现在,当我希望我没有必要去修补我的视窗系统的时候,但是系统的漏洞却会成为一种不可避免的灾祸,所以我经常访问视窗升级网站(http://windowsupdate.microsoft.com) 以确保我能及时获得最新的补丁文件,以避免我成为蠕虫病毒的受害者。当然,我操作起来很简单,但事实上,我没有盲目的应用每一个微软公司及时提供的补丁文件。但是让我们暂时假设要在我们的企业中需要迅速而统一地安装大量微软补丁文件,然而这个网络升级的方法只适合较少数量的微软补丁文件的应用。
我想下载大量的系统补丁文件,视窗升级网站却是一个不恰当的升级工具,其中的原因有三个。第一,我的用户并非全部都具有足够的技术能力,从视窗升级网站中获得补丁并且能合理应用它们(或者他们也许是懒于重视那些存在的系统漏洞,当然,我的用户不存在上述的现象,但是我敢和你打赌一定有人是这样的);第二,有些补丁文件并不适合我自己或我的企业??比如,我不需要在.NET 程序框架中安装中文语言补丁,我宁愿我的用户没有看见这个补丁也不愿意他们浪费时间考虑是否要安装;第三,有些十分重要的文件会占用你网络的带宽。例如,前些日子微软公司为IE6发布了一个大约有10兆左右的补丁文件。假设我有1000个用户(很庆幸,我没有那么多用户),他们每个人都去访问视窗升级站点去获取补丁文件;那么他们总计将有约10 G数据下载,从而花费大量昂贵的网络连接费用??从本质上看视窗升级站点部分无意中也会拒绝你的服务‘攻击’。
SUS的基础知识:SUS能做些什么?
在2002年的7月,微软公司提供了一种叫软件升级服务(SUS)的工具。主要作用是你能在公司内部自行建立服务器用于视窗升级,而且能让你配置公司内部的所有系统通过SUS服务器升级系统补丁从而取代了微软自己的视窗升级服务。
通过SUS,你能做到:
* 控制你的用户所能看见的补丁文件
* 用户各自下载并且应用这些补丁文件而互不干涉
* 大大降低internet的网络流量,因为用户是在本地局域网内获取补丁文件??还是刚才的那个例子,你只要从inter网上下载一次IE的补丁,安装在本地的SUS服务器上。然后你的1000个用户都只是通过本地获得补丁文件,而不需要再通过国际互联网下载了。
当然SUS并非全能,虽然价格合理,但是也局限于SUS所能实现的服务。
首先,SUS只能处理些关键的更新。你登录到Windows Update网站,你能看见三种可下载的项目:“关键更新”,是指和操作系统安全有关的补丁,“普通更新”,是指非安全相关的或为系统提供更新版本的补丁,例如最新的XP补丁中增加了对IPv6的支持,最后是“驱动更新”,是指更新硬件的驱动程序。SUS只能提供关键安全更新,不能提供其他两种的更新。
第二,SUS只能为操作系统是windows2000,XP和2003提供补丁升级服务。windows 9.x和Windows NT 4.0则不能通过SUS提供升级服务。同样SUS也不能为Office,SQL Server,Exchange,ISA Server等应用软件提供补丁升级服务。(好消息:微软公司将在SUS2.0版本中增加应用软件的升级服务功能,SUS2.0将会在本年度中期发布)。SUS不针对非微软的操作系统提供升级服务。
第三,当SUS替代Windows Update服务后,它给用户显示的界面不同于Windows Update。正如你所见的,SUS客户端会让下载工作处于后台模式,如果有些补丁需要系统重新启动,则SUS会按照预定的时间重新启动系统,Windows Update也能有类似的工作。但是通过SUS能在一个安装的系统中立刻下载补丁并且安装吗?通过Windows Update,你能做到。登录windows Update网站,然后选择并且下载补丁文件,然后安装,最后重新启动计算机。但是和windows update不同,你不是打开浏览器然后指向某个特定的SUS服务器,然后告诉它你要下载的最新补丁文件,而是SUS客户端是没有交互和可浏览的界面而且也没有提升SUS速度的应用程序。
第四,SUS没有类似为管理员设置一些指定位置然后要求SUS服务器对每一个客户端立即强制升级最新的补丁。你能够设置一些独立的进程,但是却不能设置服务器立即执行。如果使用SUS服务的话,那你就需要足够的耐心。
