SUS补丁管理：从入门到精通（4）

　　SUS的优势和不足

　　当你在使用SUS的时候你会发现某些技术是有价值而某些是容易引起迷惑的。
　　
　　甚至你把AU的设置值为“4”（完全自动地完成设定的事物），它也会问讯是否它能开始安装

　　当本地管理登录之后，AU的选项4的行为有点奇怪。如果你正坐在系统前面，但是AU是思考它要装一些补丁或者被用户停止安装。这是件愚笨的事情――它为什么把自动操作的功能就放弃了仅仅因为计算机管理员登录上来了？――但是它的确是事实。那似乎不是一个方法，短暂的登录并且让AU做正常的事情，或者将AU放一旁，或者由向导去做上面的回应。它也是给那些本地用户管理权限的一个无知的类型。

　　如果一个补丁文件需要重新启动系统而且你已经在此前重启系统，那么没有较多的升级文件下载了

　　假设你的权限是在任何时候都禁止重启服务器的，所以你也就否认AU有能力重新启动系统。某天1，一个补丁安装并且需要重启系统。AU下载并安装它，但是AU不能重新启动而且你也不能重新启动服务器。某天2，另外一个补丁出现在SUS上，这个补丁在安装后不需要重新启动。奇妙的是，AU客户端忽略它和所以其他新的补丁。AU一直会问SUS，如果有新的补丁（“发现”），因此不下载或安装其他任何的补丁。找个理由让AU在必须的情况下重新启动你的系统。

　　不恰当的升级将不能被卸载

　　不像组策略，你可以将引起客户不满意的升级进行卸载。

　　设定不同于其他系统的SUS安装次数

　　这并非是我的初衷，而且我忘记在哪里读到过――如果那个作家读到这里，我道歉――但是我记得SUS包括“统计服务”的功能？好吧，那些最有趣的统计是“如此没有麻烦地安装了XYZ的补丁文件”，但是那些包括了不需要重新启动的补丁。意思就是，如果SUS 正在同一网络中每一个系统安装补丁，而补丁又要重新启动系统。客户机正在做某些报告…因此重新启动将会把正在处理的报告给搞丢了。因此，在不同时间段时，在SUS上安装补丁会更好。

　　SUS不能识别域，真的，甚至安全<>/b

　　注意在SUS中没有加入“安全”的概念，在默认的情况下，SUS会接受任何AU客户端的请求。因此对于你能考虑到的某些原因，你可以把SUS公开在因特网上，并且可以把它的地址公开出来，让所有人都能从这机器上获得升级补丁。例如，我曾经预见过一些为了生计的工程师在远程维护数十个小型商业网络。一个工程师可能想要他们的客户一直保持和SUS服务器连接并随时下载补丁，但是那些客户并非有足够的经验来在众多的补丁中选择，因此我推想有这样的一个人或许能在因特网上设置一个IIS的主机盒。他或者她就可以在设置HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate key并且导出一个REG文件（注册表文件），这个导出的注册表文件可以适用在任何一台客户机器上。从那一点起，客户机就会访问由那个工程师建立的一个IIS/SUS服务器并且保持良好连接和随时下载补丁文件。

　　如果你的客户机的时钟是关闭的，则AU不能工作

　　格鲁吉亚州大学的Paul Bowles就有这么一个相关的趣事。显然他有一些不在得到系统升级的机器。是什么问题？原来这些系统的时钟已经停止了。所以如果系统时钟不是在公元多少年――其中包括自动时间同步――那么你应该让网络中的系统时钟做个粗略的同步。

　　SUS适合你吗？

　　SUS不能为任何人做出完善的解决方案，如同我已经说的一样，因为关键是当前的补丁是弥补WIN2000或更高版本操作系统的。一个更完善的解决方案的产品可能包括像Shavlik的HFNetChkPro，NWTech的UpdateExpert，系统管理服务器或一些其他的工具。但是当要用一个快速和（相对）容易的方法去弥补Wondows系统的方法，我甚至会向最小的企业推荐SUS。

　　它不是一个完美的工具。但是去年传播的冲击波病毒，让那些没有安装微软补丁MS03-026的用户受到侵袭，虽然美国安全办公室和许多业界的专家要求民众安装补丁，但是还是有很多人不愿意对系统做升级，这从我的观点看是非常可怕的。

　　当我公布了自己7月的一个公告，建议人们去下载和获得补丁，有四个读者给我email而且很愤怒地为我建议人们使用这个“未经测试”的补丁做出了批评。我理解那些麻烦。补丁MS03-26很清楚地说危险是“运行攻击者代码的选择”。换句话说，某人开发一个蠕虫可以在他或她的机器上做任何的事情。删除你的文件，在因特网上公布你的系统时间。以你的名义发送一些令人困惑的电子邮件。可以做任何事情，更难理解可能是比发邮件更坏的事情。其他的人们说补丁是不重要的，如同他们在适当的位置有一个防火墙一样。那时一个通常的想法，因此运行我花一些时间而且变成一个重点（好，也许对我很重要）：

　　防火墙并不如人们想象中那样可以完全与防病毒

　　你或许知道在2003年1月在因特网上流行的SQL Slammer蠕虫，攻击了俄亥俄州的哥伦布以外的一个核电厂（那个时候正好系统在维护中，因此无... 有趣的 ...发生.) 它如何发生,一位网络经理被引述? 简单的:某人由于 Slammer 攻击了一台膝上型电脑而传染。

　　是，防火墙是有它的价值――它们可以延缓病毒的传播，但是它们不能阻止它们。防火墙是马其诺防线。让一个人建立一个没有任何适当的保护下的无线网络，或者一个人将一台中毒的笔记本接入网络中，那么整个防火墙将成为一个无用的摆设。

　　是的，它没有道理总是盲目的使用从Redmond出来的补丁文件，但是一年中有一到两次你看见为“运行攻击者代码的选择”的补丁文件，你就会要补丁，很快地打补丁…这时你就会喜欢有SUS在周围了。

　　自从SUS刚问世到现在，我已经是个SUS的忠实使用者了；我希望这些优势能让SUS使用老手和新手都能认可。