sus补丁分发，局域网自动打补丁服务的架设过程

来自：http://xmfish.com/viewthread.php?tid=62206&fpage=1&highlight=

小天涯的文章

以下是我各人在网上搜集与及我架设过程中整理的一些资料，相信大家照着下面的做一次，局域网会少很多事的，特别是冲击波这种病毒就可减少发生了。

ps:以前有一位YUYU（ID我记不清了，不好意思，比较笨）有发过一贴关于SUS的问题贴，当时我没有时间架设这个服务器，所以没有能力回答你的问题，真的很抱歉，SORRY。如果你现在看到这贴的话，希望对你有帮助

伴随“冲击波”病毒的出现，微软升级网站的知名度迅速攀升。每当微软有新补丁发布时，网民们蜂拥而至，抱怨登不上去者大有人在。而此刻最辛苦的还要算局域网的网管员。他除了要争取在第一时间为自己管辖的所有服务器升级外，还要为客户端下载适用于多种平台、多种语言环境的补丁包，之后还要检验这些补丁包是否都升级到位。往往一个补丁还未处理完毕，另一补丁又来了。人们不禁要问，微软首倡的“零管理”哪里去了？其实微软已前期推出了SUS（Software Update Services）服务，以此来兑现它的“零管理”。

■ SUS服务的工作流程
在局域网内部搭建SUS服务器→定期有选择地与微软升级网站做内容同步→重新定向内网客户端的升级URL，使之从微软升级网站转到内部SUS服务器上来→利用组策略自动安装SUS客户端程序→同时定制客户端的升级方式和升级时间表。

■ SUS服务的安装与配置

1．SUS服务器的安装

（1）SUS服务器的硬件最低配置：Pentium Ⅲ 700MHz，512MB内存，6GB硬盘空间。

（2）软件最低配置：Windows 2000 Server，SP2，IIS 5.0，IE5.5，NTFS分区，最好是一台域控制器（DC）。

（3）SUS客户端的软件配置为Windows 2000/XP。

（4）SUS服务器安装程序包（Sus10sp1.exe）和客户端安装程序包（Wuau22chs.msi）的下载链接如下：http://go.microsoft.com/fwlink/?LinkId=6930。

SUS服务器的安装很简单，选择典型安装几乎无需用户干预。如果您的缺省分区不够大，最好还是选择定制安装，重新指定其他分区，因为仅下载中英文版的补丁就要占用1GB的硬盘空间。

2．SUS服务器的配置

（1）安装结束后自动进入配置界面，点击“Set options”进入设置选项。除了填入本地SUS服务器IP地址“168.192.0.1”、选择“Chinese Simplified”和“English”外，其他均可保留缺省设置。点击[Apply]确定。

（2）点击“Synchronize server”与微软升级网站做内容同步。这个过程时间很长，有1GB左右的内容要下载。之前最好先设置日后的同步时间表。

（3）内容同步完成后点击“Approve updates”，将已下载的内容有选择地提供给内网用户。SUS服务器的配置工作到此结束，日后要修改配置时，只需在浏览器地址栏中输入“http://ServerName/SUSAdmin/”即可。如果是远程管理，需要管理员口令。

3．组策略配置

（1）定制客户端的升级方式和升级时间表
点击“开始→程序→管理工具→Active Directory用户和计算机”，右击“组织单元（OU）”，可以是域，也可以是组，选择“属性”，选择“组策略”，点击“新建”，为该策略取名“SUS”，点击“编辑”，在新界面中右击“计算机配置”下的“管理模板”，选择“添加/删除模板”，点“添加”浏览至WINNT\INF目录下，选择“Wuau.adm”文件后点击“打开”，点击“关闭”。

展开上述界面中的“管理模板→Windows Components→Windows update”，双击“Configure Automatic Updates”，出现附图所示界面。按图中的参数配置后，点[下一策略]，填入本地SUS服务器IP地址“http://168.192.0.1”后点击[确定]。

[jpg]http://www.blueidea.com/articleimg/2004/05/1857/289415.jpg[/jpg]

