正版驗(yàn)證促進(jìn)企業(yè)做好補(bǔ)丁管理策略

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

最近，一個(gè)讓所有網(wǎng)絡(luò)管理員震驚的消息公布了。微軟于10月20日在中國(guó)投放新一輪的正版增至計(jì)劃，如果微軟的XP操作系統(tǒng)沒(méi)有通過(guò)微軟正版驗(yàn)證的話(huà)，則用戶(hù)開(kāi)機(jī)進(jìn)入操作系統(tǒng)后，桌面的背景將變?yōu)楹谏?。雖然用戶(hù)可以重新設(shè)置背景，但是，每隔一個(gè)小時(shí)背景就會(huì)變?yōu)榧兒谏?。這雖然不影響正常的工作，但是至少會(huì)給員工的心情帶來(lái)不良的影響。另外，當(dāng)用戶(hù)登錄的時(shí)候還會(huì)出現(xiàn)“中斷”對(duì)話(huà)框，并在屏幕右下方出現(xiàn)一個(gè)永久通知和持續(xù)提醒的對(duì)話(huà)框，顯示“您可能是軟件盜版的受害者”。另外，如果Office辦公軟件用戶(hù)沒(méi)有通過(guò)正版驗(yàn)證的話(huà)，則在驗(yàn)證失敗后1-14天內(nèi)，將會(huì)有彈出式對(duì)話(huà)框提醒用戶(hù)所使用的軟件不是正版;每隔兩個(gè)小時(shí)就會(huì)有這么一次提醒。另外，若十五天后，用戶(hù)還沒(méi)有采取行動(dòng)的話(huà)，則在Office文件中講會(huì)被加入視覺(jué)提醒標(biāo)記。如此的話(huà)，肯定會(huì)給用戶(hù)的正常辦公帶來(lái)很大的負(fù)面影響。

另外，據(jù)傳這次的正版驗(yàn)證，不適用安裝向?qū)А２僮飨到y(tǒng)會(huì)通過(guò)自動(dòng)更新更具不知不覺(jué)中給用戶(hù)裝上這個(gè)正版驗(yàn)證工具。其實(shí)現(xiàn)在微軟正版軟件在企業(yè)中的普及率，大家都心中有數(shù)。據(jù)我所知，有些企業(yè)即使買(mǎi)了微軟的正版操作系統(tǒng)與Office辦公軟件，但是，實(shí)際用的話(huà)，仍然是利用盜版的軟件。因?yàn)檎娴牟僮飨到y(tǒng)與Office軟件安裝起來(lái)太麻煩。但是，現(xiàn)在微軟出了這一個(gè)狠招，作為網(wǎng)絡(luò)管理員該如何應(yīng)對(duì)呢?

其他網(wǎng)絡(luò)管理員采取什么樣的措施，我不敢保證。至少筆者已經(jīng)不放心用戶(hù)自己從網(wǎng)絡(luò)上下載補(bǔ)丁，升級(jí)操作系統(tǒng)。其實(shí)，筆者在一年以前，已經(jīng)在考慮這方面的內(nèi)容。并不是說(shuō)筆者有先見(jiàn)之明，遇見(jiàn)了微軟會(huì)出這一招。而是因?yàn)樽詣?dòng)打補(bǔ)丁已經(jīng)給用戶(hù)帶來(lái)了不少的麻煩。如有些補(bǔ)丁打上之后，系統(tǒng)的性能明顯下降。原來(lái)補(bǔ)丁跟操作系統(tǒng)上裝有的軟件有沖突，等等?，F(xiàn)在微軟有推出了正版驗(yàn)證策略，更加促使我們要做好微軟的補(bǔ)丁與自動(dòng)更新管理。

為此，筆者在企業(yè)網(wǎng)絡(luò)中做了如下的調(diào)整。

一、 關(guān)閉所有客戶(hù)端的自動(dòng)更新功能。

微軟的補(bǔ)丁，包括現(xiàn)在的正版驗(yàn)證工具，基本上都是通過(guò)客戶(hù)端操作系統(tǒng)上的“UPDATE”自動(dòng)更新功能從網(wǎng)上下載并安裝的。所以，若要對(duì)補(bǔ)丁進(jìn)行集中管理的話(huà)，首先需要做的就是禁止操作系統(tǒng)自動(dòng)從網(wǎng)絡(luò)上下載相關(guān)的補(bǔ)丁。

要實(shí)現(xiàn)這個(gè)目的，我們可以通過(guò)防火墻等手段，限制操作系統(tǒng)連接到微軟的服務(wù)器下載補(bǔ)丁。而只允許某些特定的IP地址，如補(bǔ)丁服務(wù)器，才能夠連接到微軟的網(wǎng)站下載補(bǔ)丁。筆者現(xiàn)在就是通過(guò)防火墻的IP地址過(guò)濾策略與訪問(wèn)控制列表策略，限制了客戶(hù)端連接到微軟的網(wǎng)站。

