一台计算机在使用过程中,在系统补丁方面可能存在以下问题: 一是计算机已经打了补丁,但却不一定完整,而且在补丁的后续更新方式和更新时间方面存在一定的问题; 二是计算机根本就没有打补丁,因而存在较多的安全隐患,当然最新发布的后续漏洞补丁就更没有处理了。 目前处理漏洞补丁的常用方法是通过漏洞扫描工具软件,如瑞星杀病毒系统、30安全卫士软件、金山毒霸系统等扫描本机漏洞后,把相应的补丁从互联网下载到本机后运行,给系统打上补丁。这种方法存在以下具体的问题: 首先需要接入互联网,假如计算机是单机使用或是只接入内部局域网,但不能接入互联网的话,这种方法就行不通; 其次,即使计算机能够通过互联网下载补丁,也会使每台计算机都重复下载补丁,已经下载的补丁没有有效利用,形成信息资源的浪费,同时占用了网络带宽、付出时间成本,非凡是当计算机新安装操作系统后,可能会扫描到几十个系统漏洞,每次都下载的话就显得更加费时费力。 因此,有必要利用已有的漏洞扫描工具和已经下载到本地的补丁库资源,不必接入互联网,而是充分利用局域网网络或常用传输介质(如U盘、移动硬盘、光盘等),寻求一种快速、完整、操作简单的打系统补丁的解决方案,笔者通过软件开发和配套使用一些辅助工具软件,进行了实践。 三步实现快速打补丁 第一步,解决快速给系统打补丁的问题。 1. 取得补丁库。利用补丁下载器或一些工具软件自带的补丁库自动下载功能,把多种操作系统的补丁库一次性分别下载到本地。 2. 获取需要打补丁计算机的漏洞扫描报告。找到能够单独运行的最新版本瑞星漏洞扫描程序,瑞星漏洞扫描程序运行后对计算机进行具体的漏洞扫描并生成漏洞扫描报告,漏洞扫描报告包含了该计算机具体的漏洞和对应的补丁文件名字,可以利用“导出报告”功能把漏洞扫描报告转出去以便下一步处理。 3. 自编程序,根据计算机漏洞扫描报告中涉及到的漏洞和对应的补丁文件名字,逐一进行处理,生成带运行参数的补丁文件批处理程序,设置的参数可以实现无需人工干预而自动安装完成,安装后不重启计算机以便多个补丁文件自动按照顺序执行安装工作。 4. 运行刚才生成的补丁文件批处理程序,每个补丁文件根据补丁库所在实际路径进行调用、运行,实现打补丁。 第二步,解决补丁的完整性问题。 由于只依靠瑞星系统进行漏洞扫描和打补丁,其扫描到的漏洞是不完整的,需要进行补充,可以另在一台计算机上安装360安全卫士软件、金山毒霸等其他一些漏洞扫描工具进一步查找计算机还存在的其他一些漏洞,根据扫描报告中的漏洞和对应的补丁文件名字,一次性单独下载补丁库并制作相应的带运行参数的补充补丁文件批处理程序,以后使用时直接运行补充补丁文件批处理程序即可实现遗漏补丁的补充工作。 第一步和第二步所做工作全部包含在一个主批处理程序中,只需运行主批处理程序和简单操作即可实现一次性给计算机打完补丁的目标。 第三步,解决最新发布的后续补丁的问题。 对于微软最新发布的补丁,可以通过以下方法解决。笔者使用微软专用于补丁升级的中文版WSUS3.0软件。把中文版WSUS 3.0软件安装在一台计算机上作为WSUS服务器,通过该补丁升级服务器在微软官方网站下载补丁程序,另外在需要打补丁的客户端计算机上做简单配置,具体如下: 运行gpedit.msc命令,把Wuau模板加入到“当前策略模板”,再对“Windows update”项目做“配置自动更新”启动选定和“指定Intranet Microsoft更新服务位置”设定到本地WSUS服务器的I P地址,最后运行 wuauclt.exe /detectnow 命令启动注册即可,以后需要打补丁的计算机会收到WSUS服务器分发的补丁并自动安装,这种方法能最及时地获取最新补丁,而且支持全部微软操作系统。 使用效果 1. 实现补丁库的一次下载,重复使用,并可以借助多种传输介质,如U盘、移动硬盘、光盘、网络共享等来存储和处理已下载的补丁库。 2. 不需要接入互联网,可单机和在局域网内对计算机进行处理,减轻了网络带宽负担。 3. 对微软多种操作系统都可以处理,如Windows XP、Windows 2000、Windows 2003等。 4. 独立性强,能随时在需要的时候独立进行打补丁。 |