Windows补丁强联动解决方案技术白皮书

前言

微软Windows视窗操作系统是应用最多的操作系统，占据了95%的市场份额，尤其是在高校、企业、医疗、政府、金融等行业中，更是我们每天密不可分的工作平台。作为一款市场占有率如此之高的操作系统，Windows每天都要面临很多的挑战，有数据指出，超过90%的病毒和攻击是利用了Windows的系统漏洞，所以微软总是会定期的发布安全公告和系统补丁，当遭遇严重的系统漏洞时，还会第一时间发出相关的补丁，帮助用户补全漏洞。而补全操作系统的漏洞可以说是安全防护需要做的第一件事，因为如果漏洞没有堵上，再怎么查杀病毒也是杯水车薪，没有从根源上解决问题。 

虽然微软尽量及时的修补了操作系统的漏洞，并在Windows中内置了自动更新的功能，也有相关的提示，但是Windows的补丁是否能够及时的得到更新，还强烈依赖于很多其他的因素： 

用户的计算机水平和安全意识 

对于一般的计算机用户而言，对于Windows补丁更新的重要性认识程度千差万别，很多用户只有在自己的计算机中毒到不能用的程度，才会想起关注计算机的安全情况，而大部分人的第一个选择，就是杀毒，殊不知大多数时候，是由于系统的漏洞带来的病毒和攻击，不堵上漏洞，病毒是杀不完的，一旦联入网络立刻又会中毒。从这个现象中，我们可以看出，虽然Windows补丁很重要，但用户意识到的却很少，导致操作系统漏洞百出，成为攻击的对象。 

网络环境的影响

Windows默认的自动更新需要连接到微软官方的补丁更新服务器上，而由于访问量大，加上网络质量的问题，有过联网更新的用户都知道微软官方更新的速度很慢，这让用户在进行更新时非常烦躁，有时索性直接关了自动更新，直到中毒时才追悔莫及。而有些办公环境下，办公PC是不允许连接到Internet的，这也阻断了Windows自动更新的路径，但病毒却可以从U盘等外联存储介质传入内网，导致内网用户中毒。 

还有一些诸如使用非官方定制的操作系统，导致自动更新功能被删除或被停止等等之类的原因，导致上网PC的Windows补丁更新情况非常差，给病毒和攻击留下了足够的“后门”，很多用户在重装操作系统后，由于没有完善的补丁安装机制，一接入网络即中毒，又需要重新再安装操作系统，带来很大的麻烦。 

从上面的介绍，我们可以看到，作为安全防护第一步的Windows补丁更新，虽然很重要，但其用户认知度不够，实施起来对外界环境依赖性太强，使得Windows补丁更新没有得到很好的执行，给网络安全带来了严重的隐患。 

GSN Windows补丁更新强联动方案

作为帮助客户维护网络安全的GSN全局安全网络解决方案，GSN对帮助客户机补全Windows补丁给与了很大的关注，在GSN解决方案中，通过微软的WSUS（Windows Server Update Service）服务器进行强联动，辅以行之有效的用户端保护措施，帮助客户机高效、安全的完成了Windows补丁更新。 

方案组成

在GSN的标准组件中，即包含了Windows补丁更新强联动功能，同时为了实现客户机的Windows补丁更新强联动，还需在搭建了GSN系统之外，搭建WSUS服务器。

我们可以看到Windows补丁强联动方案的构成，包括SMP服务器、SU客户端、安全接入交换机、WSUS服务器，其中除了WSUS服务器外，全部都是GSN全局安全解决方案的标准组件。 

方案原理 

GSN的Windows补丁更新强联动功能，其目的在于帮助客户机高效、自动的完成Windows补丁的检查、更新，同时在用户补丁更新完成前，对用户进行保护，避免用户由于补丁没有补齐而遭受病毒的攻击。 

不同于传统的利用Windows自带的自动更新功能进行更新，GSN解决方案采用安全客户端RG-SU对客户机本身安装的Windows补丁进行扫描，并与WSUS服务器进行比对，然后下载客户机需要的补丁，并在后台静默安装，当安装全部完成后，提示用户重启，并告知客户已安装的补丁列表。这一切都是通过微软开放的Windows补丁更新接口来实现的，通过SU客户端实现了更高效的更新。 

同时，在进行Windows补丁更新时，还可以通过预先制定好的策略对客户机进行保护，仅允许客户访问WSUS服务器，对于其他区域禁止用户访问，也限制了其他用户对未完成更新的客户端的访问，有效的保障客户机的安全。 

工作流程 

Windows补丁更新强联动的工作流程如下： 

用户上线，SU从SMP服务器获取有关Windows更新的相关策略，确定需要更新的补丁的类型。 

SU扫描本机的用户补丁安装情况，并与后台的WSUS服务器中对应的操作系统所需要的补丁进行对比。

当发现客户机缺少补丁时，SU会把缺少情况上报到SMP服务器，SMP服务器将根据预先制定的规则，对用户进行保护，即下发对应的ACL至接入交换机，对用户的网络访问进行限制。

SU将客户机所缺少的补丁下载回本地，并进行后台静默安装。
 

补丁安装完毕，如需重启，SU将以气泡消息的方式提醒客户，并给出本次更新补丁的列表。 

SU重新对用户的补丁安装情况进行检测，当用户安装了所有必备补丁后，SMP将取消对用户的网络访问保护，用户正常安全上网。

GSN Windows补丁更新强联动方案优势 。

对比于传统的Windows补丁更新，GSN的Windows补丁更新强联动解决方案具有以下优势： 

强制

Windows补丁更新作为GSN端点防护策略的一种，具有强制性，通过与接入交换机的联动，GSN可以限制Windows补丁不符合要求的用户的上网权限，可以隔离甚至直接阻断用户的网络访问，强制用户完成Windows的补丁更新。 

自动 

GSN中的Windows补丁更新强联动功能，对于客户端要求低，无需客户机参与，补丁检测、下载、安装均为后台静默模式，只需用户手动重启来完成补丁的安装，给终端用户带来了方便。 

高效

在GSN的Windows补丁更新强联动功能中，采用锐捷安全客户端RG-SU直接进行Windows补丁的扫描、对比、下载和安装过程，通过与本地的WSUS服务器的联动，实现了高效的补丁检测、更新过程，让Windows补丁更新无需等待很久。 

安全 

在进行Windows补丁更新的过程中，对客户机的网络访问进行保护，避免客户机在完成Windows补丁更新前遭受来自网上的攻击。 

方案总结 

GSN全局安全解决方案的Windows补丁更新强联动功能，通过与SU、SMP、接入交换机与WSUS服务器的强联动，实现了强制、自动、高效、安全的windows补丁更新，让用户方便、安全的畅游网络。