不過(guò)筆者為了確保安全，還在客戶(hù)端上禁用了操作系統(tǒng)自帶的UPDATE功能，從根源上限制客戶(hù)端操作系統(tǒng)從網(wǎng)絡(luò)上私自下載相關(guān)的補(bǔ)丁。因?yàn)槠髽I(yè)中大部分的用戶(hù)根本不能夠區(qū)分哪些補(bǔ)丁是有用的。而且，有些補(bǔ)丁，如這個(gè)正版驗(yàn)證補(bǔ)丁，會(huì)在不知不覺(jué)中通過(guò)網(wǎng)絡(luò)下載到客戶(hù)端電腦，并且自動(dòng)安裝。這無(wú)疑不是我們網(wǎng)絡(luò)管理員所希望看到的。

所以，為了做好系統(tǒng)補(bǔ)丁的統(tǒng)一管理，現(xiàn)在要做的第一步就是禁止所有的客戶(hù)端從網(wǎng)上下載補(bǔ)丁。我們可以通過(guò)防火墻或者直接從客戶(hù)端禁用掉這個(gè)功能。為了保險(xiǎn)起見(jiàn)，網(wǎng)絡(luò)管理員可以雙管齊下，在防火墻與客戶(hù)端上都進(jìn)行相關(guān)的配置。

二、 在網(wǎng)絡(luò)中部署獨(dú)立的服務(wù)器，通過(guò)服務(wù)器對(duì)客戶(hù)端進(jìn)行補(bǔ)丁管理。

但是，若不讓客戶(hù)端打補(bǔ)丁的話(huà)，則會(huì)大大降低客戶(hù)端主機(jī)的安全性。所以，我們網(wǎng)絡(luò)管理員也不能因噎廢食，一幫子打死，拒絕所有的微軟補(bǔ)丁。我們網(wǎng)絡(luò)管理員希望客戶(hù)端能夠有選擇的安裝有用的補(bǔ)丁。但是，因?yàn)槠胀ㄓ脩?hù)沒(méi)有這個(gè)專(zhuān)業(yè)能力進(jìn)行判斷，所以，只有網(wǎng)絡(luò)管理員幫他們完成這項(xiàng)任務(wù)。網(wǎng)絡(luò)管理員可以在企業(yè)網(wǎng)絡(luò)中部署一個(gè)補(bǔ)丁服務(wù)器，讓客戶(hù)端從這個(gè)企業(yè)自己的服務(wù)器中下載相關(guān)的補(bǔ)丁，而不是從微軟的網(wǎng)站上進(jìn)行下載。如此的話(huà)，有網(wǎng)絡(luò)管理員來(lái)做這個(gè)甄別的動(dòng)作，就可以有選擇的給客戶(hù)端安裝相關(guān)的補(bǔ)丁。

現(xiàn)在微軟自己推出了一款補(bǔ)丁管理軟件。這是一個(gè)補(bǔ)丁管理平臺(tái)，通過(guò)企業(yè)局域網(wǎng)內(nèi)的一臺(tái)服務(wù)器，統(tǒng)一管理其他客戶(hù)端的操作系統(tǒng)補(bǔ)丁。通過(guò)服務(wù)器對(duì)客戶(hù)端進(jìn)行補(bǔ)丁管理，有如下的優(yōu)點(diǎn)。

一是強(qiáng)制給客戶(hù)打補(bǔ)丁。若讓客戶(hù)主動(dòng)去打補(bǔ)丁的話(huà)，說(shuō)實(shí)話(huà)，有點(diǎn)不現(xiàn)實(shí)。即使操作系統(tǒng)提示需要打補(bǔ)丁，否則的話(huà)，有被攻擊的危險(xiǎn)。用戶(hù)仍然不會(huì)引起重視。所以，通過(guò)補(bǔ)丁管理服務(wù)器，強(qiáng)制給客戶(hù)端安裝必要的補(bǔ)丁，是保障局域網(wǎng)運(yùn)行穩(wěn)定與操作系統(tǒng)安全的一個(gè)必要的措施。

二是可以有選擇的安裝補(bǔ)丁。若有客戶(hù)端自己從網(wǎng)上下載補(bǔ)丁進(jìn)行安裝的話(huà)，則會(huì)一古腦的進(jìn)行全部安裝。但是，我都知道，微軟的操作系統(tǒng)補(bǔ)丁，有時(shí)會(huì)跟一些應(yīng)用軟件產(chǎn)生沖突，導(dǎo)致系統(tǒng)不穩(wěn)定或者性能下降，甚至系統(tǒng)崩潰。這種好心做壞事的情況，還是時(shí)有發(fā)生的。故為了避免類(lèi)似的情況發(fā)生，網(wǎng)絡(luò)管理員需要先對(duì)補(bǔ)丁進(jìn)行甄別。除非情況緊急，否則的話(huà)，一定要經(jīng)過(guò)嚴(yán)格的測(cè)試才能夠把補(bǔ)丁發(fā)放出去。當(dāng)然，類(lèi)似微軟正版驗(yàn)證的補(bǔ)丁還是不要放出去的為好。不然的話(huà)，網(wǎng)絡(luò)管理員是自尋麻煩。

