前言

微軟Windows視窗操作系統(tǒng)是應(yīng)用最多的操作系統(tǒng)，占據(jù)了95%的市場份額，尤其是在高校、企業(yè)、醫(yī)療、政府、金融等行業(yè)中，更是我們每天密不可分的工作平臺(tái)。作為一款市場占有率如此之高的操作系統(tǒng)，Windows每天都要面臨很多的挑戰(zhàn)，有數(shù)據(jù)指出，超過90%的病毒和攻擊是利用了Windows的系統(tǒng)漏洞，所以微軟總是會(huì)定期的發(fā)布安全公告和系統(tǒng)補(bǔ)丁，當(dāng)遭遇嚴(yán)重的系統(tǒng)漏洞時(shí)，還會(huì)第一時(shí)間發(fā)出相關(guān)的補(bǔ)丁，幫助用戶補(bǔ)全漏洞。而補(bǔ)全操作系統(tǒng)的漏洞可以說是安全防護(hù)需要做的第一件事，因?yàn)槿绻┒礇]有堵上，再怎么查殺病毒也是杯水車薪，沒有從根源上解決問題。 

雖然微軟盡量及時(shí)的修補(bǔ)了操作系統(tǒng)的漏洞，并在Windows中內(nèi)置了自動(dòng)更新的功能，也有相關(guān)的提示，但是Windows的補(bǔ)丁是否能夠及時(shí)的得到更新，還強(qiáng)烈依賴于很多其他的因素： 

用戶的計(jì)算機(jī)水平和安全意識(shí) 

對(duì)于一般的計(jì)算機(jī)用戶而言，對(duì)于Windows補(bǔ)丁更新的重要性認(rèn)識(shí)程度千差萬別，很多用戶只有在自己的計(jì)算機(jī)中毒到不能用的程度，才會(huì)想起關(guān)注計(jì)算機(jī)的安全情況，而大部分人的第一個(gè)選擇，就是殺毒，殊不知大多數(shù)時(shí)候，是由于系統(tǒng)的漏洞帶來的病毒和攻擊，不堵上漏洞，病毒是殺不完的，一旦聯(lián)入網(wǎng)絡(luò)立刻又會(huì)中毒。從這個(gè)現(xiàn)象中，我們可以看出，雖然Windows補(bǔ)丁很重要，但用戶意識(shí)到的卻很少，導(dǎo)致操作系統(tǒng)漏洞百出，成為攻擊的對(duì)象。 

網(wǎng)絡(luò)環(huán)境的影響

Windows默認(rèn)的自動(dòng)更新需要連接到微軟官方的補(bǔ)丁更新服務(wù)器上，而由于訪問量大，加上網(wǎng)絡(luò)質(zhì)量的問題，有過聯(lián)網(wǎng)更新的用戶都知道微軟官方更新的速度很慢，這讓用戶在進(jìn)行更新時(shí)非常煩躁，有時(shí)索性直接關(guān)了自動(dòng)更新，直到中毒時(shí)才追悔莫及。而有些辦公環(huán)境下，辦公PC是不允許連接到Internet的，這也阻斷了Windows自動(dòng)更新的路徑，但病毒卻可以從U盤等外聯(lián)存儲(chǔ)介質(zhì)傳入內(nèi)網(wǎng)，導(dǎo)致內(nèi)網(wǎng)用戶中毒。 

還有一些諸如使用非官方定制的操作系統(tǒng)，導(dǎo)致自動(dòng)更新功能被刪除或被停止等等之類的原因，導(dǎo)致上網(wǎng)PC的Windows補(bǔ)丁更新情況非常差，給病毒和攻擊留下了足夠的“后門”，很多用戶在重裝操作系統(tǒng)后，由于沒有完善的補(bǔ)丁安裝機(jī)制，一接入網(wǎng)絡(luò)即中毒，又需要重新再安裝操作系統(tǒng)，帶來很大的麻煩。 

