Windows Server Update Services Windows Server 2016 WSUS 資訊安全 伺服器

WSUS群組化集中控管 高效率Win10系統更新

2018-01-15
對於Windows用戶端而言,最重要的安全措施是做好Windows Update的管理,因為這才是一切資訊安全的根本,即便Windows 10的系統設計,已是由史以來最嚴密安全的版本,但IT部門仍必須在持續升級與部署的過程中,善用Windows Server 2016內建的Windows Server Update Services(WSUS),確實做好集中控管Windows 10補強更新的資安任務。

首先決定Windows自動更新的執行方式,開啟「設定自動更新」原則內容,如圖8所示,以下是目前所提供的四種更新方式,可根據目前的目標電腦來套用不同的原則配置:


▲圖8 設定自動更新原則。

‧通知下載和安裝:讓擁有用戶端本機管理者權限的使用者登入網域時,自動在桌面右下角出現通知下載與通知安裝的訊息,此時使用者只要點選該訊息,便可開始進行更新的處理程序。

‧自動下載和通知安裝:設定此選項將使得更新的下載作業自動在背景完成,而安裝的通知則在使用者登入網域後,才會同樣在桌面右下角出現。這個選項較適用在伺服器的更新管理。

‧自動下載和排程安裝:設定此選項將使得用戶端的系統更新下載與安裝完全在背景自動化完成,並且登入的網域使用者帳戶不需要是本機管理者群組的成員之一,這是因為完全沒有設定通知訊息的緣故,因此若想要強制所有用戶端強制執行定期的系統更新,就必須選擇此項目設定,並且指定更新的日期與時間。

‧允許本機系統管理員選擇設定:選取此項目設定,將表示網域管理者允許被套用此原則的用戶端電腦的本機管理者,可以自行透過「控制台」中的「自動更新」選項來自訂排程的系統更新時間,不過他們無法選取關閉自動更新的功能。這個選項較適用在Power User電腦的更新管理。

除了上述四種更新方式的設定,建議一併勾選「安裝適用於其他Microsoft產品的更新」選項,以便讓所有受WSUS控管的Windows電腦也能夠一併完成作業系統以外的Microsoft軟體更新任務。

此外,在Windows 8/8.1、Windows 10以及未來的更新版本中,如果有勾選「在自動維護期間安裝」,它將會讓這些受管理的電腦在未使用中的狀態下安裝更新,而且也會避免正在使用電池電力時安裝更新。

萬一發生了連續兩天以上無法安裝更新時,Windows Update就會立即安裝更新,然後通知使用者即將重新啟動系統,並且只會在不造成意外遺失資料的情形下重新啟動系統。關於這項自動維護的原則設定,可以到「電腦設定」→「系統管理範本」→「Windows元件」→「維護排程器」設定項目來完成。

如圖9所示,接著開啟「指定內部網路Microsoft更新服務的位置」項目,然後分別在「設定內部網路更新服務來偵測更新」與「設定內部網路統計數字伺服器」欄位中,輸入內部網路中WSUS連線的網址與連接埠。


▲圖9 設定內部網路更新位置。

此外,替代下載伺服器會設定Windows Update服務的代理程式,改從指定替代下載伺服器(而非內部網路更新服務)來下載檔案,包括中繼資料內所遺漏的URL檔案,一般情境下是不需特別設定此選項。必須留意的是,Windows RT並不支援此項原則的設定。

此外,還可以開啟「啟用用戶端目標鎖定」原則內容,來指定所有將被套用該群組原則物件(GPO)的電腦所要隸屬於的目標群組,以利於在WSUS介面中的分類管理,建議可以先將這些電腦加以分類到每一個不同組織單位中(OU),最後再加以個別設定與套用,這樣就可以免去許多在WSUS管理介面中手動進行分類的操作。

完成上述群組原則的設定後,若想要讓特定的Windows用戶端立即生效,只要在該用戶端電腦中以系統管理員身分開啟「命令提示字元」,然後下達「gpupdate /force」命令參數即可。

如果是要更新這項原則至所有套用的電腦上,如圖10所示,在相對組織單位容器節點上按一下滑鼠右鍵,待開啟快速選單後,再點選【更新群組原則】即可。


▲圖10 群組原則更新。

再次回到WSUS管理介面,基本上只要有預先配置好目標群組的原則設定,相關的Windows用戶端在原則生效後,便會自動歸類到指定的電腦群組內,而對於沒有被套用目標群組原則的電腦,則可以在「尚未指派的電腦」節點頁面內單選或多選指定的電腦,然後按一下滑鼠右鍵,並點選快速選單中的【變更成員資格】選項來做修改即可。

善用快速安裝檔案功能

由於Windows 10提供了品質更新的機制,讓累積性更新的執行會自動分析與更新相關聯新檔案和用戶端上現有檔案之間的差異,因此往往只需要傳送一小部分的更新內容,因此大幅地減少實際所使用的網路頻寬量。

想要使用這項對於Windows 10更有效率的更新功能,只要在WSUS管理介面的「選項」頁面內,點選開啟「更新檔案和語言」設定頁面,如圖11所示勾選其中「下載快速安裝檔案」選項即可。不過,WSUS主機往後也會因此而犧牲掉較多的磁碟可用空間。


▲圖11 更新檔案選項設定。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!