五一长假即将到来。通常这期间企业里人去楼空，一切都回归平静。但是，平静之下隐藏着危机，五一后就是病毒高发期。我们不要等到病毒大面积发作，导致整个企业网络瘫痪才去解决问题，我们要将问题发生的可能性降到最低。还记得吗?2004年五一后爆发的“震荡波”至今仍然让人心悸。前车之鉴，企业网管应积极为即将到来的五一长假作好准备。

　　第一招：部署补丁服务器

　　重要指数：★★★★★

　　加固服务器和客户端的安全，把网络安全风险降至最低，可以通过补丁服务器(Server Update Service)来统一对企业内部的计算机进行统一安装补丁，使得网管的工作降到最低。

　　补丁服务器的重要性

　　图1显示了大多数攻击发生的时间，通过示意图，我们知道，部署SUS是防范网络被攻击的重要一环。

 

　　产品发行 漏洞被发现 漏洞被公开 发布更新  客户端部署更新

　　大多数攻击发生此阶段

　　现在，有这样的趋势必须值得网管高度重视，系统漏洞公布与病毒爆发的间隔天数不断压缩，如Nimda病毒间隔331天、SQL Slammer病毒间隔180天、Blaster病毒间隔25天，Sasser病毒间隔11天，刚刚爆发的ANI蠕虫病毒更是缩短到一周!

　　微软补丁服务器有SUS和SMS。SUS是免费的，虽然相对于SMS，功能不如后者丰富，但能满足将服务器及客户端升级到最新的更新、安全更新和服务包的最基本要求，对中小型企业而言，选择MBSA和SUS是一个很不错的解决方案。

　　简单地说，SUS的作用就是定期从微软升级网站有选择的下载最新的更新、安全更新和服务包到本地，然后分发给它所管辖的客户端，客户端就不必在外网直接链接到Windows Update来更新了。

　　SUS操作注意事项

　　本文以目前最新版本的SUS 2.0为例进行讲解(下载地址：http://download.cpcw.com)。

　　关于SUS的配置和配置，微软发布了《Windows Server Update Services 入门循序渐进指南》、《Windows Server Update Services 自述文件中文文档》，有需要的网管可以下载参考，限于篇幅，我们不再对SUS具体的操作进行阐述。这里我们提供一些有用的技巧和要注意的地方。

　　一、手动启动 SUS 服务器检测。

　　在客户端上的命令提示符中运行“wuauclt.exe /detectnow”。此命令将指示自动更新立即连接到 SUS 服务器。如果执行此步骤，则可将客户端计算机立即连接到 SUS 服务器。这条命令很方便，网管一定要牢记。

　　二、在客户端上快速识别是否应用了SUS。

　　打开 %SystemRoot%windows 文件夹，查找“WindowsUpdate.log”，如果发现该日志文件则说明SUS已经成功的应用在该客户端上。

三、使客户端cookies过期。

　　SUS使用cookies在客户端存储各种类型的信息，其中包含客户端计算机组的成员信息(Client side)，默认在SUS创建它以后的一个小时过期，使用以下命令可以立即更新组成员“wuauclt.exe /resetauthorization /detectnow”。

　　设置客户端需要注意的问题：

　　1. 在“运行”中执行gpedit.msc来打开组策略对象编辑器，依次展开“计算机配置”、“管理模板”、“Windows 组件”，然后单击“Windows Update”。

　　2. 在详细信息窗格中，单击“指定 Intranet Microsoft 更新服务位置”。

　　3. 同时在“为检测更新设置 Intranet 更新服务”和“设置 Intranet 统计服务器”中键入同一WSUS 服务器的 HTTP URL。例如，在上述两个文本框中键入 http://服务器名，其中服务器名是 WSUS 服务器的名称(图2)。

　　4. 单击“确定”，然后配置自动更新的行为。

　　注意：客户端不支持Windows 9X，还有就是Windows XP Home没有组策略，为了能用上局域网中的SUS，只能用注册表来部署，将下面代码复制到记事本，并命名后缀名为reg的文件，导入注册表即可(本段代码可以在http://download.cpcw.com下载)。

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftwindowsWindowsUpdate] "WUServer"=http://WSUS

　　"WUStatusServer"="http://WSUS" [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftwindowsWindowsUpdateAU]

