在单位局域网环境中,终端系统的随意性和复杂性往往较强,由终端系统存在的各种漏洞引起的安全问题,常常让人防不胜防。很多病毒木马程序,常常紧盯系统漏洞,实施各种非法攻击,而安装更新漏洞补丁,就是为了修补系统薄弱环节的,所以,及时升级补丁程序是十分重要的。
有道是“没有不透风的墙”,即使计算机安装使用了最新版本的Windows系统,这也不能说明自己的计算机安全已经无懈可击了,我们仍然要继续时刻关注最新发布的漏洞补丁,因为再强大的Windows系统,也会每隔一段时间,发布各种漏洞补丁程序。我们只有在第一时间,下载升级最新的补丁程序,将最新发现的系统漏洞及时堵住,才能避免病毒木马程序或黑客、入侵者通过系统漏洞,进入系统或单位网络内部,给单位或个人造成不可估量的损失。
认识升级补丁重要性
在单位局域网环境中,终端系统的随意性和复杂性往往较强,由终端系统存在的各种漏洞引起的安全问题,常常让人防不胜防。很多病毒木马程序,常常紧盯系统漏洞,实施各种非法攻击,而安装更新漏洞补丁,就是为了修补系统薄弱环节的,所以,及时升级补丁程序是十分重要的。
及时升级漏洞补丁,可以远离各种恶意入侵。现在,大多数黑客入侵终端主机或服务器,都是先通过专业的漏洞扫描工具,寻找获得被攻击目标的系统漏洞,之后通过专门的入侵工具,沿着漏洞通道进行非法攻击,最后预留下攻击后门,以便日后通过该后门对被攻击目标进行监控或数据窃取操作。一旦为终端主机或服务器及时升级补丁程序后,非法攻击通道就会被自动切断,那么入侵者就没有任何攻击机会了。
及时升级漏洞补丁,可以拒绝多数网站攻击。很多单位的Web网站动辄就被攻击瘫痪,主要就是黑客或木马程序通过Web漏洞进行攻击引起的,不管是跨站脚本攻击,还是SQL注入,不管是网站挂马,还是CGI攻击,无一例外都是通过网站漏洞实施的。因此,当将Web网站的所有漏洞全部堵上时,各种形式的攻击都将无法进行,那么病毒或黑客攻击Web网站的机率就会大大降低。
及时升级漏洞补丁,可以预防流行病毒感染。目前,系统漏洞已经成为病毒木马程序,感染终端系统或服务器系统的重要途径,给单位网络造成巨大影响的狙击波、震荡波、冲击波等流行病毒,几乎都是利用的系统漏洞。这些流行病毒在实施攻击时,首先会将漏洞代码发送给终端或服务器系统,强制其产生缓冲区溢出,并执行病毒代码内容,进行恶意传播扩散,最后要求计算机系统频繁重新启动。当及时为终端或服务器系统打上补丁后,流行病毒就无法向攻击目标发送漏洞代码,那么它们就没有机会感染入侵终端或服务器系统了。此外,及时升级系统补丁,也能改善系统与程序、程序与程序之间的相互兼容性,提升系统或程序的运行稳定性。
升级补丁的注意事项尽管越来越多的网络管理员开始认识到及时升级补丁的重要性,不过面对层出不穷的漏洞补丁程序,这些管理员在升级漏洞补丁时,常常不得要领,最终不但没有提升系统安全防范能力,而且还影响了终端系统或服务器系统的运行效率。为了能让漏洞补丁程序发挥出应有的作用,我们需要注意下面一些升级事项。第一、要按需升级漏洞补丁。很多网络管理员在升级补丁时,几乎是逢漏必补,微软官方网站中只要一有漏洞补丁发布,他们就会在第一时间照单全收,这种宁多勿缺的态度其实是完全没有必要的,因为并不是任何补丁程序都适合自己。例如,对于一些普通的终端系统来说,那些用于弥补服务器系统漏洞的补丁程序,自然就不适合了,如果一股脑地将它们下载安装起来,既会消耗宝贵的系统资源,又容易引发一些兼容性方面的故障,实在是好心干坏事。
第二、要选用合适升级方式。一般来说,网络管理员都会使用Windows系统的WindowsUpdate功能,定期对系统漏洞补丁程序进行自动在线升级,可是这种升级方式,有时无法正确安装一些特定编号的补丁程序。遇到这种特殊情况时,不妨在Google或百度搜索引擎中搜索这个补丁编号,从搜索结果中找到网址是微软官方站点的那一条,点击之后会发现所有不同类型操作系统以及不同语言的特定补丁程序(如图1所示),假设本地计算机使用的是Windows7系统,那么我们就要下载对应系统版本的漏洞补丁程序,之后尝试手工安装就能解决问题。