從上面的介紹，我們可以看到，作為安全防護(hù)第一步的Windows補(bǔ)丁更新，雖然很重要，但其用戶認(rèn)知度不夠，實(shí)施起來對(duì)外界環(huán)境依賴性太強(qiáng)，使得Windows補(bǔ)丁更新沒有得到很好的執(zhí)行，給網(wǎng)絡(luò)安全帶來了嚴(yán)重的隱患。 

GSN Windows補(bǔ)丁更新強(qiáng)聯(lián)動(dòng)方案

作為幫助客戶維護(hù)網(wǎng)絡(luò)安全的GSN全局安全網(wǎng)絡(luò)解決方案，GSN對(duì)幫助客戶機(jī)補(bǔ)全Windows補(bǔ)丁給與了很大的關(guān)注，在GSN解決方案中，通過微軟的WSUS（Windows Server Update Service）服務(wù)器進(jìn)行強(qiáng)聯(lián)動(dòng)，輔以行之有效的用戶端保護(hù)措施，幫助客戶機(jī)高效、安全的完成了Windows補(bǔ)丁更新。 

方案組成

在GSN的標(biāo)準(zhǔn)組件中，即包含了Windows補(bǔ)丁更新強(qiáng)聯(lián)動(dòng)功能，同時(shí)為了實(shí)現(xiàn)客戶機(jī)的Windows補(bǔ)丁更新強(qiáng)聯(lián)動(dòng)，還需在搭建了GSN系統(tǒng)之外，搭建WSUS服務(wù)器。

我們可以看到Windows補(bǔ)丁強(qiáng)聯(lián)動(dòng)方案的構(gòu)成，包括SMP服務(wù)器、SU客戶端、安全接入交換機(jī)、WSUS服務(wù)器，其中除了WSUS服務(wù)器外，全部都是GSN全局安全解決方案的標(biāo)準(zhǔn)組件。 

方案原理 

GSN的Windows補(bǔ)丁更新強(qiáng)聯(lián)動(dòng)功能，其目的在于幫助客戶機(jī)高效、自動(dòng)的完成Windows補(bǔ)丁的檢查、更新，同時(shí)在用戶補(bǔ)丁更新完成前，對(duì)用戶進(jìn)行保護(hù)，避免用戶由于補(bǔ)丁沒有補(bǔ)齊而遭受病毒的攻擊。 

不同于傳統(tǒng)的利用Windows自帶的自動(dòng)更新功能進(jìn)行更新，GSN解決方案采用安全客戶端RG-SU對(duì)客戶機(jī)本身安裝的Windows補(bǔ)丁進(jìn)行掃描，并與WSUS服務(wù)器進(jìn)行比對(duì)，然后下載客戶機(jī)需要的補(bǔ)丁，并在后臺(tái)靜默安裝，當(dāng)安裝全部完成后，提示用戶重啟，并告知客戶已安裝的補(bǔ)丁列表。這一切都是通過微軟開放的Windows補(bǔ)丁更新接口來實(shí)現(xiàn)的，通過SU客戶端實(shí)現(xiàn)了更高效的更新。 

同時(shí)，在進(jìn)行Windows補(bǔ)丁更新時(shí)，還可以通過預(yù)先制定好的策略對(duì)客戶機(jī)進(jìn)行保護(hù)，僅允許客戶訪問WSUS服務(wù)器，對(duì)于其他區(qū)域禁止用戶訪問，也限制了其他用戶對(duì)未完成更新的客戶端的訪問，有效的保障客戶機(jī)的安全。 

工作流程 

Windows補(bǔ)丁更新強(qiáng)聯(lián)動(dòng)的工作流程如下： 

用戶上線，SU從SMP服務(wù)器獲取有關(guān)Windows更新的相關(guān)策略，確定需要更新的補(bǔ)丁的類型。 

SU掃描本機(jī)的用戶補(bǔ)丁安裝情況，并與后臺(tái)的WSUS服務(wù)器中對(duì)應(yīng)的操作系統(tǒng)所需要的補(bǔ)丁進(jìn)行對(duì)比。

