正版驗證促進企業(yè)做好補丁管理策略

申請免費試用、咨詢電話：400-8352-114

最近，一個讓所有網(wǎng)絡(luò)管理員震驚的消息公布了。微軟于10月20日在中國投放新一輪的正版增至計劃，如果微軟的XP操作系統(tǒng)沒有通過微軟正版驗證的話，則用戶開機進入操作系統(tǒng)后，桌面的背景將變?yōu)楹谏?。雖然用戶可以重新設(shè)置背景，但是，每隔一個小時背景就會變?yōu)榧兒谏＿@雖然不影響正常的工作，但是至少會給員工的心情帶來不良的影響。另外，當(dāng)用戶登錄的時候還會出現(xiàn)“中斷”對話框，并在屏幕右下方出現(xiàn)一個永久通知和持續(xù)提醒的對話框，顯示“您可能是軟件盜版的受害者”。另外，如果Office辦公軟件用戶沒有通過正版驗證的話，則在驗證失敗后1-14天內(nèi)，將會有彈出式對話框提醒用戶所使用的軟件不是正版;每隔兩個小時就會有這么一次提醒。另外，若十五天后，用戶還沒有采取行動的話，則在Office文件中講會被加入視覺提醒標(biāo)記。如此的話，肯定會給用戶的正常辦公帶來很大的負面影響。

另外，據(jù)傳這次的正版驗證，不適用安裝向?qū)?。操作系統(tǒng)會通過自動更新更具不知不覺中給用戶裝上這個正版驗證工具。其實現(xiàn)在微軟正版軟件在企業(yè)中的普及率，大家都心中有數(shù)。據(jù)我所知，有些企業(yè)即使買了微軟的正版操作系統(tǒng)與Office辦公軟件，但是，實際用的話，仍然是利用盜版的軟件。因為正版的操作系統(tǒng)與Office軟件安裝起來太麻煩。但是，現(xiàn)在微軟出了這一個狠招，作為網(wǎng)絡(luò)管理員該如何應(yīng)對呢?

其他網(wǎng)絡(luò)管理員采取什么樣的措施，我不敢保證。至少筆者已經(jīng)不放心用戶自己從網(wǎng)絡(luò)上下載補丁，升級操作系統(tǒng)。其實，筆者在一年以前，已經(jīng)在考慮這方面的內(nèi)容。并不是說筆者有先見之明，遇見了微軟會出這一招。而是因為自動打補丁已經(jīng)給用戶帶來了不少的麻煩。如有些補丁打上之后，系統(tǒng)的性能明顯下降。原來補丁跟操作系統(tǒng)上裝有的軟件有沖突，等等?，F(xiàn)在微軟有推出了正版驗證策略，更加促使我們要做好微軟的補丁與自動更新管理。

為此，筆者在企業(yè)網(wǎng)絡(luò)中做了如下的調(diào)整。

一、 關(guān)閉所有客戶端的自動更新功能。

微軟的補丁，包括現(xiàn)在的正版驗證工具，基本上都是通過客戶端操作系統(tǒng)上的“UPDATE”自動更新功能從網(wǎng)上下載并安裝的。所以，若要對補丁進行集中管理的話，首先需要做的就是禁止操作系統(tǒng)自動從網(wǎng)絡(luò)上下載相關(guān)的補丁。

要實現(xiàn)這個目的，我們可以通過防火墻等手段，限制操作系統(tǒng)連接到微軟的服務(wù)器下載補丁。而只允許某些特定的IP地址，如補丁服務(wù)器，才能夠連接到微軟的網(wǎng)站下載補丁。筆者現(xiàn)在就是通過防火墻的IP地址過濾策略與訪問控制列表策略，限制了客戶端連接到微軟的網(wǎng)站。

不過筆者為了確保安全，還在客戶端上禁用了操作系統(tǒng)自帶的UPDATE功能，從根源上限制客戶端操作系統(tǒng)從網(wǎng)絡(luò)上私自下載相關(guān)的補丁。因為企業(yè)中大部分的用戶根本不能夠區(qū)分哪些補丁是有用的。而且，有些補丁，如這個正版驗證補丁，會在不知不覺中通過網(wǎng)絡(luò)下載到客戶端電腦，并且自動安裝。這無疑不是我們網(wǎng)絡(luò)管理員所希望看到的。

所以，為了做好系統(tǒng)補丁的統(tǒng)一管理，現(xiàn)在要做的第一步就是禁止所有的客戶端從網(wǎng)上下載補丁。我們可以通過防火墻或者直接從客戶端禁用掉這個功能。為了保險起見，網(wǎng)絡(luò)管理員可以雙管齊下，在防火墻與客戶端上都進行相關(guān)的配置。

二、 在網(wǎng)絡(luò)中部署獨立的服務(wù)器，通過服務(wù)器對客戶端進行補丁管理。

但是，若不讓客戶端打補丁的話，則會大大降低客戶端主機的安全性。所以，我們網(wǎng)絡(luò)管理員也不能因噎廢食，一幫子打死，拒絕所有的微軟補丁。我們網(wǎng)絡(luò)管理員希望客戶端能夠有選擇的安裝有用的補丁。但是，因為普通用戶沒有這個專業(yè)能力進行判斷，所以，只有網(wǎng)絡(luò)管理員幫他們完成這項任務(wù)。網(wǎng)絡(luò)管理員可以在企業(yè)網(wǎng)絡(luò)中部署一個補丁服務(wù)器，讓客戶端從這個企業(yè)自己的服務(wù)器中下載相關(guān)的補丁，而不是從微軟的網(wǎng)站上進行下載。如此的話，有網(wǎng)絡(luò)管理員來做這個甄別的動作，就可以有選擇的給客戶端安裝相關(guān)的補丁。