（2）自动安装客户端程序
将从微软网站下载来的中文版客户端程序包Wuau22chs.msi复制到SUS服务器的NETLOGON共享目录下（其实际路径在WINNT\SYSVOL\sysvol\DomainName\scripts下）。
点击“开始→程序→管理工具→Active Directory用户和计算机”，右击刚刚配置过的“组织单元（OU）”选择“属性→组策略→SUS→编辑”，在新界面中展开“软件设置”，右击“软件安装”，选择“新建→程序包”，在文件名栏中填入“\\ServerName\NETLOGON\WUAU22CHS.msi”，点击“打开”，选择“已指派”，点击[确定]。

■ 必要的检验手段
一项服务搭建成功后，管理员势必要检验其效果，但SUS目前的版本未提供直观的管理界面。必须通过特殊手段从服务器和和客户端进行双向检验。

服务器端的检验手段是添加wutrack.bin日志：点击“开始→程序→管理工具→Internet服务管理器”，点击“Web站点”，右击左栏中的“Wutrack.bin”，选择“属性”，选中“日志访问”，点击[确定]。该日志文件存放在WINNT\SYSTEM32\LogFiles目录下，文件中相关记录的格式为：/wutrack.bin?U=&&C=&&A=&&I=&&D=&&=&&L=&&S=&&E=&&M=&&X=

如何解读请参见SUS白皮书《Deploying Microsoft Software Update Services》第83页。

客户端的检验手段是查看注册表的HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate项和Winnt/Windows目录下的Windows Update.log文件。

最后需要说明两点：
（1）SUS服务只提供关键性更新；
（2）Windows 9.x系列不在SUS的管理范围内。
==============================================

以上是在域控制器的组策略进行的。在不是域的计算机，可以通过更改注册表来实现

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://xxx.xxx.xxx.xxx"
"WUStatusServer"="http://xxx.xxx.xxx.xxx"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"UseWUServer"=dword:00000001
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"RescheduleWaitTime"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"Start"=dword:00000002f

下面是各项的说明
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://10.108.100.200"/
"WUStatusServer"="http://10.108.100.200"/
服务器的位置

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"UseWUServer"=dword:00000001 是否使用WUServer，1是用，0是不用
"NoAutoUpdate"=dword:00000000 是否自动更新，0是是，1是否
"AUOptions"=dword:00000003 下载安装选项，2是通知下载安装，3是自动下载通知安装，4是自动下载和计划安装
"ScheduledInstallDay"=dword:00000000 计划安装的时间，0是每天，星期天至六分别是1-7
"ScheduledInstallTime"=dword:00000003 计划安装时间
"NoAutoRebootWithLoggedOnUsers"=dword:00000001是否重启，1是是，0是否
"RescheduleWaitTime"=dword:00000005启动后几分钟更新


按照你的需要设置吧



i当然，不通过注册表，通过客户机的组策略也是可以了，实现方方式如下：


SUS（Software Update Services） client端设置手册

目录

一．概要 2
二．使用上的注意事项 2
三．设定流程 3
3.1 流程概述 3
3.2 详细流程 3
3.2.1 步骤一：安装一个SUS 架构中client端的Windows Installer MSI package 3
3.2.2 步骤二：设定SUS 架构中的client端 4
3.2.2.1 添加所需策略配置文件 4
3.2.2.2 自动更新机能设定 6
3.2.3 步骤三：设定状态的确认 13
四．机能效果及自动安装 14
4.1 一般说明 14
4.2 详细说明 14
附. 自动更新模式的详细说明 15



一．概要
Software Update Services (SUS)是Strategic Technology Protection Program (STPP)中的部品之一，它成功涵盖了当前微软Windows Update的技术。SUS提供了一个解决方案，解决了针对漏洞和稳定性PATCHES的管理和发布问题。能够基于企业网络升级Windows® 2000, Windows XP, 和 Windows Server 2003操作系统。

