現(xiàn)在發(fā)現(xiàn)的Windows漏洞越來(lái)越多，特別是一些重大漏洞可能會(huì)造成整個(gè)網(wǎng)絡(luò)癱瘓，雖說(shuō)我們可以使用Windows XP/2000自帶的Windows Updata進(jìn)行在線升級(jí)，但是對(duì)于機(jī)房、公司中大批量的電腦升級(jí)就沒(méi)有那么容易了，特別是在局域網(wǎng)的出帶寬較小或者不方便上網(wǎng)的情況下升級(jí)非常麻煩，令管理員非常頭痛。現(xiàn)在微軟為我們準(zhǔn)備了合適的解決方法，那就是SUS（Software Update Service軟件升級(jí)服務(wù)器）。通過(guò)SUS可以在局域網(wǎng)中建立一個(gè)Windows升級(jí)服務(wù)器，以后局域網(wǎng)中的電腦就可以通過(guò)這個(gè)服務(wù)器來(lái)升級(jí)。提示：目前SUS只能給客戶端提供Windows操作系統(tǒng)和IE瀏覽器的關(guān)鍵更新和操作系統(tǒng)的Service Pack，還不能為Office或者其他微軟軟件提供更新服務(wù)。而且所有的更新活動(dòng)都是通過(guò)Windows后臺(tái)自動(dòng)更新進(jìn)行的，不需要任何人的干預(yù)，非常方便。服務(wù)器端的安裝：對(duì)于服務(wù)器端，推薦配置：主頻不低于700MHz的處理器，512MB以上的內(nèi)存，6GB以上的硬盤(pán)空間；而軟件的要求是：Windows 2000 Server或者Windows Server 2003，IIS5或者IIS 6，IE 5.5以上版本。提示：該配置是按照15000臺(tái)計(jì)算機(jī)提供升級(jí)服務(wù)而推薦的，如果你局域網(wǎng)中的機(jī)器比較少那么服務(wù)器配置可以相應(yīng)降低。在安裝之前服務(wù)器上首先要安裝和配置好IIS，安裝SUS的服務(wù)器端，安裝過(guò)程很簡(jiǎn)單，一切按照默認(rèn)設(shè)置就可以。隨后開(kāi)始對(duì)SUS進(jìn)行設(shè)置，這里有兩種方法，本地設(shè)置或者遠(yuǎn)程設(shè)置。本地設(shè)置的話可以在“控制面板/管理工具”中雙擊“microsoft Software Update Services”；遠(yuǎn)程設(shè)置可以隨便使用一臺(tái)安裝了IE5.5的計(jì)算機(jī)，然后在IE的地址欄中輸入http://IP/susadmin，回車(chē)后需要輸入SUS服務(wù)器所在電腦上具有管理員權(quán)限的用戶賬戶和密碼，然后就可以看到（如圖1）的管理界面。

首先在左側(cè)的列表中點(diǎn)擊“Set Options（操作設(shè)置）”對(duì)服務(wù)器進(jìn)行設(shè)置，這里我們有以下幾點(diǎn)需要注意：Select which server to synchronize content from（選擇服務(wù)同步源），這個(gè)選項(xiàng)可以讓你設(shè)置SUS服務(wù)器更新的源，如果你的網(wǎng)絡(luò)中有多臺(tái)SUS服務(wù)器，那么你可以讓其他服務(wù)器都跟一臺(tái)同步，這樣速度要快很多，但是如果你的網(wǎng)絡(luò)中只有一臺(tái)SUS服務(wù)器，那你就只能設(shè)置“Synchronize directly from the Microsoft Windows Update servers（直接跟微軟的Windows Update 服務(wù)器同步）”了。Select how you want to handle new versions of previously approved updates（選擇你發(fā)布新補(bǔ)丁的方式），這個(gè)選項(xiàng)可以選擇新補(bǔ)丁的發(fā)布方式，如果你覺(jué)得每個(gè)新補(bǔ)丁在發(fā)布到自己的網(wǎng)絡(luò)之前都應(yīng)該經(jīng)過(guò)仔細(xì)測(cè)試，那么可以選擇“Do not automatically approve new versions of approved updates. I will manually approve these updates later（不自動(dòng)發(fā)布，手動(dòng)發(fā)布）”，這樣每當(dāng)同步出一個(gè)新的補(bǔ)丁后這個(gè)補(bǔ)丁還不能立刻被你的客戶端下載到，而是先由你進(jìn)行有效的測(cè)試，當(dāng)你認(rèn)為這個(gè)補(bǔ)丁沒(méi)問(wèn)題后，才可以發(fā)布到網(wǎng)絡(luò)中去。這樣可以防止某些更新會(huì)和局域網(wǎng)使用的軟件沖突。Synchronize installation packages only for these locales（僅僅同步以下語(yǔ)言版本的補(bǔ)丁），這個(gè)選項(xiàng)你尤其要注意，默認(rèn)情況下SUS服務(wù)器會(huì)把微軟那里所有語(yǔ)種的補(bǔ)丁程序都下載回來(lái)，如果網(wǎng)絡(luò)中只有簡(jiǎn)體中文版的系統(tǒng)或者其他語(yǔ)種，那么就沒(méi)必要花費(fèi)額外的時(shí)間來(lái)下載這些你并不需要的語(yǔ)種補(bǔ)丁，能節(jié)省不少硬盤(pán)空間。設(shè)置好后點(diǎn)擊頁(yè)面右下角的“Apply（應(yīng)用）”按鈕，這些設(shè)置就可以生效了。接著從左側(cè)的列表中點(diǎn)擊“Synchronize server（同步服務(wù)器）”鏈接，你能看見(jiàn)（圖2）的界面，在這里可以指定SUS立刻跟其他服務(wù)器保持同步。

