Windows批量升级补丁方法

2023年12月29日发(作者：)

Windows批量升级补丁方法(1)

2006-11-28 17:38 我要评论()



摘要：为了保证单位局域网的安全运行，防止病毒、木马利用Windows系统漏洞进行攻击和传播，定期为客户机安装最新的补丁修复程序。



标签：Windows 补丁 升级 批量 Windows Update 安装 SUS Software Update Services



为了保证单位局域网的安全运行，防止病毒、木马利用Windows系统漏洞进行攻击和传播，定期为客户机安装最新的补丁修复程序。但随着网络规模的不断扩大，客户机数目俱增，靠一人之力无法完成全部客户机的补丁安装任务。虽然告诉同事们如何登录微软“Windows Update”网站，或使用Windows Update服务安装最新的补丁程序，但大部分同事还是“门外汉”，经常碰到不能安装补丁的问题。

单位局域网中有120台左右的机器，通过硬件路由器接入互联网，并且都是采用Windows2000或以上版本的操作系统，工作组运行环境。了解到此情况后，建议使用Microsoft

Software Update Services(简称SUS)，在局域网中部署一台“SUS服务器”，为客户机提供补丁发放服务，这样用户就不再需要使用微软的“Windows Update”服务了，通过局域网中的SUS服务器，就能完成Windows补丁安装工作，并且安装过程是全自动的，不需要用户进行干预。

Software Update Services(SUS) 系统

SUS Server(服务器端):

软件大小:33009 KB

软件类型:免费软件

运行环境:Windows 2000 Server+ SP2及以上版本、Windows Server 2003

SUS Client(客户端):

软件大小:998KB

软件类型:免费软件

运行环境:Windows 2000 +SP2及以上版本/XP/2003

提示:SUS分为服务器端和客户端，服务器端只推出英文版和日文版，能同时为15,000个用户提供升级服务;客户端则支持包括中文版在内的24种语言版本。SUS server能为

Windows 2000 +SP2及以上版本、 Windows XP 、Windows 2003系统提供升级服务，但不支持Windows 98和Windows NT系统。此外SUS不提供除操作系统以外的其它微软产品的升级，如SQL Server、Exchange Server等。

一、准备工作

在安装、配置SUS Server之前，首先为它选择合适的硬件和软件平台。推荐的硬件配置为“700MHz主频以上的CPU，512MB以上内存，6GB以上的剩余硬盘空间”，SUS Server需要Windows 2000 Server+ SP2及以上版本、Windows Server 2003服务器操作系统支持，此外还要IIS 5/6服务器、IE 5.5浏览器以上版本的支持。

SUS Client对硬件平台没特殊要求，但采用的操作系统必须是Windows 2000 +SP2及以上版本/XP/2003，不支持Windows 98和Windows NT。

提示:对于客户端为Windows 2000 +SP2、Windows XP系统，则需要安装SUS Client程序;而Windows 2000+ SP3、Windows XP +SP1(SP2) 及以上版本和Windows Server 2003，就不需要安装SUS Client，该程序已包含在系统中。

二、SUS Server部署

1、服务器端平台选择

首先为SUS Server选择服务器平台，因为客户机数目并不太多，所以服务器的硬件配置不需要太高。选择局域网内的一台浪潮服务器，它的硬件配置为:P4 2.0G CPU，512MB ECC内存，40G SCSI硬盘，并且此服务器中安装了Windows Server 2003操作系统，所有分区都采用了NTFS文件系统。

2、安装IIS服务

Windows Server 2003默认是不安装IIS服务的，但SUS Server需要IIS的支持才能正常运行，因此要手工安装该服务。

在Win2003服务器中，点击“开始→设置→控制面板”选项，运行“添加或删除程序”，在弹出的窗口中切换到“添加/删除Windows组件”页。然后在“Windows组件向导”对话框中选中“应用程序服务器”选项，点击下方的“详细信息”按钮，在弹出的对话框中选中“Internet信息服务(IIS)”组件，点击“确定”按钮。最后在“组件向导”对话框中一路点击“下一步”，完成IIS组件的安装。

提示:建议不要在SUS Server服务器中向用户提供IIS服务，IIS的运行最好只是为SUS

Server提供服务。这是因为安装SUS Server时，同时会为系统安装IIS Lockdown Tool工具，它可能会导致其它用户不能正常访问IIS网站。

3、安装、配置SUS Server

(1).安装SUS Server

完成了IIS的安装后，就开始安装配置SUS Server了。下载SUS Server英文版进行安装，过程非常简单，建议选择“典型”方式，接着一路“Next”后就完成安装，最后弹出SUS Server配置管理页面。

提示:安装SUS Server和保存补丁文件的硬盘分区都必须是NTFS文件系统，否则就会出现错误提示，不能成功安装。

(2).SUS Server参数配置

使用的是典型安装方式，完成后SUS Server还不能提供补丁服务，需要进一步进行配置才行。

在Win2003服务器中，进入到“控制面板->管理工具”，运行“Microsoft Software Update

Services”工具。接着在登录对话框中输入管理员帐号和密码，点击“确定”后，就登录SUS服务器管理页面。

提示:除了在本地管理配置SUS Server外，还可以对它进行远程配置，在远端客户机中运行IE浏览器，在地址栏中输入“ SUS Server的IP地址/SUSAdmin/”，回车后，输入管理员帐号和密码即可。

