WSUS系统补丁升级服务方案

2024年1月5日发(作者：)

WSUS系统补丁升级服务

文档修订记录

版本 日期 准备 批准 修订描述

文档审批信息

审阅人 审阅时间 审阅意见

1、 服务概述

XXX使用最快捷有效的方式对数据中心内的操作系统、常用系统服务以及网XXX全设备进行补丁升级，比如Windows操作系统补丁升级、MS SQL数据库系统补丁升级、防火墙漏洞补丁升级等。对系统补丁升级的工作将经过测试，部署到审核的流程，确保这一过程的准确性、有效性和保障系统安全性。 对windows操作系统和MS SQL的补丁升级将通过部署wsus的方式进行。

2、 服务目标

在确保系统服务器以及网络设备的系统能得到及时的更新的同时将网络中的带宽资源开销减少到最低。确保补丁升级的工作做到及时，高效。

3.网络设备补丁升级方式

对网络设备的补丁升级，XXX将制定统一的安全策略，定期对信息化系统进行风险评估和安全态势分析，分发系统补丁，增强系统的安全防护能力

服务项目 服务内容说明

在用户所提供的测试环境内进行对厂商提供的系统补丁测试及风险补丁进行风险评估、评估后,再对正式测试和安装 运行环境的服务器和网络设备进行补丁安装

网络设备的安全补丁

每月提交安全补丁的安装报告

要求

补丁升级申请

补丁升级执行

服务水平

变更申请表必须通过变更管理系统，并得到有关机构或部门的批准

由有关部门和机构决定执行安装/更新的恰当时间

3.1 网络设备补丁升级的测试和部署

（1）测试系统补丁

对于系统补丁，测试的目标是确保部署补丁后，系统的操作和应用不受影响，且业务不受干扰。为达到这一目标，在部署之前至少必须满足以下的前提条件，且满足之后将其记录下来：

◆ 测试环境可以最大程度地模拟目标平台

◆ 补丁软件更新码成功地传输到目标测试平台上

◆ 补丁软件更新码安装在目标（测试）平台上，且没有明显问题

◆ 目标（测试）平台上以往的功能性操作在安装补丁更新码之后照常运行

◆ 如果出现问题，补丁更新码可以成功删除

如果没有满足任何一个条件，在部署补丁之前都要对易受攻击的系统进行额外的测试。可能需要进行多次重复工作，以确保成功的部署补丁，并降低对受影响的系统带来负面影响的风险。

（2）部署系统补丁

补丁更新码成功通过测试之后，就可以进入实际的部署阶段了。部署方式必须保证部署过程可重复，具有连贯性，可追踪状态，有错误记录，这一过程通常由补丁管理工具实现。

建议采用集中式的补丁升级更新管理方案，升级策略以及增强的系统安全配置策略由中心管理主机下发给其它服务器，保证服务器系统补丁升级及安全配置的完备有效，整个管理过程都是自动完成的。此方案可提高补丁与病毒码升级管理的效率并降低安全风险。

3.2 网络设备补丁升级的审定和核查

核查和回顾检查主要是由流程驱动的。

（1）核查升级的实施

软件安装的复杂性迫使将部署过程和核查过程分离开。部署阶段，根据补丁管理工具或人工检查的反馈信息判断成功和失败。

核查阶段涉及到检查相关文件、软件版本和注册表信息与已经起作用的补丁是否相符。升级的核查过程主要由管理软件执行，除非管理工具无法完成相关任务，由运维人员以手动方式进行检查。

（2）检查升级状态

变更控制管理程序，可以是一个工具、一份报表或是一个表单，在每一步完成之后都应更新。同样，需要生成一个报告记录每一个补丁升级的状态。做为报告的一部分，补丁管理团队需要收到以下信息：

◆ 成功升级的系统数目

◆ 安装失败的系统数目

◆ 失败原因的总结及后续措施

◆ 有关重启系统的报告

◆ 没有参与升级过程的系统数目，这一信息通常以异常报告的形式提供

◆ 介绍这些系统没有安装升级包的原因总结

◆ 升级有效性的报告

上海XXX运维团队将检视与评估各时期的补丁升级部署成效，将这些信息用

于改进补丁管理过程，以确保这一过程的准确性、有效性和保障系统安全性。

4 WSUS系统补丁更新方式

4.1WSUS介绍

Windows 系统补丁管理服务器WSUS（Microsoft® Windows™ Server Update

Services）是微软推出的免费的Windows更新管理服务，除了支持Windows操作系统的更新管理外，还可以支持SQL Server、Exchange 2000/2003、Office

XP/2003等应用程序和应用服务器的更新管理，并且在以后WSUS将实现微软全系列产品的更新管理。

4.2WSUS的优点

对于系统补丁，如果企业的每一台终端更新都通过官网下载补丁，那对于企业的带宽开销是非常大的。如果把补丁下载到一台服务器上，所有的终端通过这台服务器进行系统补丁的更新，这样可以极大的节省企业内部的带宽开销，并且可以对补丁的分发更新进行有效的管理，确保终端系统的稳定性。

4.3 WSUS服务器对软硬件的要求

4.3.1硬件要求

◆ 系统分区和存储WSUS更新文件的分区必须采用NTFS文件系统；

◆ 系统分区至少有1G的可用空间；

◆ 进行本地存储时，存储WSUS更新文件内容的分区至少需要6G可用空间，推荐30G；

◆ 安装WMSDE的分区至少要求有2GB的可用空间。

◆ 应根据服务的客户端数量来决定服务器的硬件配置，对于服务500个客户计算机的WSUS服务器，推荐至少采用 CPU 1G/内存 1G的硬件配置。

4.3.2 软件要求

WSUS服务器只能在Windows 2000服务器或者Windows server 2003上进行安装。在不同的操作系统上进行安装时，WSUS所要求的已安装软件略为不同，在Windows server 2003上进行安装时，要求已安装以下软件：

◆ Internet信息服务（IIS）6.0；

◆ 后台智能传输服务（BITS）2.0；

◆ Microsoft .NET Framework 1.1 Service Pack 1 for Windows Server

2003；

4.4WSUS的部署

(1)单WSUS服务器环境

企业网络中部署一台WSUS服务器，WSUS服务器连接到Microsoft Update来获取更新程序（这一过程称为同步），并分发给企业网络中的客户端计算机。当WSUS服务器和Microsoft Update进行同步时，WSUS会检查Microsoft Update中新的更新程序并进行下载；当第一次进行同步时，WSUS会下载本地设置要求下载的所有更新程序。

WSUS可以对客户端计算机进行分组，在WSUS中内建有两个计算机组：“所有计算机”和“未指定的计算机”。默认情况下，任何一个客户端计算机访问WSUS服务器时，都将被加入到这两个组中。可以创建计算机组，并将客户端计算机从“未指定的计算机”组中移动到创建的计算机组中。使用计算机组可以控制补丁的分发或是对补丁进行测试。

(2)链式WSUS服务器环境

WSUS服务器不仅仅可以从Windows Update中获取更新程序，也可以从其

他WSUS服务器中获取更新程序。当企业网络规模较大时，一台WSUS服务器可能不能满足你的需求，此时你就可以使用多台WSUS服务器组成链式结构。如上图所示，一台WSUS服务器作为上游服务器，一台WSUS服务器作为下游服务器。

(3)与Internet断开的WSUS服务器环境

部署WSUS服务时，并不要求必须连接到Internet。可以从其他连接到Internet的WSUS服务器中导出更新程序数据，再将其导入到WSUS服务器，从而实现WSUS服务器更新程序的同步。