正版驗(yàn)證促進(jìn)企業(yè)做好補(bǔ)丁管理策略

申請免費(fèi)試用、咨詢電話：400-8352-114

最近，一個(gè)讓所有網(wǎng)絡(luò)管理員震驚的消息公布了。微軟于10月20日在中國投放新一輪的正版增至計(jì)劃，如果微軟的XP操作系統(tǒng)沒有通過微軟正版驗(yàn)證的話，則用戶開機(jī)進(jìn)入操作系統(tǒng)后，桌面的背景將變?yōu)楹谏?。雖然用戶可以重新設(shè)置背景，但是，每隔一個(gè)小時(shí)背景就會(huì)變?yōu)榧兒谏?。這雖然不影響正常的工作，但是至少會(huì)給員工的心情帶來不良的影響。另外，當(dāng)用戶登錄的時(shí)候還會(huì)出現(xiàn)“中斷”對話框，并在屏幕右下方出現(xiàn)一個(gè)永久通知和持續(xù)提醒的對話框，顯示“您可能是軟件盜版的受害者”。另外，如果Office辦公軟件用戶沒有通過正版驗(yàn)證的話，則在驗(yàn)證失敗后1-14天內(nèi)，將會(huì)有彈出式對話框提醒用戶所使用的軟件不是正版;每隔兩個(gè)小時(shí)就會(huì)有這么一次提醒。另外，若十五天后，用戶還沒有采取行動(dòng)的話，則在Office文件中講會(huì)被加入視覺提醒標(biāo)記。如此的話，肯定會(huì)給用戶的正常辦公帶來很大的負(fù)面影響。

另外，據(jù)傳這次的正版驗(yàn)證，不適用安裝向?qū)?。操作系統(tǒng)會(huì)通過自動(dòng)更新更具不知不覺中給用戶裝上這個(gè)正版驗(yàn)證工具。其實(shí)現(xiàn)在微軟正版軟件在企業(yè)中的普及率，大家都心中有數(shù)。據(jù)我所知，有些企業(yè)即使買了微軟的正版操作系統(tǒng)與Office辦公軟件，但是，實(shí)際用的話，仍然是利用盜版的軟件。因?yàn)檎娴牟僮飨到y(tǒng)與Office軟件安裝起來太麻煩。但是，現(xiàn)在微軟出了這一個(gè)狠招，作為網(wǎng)絡(luò)管理員該如何應(yīng)對呢?

其他網(wǎng)絡(luò)管理員采取什么樣的措施，我不敢保證。至少筆者已經(jīng)不放心用戶自己從網(wǎng)絡(luò)上下載補(bǔ)丁，升級(jí)操作系統(tǒng)。其實(shí)，筆者在一年以前，已經(jīng)在考慮這方面的內(nèi)容。并不是說筆者有先見之明，遇見了微軟會(huì)出這一招。而是因?yàn)樽詣?dòng)打補(bǔ)丁已經(jīng)給用戶帶來了不少的麻煩。如有些補(bǔ)丁打上之后，系統(tǒng)的性能明顯下降。原來補(bǔ)丁跟操作系統(tǒng)上裝有的軟件有沖突，等等。現(xiàn)在微軟有推出了正版驗(yàn)證策略，更加促使我們要做好微軟的補(bǔ)丁與自動(dòng)更新管理。

為此，筆者在企業(yè)網(wǎng)絡(luò)中做了如下的調(diào)整。

一、 關(guān)閉所有客戶端的自動(dòng)更新功能。

微軟的補(bǔ)丁，包括現(xiàn)在的正版驗(yàn)證工具，基本上都是通過客戶端操作系統(tǒng)上的“UPDATE”自動(dòng)更新功能從網(wǎng)上下載并安裝的。所以，若要對補(bǔ)丁進(jìn)行集中管理的話，首先需要做的就是禁止操作系統(tǒng)自動(dòng)從網(wǎng)絡(luò)上下載相關(guān)的補(bǔ)丁。

要實(shí)現(xiàn)這個(gè)目的，我們可以通過防火墻等手段，限制操作系統(tǒng)連接到微軟的服務(wù)器下載補(bǔ)丁。而只允許某些特定的IP地址，如補(bǔ)丁服務(wù)器，才能夠連接到微軟的網(wǎng)站下載補(bǔ)丁。筆者現(xiàn)在就是通過防火墻的IP地址過濾策略與訪問控制列表策略，限制了客戶端連接到微軟的網(wǎng)站。

