒絕、任何,以及從「狀態」篩選欄位中選擇失敗或需要、已安裝或不適用或沒有狀態、失敗、需要、已安裝或不適用、沒有狀態以及任一。
結語
打從Windows 2000開始,企業不知道經歷了多少次數不盡的Windows重大安全災害,每一次的發生都讓IT人員雞飛狗跳,然而總結事件發生的主因,大多數皆是因為惡意人士針對Windows系統漏洞進行攻擊或散播惡意程式,導致主機可用資源耗盡或是網路頻寬被塞爆,鮮少是由傳統病毒的感染方式與途徑所造成的資安災情。
為此Microsoft才會推出WSUS的解決方案,讓IT單位可以輕易地集中控管從Windows Server到Windows Client的補強更新,而這一項解決方案在推出以來,確實也有效解決了惱人的系統更新管理問題。進一步若想要解決Microsoft以外的軟體更新管理,則可以整合System Center Configuration Manager(SCCM)。
<本文作者:顧武雄, Microsoft MVP 2004-2016、MCITP與MCTS認證專家、台灣微軟Technet、TechDays、Webcast、MVA特約資深顧問講師、VMware vExpert 2016-217、IBM Unified Communications/Notes/Domino/Connections Certified。>