當(dāng)發(fā)現(xiàn)客戶機(jī)缺少補(bǔ)丁時(shí)，SU會(huì)把缺少情況上報(bào)到SMP服務(wù)器，SMP服務(wù)器將根據(jù)預(yù)先制定的規(guī)則，對(duì)用戶進(jìn)行保護(hù)，即下發(fā)對(duì)應(yīng)的ACL至接入交換機(jī)，對(duì)用戶的網(wǎng)絡(luò)訪問進(jìn)行限制。

SU將客戶機(jī)所缺少的補(bǔ)丁下載回本地，并進(jìn)行后臺(tái)靜默安裝。
 

補(bǔ)丁安裝完畢，如需重啟，SU將以氣泡消息的方式提醒客戶，并給出本次更新補(bǔ)丁的列表。 

SU重新對(duì)用戶的補(bǔ)丁安裝情況進(jìn)行檢測，當(dāng)用戶安裝了所有必備補(bǔ)丁后，SMP將取消對(duì)用戶的網(wǎng)絡(luò)訪問保護(hù)，用戶正常安全上網(wǎng)。

GSN Windows補(bǔ)丁更新強(qiáng)聯(lián)動(dòng)方案優(yōu)勢 。

對(duì)比于傳統(tǒng)的Windows補(bǔ)丁更新，GSN的Windows補(bǔ)丁更新強(qiáng)聯(lián)動(dòng)解決方案具有以下優(yōu)勢： 

強(qiáng)制

Windows補(bǔ)丁更新作為GSN端點(diǎn)防護(hù)策略的一種，具有強(qiáng)制性，通過與接入交換機(jī)的聯(lián)動(dòng)，GSN可以限制Windows補(bǔ)丁不符合要求的用戶的上網(wǎng)權(quán)限，可以隔離甚至直接阻斷用戶的網(wǎng)絡(luò)訪問，強(qiáng)制用戶完成Windows的補(bǔ)丁更新。 

自動(dòng) 

GSN中的Windows補(bǔ)丁更新強(qiáng)聯(lián)動(dòng)功能，對(duì)于客戶端要求低，無需客戶機(jī)參與，補(bǔ)丁檢測、下載、安裝均為后臺(tái)靜默模式，只需用戶手動(dòng)重啟來完成補(bǔ)丁的安裝，給終端用戶帶來了方便。 

高效

在GSN的Windows補(bǔ)丁更新強(qiáng)聯(lián)動(dòng)功能中，采用銳捷安全客戶端RG-SU直接進(jìn)行Windows補(bǔ)丁的掃描、對(duì)比、下載和安裝過程，通過與本地的WSUS服務(wù)器的聯(lián)動(dòng)，實(shí)現(xiàn)了高效的補(bǔ)丁檢測、更新過程，讓W(xué)indows補(bǔ)丁更新無需等待很久。 

安全 

在進(jìn)行Windows補(bǔ)丁更新的過程中，對(duì)客戶機(jī)的網(wǎng)絡(luò)訪問進(jìn)行保護(hù)，避免客戶機(jī)在完成Windows補(bǔ)丁更新前遭受來自網(wǎng)上的攻擊。 

方案總結(jié) 

GSN全局安全解決方案的Windows補(bǔ)丁更新強(qiáng)聯(lián)動(dòng)功能，通過與SU、SMP、接入交換機(jī)與WSUS服務(wù)器的強(qiáng)聯(lián)動(dòng)，實(shí)現(xiàn)了強(qiáng)制、自動(dòng)、高效、安全的windows補(bǔ)丁更新，讓用戶方便、安全的暢游網(wǎng)絡(luò)。