作者:戴 冶 郭 欣 张兵兵 任洪琴 作者单位:(大连医科大学现代教育技术部 大连116044)
【摘要】 为了保证校园一卡通网络的安全运行,防止病毒、木马利用Windows系统漏洞进行攻击和传播,网络管理员需要定期为一卡通服务器和客户机安装最新的补丁修复程序。介绍了3种在校园一卡通网络内搭建补丁更新服务器的方法。
【关键词】 校园一卡通网络; 服务器; 补丁; WSUS; SMS
随着计算机技术和网络技术的快速发展,数字化校园已经在我校全面启动,作为"数字化校园"的重要基础实施之一,校园一卡通系统已经涉及到广大师生和工作人员的工作、学习和生活,也为学校提供了消费、管理、门禁、身份认证等各项服务,即校内消费的金融平台,和数字化校园的数据平台,因此其安全性成为网络管理员必须重点考虑的问题。因我校校园一卡通系统从物理上基本与Internet隔离,所以大部分服务器与终端对系统漏洞补丁的更新缺乏及时性,而对于连接外网的WEB服务器也存在安全漏洞的隐患,再加上服务器与终端数量比较多的情况,使网络管理人员疲于应付。因此为了保证校园一卡通网络的安全运行,防止病毒、木马利用Windows系统漏洞进行攻击和传播,及时给一卡通服务器和终端打好系统补丁成为了网络安全管理工作的重要内容。
2 架设系统补丁更新服务器
目前,针对架设内网的系统补丁更新服务器,本研究将简单介绍下面3种方案,供大家探讨。
2.1 应用360安全卫士
首先,在校园一卡通网络中选择一台安装XP的电脑做服务器(该机可接入互联网,以便于及时进行漏洞修复),设其IP地址为192.168.0.25,然后把该电脑安装360安全卫士文件夹下的“360hotfix”文件夹设置为共享(图1)。
然后在360安全卫士的选择“常用”界面里的“修复系统漏洞”,点击绿色带下划线文字“修复漏洞设置”,在弹出的窗口中选择保存补丁安装源文件的目录(图2)。这样,漏洞补丁服务器就设置好了。图1 360安全卫士的文件共享图2 360安全卫士“修复漏洞设置” 然后,在校园一卡通网络内的服务器或者终端机上安装360安全卫士,同样在“修复漏洞设置”中选择“从指定的网络路径下载漏洞补丁”,然后在下面的对话框中输入“\192.168.0.25hotfix”,其他设置都不需要改变,直接点击“保存设置”按钮返回主界面。这样该网络中装有360安全卫士的电脑就可以通过点击“下载并修复系统漏洞按钮”进行漏洞安装了。
这种方法简单,但是也存在几点不足之处:① 选用Win2K及Win2K3系统作服务器,在其进行共享的时,出于安全性考虑要求输入用户名和密码,不利于一般用户操作。② 若服务器上装新版本的360安全卫士而内网中的服务器或终端装的旧版本则会出现补丁无法补全甚至安装补丁出错的问题。
2.2 架设WSUS 服务器
微软提供的WSUS(Microsoft Windows Server Update Services)能从微软的更新网站下载补丁,经管理员审核后,同意发放补丁,用户才可以安装补丁[3]。这样既能降低网络带宽流量,将补丁下载的数据量降为最低;又能让补丁置于管理员的控制之下。本文应用的是WSUS3.0安装程序,具体步骤如下:
2.2.1 WSUS3.0服务器的安装条件
① 服务器应用Windows Server 2003系统,分区格式为NTFS,同时需要已经装好IIS;安装.NET Framework 2.0;启用ASP.NET;安装Background Intelligent Transfer Service(BITS)2.0。② WSUS3.0要求系统分区至少应有1G的剩余空间,WSUS的更新文件需要至少6G空间,WSUS的元文件至少需要2G空间。建议将WSUS数据安装在非系统分区,并且至少准备8G剩余空间。③ WSUS安装时自带了WMSDE数据库,如果需要管理工具,可以应用SQL2005作为WSUS的后台数据库。
2.2.2 安装服务器
首先双击安装程序,会自动弹出安装向导, 单击“下一步”按钮, 选择“包括管理控制台和完整服务器安装”项,见图3。图3 WSUS安装向导然后选择一个剩余空间至少6G的目录作为更新源,选择本地安装数据库的目录,接下来是选择WSUS是利用IIS的默认网站发布补丁还是新建一个网站进行补丁发放。建议如果有可能,尽量选择80端口的默认网站。因为考虑到以后的应用,默认网站兼容性还是要好一些。最后按照提示进行相应的设置即可完成WSUS3.0的安装。
2.2.3 配置WSUS3.0
程序安装完毕,系统会自动跳WSUS配置向导。连续单击“下一步”, 直到选择“上游服务器”处,这里选择“从Microsoft Update”进行同步。如果是通过代理服务器上网的,接下来还需要“指定代理服务器”,然后进入“语言”对话框,选择“中文”;进入“选择产品”对话框,指定需要更新的产品,比如:Windows XP、Windows 2000、Office 2003、SQL 2000等等(图4),选择好后点击“下一步”; 进入“选择分类”对话框,选择更新分类,这里我选择Service pack、安全更新程序、关键更新程序(图5)。
点击“下一步”进入“同步计划”对话框 , 选择“自动同步”并设置同步周期和时间,最后进入“完成”对话框,完成服务器的初始配置向导。进入管理控制台的主界面,我们做完了配置向导后,这里面的大部分选项都无需再进行配置。可设置的选项见图6。这里看一下“自动审批”选项(图7)。选择在“审批规则”选项卡里的“默认的自动审批规则”,这样不需要我们去查看每一个从上游WSUS上同步下载的更新,再逐个审批更新了。 至此, 服务器端WSUS基本上算配置完毕了。在客户端进行一些简单的策略设置即可享受WSUS的好处了。图4 “选择产品”对话框图5 “选择分类”对话框
