随着各级“护网行动”的开展,各项安全加固工作都被认真执行起来。其中针对Windows领域安全加固的基础服务WSUS终于被重视起来了。千万不要费力去人工下载补丁合集或累积更新,因为安装失败的机率很高,更重要的是浪费时间。
部署WSUS服务可以参考以下实战视频;
如果是给VDI模板执行定期更新,则只要简单的配置模板本地策略(gpedit.msc):
然后执行检查更新,直到检索到适合的更新结果后手工发起更新动作,更新结束后建议恢复空配置。
回过头来探讨补丁的审批,现在企业环境中x86与IA64架构基本消失殆尽,所以首要的拒绝目标就是这两类,另外“质量汇总更新”体积更大主要用于单独部署,有了SUS自然用不上,故排除该类。以管理员身份在SUS服务器上运行Powershell命令:
Get-WsusUpdate | Where {$_.update.title -ilike “itanium” -or $_.update.title -ilike “ia64”} | Deny-WsusUpdate
Get-WsusUpdate | Where {$_.update.title -ilike “x86” -or $_.update.title -ilike “质量汇总”} | Deny-WsusUpdate
以上命令主要是从补丁标题着手,借助管道命令层层筛选,大家还可以自行发挥,深入研究该模块的PS命令: https://docs.microsoft.com/en-us/powershell/module/updateservices/get-wsusupdate?view=win10-ps
拒绝了这3类更新之后,剩下的就可以放心审批了。
