部署WSUS服务（一）

引言：随着网络的发展，我们的生活也越来越离不开网络，但面临的安全威胁也越来越多。像去年爆发的针对Windows系统的勒索病毒（Wanna Cry）和年初爆发的Intel芯片漏洞告诉我们网络威胁时时刻刻存在。在企业中，为了应对病毒威胁，除了杀毒软件和防火墙外，还应及时更新系统补丁，这里就需要应用到WSUS技术对企业局域网中的电脑进行升级。

企业内部可以通过WSUS服务器集中从Microsoft update网站下载更新程序，并且在完成这些更新程序的测试工作，确定对企业内部计算机没有不良影响后，在通过网管审批程序，将程序部署到客户机上。

1.WSUS（Windows server update services，Windows更新服务管理软件）：通过微软官方网站为操作系统和软件分发更新补丁包。

特点：根据需要有选择性的更新关键性的程序

对更新的程序进行管理，控制更新程序的分发

对网络中的客户端进行分组

控制更新程序在不同客户端的分发情况

2.WSUS部署

单WSUS服务环境：单服务器拓扑利用一个WSUS服务器从微软的更新网站下载补丁，然后负责将补丁发给内网用户。单服务器拓扑是大多数中小公司的最佳选择。

链式WSUS服务环境：链式拓扑定义了上游服务器和下游服务器，上游服务器可以直接连接到微软的更新网站，下游服务器则只能从上游服务器下载更新。这种拓扑在总公司/分公司的管理模型中比较常见。

注：推荐部署的链式服务器结构最好不要超过3层（虽然理论上没有层数限制），因为每一级WSUS服务器都会增加更新程序的延迟；上游服务器不能和下游服务器进行同步，否则将导致WSUS服务器工作不正常。

断开Internet下的WSUS部署环境：WSUS服务器无法从微软网站进行补丁更新，因此只能先用一个能连接互联网的WSUS服务器下载所需要的补丁，然后将下载的补丁导出成数据。隔离网络内的WSUS服务器通过导入数据来间接完成补丁的下载。这种拓扑常用于部队，公安等专用网络。

3.WSUS规划

管理模式：

集中管理：集中管理模式的WSUS服务器采用独立管理服务器和复制服务器这两种角色，主要用于公司需要集中管理更新的批准和计算机组网络中。

分布管理：分布管理模式是所有WSUS服务器的默认安装选项，你不需要任何修改就将服务器配置为此模式。主要用于需要将WSUS委派给其他站点的管理员进行控制的情况下。

数据存储：WSDS数据库主要存储WSDS服务器配置信息，同时更新程序信息和客户计算机进行的更新情况。

批准更新：当WSDS服务器同步后，用户只有获得更新批准，才能够够经过后续的安装或检测工作。

4.部署前准备工作

硬件安装要求：

系统分区和存储文件的分区必须才用NTFS格式

系统分区至少要有10GB的剩余空间

本地存储WSUS更新内容的分区至少要50GB剩余空间

软件安装要求：

IIS（internet信息服务）

Microsoft .NET Framework 4.0

管理控制台MMC3.0

Microsoft report viewer 2008