本手册是SUS方案中client端的设置手册。首先，关于手册适用范围。请确认您的机器的配置符合以下Microsoft 产品。
OS 备注
Windows 2000 Server（Service Pack 2 or higher） l 未安装Service Pack的场合，请先安装Service Pack 2；l Service Pack 2的场合，额外需要安装一个Windows Installer MSI package（参见步骤一）
Windows 2000 Professional（Service Pack 2 or higher） l 未安装Service Pack的场合，请先安装Service Pack 2；l Service Pack 2的场合，额外需要安装一个Windows Installer MSI package（参见步骤一）
Windows 2000 Advanced Server（Service Pack 2 or higher） l 未安装Service Pack的场合，请先安装Service Pack 2；l Service Pack 2的场合，额外需要安装一个Windows Installer MSI package（参见步骤一）
Windows XP Professional（Service Pack 1 or higher） l 未安装Service Pack的场合，请先安装Service Pack 1
Windows XP Home Edition（Service Pack 1 or higher） l 未安装Service Pack的场合，请先安装Service Pack 1
Windows Server 2003 family 无

阅读引导：
对于使用Microsoft Windows95/98/NT的用户不适用此SUS的设定，另外使用非Microsoft 产品的用户同样也不适用。请以上用户直接退出本安装手册。
二．使用上的注意事项
1. 请首先确认您的用户为Administrator或同样权限的用户。否则请logout后以Administrator或同样权限的用户登陆。
2. 如果您的计算机上安装了多个操作系统，请按照[注意事项1]逐次登录适用SUS的OS，并按照下述流程设定。
3. 对于计算机上具备自动升级功能的多个操作系统，请定期以Administrator或同样权限的用户登录，以便使所有OS系统能够自动升级，保证所有OS系统的安全性。
三．设定流程
3.1 流程概述
l 步骤一，安装一个SUS 架构中client端的Windows Installer MSI package。
（此步骤为限定性的操作，见详细流程部分）
l 步骤二，设定SUS 架构中的client端。
l 步骤三，设定后状态的确认。
3.2 详细流程
3.2.1 步骤一：安装一个SUS 架构中client端的Windows Installer MSI package
阅读引导：
此步骤的适用范围是符合下述环境的用户。
l Windows 2000 Server/Professional/Advanced Server（Service Pack 2）

对于下述环境的用户，请直接进入下一步骤（步骤二）。
l Windows 2000 Server/ Professional/Advanced Server（Service Pack 3 or higher）
l Windows XP Professional/ Home Edition（Service Pack 1 or higher）
l Windows Server 2003 family
详细设定：
运行client端的Windows Installer MSI package文件。
l 中文版OS的用户请直接运行[WUAU22CHS.msi]文件。
l 英文版OS的用户请直接运行[WUAU22ENU.msi]文件。
3.2.2 步骤二：设定SUS 架构中的client端
3.2.2.1 添加所需策略配置文件
中文版OS的用户操作如下。
l 鼠标左键点击桌面左下的菜单项[开始]，之后点击[运行]。
l 输入[GPEDIT.msc] 并执行，以开启组策略设定界面。
l 在[计算机配置]项的所属中，右键点击[管理模板]。（参见下图）

l 在弹出菜单点击[添加/删除模板]，之后点击弹出设定界面中的[添加]。
l 选中策略模板中的[WUAU.adm] 策略文件。
l 点击[打开]，在成功引导wuau.adm文件后点击[关闭]。
3.2.2.2 自动更新机能设定
中文版OS的用户操作如下。
l 在组策略设定界面，展开并选中[计算机配置]项所属的[管理模板]项所属[Windows组件]项所属的[Windows Update]选项。
l 在组策略设定界面[Windows Update]项的右侧详细部，选中[配置自动更新]，之后右键弹出菜单,点击设定界面中的[属性]。（参见下图）

l 将[配置自动更新]策略部分中的属性设定为[启用]状态，[配置自动更新]的模式设定推荐为缺省模式3（自动下载并提醒安装模式）。（参见下图）

l 将[指定Intranet Microsoft更新服务模式]策略部分中的属性设定为[启用]状态，[设置检测更新的intranet更新服务：] 和[设置intranet统计服务器：]的设定全部为[http://166.111.8.183]。