第三、要重视漏洞补丁测试。考虑到局限性方面的原因,一些漏洞补丁程序在设计过程中,可能存在一定的不足,即使补丁程序自身很完美,还可能与实际应用环境存在兼容性方面的问题,所以贸然升级补丁程序,容易造成普通终端或服务器系统工作不稳定。微软在正式发布补丁之前,由于各方面的原因,不可能对所有的工作环境和操作系统进行针对性测试,这就要求我们在正式安装使用漏洞补丁程序之前,重视对补丁程序的测试操作,防止新升级的补丁程序,与现有系统环境下的业务系统或应用软件之间发生冲突。在进行补丁测试时,首先要从官方网站中下载获取补丁程序,倘若漏洞补丁程序支持校验操作,那么一定要进行安全校验,以检验补丁程序的安全性和可靠性,防止恶意用户篡改补丁程序。在测试过程中,一旦发现存在问题,应该及时进行分析,以弄清楚问题发生的原因,以便快速解决问题。要是不能解决问题,应该将发生问题的环境记录下来,并进行反复验证,当确认是操作环境和补丁程序存在冲突时,应该第一时间反馈给开发商。除了要测试补丁,还要测试已有系统的可用性,重点测试系统的剩余空间是否够用,以防止在升级补丁程序时,由于系统空间不足引起升级操作半途而废。为了安全起见,建议大家每次升级补丁程序之前,都要登录相关网站,认真查阅说明材料,确认漏洞补丁的类别和等级,每次安装更新完补丁程序后,都要做好跟踪、监控、确认、检查,一旦发现补丁程序不适合时,要及时采取应急措施,保证现有业务系统的运行稳定。
实现自动升级补丁第四、不过分迷恋补丁程序。及时升级补丁程序,是单位网络安全管理的一个重要内容,不过升级完补丁程序后,并不能说明安全问题以后就不要考虑了。尽管一些补丁程序确实能切断病毒木马攻击通道,不过补丁开发厂商的认知水平是有限的,补丁升级之后,可能还会有更多的系统漏洞会被发现。还有一些补丁程序在开发设计过程中,自身就存在一定的问题,过分迷恋它们,反而会引起更大的安全麻烦。
利用微软公司提供的WSUS,单位局域网可以架设一台内部的补丁更新服务器,让所有终端或服务器系统到该服务器中,下载升级补丁程序,这样能有效提升补丁升级效率。要做到这一点,必须要先从微软官方网站中下载安装WSUS程序,并确保在WindowsServer2003系统中安装SQL组件。在WSUS程序安装过程中,大家可以按需选择更新源,要是将“本地存储更新”选中(如图2所示),那么更新就会保存在WSUS服务器中,这时需要指定一个存储更新位置,要是没有选中“本地存储更新”选项,那么终端系统日后将会连接到MicrosoftUpdate,以进行升级更新。
当安装向导要求设置“数据库选项”时,只要将管理WSUS数据库的软件选择好即可。如果WindowsServer2003服务器系统中已经安装了SQL数据库,那么建议大家选中“使用该计算机上现有的数据库服务器”选项,之后正确输入已有的SQL实例名称。在“网站选择”上,建议大家选中“使用现有IIS默认网站(推荐)”选项(如图3所示),强制WSUS控制台共享使用服务器系统中已有的IIS站点。
之后,根据向导提示,结合单位网络实际情况,设置好其他参数,再点击“下一步”按钮,开始进行WSUS程序的安装操作。安装任务结束后,我们会看到一个自动启动配置向导,依照提示定义好代理服务器、选择产品和分类以及配置好同步计划。当然,我们也可以跳过配置向导,日后通过WSUS服务器管理页面进行随时配置。
完成WSUS服务器的架设配置任务后,我们还需要对终端系统进行配置,因为普通的终端系统在缺省状态下,会从微软官方网站的Update服务器中下载安装补丁程序,我们需要通过合适设置,强制终端系统从WSUS服务器下载安装补丁程序。只要依次点击“开始”|“运行”命令,弹出系统运行对话框,在其中执行“gpedit.msc”命令,切换到系统组策略控制台界面。在该控制台界面的左侧列表中,依次跳转到“本地计算机策略”|“计算机配置”|“管理模板”节点上,用鼠标右键单击该节点,选择右键菜单中的“添加删除模板”命令,如图4所示。在其后弹出的设置对话框中,导入“Wuau”模板文件,并点击“添加”按钮,将其添加到当前策略模板中。接着跳转到“本地计算机策略”|“计算机配置”|“管理模板”|“Windows组件”|“WindowsUpdate”节点上,用鼠标双击该节点下的“配置自动更新”组策略,打开如图5所示的组策略属性对话框,选中“已启用”选项,同时设置好自动更新补丁类型,确认后保存设置操作。
再次定位到“本地计算机策略”|“计算机配置”|“管理模板”|“Windows组件”|“WindowsUpdate”节点上,找到该节点下的“指定IntranetMicrosoft更新服务位置”选项,并用鼠标双击之,弹出如图6所示的选项设置对话框,选择“已启用”选项,同时将之前架设的单位局域网WSUS服务器的IP地址或主机名称添加进来,单击“确定”按钮退出设置对话框。
最后依次单击“开始”|“运行”命令,弹出系统运行对话框,在其中执行“cmd”命令,切换到DOS命令行工作窗口,在该窗口命令行提示符下,执行“wuauclt.exe/detectnow”命令来开启更新就可以了。这样,普通终端系统日后就能连接单位局域网中的WSUS服务器,在系统后台悄悄进行补丁升级和安装操作了,整个过程用户是不容易觉察到的,只有从服务器的管理界面中,才能了解到补丁程序升级进度。