三是可以有效地減少網(wǎng)絡(luò)帶寬的占用。若各個(gè)客戶(hù)端自己從網(wǎng)絡(luò)上下載補(bǔ)丁的話(huà)，無(wú)疑會(huì)占用比較多的網(wǎng)絡(luò)帶寬，從而降低企業(yè)互聯(lián)網(wǎng)訪問(wèn)的性能。相反，現(xiàn)在只需要補(bǔ)丁服務(wù)器一臺(tái)電腦從網(wǎng)絡(luò)上下載補(bǔ)丁，然后其他客戶(hù)端通過(guò)企業(yè)局域網(wǎng)從補(bǔ)丁服務(wù)器進(jìn)行下載。這種方式，客戶(hù)端下載的速度不但快，因?yàn)槠涫峭ㄟ^(guò)局域網(wǎng)下載;而且還不大會(huì)影響網(wǎng)絡(luò)性能。可謂是一舉兩得。

所以，通過(guò)補(bǔ)丁服務(wù)器來(lái)管理客戶(hù)端操作系統(tǒng)與辦公軟件的補(bǔ)丁，是網(wǎng)絡(luò)管理員比較明智的選擇?，F(xiàn)在微軟推出了正版策略這個(gè)狠招，迫使我們網(wǎng)絡(luò)管理員要盡快部署這個(gè)補(bǔ)丁管理服務(wù)器。不然的話(huà)，以后網(wǎng)絡(luò)管理員的麻煩事可會(huì)不少。

三、 在推廣新的補(bǔ)丁之前，要經(jīng)過(guò)嚴(yán)格的測(cè)試。

我們至所以要采取補(bǔ)丁服務(wù)器，其中有一個(gè)主要的目的就是對(duì)補(bǔ)丁進(jìn)行過(guò)濾。把一些對(duì)企業(yè)不利的補(bǔ)丁過(guò)濾掉，而只安裝一些對(duì)網(wǎng)絡(luò)安全與操作系統(tǒng)穩(wěn)定有利的補(bǔ)丁。說(shuō)實(shí)話(huà)，現(xiàn)在主要就是把兩類(lèi)補(bǔ)丁過(guò)濾掉。一是跟企業(yè)現(xiàn)有軟件有沖突的補(bǔ)丁，二就是所謂的微軟正版驗(yàn)證補(bǔ)丁。

為此，企業(yè)在通過(guò)補(bǔ)丁管理服務(wù)器發(fā)布新的補(bǔ)丁之前，需要進(jìn)行嚴(yán)格的測(cè)試，然后才能夠大規(guī)模的發(fā)布。筆者現(xiàn)在在補(bǔ)丁發(fā)布之前，需要通過(guò)兩道關(guān)卡。

一是需要在專(zhuān)門(mén)的主機(jī)上進(jìn)行測(cè)試。筆者在企業(yè)中有一臺(tái)專(zhuān)門(mén)用來(lái)測(cè)試補(bǔ)丁的客戶(hù)端。有新的補(bǔ)丁下來(lái)，需要先在這臺(tái)客戶(hù)端上進(jìn)行測(cè)試。因?yàn)檫@臺(tái)客戶(hù)端上裝有企業(yè)中在使用的大部分軟件。若在這臺(tái)客戶(hù)端上測(cè)試沒(méi)有不良影響外，才能夠進(jìn)入下一個(gè)關(guān)卡。若裝了補(bǔ)丁后，有負(fù)面作用，如導(dǎo)致系統(tǒng)性能下降等情況，則可能這個(gè)補(bǔ)丁就被過(guò)濾掉了。

二是在專(zhuān)門(mén)的測(cè)試客戶(hù)端上通過(guò)之后，筆者就會(huì)在小范圍上進(jìn)行測(cè)試。通過(guò)補(bǔ)丁服務(wù)器，可以根據(jù)IP地址或者M(jìn)AC地址來(lái)確定需要打補(bǔ)丁的客戶(hù)端。筆者在這個(gè)階段，是各部門(mén)一臺(tái)主機(jī)。也就算說(shuō)，每個(gè)部門(mén)抽取一臺(tái)主機(jī)先進(jìn)性安裝，若一天后這些主機(jī)運(yùn)行正常的話(huà)，再給所有的客戶(hù)端打上新補(bǔ)丁。

除非遇到特別緊急的補(bǔ)丁，否則的話(huà)，所有的補(bǔ)丁都需要經(jīng)過(guò)這個(gè)程序。如此的話(huà)，就可以保證補(bǔ)丁不會(huì)對(duì)現(xiàn)有的網(wǎng)絡(luò)環(huán)境以及操作系統(tǒng)產(chǎn)生太大的影響。（IT專(zhuān)家網(wǎng)）