現(xiàn)在發(fā)現(xiàn)的Windows漏洞越來越多，特別是一些重大漏洞可能會造成整個網(wǎng)絡癱瘓，雖說我們可以使用Windows XP/2000自帶的Windows Updata進行在線升級，但是對于機房、公司中大批量的電腦升級就沒有那么容易了，特別是在局域網(wǎng)的出帶寬較小或者不方便上網(wǎng)的情況下升級非常麻煩，令管理員非常頭痛。現(xiàn)在微軟為我們準備了合適的解決方法，那就是SUS（Software Update Service軟件升級服務器）。通過SUS可以在局域網(wǎng)中建立一個Windows升級服務器，以后局域網(wǎng)中的電腦就可以通過這個服務器來升級。提示：目前SUS只能給客戶端提供Windows操作系統(tǒng)和IE瀏覽器的關(guān)鍵更新和操作系統(tǒng)的Service Pack，還不能為Office或者其他微軟軟件提供更新服務。而且所有的更新活動都是通過Windows后臺自動更新進行的，不需要任何人的干預，非常方便。服務器端的安裝：對于服務器端，推薦配置：主頻不低于700MHz的處理器，512MB以上的內(nèi)存，6GB以上的硬盤空間；而軟件的要求是：Windows 2000 Server或者Windows Server 2003，IIS5或者IIS 6，IE 5.5以上版本。提示：該配置是按照15000臺計算機提供升級服務而推薦的，如果你局域網(wǎng)中的機器比較少那么服務器配置可以相應降低。在安裝之前服務器上首先要安裝和配置好IIS，安裝SUS的服務器端，安裝過程很簡單，一切按照默認設(shè)置就可以。隨后開始對SUS進行設(shè)置，這里有兩種方法，本地設(shè)置或者遠程設(shè)置。本地設(shè)置的話可以在“控制面板/管理工具”中雙擊“microsoft Software Update Services”；遠程設(shè)置可以隨便使用一臺安裝了IE5.5的計算機，然后在IE的地址欄中輸入http://IP/susadmin，回車后需要輸入SUS服務器所在電腦上具有管理員權(quán)限的用戶賬戶和密碼，然后就可以看到（如圖1）的管理界面。

首先在左側(cè)的列表中點擊“Set Options（操作設(shè)置）”對服務器進行設(shè)置，這里我們有以下幾點需要注意：Select which server to synchronize content from（選擇服務同步源），這個選項可以讓你設(shè)置SUS服務器更新的源，如果你的網(wǎng)絡中有多臺SUS服務器，那么你可以讓其他服務器都跟一臺同步，這樣速度要快很多，但是如果你的網(wǎng)絡中只有一臺SUS服務器，那你就只能設(shè)置“Synchronize directly from the Microsoft Windows Update servers（直接跟微軟的Windows Update 服務器同步）”了。Select how you want to handle new versions of previously approved updates（選擇你發(fā)布新補丁的方式），這個選項可以選擇新補丁的發(fā)布方式，如果你覺得每個新補丁在發(fā)布到自己的網(wǎng)絡之前都應該經(jīng)過仔細測試，那么可以選擇“Do not automatically approve new versions of approved updates. I will manually approve these updates later（不自動發(fā)布，手動發(fā)布）”，這樣每當同步出一個新的補丁后這個補丁還不能立刻被你的客戶端下載到，而是先由你進行有效的測試，當你認為這個補丁沒問題后，才可以發(fā)布到網(wǎng)絡中去。這樣可以防止某些更新會和局域網(wǎng)使用的軟件沖突。Synchronize installation packages only for these locales（僅僅同步以下語言版本的補丁），這個選項你尤其要注意，默認情況下SUS服務器會把微軟那里所有語種的補丁程序都下載回來，如果網(wǎng)絡中只有簡體中文版的系統(tǒng)或者其他語種，那么就沒必要花費額外的時間來下載這些你并不需要的語種補丁，能節(jié)省不少硬盤空間。設(shè)置好后點擊頁面右下角的“Apply（應用）”按鈕，這些設(shè)置就可以生效了。接著從左側(cè)的列表中點擊“Synchronize server（同步服務器）”鏈接，你能看見（圖2）的界面，在這里可以指定SUS立刻跟其他服務器保持同步。