l [Windows Update]选项的右侧详细部还包含[重新计划自动更新计划的安装]和[不为计划的自动更新安装重新启动]策略。推荐全部设定为启用状态。
注：上述两个策略因系统不同而异。有可能在自动更新操作执行成功后才出现。首次暂时无法设定的用户请在其出现后对其补充设定。
3.2.3 步骤三：设定状态的确认
中文版OS的用户操作如下。
l 鼠标左键点击桌面左下的菜单项[开始]，之后点击[运行]。
l 输入[SERVICES.msc] 并执行，以开启服务设定界面。
l 请确认[Automatic Updates]服务已经启动，且启动类型为[自动]。
l 请确认[Background Intelligent Transfer Service]服务已经启动。
四．机能效果及自动安装
4.1 一般说明
上述SUS client端的设置正确完成后，您的系统将具备自动升级功能。自动从校内SUS服务器下载安全Patchs和SP Patchs，在准备完毕，可以升级安装时，桌面右下角将出现Windows Update的图标。如下图所示。此时，请点击图标进行升级安装操作。

系统会自动升级安装，完成后会提示重新启动计算机，您可以选择自动重新起动，也可以选择不自动重新起动，以手工重新起动的方式。

阅读引导：
需要进一步了解请参考以下详细说明，否则您可以直接退出本手册了。
4.2 详细说明
[配置自动更新]策略部分启用自动更新模式有3种，参见[附. 自动更新模式的详细说明]
我们推荐的设定是缺省模式3，因为这样您可以灵活的选择升级安装的时间。

安装操作是独立的一个进程，通常不会影响计算机上的其它业务，您可以选择安装后不去管它，继续自己的业务。但升级安装完毕后，系统一般会提醒您重新启动计算机。

您如果考虑不中断业务工作，可以选择手工重新启动。或者，选择模式4，比如安排在中午休息或下班前按照计划安装。

以上配置操作的目的，是保证您的计算机系统安装针对漏洞和稳定性PATCHES的操作自动进行，最终保证您系统的安全。
请您务必忠实的执行此升级安装，而不要强行终止或者长时间持续延期（比如连续3日以上）的不执行安装操作。
附. 自动更新模式的详细说明
模式一：2 = 下载任何更新前提醒并在安装前再次提醒
当 Windows 查找应用到此计算机的更新，在状态区域显示图标及可以下载更新的消息。单击图标或消息将提供选项以选择要下载的指定更新。然后 Windows 在后台下载选择的更新。当下载结束时，图标再次出现在状态区域，并提醒可以安装更新。单击图标或消息将提供选项以选择要安装的更新。
模式二：3 = (默认设置) 自动下载更新并在更新可以安装时提醒
Windows 查找应用到此计算机的更新并在后台下载更新(此过程中用户不会被提醒或中断)。当下载结束时，在状态区域显示图标，提醒可以安装更新。单击图标或消息将提供选项以选择要安装的更新。
模式三：4 = 自动下载更新并在下面指定的计划时安装
在组策略设置中使用选项指定计划。如果没有指定计划，所有安装的默认计划将在每天的早上 3 点钟。如果任何更新需要重新启动以完成安装，Windows 将自动重新启动计算机。(如果用户在 Windows 准备重新启动时登录到计算机，用户将被提醒并选择延迟重新启动。)
如果选择4，您可以设置周期计划(如果没有指定计划，所有安装的默认计划将在每天的早上 3 点钟)。
=====================================

以上内容本人都做过，通过一个月的测试，没有发现什么问题。

本人是在单位个人电脑上实现（服务器压力太大，只好拿我的电脑来做了）。电脑的配置如下：

CPU：P4 2.8C
内存：1024 M
硬盘：200G
网卡：双网卡


操作系统是，windows advan 2000 server

============================================
装了上面的SUS，在装下面的安全分析工具，配合便用会更好！~


Microsoft 基准安全分析器(MBSA) V1.2
更新日期： 2004年06月29日

作为 Microsoft 战略技术保护计划（Strategic Technology Protection Program）的一部分，并为了直接满足用户对于可识别安全方面的常见配置错误的简便方法的需求，Microsoft 开发了 Microsoft 基准安全分析器(MBSA)。