不過筆者為了確保安全，還在客戶端上禁用了操作系統(tǒng)自帶的UPDATE功能，從根源上限制客戶端操作系統(tǒng)從網(wǎng)絡(luò)上私自下載相關(guān)的補(bǔ)丁。因?yàn)槠髽I(yè)中大部分的用戶根本不能夠區(qū)分哪些補(bǔ)丁是有用的。而且，有些補(bǔ)丁，如這個(gè)正版驗(yàn)證補(bǔ)丁，會(huì)在不知不覺中通過網(wǎng)絡(luò)下載到客戶端電腦，并且自動(dòng)安裝。這無疑不是我們網(wǎng)絡(luò)管理員所希望看到的。

所以，為了做好系統(tǒng)補(bǔ)丁的統(tǒng)一管理，現(xiàn)在要做的第一步就是禁止所有的客戶端從網(wǎng)上下載補(bǔ)丁。我們可以通過防火墻或者直接從客戶端禁用掉這個(gè)功能。為了保險(xiǎn)起見，網(wǎng)絡(luò)管理員可以雙管齊下，在防火墻與客戶端上都進(jìn)行相關(guān)的配置。

二、 在網(wǎng)絡(luò)中部署獨(dú)立的服務(wù)器，通過服務(wù)器對客戶端進(jìn)行補(bǔ)丁管理。

但是，若不讓客戶端打補(bǔ)丁的話，則會(huì)大大降低客戶端主機(jī)的安全性。所以，我們網(wǎng)絡(luò)管理員也不能因噎廢食，一幫子打死，拒絕所有的微軟補(bǔ)丁。我們網(wǎng)絡(luò)管理員希望客戶端能夠有選擇的安裝有用的補(bǔ)丁。但是，因?yàn)槠胀ㄓ脩魶]有這個(gè)專業(yè)能力進(jìn)行判斷，所以，只有網(wǎng)絡(luò)管理員幫他們完成這項(xiàng)任務(wù)。網(wǎng)絡(luò)管理員可以在企業(yè)網(wǎng)絡(luò)中部署一個(gè)補(bǔ)丁服務(wù)器，讓客戶端從這個(gè)企業(yè)自己的服務(wù)器中下載相關(guān)的補(bǔ)丁，而不是從微軟的網(wǎng)站上進(jìn)行下載。如此的話，有網(wǎng)絡(luò)管理員來做這個(gè)甄別的動(dòng)作，就可以有選擇的給客戶端安裝相關(guān)的補(bǔ)丁。

現(xiàn)在微軟自己推出了一款補(bǔ)丁管理軟件。這是一個(gè)補(bǔ)丁管理平臺(tái)，通過企業(yè)局域網(wǎng)內(nèi)的一臺(tái)服務(wù)器，統(tǒng)一管理其他客戶端的操作系統(tǒng)補(bǔ)丁。通過服務(wù)器對客戶端進(jìn)行補(bǔ)丁管理，有如下的優(yōu)點(diǎn)。

一是強(qiáng)制給客戶打補(bǔ)丁。若讓客戶主動(dòng)去打補(bǔ)丁的話，說實(shí)話，有點(diǎn)不現(xiàn)實(shí)。即使操作系統(tǒng)提示需要打補(bǔ)丁，否則的話，有被攻擊的危險(xiǎn)。用戶仍然不會(huì)引起重視。所以，通過補(bǔ)丁管理服務(wù)器，強(qiáng)制給客戶端安裝必要的補(bǔ)丁，是保障局域網(wǎng)運(yùn)行穩(wěn)定與操作系統(tǒng)安全的一個(gè)必要的措施。

二是可以有選擇的安裝補(bǔ)丁。若有客戶端自己從網(wǎng)上下載補(bǔ)丁進(jìn)行安裝的話，則會(huì)一古腦的進(jìn)行全部安裝。但是，我都知道，微軟的操作系統(tǒng)補(bǔ)丁，有時(shí)會(huì)跟一些應(yīng)用軟件產(chǎn)生沖突，導(dǎo)致系統(tǒng)不穩(wěn)定或者性能下降，甚至系統(tǒng)崩潰。這種好心做壞事的情況，還是時(shí)有發(fā)生的。故為了避免類似的情況發(fā)生，網(wǎng)絡(luò)管理員需要先對補(bǔ)丁進(jìn)行甄別。除非情況緊急，否則的話，一定要經(jīng)過嚴(yán)格的測試才能夠把補(bǔ)丁發(fā)放出去。當(dāng)然，類似微軟正版驗(yàn)證的補(bǔ)丁還是不要放出去的為好。不然的話，網(wǎng)絡(luò)管理員是自尋麻煩。

