Windows Server Update Services Windows Server 2016 WSUS 資訊安全 伺服器

WSUS群組化集中控管 高效率Win10系統更新

2018-01-15
對於Windows用戶端而言,最重要的安全措施是做好Windows Update的管理,因為這才是一切資訊安全的根本,即便Windows 10的系統設計,已是由史以來最嚴密安全的版本,但IT部門仍必須在持續升級與部署的過程中,善用Windows Server 2016內建的Windows Server Update Services(WSUS),確實做好集中控管Windows 10補強更新的資安任務。

防火牆配置注意事項

完成WSUS伺服器的建置後,IT人員可千萬別為了連線管理上的方便,而將本機的Windows防火牆功能關閉,因為它的安全可比任何伺服器還要來得重要,一旦受到惡意攻擊,將會影響到所有用戶端與伺服器的安全。

如圖6所示,在預設的狀態下,系統已經啟用了WSUS相關連接埠,因此無須擔心用戶端或其他伺服器會因為本機防火牆的因素,而導致無法連線進行更新作業。

此外,務必在WSUS主機上也加裝最新版本的防毒軟體,並且設定讓病毒碼和掃毒引擎隨時保持在最新狀態,當然也可以僅使用內建於Windows Server 2016的Windows Defender。


▲圖6 檢視WSUS本機防火牆設定。

在Windows Server 2008/R2時期的WSUS服務,預設使用的連接埠號碼為TCP 80,加密連接埠是TCP 443,在Windows Server 2012/R2以及Windows Server 2016中的WSUS服務,預設使用的連接埠號碼則是8530,而加密連接埠為8531。

建立組織單位管理電腦分類

做好全公司電腦集中補強更新管理的前提,就是先做好Active Directory的基礎管理,其中善用組織單位容器的建立,來分類管理好電腦及人員帳號,更是管理者必要的例行性維護工作。如此一來,不僅有利於大量人員帳戶的管理,往後更可以透過群組原則(Group Policy),輕鬆地做好各種人員與電腦存取功能的控管。

首先,從「系統管理工具」或「伺服器管理員」介面的「工具」選單中,來開啟「Active Directory使用者和電腦」管理介面。隨後,在網域節點上按一下滑鼠右鍵,開啟快速選單後點選【新增】→【組織單位】來新增自訂的組織單位容器。其中名稱可以輸入中文,並建議勾選「保護容器以防止意外刪除」選項。

陸續完成多個自訂的組織單位容器建立後,就可以開始動手將原本可能置放在Users或Computers預設容器中的電腦、人員帳戶,分別拖曳至相對正確的自訂組織單位容器內。過程中可能會出現移動的警示訊息,按下〔是〕按鈕來確認移動操作即可。

WSUS電腦分類管理

電腦群組的建立是WSUS部署時重要的環節之一,因為透過建立目標群組的方式,可以在進行更新之前,預先分配好各群組中的電腦有哪些,而在預設的目標群組中,已經存在的有「所有電腦(All Computers)」和「尚未指派的電腦(Unassigned Computers)」,而這些電腦分配的時機,預設則是由用戶端初始化連線到WSUS主機時決定。

除了系統內建的兩個電腦群組外,管理者也可自行安排新的電腦群組來加入,而建立電腦群組的優點之一,就是能夠讓管理者在正式進行全面部署到所有電腦的目標群組之前,先完成測試性的部署更新安裝,至於自訂電腦群組建立的數量,則沒有限制。

必須決定如何將目前網路中的電腦一一加入指定的目標群組內,這裡提供兩種方式以供選擇,分別為由伺服端挑選(Server-side Targeting)以及由用戶端挑選(Client-side Targeting),前者只須在WSUS的管理介面內手動將指定的電腦加入到指定的電腦群組中即可,而後者則必須透過群組原則的設定或手動修改用戶端登錄檔(Registry)的方式,來讓用戶端自動加入到指定的電腦群組。

若是由伺服端挑選的加入方式,可以在「所有電腦」節點上按一下滑鼠右鍵,待開啟快速選單後點選【新增電腦群組】,或是從「動作」窗格內來執行此功能。

在新增電腦群組的設定頁面中,只要輸入新電腦群組名稱即可。至於命名方式不妨設定與Active Directory的組織容器名稱對應,有些IT單位習慣使用部門課室名稱及地點來分類,有些則習慣根據作業系統的類型做分類。

當完成電腦分類群組的建立,後續完成群組原則的配置時,就可以手動將位於「尚未指派的電腦」分類中的電腦拖曳至自訂的電腦分類群組內,並且針對不同的電腦分類群組。如圖7所示,按一下滑鼠右鍵來開啟快速選單,然後自訂群組顯示方式,例如選擇依據「作業系統」來自動分類電腦清單的顯示。


▲圖7 選擇群組顯示方式。

WSUS群組原則管理

一旦完成所有電腦群組的建立後,接下來就可以開始建立群組原則,讓Active Directory中所有的電腦或是特定組織單位的電腦,遵循IT單位所制定的原則,自動完成Windows和Microsoft相關產品的更新作業。

從「伺服器管理員」介面的「工具」下拉選單中開啟「群組原則管理」工具,接著針對所要套用WSUS更新管理原則的組織單位按一下滑鼠右鍵,待開啟快速選單後點選【在這個網域中建立GPO並連結到】。

隨後,在「新增GPO」頁面內輸入一個新原則的名稱,建議直接輸入一個有意義的中文名稱,然後按下〔確定〕按鈕。群組原則物件(GPO)建立完成後,緊接著在該原則物件上方按一下滑鼠右鍵,並點選快速選單中的【編輯】。


接下來,點選展開至「電腦設定」→「系統管理範本」→「Windows元件」項目,然後點選「Windows Update」。在此將會看到一大串有關於Windows集中更新控管的原則清單。不過,並非每一個原則項目都是需要設定的,只要完成一些必要或適用於現行環境的原則設即可。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!