避免补丁升级黑屏
微软的黑屏风波问题,让很多用户选择了关闭Windows系统自动更新功能,这无疑会给病毒木马程序攻击带来很多机会。为了避免黑屏现象,很多用户不得已开始选用“360安全卫士”之类的第三方软件,进行补丁下载安装操作,不过这种升级补丁方式,无法在第一时间知道是否有最新补丁可以下载。其实,微软之所以能够黑用户的屏,主要是先下载安装一个WGA和OGA的验证通知,而该操作是利用微软的自动更新功能来实现的。如果我们能通过合适设置,不让自动更新功能下载安装WGA和OGA的验证通知,就能避免补丁升级黑屏,并能继续利用微软自动更新功能,及时升级安装漏洞补丁程序了,下面就是具体的设置步骤:
首先用鼠标右键系统桌面上的“我的电脑”图标,选择右键菜单中的“属性”命令,展开系统属性对话框,选择“自动更新”标签,切换到如图7所示的选项设置页面,选中这里的“有可用下载时通知我,但是不要自动下载或安装更新”选项,单击“确定”按钮保存设置操作。
日后,当Windows系统出现自动更新提示时,双击系统托盘区域处的黄色盾牌标志,这样系统会告诉用户找到了系统更新,我们不能直接点击“安装”按钮进行安装操作,而应该将“自定义安装”选项选中,这时就能看到待下载的漏洞补丁程序列表了,从中将与WGA和OGA验证通知有关的补丁程序取消选中,再点击“安装”按钮,随后系统会弹出提示对话框,询问用户是否始终不再提示更新对应补丁程序,确认后我们就能继续使用自动更新功能,快速准确进行升级补丁操作了,而这种升级方式不会发生黑屏现象!巧妙封装最新补丁
为了保证Windows系统能够始终稳定运行,很多用户都在系统工作正常的时候,将其制作成了GHO镜像文件。然而,每隔一段时间,用户可能会从微软官方网站中,定期下载升级最新补丁,以确保系统运行安全,可这么一来,每次由于故障恢复系统后,都需要用户重新升级补丁,之后再重复将系统制作成GHO映像文件,这显然很麻烦。为了避免反复制作GHO映像文件,我们可以利用GhostEXP映像浏览器,巧妙将最新发布的漏洞补丁程序,添加封装到GHO映像文件:首先开启GhostEXP工具的运行状态,依次单击“文件”|“打开”命令,弹出文件打开对话框,将要导入最新发布补丁的GHO映像文件打开。之后,在对应程序界面左侧列表中,将鼠标定位到“DocumentsAndSettings”|“AllUsers”|“开始菜单”|“程序”|“启动”节点上,用鼠标右键单击“启动”选项,执行快捷菜单中的“添加”命令,在其后出现的文件添加对话框中,将下载获得的最新发布补丁程序文件选中并导入进来。
成功导入文件后,再从对应程序界面中的“文件”下拉菜单中,点击“恢复”命令,对GHO映像文件的修改操作执行保存。这样一来,日后再次对Windows系统执行恢复操作时,会在恢复操作成功后第一次启动运行时,就能自动安装升级最新发布的补丁程序,而不需要使用手工方法重复安装补丁程序了。当然,在自动升级好补丁程序后,我们应该记得及时从系统“启动”菜单中,删除补丁启动项。
拒绝频繁升级提示
利用Windows系统自动更新功能,升级好补丁程序后,该功能常常会频繁弹出提示,要求用户对计算机系统进行重新启动操作。尽管用户可以选择暂时不重启系统,可是在缺省状态下,该功能将每隔十分钟,弹出一次重新启动提示框,要求用户及时启动系统,这很容易干扰用户正在进行的重要工作,怎样拒绝系统更新的重启提示呢?很简单!只要进行下面的设置操作,就能拒绝Windows系统自动更新功能频繁弹出升级提示:
首先逐一点击“开始”|“运行”选项,弹出系统运行对话框,在其中执行“gpedit.msc”命令,展开系统组策略控制台窗口。在该窗口左侧列表中,依次跳转到“本地计算机策略”|“计算机配置”|“管理模板”|“Windows组件”|“WindowsUpdate”节点上,找到该节点下面的“对计划的安装再次提示重新启动”选项。
其次用鼠标双击该组策略选项,弹出如图8所示的选项设置对话框,将“已启用”选项选中,在“等待时间”设置项处,将缺省的10分钟调整为更长的时间,比方说可以输入240分钟,确认后退出设置对话框,这样计算机系统会每隔4小时,才会出现重新启动系统提示信息。
如果想直接禁止提示信息出现时,我们也可以在系统组策略控制台窗口左侧区域,依次跳转到“本地计算机策略”|“计算机配置”|“管理模板”|“Windows组件”|“WindowsUpdate”节点上,双击该节点下的“计划的自动更新安装后不自动重启动”选项,在对应选项设置框中,选择“已启用”选项,确认后保存设置即可。