在隔離伺服器中執行 WSUS

我們有一個執行 Windows HyperV 的測試/集成環境 (rig)，其中包含伺服器虛擬機。

我想管理鑽機中的更新檔（hyper V 主機和內部的虛擬機，它們都在自己的域中），但由於安全問題，我們無法將鑽機連接到網際網路（甚至我們的公司網路）。

是否可以從瀏覽器下載 WSUS（或任何合適的技術/應用程序）的更新檔資訊，然後手動將其載入到裝備中？如果沒有，您是否有建議管理斷開連接的伺服器上的更新檔程序（並且在任何情況下都無法連接到 Internet 或公司網路）？

到目前為止您的選擇：

• 按照 Hagen 的建議，偶爾線上上 WSUS 伺服器
• 設置另一個 WSUS 伺服器，將其設置為下載所有內容並按需將更新內容和數據庫複製到隔離的 WSUS 伺服器
• 完全使用不同的更新工具 - 有 OSS “WSUS 離線更新”項目（除了名稱與 WSUS 本身沒有任何關係）和一些商業更新檔管理產品（包括微軟的 SCCM）能夠提供“離線”更新商店。

請注意，即使 WSUS 伺服器處於聯機狀態，也可以將其配置為對您的域帶來的安全風險基本上可以忽略不計。可以放在DMZ，客戶端不需要和WSUS伺服器在同一個域，更新簽名由客戶端對照微軟的公鑰核對，所以只要對應的私鑰應該是不可能偽造更新的密鑰不會被破壞（無論您是否使用 WSUS 安裝更新，這都會造成問題）。因此，您可以設置線上 WSUS 伺服器並設置測試網路的過濾器，以便在不影響安全性的情況下只允許 HTTP/HTTPS 連接到該伺服器。

引用自：https://serverfault.com/questions/510446