三是可以有效地減少網(wǎng)絡(luò)帶寬的占用。若各個(gè)客戶端自己從網(wǎng)絡(luò)上下載補(bǔ)丁的話，無疑會(huì)占用比較多的網(wǎng)絡(luò)帶寬，從而降低企業(yè)互聯(lián)網(wǎng)訪問的性能。相反，現(xiàn)在只需要補(bǔ)丁服務(wù)器一臺(tái)電腦從網(wǎng)絡(luò)上下載補(bǔ)丁，然后其他客戶端通過企業(yè)局域網(wǎng)從補(bǔ)丁服務(wù)器進(jìn)行下載。這種方式，客戶端下載的速度不但快，因?yàn)槠涫峭ㄟ^局域網(wǎng)下載;而且還不大會(huì)影響網(wǎng)絡(luò)性能?？芍^是一舉兩得。

所以，通過補(bǔ)丁服務(wù)器來管理客戶端操作系統(tǒng)與辦公軟件的補(bǔ)丁，是網(wǎng)絡(luò)管理員比較明智的選擇。現(xiàn)在微軟推出了正版策略這個(gè)狠招，迫使我們網(wǎng)絡(luò)管理員要盡快部署這個(gè)補(bǔ)丁管理服務(wù)器。不然的話，以后網(wǎng)絡(luò)管理員的麻煩事可會(huì)不少。

三、 在推廣新的補(bǔ)丁之前，要經(jīng)過嚴(yán)格的測試。

我們至所以要采取補(bǔ)丁服務(wù)器，其中有一個(gè)主要的目的就是對補(bǔ)丁進(jìn)行過濾。把一些對企業(yè)不利的補(bǔ)丁過濾掉，而只安裝一些對網(wǎng)絡(luò)安全與操作系統(tǒng)穩(wěn)定有利的補(bǔ)丁。說實(shí)話，現(xiàn)在主要就是把兩類補(bǔ)丁過濾掉。一是跟企業(yè)現(xiàn)有軟件有沖突的補(bǔ)丁，二就是所謂的微軟正版驗(yàn)證補(bǔ)丁。

為此，企業(yè)在通過補(bǔ)丁管理服務(wù)器發(fā)布新的補(bǔ)丁之前，需要進(jìn)行嚴(yán)格的測試，然后才能夠大規(guī)模的發(fā)布。筆者現(xiàn)在在補(bǔ)丁發(fā)布之前，需要通過兩道關(guān)卡。

一是需要在專門的主機(jī)上進(jìn)行測試。筆者在企業(yè)中有一臺(tái)專門用來測試補(bǔ)丁的客戶端。有新的補(bǔ)丁下來，需要先在這臺(tái)客戶端上進(jìn)行測試。因?yàn)檫@臺(tái)客戶端上裝有企業(yè)中在使用的大部分軟件。若在這臺(tái)客戶端上測試沒有不良影響外，才能夠進(jìn)入下一個(gè)關(guān)卡。若裝了補(bǔ)丁后，有負(fù)面作用，如導(dǎo)致系統(tǒng)性能下降等情況，則可能這個(gè)補(bǔ)丁就被過濾掉了。

二是在專門的測試客戶端上通過之后，筆者就會(huì)在小范圍上進(jìn)行測試。通過補(bǔ)丁服務(wù)器，可以根據(jù)IP地址或者M(jìn)AC地址來確定需要打補(bǔ)丁的客戶端。筆者在這個(gè)階段，是各部門一臺(tái)主機(jī)。也就算說，每個(gè)部門抽取一臺(tái)主機(jī)先進(jìn)性安裝，若一天后這些主機(jī)運(yùn)行正常的話，再給所有的客戶端打上新補(bǔ)丁。

除非遇到特別緊急的補(bǔ)丁，否則的話，所有的補(bǔ)丁都需要經(jīng)過這個(gè)程序。如此的話，就可以保證補(bǔ)丁不會(huì)對現(xiàn)有的網(wǎng)絡(luò)環(huán)境以及操作系統(tǒng)產(chǎn)生太大的影響。（IT專家網(wǎng)）