在SUS Server管理页面左框点击“Other Options”下的“Set Options”链接，接着在右框中就能对SUS Server参数进行配置了。

Windows批量升级补丁方法(2)

2006-11-28 17:38 我要评论()



摘要：为了保证单位局域网的安全运行，防止病毒、木马利用Windows系统漏洞进行攻击和传播，定期为客户机安装最新的补丁修复程序。



标签：Windows 补丁 升级 批量 Windows Update 安装 SUS Software Update Services



A、代理服务器配置

在“Select a proxy server configuration”中对SUS Server的代理服务器参数进行设置，如果SUS Server是直接或通过路由器接入互联网，一定要选择“Automatically detect proxy server

settings”项，如果是通过代理服务器的话，要选择“Use the following proxy server to access the

Internet”项，并在输入框中填上代理的IP地址和端口号。

B、指定服务器名

接着在“Specify the name your clients use to locate this update server”栏中为SUS Server起一个好记的名称，如机器名“TJRAO”，这样客户机就可以通过机器名来访问SUS Server了。

提示:如果客户机无法解析NetBIOS名字，这里就要使用DNS名或IP地址来代替机器名了。

C、同步内容配置

在“Select which server to synchronize content from”中设置补丁内容的来源，因为就部署这一台SUS Server服务器，必须与微软的补丁服务器同步，选择“Synchronize directly from the

Microsoft Windows Update servers”项。

提示:如果局域网中部署了多台SUS Server，都和微软补丁服务器同步未免浪费大量带宽和时间，只需要其中一台和微软补丁服务器同步，其它的SUS Server和本地的此台SUS

Server同步即可。这时就要选中“Synchronize from a local Software Update Services server”项，在输入框中填入目标SUS Server的机器名或者IP地址。

在“Select where you want to store updates”栏中设置保存补丁文件的方式，建议选择“Save

the updates to a local folder”项，这样就可以只同步你需要语种的补丁，避免浪费，如只选择同步“Chinese Simplified(简体中文)”，其它参数使用默认值即可，最后点击“Apply”按钮。

(3).同步操作

完成SUS Server参数配置后，就可以进行同步工作，下载用户需要的补丁文件。在管理页面左框点击“Synchronize server”项，接着点击右框的“Synchronize Now”按钮，开始同步工作。

提示:由于受到网络带宽和补丁文件大小的限制，同步工作需要一个漫长的过程。建议选择自动同步，点击“Synchronization Schedule” 按钮，在配置对话框中选择“Synchronize

using this schedule”项，设置好同步的日期和时间，建议在凌晨进行同步工作。

(4).发布操作

同步完成后，SUS Server默认并不立即为用户发布补丁文件，当测试补丁没有问题后，才进行手工发布。在管理页面左框点击“Approve updates”按钮，右框显示下载的补丁文件。如果某些补丁测试正常，想进行发布，选中补丁文件前的复选框，点击“Approve”按钮按钮。

然后同意最终用户许可协议后，完成这些补丁的发布工作。这样，就完成了SUS Server的配置。

三、SUS Client配置

以上完成了SUS Server的配置，现在还需要为客户机配置SUS Client，才能使用SUS

Server提供的升级服务。由于管理的局域网是工作组环境，所以介绍针对工作组环境的SUS

Client配置。

1、是否安装SUS Client

客户机是否要安装SUS Client程序，取决于它采用了哪种操作系统和安装的修复补丁，对于Windows 2000+ SP2和Windows XP的用户，是必须安装SUS Client的。而Windows

2000+ SP3、Windows XP +SP1及其以上版本 和Windows Server 2003的用户则不需要安装，因为系统中已经内置了SUS Client。

2、合理配置SUS Client

A、添加模板

完成SUS Client安装后，还需要对其进行配置。在客户机上，点击“开始→运行”，输入“”后回车，弹出组策略编辑器，依次展开“计算机配置→管理模板”，右键点击“管理模板”后，选择“添加/删除模版”，在“添加/删除模版”对话框中点击“添加”。

找到“x:windowsinf”目录下的“”(x表示windows的系统盘，默认为C)，双击该文件，完成模板的添加。

B、配置组策略

接着依次展开“计算机配置→管理模板→Windows组件→Windows Update”，在右栏中双击“配置自动更新”策略，在属性对话框中配置更新时间和处理方法，选择“已启用”选项，在“配置自动更新”下拉列框中选择“4-自动下载并计划安装”，接着在下面的“计划安装日期”和“计划安装时间”中设置合适的日期和时间，最后点击“确定”。

打开“指定企业内部互联网Windows Update服务位置”策略，选择“已启用”，接着在输入框中指定SUS服务器的位置，可以使用SUS Server机器名或IP地址，最后点击“确定”。