另外，這里可以設(shè)定同步計劃，這樣你可以設(shè)置服務器在每天晚上進行同步工作，因為這時候網(wǎng)絡的利用率最低，不會影響到其他人。點擊“Synchronization Schedule（同步計劃）”按鈕，這時會彈出一個窗口，在這里你可以設(shè)置同步的時間、頻率以及重試次數(shù)等。如果點擊“Synchronize Now”按鈕，則會立刻開始同步。第一次同步的過程會很漫長，這取決于網(wǎng)速和下載的補丁的數(shù)量。如果設(shè)置了發(fā)布補丁前進行測試，并且也測試過了所有補丁，那么現(xiàn)在要把它們發(fā)布到局域網(wǎng)中去。點擊左側(cè)的“Approve updates（發(fā)布更新）”鏈接，可以看見（圖3）的界面。所有還沒有被批準的補丁后面都用紅色的“New”做了標記。選中需要批準的補丁前面的復選框，然后點擊右下角的“Approve（發(fā)布）”按鈕，就可以完成批準工作了。

服務器端的設(shè)置完以后，下面開始配置客戶端。SUS對客戶端有一些要求，首先是操作系統(tǒng)，SUS只支持Windows 2000 SP2及以上版本的操作系統(tǒng)，軟件方面，Windows 2000 SP2和Windows XP首先都需要安裝一個SUS的客戶端軟件，而Windows 2000 SP3、Windows XP SP1和Windows Server 2003已經(jīng)自帶了客戶端軟件，不需要額外安裝。如果你的網(wǎng)絡是工作組環(huán)境，那么你需要分別在每臺電腦上設(shè)置SUS客戶端。運行Gpedit.MSC打開組策略編輯器，打開“計算機配置/管理模板”，然后在“管理模板”上點擊鼠標右鍵，選擇“添加/刪除模版”，然后在（圖4）的界面上點擊“添加”按鈕，并找到%windir%inf目錄下的wuau.adm文件，雙擊添加。接著繼續(xù)打開“Windows組件/Windows Update”（這一項只有在安裝了客戶端軟件并添加后才會出現(xiàn)），在窗口右側(cè)會顯示出兩條可用的策略。其中“配置自動更新”可以讓你設(shè)置進行更新的時間和處理方法，“指定企業(yè)內(nèi)部互聯(lián)網(wǎng)…”則用來指定服務器的位置，你可以以“http://服務器名稱”或者“http://服務器IP”的方式輸入。

如果你的網(wǎng)絡中有域控制器且所有計算機都加入了域，那就更簡單了，給需要安裝客戶端的操作系統(tǒng)安裝了客戶端以后，在域控制器上的運行中輸入“dsa.msc”并回車，打開Active Directory用戶和計算機設(shè)置窗口，在要創(chuàng)建策略的OU或者域上點擊鼠標右鍵，選擇“屬性”，然后在屬性窗口中打開“組策略”選項卡，并點擊“新建”按鈕，給新建的策略命名（圖5）。選中新建的組策略，點擊“編輯”按鈕，接著會彈出一個組策略設(shè)置窗口，這跟我們平常運行g(shù)pedit.msc打開窗口很類似，不過這里可以為整個域中的所有計算機設(shè)置組策略。

在這個窗口中依次打開“計算機配置/管理模板/Windows 組件/Windows Update”，然后通過設(shè)置這里的策略就可以給所有登錄域的計算機設(shè)置SUS客戶端的工作參數(shù)。所有的客戶機下次重啟動就會應用這些設(shè)置。客戶端的部署完成了，相信經(jīng)過這樣的部署，你的網(wǎng)絡中計算機打補丁將更方便和迅速，而安全性也能得到很大的提高。