前言

微軟Windows視窗操作系統是應用最多的操作系統，占據了95%的市場份額，尤其是在高校、企業、醫療、政府、金融等行業中，更是我們每天密不可分的工作平臺。作為一款市場占有率如此之高的操作系統，Windows每天都要面臨很多的挑戰，有數據指出，超過90%的病毒和攻擊是利用了Windows的系統漏洞，所以微軟總是會定期的發布安全公告和系統補丁，當遭遇嚴重的系統漏洞時，還會第一時間發出相關的補丁，幫助用戶補全漏洞。而補全操作系統的漏洞可以說是安全防護需要做的第一件事，因為如果漏洞沒有堵上，再怎么查殺病毒也是杯水車薪，沒有從根源上解決問題。 

雖然微軟盡量及時的修補了操作系統的漏洞，并在Windows中內置了自動更新的功能，也有相關的提示，但是Windows的補丁是否能夠及時的得到更新，還強烈依賴于很多其他的因素： 

用戶的計算機水平和安全意識 

對于一般的計算機用戶而言，對于Windows補丁更新的重要性認識程度千差萬別，很多用戶只有在自己的計算機中毒到不能用的程度，才會想起關注計算機的安全情況，而大部分人的第一個選擇，就是殺毒，殊不知大多數時候，是由于系統的漏洞帶來的病毒和攻擊，不堵上漏洞，病毒是殺不完的，一旦聯入網絡立刻又會中毒。從這個現象中，我們可以看出，雖然Windows補丁很重要，但用戶意識到的卻很少，導致操作系統漏洞百出，成為攻擊的對象。 

網絡環境的影響

Windows默認的自動更新需要連接到微軟官方的補丁更新服務器上，而由于訪問量大，加上網絡質量的問題，有過聯網更新的用戶都知道微軟官方更新的速度很慢，這讓用戶在進行更新時非常煩躁，有時索性直接關了自動更新，直到中毒時才追悔莫及。而有些辦公環境下，辦公PC是不允許連接到Internet的，這也阻斷了Windows自動更新的路徑，但病毒卻可以從U盤等外聯存儲介質傳入內網，導致內網用戶中毒。 

還有一些諸如使用非官方定制的操作系統，導致自動更新功能被刪除或被停止等等之類的原因，導致上網PC的Windows補丁更新情況非常差，給病毒和攻擊留下了足夠的“后門”，很多用戶在重裝操作系統后，由于沒有完善的補丁安裝機制，一接入網絡即中毒，又需要重新再安裝操作系統，帶來很大的麻煩。 

從上面的介紹，我們可以看到，作為安全防護第一步的Windows補丁更新，雖然很重要，但其用戶認知度不夠，實施起來對外界環境依賴性太強，使得Windows補丁更新沒有得到很好的執行，給網絡安全帶來了嚴重的隱患。 

GSN Windows補丁更新強聯動方案

作為幫助客戶維護網絡安全的GSN全局安全網絡解決方案，GSN對幫助客戶機補全Windows補丁給與了很大的關注，在GSN解決方案中，通過微軟的WSUS（Windows Server Update Service）服務器進行強聯動，輔以行之有效的用戶端保護措施，幫助客戶機高效、安全的完成了Windows補丁更新。 

方案組成

在GSN的標準組件中，即包含了Windows補丁更新強聯動功能，同時為了實現客戶機的Windows補丁更新強聯動，還需在搭建了GSN系統之外，搭建WSUS服務器。

我們可以看到Windows補丁強聯動方案的構成，包括SMP服務器、SU客戶端、安全接入交換機、WSUS服務器，其中除了WSUS服務器外，全部都是GSN全局安全解決方案的標準組件。 

方案原理 

GSN的Windows補丁更新強聯動功能，其目的在于幫助客戶機高效、自動的完成Windows補丁的檢查、更新，同時在用戶補丁更新完成前，對用戶進行保護，避免用戶由于補丁沒有補齊而遭受病毒的攻擊。 

不同于傳統的利用Windows自帶的自動更新功能進行更新，GSN解決方案采用安全客戶端RG-SU對客戶機本身安裝的Windows補丁進行掃描，并與WSUS服務器進行比對，然后下載客戶機需要的補丁，并在后臺靜默安裝，當安裝全部完成后，提示用戶重啟，并告知客戶已安裝的補丁列表。這一切都是通過微軟開放的Windows補丁更新接口來實現的，通過SU客戶端實現了更高效的更新。 

同時，在進行Windows補丁更新時，還可以通過預先制定好的策略對客戶機進行保護，僅允許客戶訪問WSUS服務器，對于其他區域禁止用戶訪問，也限制了其他用戶對未完成更新的客戶端的訪問，有效的保障客戶機的安全。 

工作流程 

Windows補丁更新強聯動的工作流程如下： 

用戶上線，SU從SMP服務器獲取有關Windows更新的相關策略，確定需要更新的補丁的類型。 

SU掃描本機的用戶補丁安裝情況，并與后臺的WSUS服務器中對應的操作系統所需要的補丁進行對比。

當發現客戶機缺少補丁時，SU會把缺少情況上報到SMP服務器，SMP服務器將根據預先制定的規則，對用戶進行保護，即下發對應的ACL至接入交換機，對用戶的網絡訪問進行限制。

SU將客戶機所缺少的補丁下載回本地，并進行后臺靜默安裝。
 

補丁安裝完畢，如需重啟，SU將以氣泡消息的方式提醒客戶，并給出本次更新補丁的列表。 

SU重新對用戶的補丁安裝情況進行檢測，當用戶安裝了所有必備補丁后，SMP將取消對用戶的網絡訪問保護，用戶正常安全上網。

GSN Windows補丁更新強聯動方案優勢 。

對比于傳統的Windows補丁更新，GSN的Windows補丁更新強聯動解決方案具有以下優勢： 

強制

Windows補丁更新作為GSN端點防護策略的一種，具有強制性，通過與接入交換機的聯動，GSN可以限制Windows補丁不符合要求的用戶的上網權限，可以隔離甚至直接阻斷用戶的網絡訪問，強制用戶完成Windows的補丁更新。 

自動 

GSN中的Windows補丁更新強聯動功能，對于客戶端要求低，無需客戶機參與，補丁檢測、下載、安裝均為后臺靜默模式，只需用戶手動重啟來完成補丁的安裝，給終端用戶帶來了方便。 

高效

在GSN的Windows補丁更新強聯動功能中，采用銳捷安全客戶端RG-SU直接進行Windows補丁的掃描、對比、下載和安裝過程，通過與本地的WSUS服務器的聯動，實現了高效的補丁檢測、更新過程，讓Windows補丁更新無需等待很久。 

安全 

在進行Windows補丁更新的過程中，對客戶機的網絡訪問進行保護，避免客戶機在完成Windows補丁更新前遭受來自網上的攻擊。 

方案總結 

GSN全局安全解決方案的Windows補丁更新強聯動功能，通過與SU、SMP、接入交換機與WSUS服務器的強聯動，實現了強制、自動、高效、安全的windows補丁更新，讓用戶方便、安全的暢游網絡。