接下来按照上面的方法为局域网中每台客户机配置SUS Client。配置完成后，所有的客户机就可以按照指定的设置，自动连接到SUS Server进行更新，并且所有的更新操作均在后台自动进行的，不需要人为干预。

提示:在工作组环境中，要手工为每台客户机进行SUS Client配置，虽然麻烦些，但对于小型局域网来说还是可以接受的。如果你网络规模较大，建议采用域环境，这样就只需要在域控制器中进行域组策略配置即可，免去了配置客户机的麻烦。

通过以上几步，就完成了SUS系统在局域网中的部署，以后升级就变得非常方便了，即使客户机被限制不能上网，只要SUS Server正常连接到互联网中，升级操作一样不受影响，从此再也不用为Windows升级发愁了。

另辟蹊径 用迅雷打造系统补丁服务器

【桓文】培训包就业 考试包通过 NA599

21世纪IT人才网热门招聘职位

系统集成

系统维护工程师

系统分析员

嵌入式程序开发教程

进入Windows高级工程师的发源地

数据库工程师

高级项目经理

界面设计经理

佚名 2008-9-16

保存本文

推荐给好友

收藏本页

欢迎进入Windows社区论坛，与200万技术人员互动交流 >>进入

访问权限设置

我们平时用的Windows系统有很多漏洞，因此除了安装杀毒软件和防恶软件外给系统打补丁也成了我们的一门必修课。但可惜的是，Windows本身打补丁速度太慢。这时，我们不仅可以利用迅雷来高速打补丁，还可以用它来制作一个补丁服务器，让局域网内的所有用户来使用，大大节约带宽，全面提升系统安全。

第一步：取消简单共享

在局域网内一台机器（做服务器的机器，可以用一台性能还可以的旧电脑）上打开“资源管理器”，单击“工具”→“文件夹选项”→“查看”，把“使用简单文件共享（推荐）”前面的钩去掉（如图1），这为下面共享补丁文件夹和设置权限作准备。

网络收集

图1 不使用简单文件共享

第二步：启用Guest帐号

默认情况下，只有用户正确输入设置好的用户名和密码，才能使用机器上共享文件夹。但我们只是共享补丁库，不必输入用户名和密码，所以我们要启用Guest帐号。

同时右击桌面上“我的电脑”图标，选择“管理”，然后选择“本地用户和组” →“用户”。右击Guest，选择“属性”，在打开窗口中取消“帐户已停用”复选框（如图2）。

图2 启用Guest帐号

第三步：设置以Guest帐号登录

依次选择“控制面板”→“管理工具”→“本地安全策略”，再选择“安全选项”标签。双击其下的“网络访问：本地账户的共享和安全模式”项，将其修改为“仅来宾─本地用户以来宾身份验证”的方式（如图3）。

图3 仅以来宾身份验证

按下Win+R，输入，启动“组策略”。定位到“本地计算机策略”→“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权利指派”，然后双击“拒绝从网络访问这台计算机”项，将Guest用户删除掉（如图4）。

图4 让来宾也能访问这台机器

这样就可以保证别的机器能够以Guest来访问这台机器，而且无须输入密码了。

[1]

[2]

下一页

补丁文件夹设置及共享方式

第四步：设置补丁保存文件夹

先下载并安装迅雷，再下载并安装“迅雷软件助手”。之后启动迅雷5，我们可以看到“系统漏洞修复”项（如图5），单击后会打开迅雷软件助手窗口。单击“设置”链接，在打开窗口中选择“补丁管理策略”下的“备份补丁，以便系统重装后直接使用”单选项，同时将补丁保存文件夹设置为d:＼software＼LeakFix＼hotfix（如图6）。之后，通过它来修复补丁。

图5 启动系统漏洞修复程序

图6 设置补丁保存策略和文件夹

第五步：编写补丁批量应用脚本

打开d:＼software＼LeakFix＼hotfix文件夹，可以看到其中的补丁文件（如图7）。接着按下Win+R，输入notepad，启动“记事本”，输入如下内容：

FOR /r %v IN （office*.exe） DO "%v" /Q

FOR /r %v IN （win*.exe） DO "%v" /quiet /norestart

接着，单击“文件”→“保存”，在打开的“另存为”对话框中输入“d:＼software＼LeakFix＼hotfix＼”（不含引号）。

图7 已经看到补丁

第六步：共享补丁

打开d:＼software＼LeakFix文件夹，右击hotfix文件夹，选择“共享和安全”，在打开窗口中选择“共享此文件夹”（如图8）。

图8 共享补丁文件夹

第七步：批量应用补丁

现在局域网内的用户只要登录到我们设置好的机器上，然后进入hotfix文件夹，将其中所有的文件（夹）拷贝到d:＼patches文件夹下，再双击其中的即可批量应用补丁（如图9）。

图9 正在批量应用补丁

第八步：查漏补缺 保证安全

因为每个人机器上安装的补丁不尽相同，所以在进行上述操作后，最好重新启动系统。再次运行一次迅雷5，重复第四步来再一次执行一次补丁修补工作。当然，你会发现迅雷软件助手检测出来的补丁包少了很多（因为这时很多补丁已经打过了），这样可以大大节省我们的带宽和时间！