随着网络的日新月异，各式病毒、恶意程序的危害越来越严重，企业为了自身的安全要勤打各式补丁，全面补丁逐个打很烦人，网管人员为此付出了很多时间。其实想解决也很简单，根据企业网络的不同分配不同种方案。

    补丁简述
    补丁又名安全修补程序，软件开发商为了保证使用者正常运用软件时，不影响其操作系统安全或资料外泄，针对所出现的程序缺憾开发相应的修补程序，只要用户安装运行即可对对软件存在的漏洞进和缺陷进行修补。而当今危害企业用户最大就是操作系统，当微软公司发布了操作系统后，会对其进行安全检测，发现相关漏洞及时开发补丁并发布由公网中供用户下载使用，以防不测，而有些程序员会对其下载进行分析反编译，从而了解具体漏洞可造成什么样的危害，并编写攻击该漏洞的代码也发布于网络中，虽然其不是自动运行和传播，但其一旦被恶意用户的利用再一次进行编写加入自动运行代码、自动传播代码，自行寻找网络中没有安装补丁的系统，那后果将是非常可怕。

    微软针对这些安全修补程序作出了低级别、中等级别、重要级别、严重级别划分其严重级别可导至蠕虫病毒的大面积冲击直接带来损失，而重要级别会对客户数据造成损坏甚至遗失，中等级别可凭借系统自身防护措施进行抵御，低级别造成的危害微乎其微。而企业在了解了微软的级别划分后针对自身的网络规模进行统计、规划、并对其漏洞进行测试，微软在此为用户提供了windows update系统自带的补丁升级程序普及率广适合个人及小型局域网使用，而software update service(sus软件更新服务)需在微软网站中下载安装，其适合于中小型企业用户使用，大中型企业就要用到系统管理服务器systems management server(sms)此种为收费软件，三种修补工具操作方式各异，网络管理员可根据企业需求制定其使用类型。

       个人类型用户方案
    作为一名局域网管理人员或个人使用者，可进入http://windowsupdate.microsoft.com网站进行补丁升级，在其弹出的网站中会出现：查看您的计算机是否具有能够使用该网站的最新版本的 Windows 更新软件…完成后弹出“快速安装”获取高优先级更新程序(推荐)及“完整安装”从适用于 Windows 和其他程序的可选更新程序和高优先级更新程序中选择 ，两项菜单，一般选择为前者，系统将执行自动安装功能！

    而如点击计算机开始菜单中的windows update图标，系统将自动升级，此时为了省却手工操作步骤，可以右击“我的电脑”并依次打开“属性”“自动更新”在其中设置好更新日期及时间即可，计算机将在规定时间内将连接http://windowsupdate.microsoft.com网站实现自动更新补丁程序并自动进行安装，而相对应的下载更新与下载通知都要询问用户，让用户自行决定，这里建议网管可根据实地情况进行适当配置以便于正常工作的开展。

    而当计算机处在Domain域中时，管理人员可根据windows update自动更新组件在组策略编辑器中对局域网中所有系统理行集中补丁自动更新统一调配，依次打开“DC域控制器”“组策略”，并在开始菜单中打开“程序”“管理工具”“Active Directory用户和计算机”右击任意对象在其中属性里的组策略中打开主策略编辑器，并依次进行“计算机配置”“管理模板”“windows组件”“windows update”“配置自动更新”配置其内的内容，完成后保存退出即可实现局域网中所有计算机合部实现windows update补丁自动及时更新的目的！

          

中小企业类型方案     由于中小型企业的计算机网络要比普通的局域网主机多出很多，其在同一时间利用windows update下载安装补丁，那对网络带宽的数据量占用是非常庞大的，此时就不能单纯的利用系统自带的软件进行程序更新下载安装了，简单易用的software update service(以下简称sus)就是微软为此情况准备的补丁更新程序，能够自动识别修补程序是否来自于微软，并自动完成修补程序工作，管理员可以自由控制该软件让域中用户无法安装未经过审议的修补程序，达到安全目的，一但是经过管理员审核过的程序，客户机可以通过其windows update自动进入SUS服务器下载更新组件。     其SUS分为服务端与客户端两体，客户端可以到微软官方网站进行下载，而服务器端是基于WEB的用户界面，在安装前必须要在计算机中安装IIS服务，接着对Domain域进行规划，并依次进行域控制器-组策略配置-计算机配置-管理模版-windows组件-windows update-配置自动更新，根据实际情况配置完成后点击启用internet Microsoft更新服务位置选项，填入sus服务器地址，此时设置完成后所有域中的计算机都会到指定的sus中下载补丁，而不会到微软网站去下载修补程序。     服务端配置也很简单网管可以直接在IE中输入地址打开sus服务管理界面，点击other options选项下的setoptions此时弹出配置列表，根据局域网代理方式不同自行选择，这里可以使用Automatically detect proxy server settings自动检测代理服务器，在其Specify the name your clients use to locate this update server选项下的Server name里则需填入sus服务器的IP地址或计算机名称，并可在Select which server to synchronize content from里指定本台sus是否向另一台sus请求更新，以实现负载均衡多层服务，最后只要点击clear All按钮，选取chinese simplified下的Apply即可完成sus配置，此时网管还没有完成服务器运行，还要依次点击：synchronize server -synchronize now设点即可完成，如需同步即点击synchronize schedule即可实现管理员对企业网络同步更新修补程序管理。

           大中型企业方案
    systems management server（以下简称SMS）是一款英文版网络管理软件其能对网络补丁程序自动识别统计并分发到位，管理人员可随时了解网络中计算机运行数量，操作系统种类，包含修补程序安装失败信息，并可以强制管区内一台或多台计算机安装指定补丁，只要是Microsoft主流产品SMS都可以轻松管理，更能为自行研发的软件统一修补程序应用。

    其配置方法如下：开始-程序-systems management server-sms administrator console -site database-collections这里软件对所有客户端操作系统作了分类，这里以一个系统为例进行操作依次进行：右击-所有任务-distribute software-create a new packagefrom a definition-新建package并命名，接着选取ays obtain files from a source directory在其内填入修补程序所在路径，并点击下一步为分发点命名并选择执行的修补程序名，依次选取program can run-only when a user loggedon-after running-sms restarts the computer-yes以达到修补程序在客户机上线时即可自运安装补丁，并由msm控制是否重新启动修补完成的计算机系统。

 

    后记
    补丁未打之前的漏洞一直是恶意用户的眼之肉，以防被不法份子利用给企业带来不必要的损失，而网络发展中的今天，补丁系统的智能化工具会越来越多被企业所选用，如MBSA微软基准安全修补程序可以随时监测系统所缺少的修补程序，作出通知以减轻网络管理员的负担，因此善用补丁修补程序企业网络安全也将变得更加安全可靠。