現(xiàn)在微軟自己推出了一款補丁管理軟件。這是一個補丁管理平臺，通過企業(yè)局域網(wǎng)內(nèi)的一臺服務(wù)器，統(tǒng)一管理其他客戶端的操作系統(tǒng)補丁。通過服務(wù)器對客戶端進行補丁管理，有如下的優(yōu)點。

一是強制給客戶打補丁。若讓客戶主動去打補丁的話，說實話，有點不現(xiàn)實。即使操作系統(tǒng)提示需要打補丁，否則的話，有被攻擊的危險。用戶仍然不會引起重視。所以，通過補丁管理服務(wù)器，強制給客戶端安裝必要的補丁，是保障局域網(wǎng)運行穩(wěn)定與操作系統(tǒng)安全的一個必要的措施。

二是可以有選擇的安裝補丁。若有客戶端自己從網(wǎng)上下載補丁進行安裝的話，則會一古腦的進行全部安裝。但是，我都知道，微軟的操作系統(tǒng)補丁，有時會跟一些應(yīng)用軟件產(chǎn)生沖突，導(dǎo)致系統(tǒng)不穩(wěn)定或者性能下降，甚至系統(tǒng)崩潰。這種好心做壞事的情況，還是時有發(fā)生的。故為了避免類似的情況發(fā)生，網(wǎng)絡(luò)管理員需要先對補丁進行甄別。除非情況緊急，否則的話，一定要經(jīng)過嚴(yán)格的測試才能夠把補丁發(fā)放出去。當(dāng)然，類似微軟正版驗證的補丁還是不要放出去的為好。不然的話，網(wǎng)絡(luò)管理員是自尋麻煩。

三是可以有效地減少網(wǎng)絡(luò)帶寬的占用。若各個客戶端自己從網(wǎng)絡(luò)上下載補丁的話，無疑會占用比較多的網(wǎng)絡(luò)帶寬，從而降低企業(yè)互聯(lián)網(wǎng)訪問的性能。相反，現(xiàn)在只需要補丁服務(wù)器一臺電腦從網(wǎng)絡(luò)上下載補丁，然后其他客戶端通過企業(yè)局域網(wǎng)從補丁服務(wù)器進行下載。這種方式，客戶端下載的速度不但快，因為其是通過局域網(wǎng)下載;而且還不大會影響網(wǎng)絡(luò)性能?？芍^是一舉兩得。

所以，通過補丁服務(wù)器來管理客戶端操作系統(tǒng)與辦公軟件的補丁，是網(wǎng)絡(luò)管理員比較明智的選擇?，F(xiàn)在微軟推出了正版策略這個狠招，迫使我們網(wǎng)絡(luò)管理員要盡快部署這個補丁管理服務(wù)器。不然的話，以后網(wǎng)絡(luò)管理員的麻煩事可會不少。

三、 在推廣新的補丁之前，要經(jīng)過嚴(yán)格的測試。

我們至所以要采取補丁服務(wù)器，其中有一個主要的目的就是對補丁進行過濾。把一些對企業(yè)不利的補丁過濾掉，而只安裝一些對網(wǎng)絡(luò)安全與操作系統(tǒng)穩(wěn)定有利的補丁。說實話，現(xiàn)在主要就是把兩類補丁過濾掉。一是跟企業(yè)現(xiàn)有軟件有沖突的補丁，二就是所謂的微軟正版驗證補丁。

為此，企業(yè)在通過補丁管理服務(wù)器發(fā)布新的補丁之前，需要進行嚴(yán)格的測試，然后才能夠大規(guī)模的發(fā)布。筆者現(xiàn)在在補丁發(fā)布之前，需要通過兩道關(guān)卡。

一是需要在專門的主機上進行測試。筆者在企業(yè)中有一臺專門用來測試補丁的客戶端。有新的補丁下來，需要先在這臺客戶端上進行測試。因為這臺客戶端上裝有企業(yè)中在使用的大部分軟件。若在這臺客戶端上測試沒有不良影響外，才能夠進入下一個關(guān)卡。若裝了補丁后，有負面作用，如導(dǎo)致系統(tǒng)性能下降等情況，則可能這個補丁就被過濾掉了。

二是在專門的測試客戶端上通過之后，筆者就會在小范圍上進行測試。通過補丁服務(wù)器，可以根據(jù)IP地址或者MAC地址來確定需要打補丁的客戶端。筆者在這個階段，是各部門一臺主機。也就算說，每個部門抽取一臺主機先進性安裝，若一天后這些主機運行正常的話，再給所有的客戶端打上新補丁。

除非遇到特別緊急的補丁，否則的話，所有的補丁都需要經(jīng)過這個程序。如此的話，就可以保證補丁不會對現(xiàn)有的網(wǎng)絡(luò)環(huán)境以及操作系統(tǒng)產(chǎn)生太大的影響。（IT專家網(wǎng)）