使用组策略来管理 WSUS 自动更新客户端下载39.docVIP

使用组策略来管理 WSUS 自动更新客户端下载、安装和重新启动行为 发布日期： 2005年12月13日 作者：Bobbie Harder，项目经理，Windows Server Update Services，Microsoft Corporation 请参阅其他的每月安全提示专栏 可以配置 Windows Server Update Services (WSUS) 客户端来提供最符合您的环境和业务需求的更新安装和重新启动行为。可以使用组策略或本地组策略来修改 WSUS 客户端上的“自动更新”配置，以确定您的 WSUS 管理的客户端在从 WSUS 更新时会经历何种通知、下载、安装和重新启动行为。尽管已有控制其他配置的 WSUS 策略设置，本文主要讨论那些用于定义更新通知、下载、安装和安装后重启行为的配置选项。 自动更新 (AU) 是 WSUS 客户端的组件，用于检查、下拉以及触发来自 WSUS 或 Microsoft Update (MU) 的、已批准的更新的安装和重新启动。在讨论 AU 配置选项之前，应阐明几个要点。第一点是分清下载与安装之间的区别，这一点非常重要。在 WSUS 管理员批准对一个或一组客户端的安装的更新之后，用户必须从其映射源（本地 WSUS 或 MU）下载更新内容。在下载之前，客户端必须先要签入 WSUS 服务器以确定已获批准的更新内容，并报告其当前的更新状态。默认情况下，客户端可每 22 小时签入 WSUS 服务器一次，也可将签入频率配置为每小时一次。 如果在客户端签入时安装的更新已得到批准，则默认情况下客户端将被配置为开始在后台下载该更新内容。可以将 AU 客户端配置为在其开始下载之前向用户发出通知，但大多数情况下设置为在后台下载更新而不通知用户，因为这样不会对用户产生任何影响。在后台下载更新时，仅使用尚未被客户端占用的可用带宽。例如，如果用户正在进行前台下载、浏览或发送电子邮件，则在后台下载更新将不会影响上述任何操作。在更新内容已下载到客户端后，根据 AU 选项的配置方式，安装会在相应管理用户已登录的情况下作为独立而截然不同的操作被执行。默认情况下，AU 选项被设置为自动下载更新，然后在下载完毕且准备好进行安装时发出通知。下载只是将一些内容从映射源移至客户端，而安装才是真正将这些内容安装到系统中的操作。本文中讨论的 AU 选项和策略设置使 WSUS 管理员能够自定义下载通知、安装、重新启动通知以及他们的 WSUS 管理客户端体验。 第二个要点是，即使下载与安装是两项截然不同的活动，也应将安装与重新启动视为一个操作，而且它们是相同的。这两项操作在更新过程中密不可分，只有在系统重新启动后才算是真正地完成安装。要求系统重新启动的安全更新在系统重新启动之后，才会真正安装完毕并能保护系统免遭漏洞的攻击。通常，只有在文件未被使用或未被锁定的情况下，才可以对系统或应用程序文件进行更新。此外，挂起的重新启动状态将会导致既非更新后也非更新前的状态。换句话说，务必要注意需要重新启动的更新，只有在系统重新启动之后，更新的安装才会真正完成。进一步说，系统在处于挂起的重新启动状态时仍然易受攻击或者仍未安装任何补丁，而且在重新启动前客户端将无法再检测到对未来的更新内容的需求。 第三个亦即最后一个要点是安装活动，无论是更新、驱动程序或完整的软件应用程序，大多数环境下都会要求拥有对该系统的本地管理权限。由于“自动更新”可控制更新内容的安装，所以非本地管理员的安装与重新启动体验与本地管理员截然不同，前者既不透明又受控制，后者则更为透明、更加灵活。在应用这些策略时，务必注意对这两种用户类型的影响和体验。 在 WSUS 环境下配置 AU 的方法取决于您拥有的是 Active Directory 还是非 Active Directory 环境。在非 Active directory 环境下，您可以使“用本地组策略”或直接编辑注册表。而在 Active Directory 环境下，则应使用“组策略”。需要特别注意的是，管理员设定的组策略设置（无论是在本地、在注册表中，还是使用“组策略”设置的），将始终覆盖客户端上任何由计算机设定或由用户定义的选项。 本文主要说明 WSUS AU 客户端的下载、安装和重新启动行为，并假定客户端已映射到 WSUS 服务器。无论是使用“组策略”还是“本地组策略”，都必须在系统上加载 WSUS 管理模板文件以用于管理“组策略”。该模板文件命名为 Wuau.adm，默认情况下该文件安装在 Windows XP Service Pack 2 客户端上。另外，任何客户机都与 WSUS 兼容（这意味着进行自更新以拥有最新的客户端版本），而且还要拥有 %windir%\Inf 目录下最新的 Wuau.adm 文件