- 由於近期這幾年因作業系統漏洞造成資安存在很多的風險,已經有很多企業或是機關都已導入WSUS來協助廠內Client端持續更新,但是更新Windows有時往往會遇到一些問題,如更新後無法正常啟動Windows、無法列印...等各種災情。
- 在建置WSUS會考慮到是否要收到新的更新檔後就自動派送Client端更新還是要每隔一段時間固定手動去派送(核准),若是選擇前者的話,雖然可以即時將風險降到最低,但是需要常常擔心更新後,是否會有災情發生,而後者的話是無法即時防護漏洞,這往往會陷落兩難抉擇。
- 這篇文章Lab是針對若是採用前者更新後造成的災情,能快速有效的降低更新後續的問題嚴重性與範圍。
- 測試環境 :
WSUS server Windwos server 2008 R2 (WSUS 3.0)
Client Windwos 7 旗艦版
- 模擬環境方法
(1) Client端已收到更新但是尚未安裝,透過WSUS派送移除作業
(2) Client端已安裝有問題的KB,透過WSUS派送移除作業
注意:設定好移除作業,client端因我這邊設定自動偵測更新為1小時,所以約等1小時自動偵測更新時就會執行移除的作業,但是若是已安裝KB則是需安裝更新(關機-盾牌)才算是移除該KB唷
* Client端已收到更新但是尚未安裝,透過WSUS派送移除作業(KB2491683)
1. 範例 : Client端已接收到KB2491683但尚未重新開機安裝此KB
2. 至WSUS server找尋該KB
3. 選擇核准移除
4. Client與WSUS偵測更新時,已移除KB2491683的作業
(這次會變有5個更新檔,是因為又抓到其它的更新檔)
5. 這次再測試安裝這5支KB並重開機看看,KB2491683並沒有安裝
* Client端已安裝有問題的KB,透過WSUS派送移除作業(KB3115858)
1. 範例 : 這次Client端不小心已安裝到有問題的KB 如 : KB3115858
2. 設定核准移除
3. Client與WSUS偵測更新時,安裝更新後即可執行移除KB3115858作業
* 最後再測試
先設定KB4048960核准移除,最後再將一台電腦join domain再透過WSUS更新,測試結果是並沒有安裝到這支KB4048960
◎ 結論 : 此LAB是在去年做的,由於這個月(2019/4月)微軟釋出的Win7更新檔,好像會跟Sophos服務(防毒)衝突,導致無法正常啟動,剛好藉由這個機會來幫助有需要幫助的人,另外並不是所有KB都可以設定核准移除的唷。
沒有留言:
張貼留言