MBSA Version 1.2 包括可执行本地或远程 Windows 系统扫描的图形和命令行界面。MBSA 运行在 Windows 2000 和 Windows XP 系统上，并可以扫描下列产品，以发现常见的系统配置错误：Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003、Internet Information Server（IIS）、SQL Server、Internet Explorer 和 Office。MBSA 1.2 还可扫描下列产品，以发现缺少哪些安全更新：Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003、IIS、SQL Server、IE、Exchange Server、Windows Media Player、Microsoft Data Access Components（MDAC）、MSXML、Microsoft Virtual Machine、Commerce Server、Content Management Server、BizTalk Server、Host Integration Server 和 Office。

本页内容
立即下载
MBSA V1.2 的新增功能
常见问题解答（FAQ）
MBSA 白皮书
其他资源

立即下载
有下列版本的 MBSA 可供下载：

英文：http://download.microsoft.com/do ... a8/MBSASetup-en.msi

法文：http://download.microsoft.com/do ... 85/MBSASetup-fr.msi

德文：http://download.microsoft.com/do ... 03/MBSASetup-de.msi

日文：http://download.microsoft.com/do ... 35/MBSASetup-ja.msi

重要下载说明
注意：在执行该工具之前，请查看 readme.txt 文件。readme.txt 文件包含关于系统要求、扫描选项和工具支持选项的重要信息。

可以选择“在当前位置运行此程序”以立即开始安装，也可以选择“将此程序保存到磁盘”，将此程序复制到您的计算机上以备日后安装。

返回页首
MBSA V1.2 的新增功能
下面是 MBSA 1.2 中可用的新增功能，MBSA 白皮书对其进行了详细的描述。

本地化：

• MBSA 目前提供德文、日文和法文版本。

• 只要 Microsoft 下载中心中提高了上述语言版本，在扫描到采用德文、日文和法文的计算机时，mssecure.xml 文件将本地化为这四种语言，并自动下载供该工具使用。


其他产品支持：

• MBSA 可以扫描下列产品，以发现安全更新：

• Microsoft Office（只能进行本地扫描；请参见产品列表）

• Exchange Server 2003

• MDAC 2.5、2.6、2.7 和 2.8

• Microsoft Virtual Machine

• MSXML 2.5、2.6、3.0 和 4.0

• BizTalk Server 2000、2002 和 2004

• Commerce Server 2000 和 2002

• Content Management Server 2001 和 2002

• Host Integration Server 2000、2004 和 SNA Server 4.0



备用文件版本支持（允许在安全更新扫描时检查多组文件的详细信息）

其他配置检查：

• Internet Connection Firewall 配置检查

• Automatic Updates 配置检查

• IE 区域配置检查（自定义 IE 区域解释、面向 Windows Server 2003 的 Internet Explorer 增强安全配置检查）

• MBSA 工具版本检查（针对 MBSA 的新版本）


其他 MBSA CLI 开关函数（-unicode、-nvc）

返回页首
常见问题解答（FAQ）
请参考 MBSA 问答，以获得关于 MBSA 和其他 Microsoft 安全工具的常见问题解答：http://www.microsoft.com/technet/security/tools/mbsaqa.mspx [英文]。

返回页首
MBSA 白皮书
访问 MBSA 白皮书http://www.microsoft.com/china/technet/security/tools/mbsawp.mspx。

返回页首
其他资源
• 支持网络广播：漏洞评估与 Microsoft 基线安全分析器 [英文]

• 更多信息（关于 V1.2 中的新增功能、扫描选项和漏洞修补程序）—http://support.microsoft.com/def ... ;320454&sd=tech [英文]

• 可供下载的技术白皮书：http://www.microsoft.com/china/technet/security/tools/mbsawp.mspx

• HFNetChk 由 Shavlik Technologies 为 Microsoft 而开发（http://www.shavlik.com/ [英文]）

[ Last edited by 小天涯 on 2004-8-30 at 11:39 ][/sell]