2.3 利用SMS的ITMU安全更新库存工具
SMS(System Management Server 2003)是微软推出的大型系统管理与软件部署工具,作为网管,借助SMS可以节省因软件安装、系统升级占用的大量时间,因为它可以帮助管理员对于软件的管理与部署更加系统、简易和安全,并且能够生成报表查看控制台的补丁分发情况,远程控制服务器和终端,甚至了解设备的软、硬件的配置情况[1]。
ITMU(Inventory Tool for Microsoft Update)是SMS用于管理系统更新补丁的工具,它的作用是:根据一个微软最新的XML补丁清单包去和客户机进行对比,以决定是否安装新的补丁[2]。
2.3.1 安装SMS+SP3服务器的准备工作
① 安装win2003操作系统;安装IIS;安装并启用“IIS的BITS(后台智能传输协议)” 、“Asp扩展” 、“WebDav” 、并且验证方式是“匿名访问” ;② 内存至少256M,磁盘的空间要足够;③ SQL2000+SP3以上补丁安装。图6 管理控制台的选项设置图7 “自动审批”选项 图8 安装SMS2003时,选择“Install an SMS Primary site”
2.3.2 SMS服务器的安装
放入SMS2003安装光盘,运行安装文件,选择“SMS2003”。单击“Next” ,出现“Setup Option”窗体,选择“Install an SMS Primary site”(图8)。单击“Custom Setup”,同意许可协议,并输入“site code”,进行下一步,勾选“Extend the active directory Schema”,继续下一步,选择“Advanced Security”,这样可以用Local system账号来启动SMS服务。而选择“Standard Security”,SMS服务则需要一个SMS服务账号来启动,且这个账号需要拥有domain admin 权限。(如果SMS服务器不在域控制器上,同时需要扩展AD,则要有AD的更改权限)下一步,输入SMS客户端的数目。SMS将使用这个数据来计算初始数据库的大小。继续下一步,选择安装的组件以及SMS安装路径。下一步,选择SQL数据库的位置以及验证方式,选择自动创建数据库,使用默认数据库名称。再选择数据库文件所放的位置,然后输入可能的SMS console的数目,一般10或20就足够了。
最后SMS将显示所有的配置信息,确认后SMS开始复制文件进行安装。在打SP3补丁之前还要做一次架构扩展。把SMS2003SP3.exe补丁解压出来,在安装盘的SMSSETUPBINI386目录下找到extaddsh.exe双击运行。完成后就要开始打补丁了双击SMS2003SP3.exe,打完补丁SMS服务器界面就变成中文版的了。
2.3.3 安装ITMU
从网上下载ITMU3.0,解压缩后双击安装;安装过程需指定同步主机,即SMS服务器;输入SMS对象名称和测试计算机名称,ITMU会自动为测试计算机创建一个集合,用以测试补丁分发。在分发选项中我们选择将ITMU相应数据包复制到所有的分发点,将ITMU相应数据包播发到包含测试计算机的集合。下一步,ITMU的分发设置,由于客户端必须安装Windows Update代理才能更新补丁。将分发选项中的两个选项都选中,ITMU会在ITMU数据包中创建一个程序,用来在客户机上安装Windows Update代理。点击“下一步”开始ITMU的安装过程。
2.3.4 实现补丁分发
安装完成后,ITMU在SMS管理控制台中增加下列几项(图9):① 创建一些相关的集合,关于Microsoft update;② 创建分发数据包;③ 创建播发对象。图9 ITMU在SMS管理控制台中增加的项目通过播发工具,设置好发放时间,将Windows Update代理发放给集合中的计算机,然后进行软件更新“在Microsoft Updates 工具集合上右键所有任务分发软件更新”,接着会出现分发软件更新向导,根据向导来指定下载的补丁类型、位置制作成数据包,以及数据包在客户端安装前的提示等等。最后设置播发时间,等待计算机安装补丁。如何利用SMS的ITMU安全更新库存工具来实现补丁更新服务器咱们就简单介绍到这儿,我认为如果就单独进行补丁管理来说SMS的功能不如WSUS,建议使用WSUS。但是从软件功能的角度来看,SMS是由多个完成不同任务的功能构成的网络用户管理系统。它将校园一卡通网络中各个独立的用户统领起来,在SMS系统管理员的控制之下,让校园一卡通网络的所有基于Windows的服务器和终端都遵从网络用户管理策略。这就极大地减轻了系统管理员的工作负担,同时又加强了校园一卡通网络运行的安全性和稳定性,可以说是一劳永逸。
3 结束语
补丁的重要性是不言而喻的,主要目的就是为了更好的实现安全性,只有补丁得到及时的更新,才能最大限度地防止病毒、木马利用漏洞在校园一卡通网络的传播,才能最大程度查缺补漏,减少安全隐患。所以架设系统补丁更新服务器显得更为必要。尤其在快速高效的完成操作系统安全更新的同时, 极大地减轻了网络管理员的维护强度, 使得校园一卡通系统安全等级更上一个台阶。
【参考文献】 1 朱青亮, 王沛,编著. 网管自动化操作一条龙.山东电子音像出版社,2005.
2 杜飞. SMS系列之七:利用SMS实现补丁管理[EB/OL]. http://dufei.blog.51cto.com/382644/237905 ,20091202.
3 吴斌. 浅谈在局域网架设微软更新服务器实现windows补丁自动分发.内蒙古科技与经济,2009,16:72~74. |