另外，這里可以設(shè)定同步計(jì)劃，這樣你可以設(shè)置服務(wù)器在每天晚上進(jìn)行同步工作，因?yàn)檫@時(shí)候網(wǎng)絡(luò)的利用率最低，不會(huì)影響到其他人。點(diǎn)擊“Synchronization Schedule（同步計(jì)劃）”按鈕，這時(shí)會(huì)彈出一個(gè)窗口，在這里你可以設(shè)置同步的時(shí)間、頻率以及重試次數(shù)等。如果點(diǎn)擊“Synchronize Now”按鈕，則會(huì)立刻開(kāi)始同步。第一次同步的過(guò)程會(huì)很漫長(zhǎng)，這取決于網(wǎng)速和下載的補(bǔ)丁的數(shù)量。如果設(shè)置了發(fā)布補(bǔ)丁前進(jìn)行測(cè)試，并且也測(cè)試過(guò)了所有補(bǔ)丁，那么現(xiàn)在要把它們發(fā)布到局域網(wǎng)中去。點(diǎn)擊左側(cè)的“Approve updates（發(fā)布更新）”鏈接，可以看見(jiàn)（圖3）的界面。所有還沒(méi)有被批準(zhǔn)的補(bǔ)丁后面都用紅色的“New”做了標(biāo)記。選中需要批準(zhǔn)的補(bǔ)丁前面的復(fù)選框，然后點(diǎn)擊右下角的“Approve（發(fā)布）”按鈕，就可以完成批準(zhǔn)工作了。

服務(wù)器端的設(shè)置完以后，下面開(kāi)始配置客戶端。SUS對(duì)客戶端有一些要求，首先是操作系統(tǒng)，SUS只支持Windows 2000 SP2及以上版本的操作系統(tǒng)，軟件方面，Windows 2000 SP2和Windows XP首先都需要安裝一個(gè)SUS的客戶端軟件，而Windows 2000 SP3、Windows XP SP1和Windows Server 2003已經(jīng)自帶了客戶端軟件，不需要額外安裝。如果你的網(wǎng)絡(luò)是工作組環(huán)境，那么你需要分別在每臺(tái)電腦上設(shè)置SUS客戶端。運(yùn)行Gpedit.MSC打開(kāi)組策略編輯器，打開(kāi)“計(jì)算機(jī)配置/管理模板”，然后在“管理模板”上點(diǎn)擊鼠標(biāo)右鍵，選擇“添加/刪除模版”，然后在（圖4）的界面上點(diǎn)擊“添加”按鈕，并找到%windir%inf目錄下的wuau.adm文件，雙擊添加。接著繼續(xù)打開(kāi)“Windows組件/Windows Update”（這一項(xiàng)只有在安裝了客戶端軟件并添加后才會(huì)出現(xiàn)），在窗口右側(cè)會(huì)顯示出兩條可用的策略。其中“配置自動(dòng)更新”可以讓你設(shè)置進(jìn)行更新的時(shí)間和處理方法，“指定企業(yè)內(nèi)部互聯(lián)網(wǎng)…”則用來(lái)指定服務(wù)器的位置，你可以以“http://服務(wù)器名稱(chēng)”或者“http://服務(wù)器IP”的方式輸入。

如果你的網(wǎng)絡(luò)中有域控制器且所有計(jì)算機(jī)都加入了域，那就更簡(jiǎn)單了，給需要安裝客戶端的操作系統(tǒng)安裝了客戶端以后，在域控制器上的運(yùn)行中輸入“dsa.msc”并回車(chē)，打開(kāi)Active Directory用戶和計(jì)算機(jī)設(shè)置窗口，在要?jiǎng)?chuàng)建策略的OU或者域上點(diǎn)擊鼠標(biāo)右鍵，選擇“屬性”，然后在屬性窗口中打開(kāi)“組策略”選項(xiàng)卡，并點(diǎn)擊“新建”按鈕，給新建的策略命名（圖5）。選中新建的組策略，點(diǎn)擊“編輯”按鈕，接著會(huì)彈出一個(gè)組策略設(shè)置窗口，這跟我們平常運(yùn)行g(shù)pedit.msc打開(kāi)窗口很類(lèi)似，不過(guò)這里可以為整個(gè)域中的所有計(jì)算機(jī)設(shè)置組策略。

在這個(gè)窗口中依次打開(kāi)“計(jì)算機(jī)配置/管理模板/Windows 組件/Windows Update”，然后通過(guò)設(shè)置這里的策略就可以給所有登錄域的計(jì)算機(jī)設(shè)置SUS客戶端的工作參數(shù)。所有的客戶機(jī)下次重啟動(dòng)就會(huì)應(yīng)用這些設(shè)置?？蛻舳说牟渴鹜瓿闪?，相信經(jīng)過(guò)這樣的部署，你的網(wǎng)絡(luò)中計(jì)算機(jī)打補(bǔ)丁將更方便和迅速，而安全性也能得到很大的提高。