Windows-Server-2008-R2
在隔離伺服器中執行 WSUS
我們有一個執行 Windows HyperV 的測試/集成環境 (rig),其中包含伺服器虛擬機。
我想管理鑽機中的更新檔(hyper V 主機和內部的虛擬機,它們都在自己的域中),但由於安全問題,我們無法將鑽機連接到網際網路(甚至我們的公司網路)。
是否可以從瀏覽器下載 WSUS(或任何合適的技術/應用程序)的更新檔資訊,然後手動將其載入到裝備中?如果沒有,您是否有建議管理斷開連接的伺服器上的更新檔程序(並且在任何情況下都無法連接到 Internet 或公司網路)?
到目前為止您的選擇:
- 按照 Hagen 的建議,偶爾線上上 WSUS 伺服器
- 設置另一個 WSUS 伺服器,將其設置為下載所有內容並按需將更新內容和數據庫複製到隔離的 WSUS 伺服器
- 完全使用不同的更新工具 - 有 OSS “WSUS 離線更新”項目(除了名稱與 WSUS 本身沒有任何關係)和一些商業更新檔管理產品(包括微軟的 SCCM)能夠提供“離線”更新商店。
請注意,即使 WSUS 伺服器處於聯機狀態,也可以將其配置為對您的域帶來的安全風險基本上可以忽略不計。可以放在DMZ,客戶端不需要和WSUS伺服器在同一個域,更新簽名由客戶端對照微軟的公鑰核對,所以只要對應的私鑰應該是不可能偽造更新的密鑰不會被破壞(無論您是否使用 WSUS 安裝更新,這都會造成問題)。因此,您可以設置線上 WSUS 伺服器並設置測試網路的過濾器,以便在不影響安全性的情況下只允許 HTTP/HTTPS 連接到該伺服器。