本文首发于http://www.jwx.com.cn/bbs/index.asp的技术交流板块,本着资源共享的原则,转发CDCMAN,希望能给大家的日常工作带来一定的帮助。同时欢迎转载(但请注明首发地址和作者)
目前Windows普通用户的系统级漏洞安全状况是这样的:
高级技术人员发现系统漏洞——〉上报微软——〉微软制作相关补丁,发布技术通告——〉攻击者研究通告内容——〉攻击普通用户——〉普通用户打补丁。
可见,除了极少数的高级技术人员不遵循职业道德,利用新发现的漏洞进行破坏外,绝大多数的利用技术性漏洞进行的攻击,都是在相关补丁发布之后进行的(因为绝大多数攻击者并不具备发现新的系统漏洞的能力)。从微软发布补丁开始到用户打上补丁结束的这短时间,我们叫它:空窗期。
显而易见,空窗期是越短越好,所以建议大家及时安装相关补丁。目前主要有3个办法能够实现自动升级:微软的自动更新、CCERT SUS提供的CERNET WSUS服务、杀毒软件自带的漏洞修复工具。
不管是上述的那种方法,建议大家在使用自动更新之前,一定要打上hotfix,win2000要装上sp4补丁包,xp系统要装上sp2补丁包。
1、微软的自动更新
这个是windows自带的,最省事。不过鉴于微软的反盗版策略,国内很多用户使起来恐怕并不是那么容易。windows2000系统问题还少一些,目前xp能自动更新的除了用上海免激活版,就是加挂算号破解器的版本。如果用户可以自动更新的话,建议用户还是用微软的自动更新。
设置很简单
我的电脑——〉控制面版——〉自动更新
2、CERNET WSUS服务
对于广大非正版用户,如果不能自动升级,也是有办法的。咱们国家的计算机安全部门对外提供自动升级服务,微软搞限制,就让它去搞,咱们用中国计算机部门自己的升级服务器。(就是要设置一些参数,其它的同微软的自动更新)
这里只介绍win2000的设置方法,xp的设置基本一样
运行策略组
输入:gpedit.msc
选择计算机配置的管理模版——〉添加模板
点添加
添加模板文件wuau.adm
确定
选择管理模板——〉windows组件——〉windows update——〉配置自动更新(右键属性)
启用自动更新配置
设置:自动下载并通知安装(3)或者通知下载通知安装(2)
选择管理模板——〉windows组件——〉windows update——〉更新服务位置
启用配置
设定服务器地址
图中的服务器地址:http://sus.ccert.edu.cn 是中国CCERT(中国教育与科研计算机网紧急处置组)的服务器。为了保证服务器质量,建议大家根据自己的地理位置选择比较近的服务器。
参考服务器地址
清华大学工作组
http://security.thusns.org/SNSSUS/
西安交通大学工作组
http://202.117.21.253/
上海交通大学工作组
http://windowsupdate.sjtu.edu.cn/
上海大学
http://windowsupdate.ccshu.net/windows/
华南农业大学网络科
http://sus.scau.edu.cn/
厦门大学合作伙伴
http://windowsupdate.xmu.edu.cn/
河北工业大学
http://windowsupdate.scse.hebut.edu.cn/
天津国家计算机网络应急技术处理协调中心与天津外院
http://windowsupdate.tjfsu.edu.cn/
兰州大学
http://winsus.lzu.edu.cn/web/
哈工大服务器
http://202.118.224.82/
3、漏洞修复
现在国内的杀毒软件套装中基本都有漏洞修复一类的修复工具,使用起来也比较方便。限于篇幅这里只大致的介绍一下流程(这里以金山的漏洞修复为例)。
|