　　"NoAutoUpdate"=dword:00000000

　　"AUOptions"=dword:00000003

　　"ScheduledInstallDay"=dword:00000000

　　"ScheduledInstallTime"=dword:00000003

　　"UseWUServer"=dword:00000001

　　"RescheduleWaitTime"=dword:00000005 "NoAutoRebootWithLoggedOnUsers"=dword:00000001

　　其中http://WSUS这一行要改成你安装sus服务器的地址。

第二招：为服务器加把安全锁

　　重要指数：★★★★

　　服务器通常是24x7全天候运行的，所以，当五一长假人们都去放假的时候，服务器并不会跟着放假。在这无人值守的期间里，要想保证服务器的安全，做一些安全加固措施还是有必要的。

　　Web服务器的安全

　　Windows 的Web 服务器是IIS，有关IIS安全的话题比较宽泛，这里只简单介绍利用微软提供的加强IIS安全的工具来加固安全性。

　　微软对IIS的防护提供了一些有用的工具，如IIS Lockdown Tool、UrlScan(下载地址：http://download.cpcw.com )。

　　应用这两个工具可以做到：禁用或者删除不必要的IIS服务和组件;修改默认配置，提高系统文件和Web内容目录的安全性;用URLScan来过滤HTTP请求。

　　用MBSA检查服务器

　　在即将到来的长假前，对服务器作一番安全基准检查是非常有必要的。微软官方提供了这样的一个工具，叫Microsoft基准安全分析器MBSA。MBSA Ver2.0.1包含图形和命令行界面，可以进行本地和远程扫描(图3)。

　　使用MBSA可以确保没有遗漏的安全漏洞，由于MBSA可以自动更新，所以应该定期使用以检查新出现的漏洞。

　　MBSA最新版本为2.1(下载地址：http://download.cpcw.com)。虽然MBSA没有中文版本，但却相当好用，不过还是有必要交代一下注意事项。

　　MBSA对Windows、Office、IIS等软件进行的扫描包括两种：安全扫描和更新扫描。

　　“安全扫描”是指扫描以上软件是否进行了安全的配置，如：IIS锁定工具是否已运行，文件系统的类型是否都采用了NTFS格式等。

　　“更新扫描”是指扫描以上软件是否安装了最新的补丁程序。

　　MBSA执行的是微软所谓的“基准扫描”，即只扫描和报告Windows Update定义的“关键更新”，而不是扫描和报告所有的更新。而且MBSA不会自动安装更新，需用户另行操作完成。否则，漏洞依然存在。

　　MBSA是基于IE页面开发的，所以要运行MBSA需要 Internet Explorer 5.01 以上才行，而且IE的所有设置项都会影响MBSA的运行。

　　每次扫描后生成的安全报告是以明码格式保存到固定的文件夹中。因此，容易被黑客利用从而找出计算机的漏洞所在。所以应对安全报告另行处理(如打印、备份到其它目录等)，然后彻底删除“SecurityScans”文件夹中的所有文件，以防被他人利用。

　　第三招：加强客户端电脑的安全防护

　　重要指数：★★★

　　对于客户端而言，未采取域的，自然就没有应用域上的组策略，也就不能按照域控制器上的组策略配合SUS服务器进行安全更新。这时，我们可以采取主动检测系统漏洞的方法。

　　采用MBSA或360安全卫士(图4)等带有检测系统漏洞并打补丁的功能的安全产品来完成。如果限于条件，企业网络没有SUS补丁服务器的话，上述措施就显得更有必要了。

　　另外，作为企业网管，还应该发布安全公告，通知客户端用户采取以下措施。

　　1. 使用基于主机的防火墙;安装病毒防护软件，在五一假期来到前升级到最新病毒库。

　　2. 在五一长假回来后，用户不要随意运行来历不明的文件、不随意访问不明网站。

　　专家建议

　　电脑报安全专家 杨澍

　　有条件的企业，可以成立主动防病毒响应小组，制定值班制度负责监视外部的恶意软件警报站点以预警恶意软件的攻击。

　　建立网络安全及病毒事件出现后的应急机制和处置方案，由专人负责事件处理工作。确保企业在网络安全及病毒事件发生时能做好及时有效的处理，防止病毒感染，遏制病毒扩散，最大限度降低病毒发作带来的损失。

　　企业可以根据实际情况来安排节日期间的值班，如遇问题联络国家计算机病毒应急处理中心或当地公共信息网络安全监察部门。做好物理安全也不容忽视，如防盗、禁止无关人员接近服务器。