|
SUS的优势和不足 当你在使用SUS的时候你会发现某些技术是有价值而某些是容易引起迷惑的 甚至你把AU的设置值为(完全自动地完成设定的事物)它也会问讯是否它能开始安装 当本地管理登录之后AU的选项的行为有点奇怪如果你正坐在系统前面但是AU是思考它要装一些补丁或者被用户停止安装这是件愚笨的事情――它为什么把自动操作的功能就放弃了仅仅因为计算机管理员登录上来了?――但是它的确是事实那似乎不是一个方法短暂的登录并且让AU做正常的事情或者将AU放一旁或者由向导去做上面的回应它也是给那些本地用户管理权限的一个无知的类型 如果一个补丁文件需要重新启动系统而且你已经在此前重启系统那么没有较多的升级文件下载了 假设你的权限是在任何时候都禁止重启服务器的所以你也就否认AU有能力重新启动系统某天一个补丁安装并且需要重启系统AU下载并安装它但是AU不能重新启动而且你也不能重新启动服务器某天另外一个补丁出现在SUS上这个补丁在安装后不需要重新启动奇妙的是AU客户端忽略它和所以其他新的补丁AU一直会问SUS如果有新的补丁(发现)因此不下载或安装其他任何的补丁找个理由让AU在必须的情况下重新启动你的系统 不恰当的升级将不能被卸载 不像组策略你可以将引起客户不满意的升级进行卸载 设定不同于其他系统的SUS安装次数 这并非是我的初衷而且我忘记在哪里读到过――如果那个作家读到这里我道歉――但是我记得SUS包括统计服务的功能?好吧那些最有趣的统计是如此没有麻烦地安装了XYZ的补丁文件但是那些包括了不需要重新启动的补丁意思就是如果SUS 正在同一网络中每一个系统安装补丁而补丁又要重新启动系统客户机正在做某些报告…因此重新启动将会把正在处理的报告给搞丢了因此在不同时间段时在SUS上安装补丁会更好 SUS不能识别域真的甚至安全<>/b 注意在SUS中没有加入安全的概念在默认的情况下SUS会接受任何AU客户端的请求因此对于你能考虑到的某些原因你可以把SUS公开在因特网上并且可以把它的地址公开出来让所有人都能从这机器上获得升级补丁例如我曾经预见过一些为了生计的工程师在远程维护数十个小型商业网络一个工程师可能想要他们的客户一直保持和SUS服务器连接并随时下载补丁但是那些客户并非有足够的经验来在众多的补丁中选择因此我推想有这样的一个人或许能在因特网上设置一个IIS的主机盒他或者她就可以在设置HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate key并且导出一个REG文件(注册表文件)这个导出的注册表文件可以适用在任何一台客户机器上从那一点起客户机就会访问由那个工程师建立的一个IIS/SUS服务器并且保持良好连接和随时下载补丁文件 如果你的客户机的时钟是关闭的则AU不能工作 格鲁吉亚州大学的Paul Bowles就有这么一个相关的趣事显然他有一些不在得到系统升级的机器是什么问题?原来这些系统的时钟已经停止了所以如果系统时钟不是在公元多少年――其中包括自动时间同步――那么你应该让网络中的系统时钟做个粗略的同步 SUS适合你吗? SUS不能为任何人做出完善的解决方案如同我已经说的一样因为关键是当前的补丁是弥补WIN或更高版本操作系统的一个更完善的解决方案的产品可能包括像Shavlik的HFNetChkProNWTech的UpdateExpert系统管理服务器或一些其他的工具但是当要用一个快速和(相对)容易的方法去弥补Wondows系统的方法我甚至会向最小的企业推荐SUS 它不是一个完美的工具但是去年传播的沖击波病毒让那些没有安装微软补丁MS的用户受到侵袭虽然美国安全办公室和许多业界的专家要求民众安装补丁但是还是有很多人不愿意对系统做升级这从我的观点看是非常可怕的 当我公布了自己月的一个公告建议人们去下载和获得补丁有四个读者给我email而且很愤怒地为我建议人们使用这个未经测试的补丁做出了批评我理解那些麻烦补丁MS很清楚地说危险是运行攻击者代码的选择换句话说某人开发一个蠕虫可以在他或她的机器上做任何的事情删除你的文件在因特网上公布你的系统时间以你的名义发送一些令人困惑的电子邮件可以做任何事情更难理解可能是比发邮件更坏的事情其他的人们说补丁是不重要的如同他们在适当的位置有一个防火墙一样那时一个通常的想法因此运行我花一些时间而且变成一个重点(好也许对我很重要) 防火墙并不如人们想象中那样可以完全与防病毒 你或许知道在年月在因特网上流行的SQL Slammer蠕虫攻击了俄亥俄州的哥伦布以外的一个核电厂(那个时候正好系统在维护中因此无 有趣的 发生) 它如何发生一位网络经理被引述? 简单的:某人由于 Slammer 攻击了一台膝上型电脑而传染 是防火墙是有它的价值――它们可以延缓病毒的传播但是它们不能阻止它们防火墙是马其诺防线让一个人建立一个没有任何适当的保护下的无线网络或者一个人将一台中毒的笔记本接入网络中那么整个防火墙将成为一个无用的摆设 是的它没有道理总是盲目的使用从Redmond出来的补丁文件但是一年中有一到两次你看见为运行攻击者代码的选择的补丁文件你就会要补丁很快地打补丁…这时你就会喜欢有SUS在周围了 自从SUS刚问世到现在我已经是个SUS的忠实使用者了我希望这些优势能让SUS使用老手和新手都能认可 |
