五一长假即将到来，人们当然很期待这样的假期的，因为那些参加了工作的人们，没有了学生时代的寒暑假，所以春节、五一和十一长假是显得那么的难得。通常这期间企业里人去楼空，一切都静悄悄的。

但是，在这静悄悄的背后，互联网上确是暗涛汹涌，还记得吗？2004年五一期间爆发的“震荡波”（Sasser）至今仍然让人心悸。当时震荡波扩展涵盖了全国各省市，电力、公安、银行等重要系统也未能幸免。不要说其他年份的长假期间曾经爆发过的病毒，只看震荡波就应该让所有的人记住那永远的痛。前车之鉴，记住这个教训，积极应对即将到来的五一长假。

眼下广泛传播的病毒虽然在不断改变，但是病毒威胁源主要还是邮件、web，FTP，P2P网络，IRC通道等等。另外还有部分多媒体源如disks，CD-ROM，磁盘等。事实证明，不仅网络蠕虫利用邮件作为传播工具而且很多病毒和木马也是。它们的不同在于前者有自我传播职能，并且能积极实现自我传播。而后者是被动地需要病毒制作者或携带者通过发送方式才能传播。

网络安全是个很大的话题，但是由于版面关系，字数有限制，本文不可能面面俱到，只能简单讲述要点及关键处，网管可根据提到的内容，自行参阅相关资料，本文也罗列了一些参考资料的网址。若能做到抛砖引玉，那么笔者的目的也就达到了。

服务器的安全防护是企业网络安全防护重中之重。

因为一旦企业的服务器一旦被攻陷，那它所在的网络就不复有安全可言了。轻则无法正常使用网络，重则带来业务上的损失，所以首先要做的是服务器的安全防护。

Windows服务器在企业中占有相当的比重，如作为域控制器、Web服务器、ISA服务器、VPN等。

为了加固服务器和客户端的安全，把网络安全风险降至最低，可以通过补丁服务器来统一对企业内部的计算机进行统一安装补丁，使得网管的工作降到最低。

看下面的示意图，你就会明白为什么安装SUS服务器是那么的重要：

产品发行 漏洞被发现 漏洞被公开 发布更新 客户部署更新

                                            大多数攻击发生此阶段

现在有这样的趋势必须值得网管高度重视的是：系统漏洞公布与病毒爆发的间隔天数不断压缩，如Nimda病毒间隔331天、SQL Slammer病毒间隔180天、Blaster病毒间隔25天，Sasser病毒间隔11天，刚刚爆发的ani病毒更是缩短至不到一周！且ani病毒一天就出现5个变种！病毒传染的速度加快，意味著企业对於外在资安环境变化需要具备高度敏感性。

微软补丁服务器有SUS和SMS，其中，SUS是免费的，虽然相对于SMS，功能不如后者丰富，但能满足将服务器及客户端升级到最新的更新、安全更新和服务包的最基本要求，对中小型企业而言，选择MBSA和SUS是一个很不错的解决方案。故本文以配置SUS为例讲述。

简单的说，SUS的作用就是定期从微软升级网站有选择的下载最新的更新、安全更新和服务包到本地，然后分发给它所管辖的客户端，客户端就不必在外网直接链接到Windows Update来更新了。

Windows 2000 SP2及更高的版本，IIS 5及更高的版本，IE6及更高的版本，必须装在NTFS分区，至少6GB的硬盘空间，相信这些要求，现在企业的服务器都能满足。

SUS最新版本是3.0，即将于今年7月份发布，故本文以SUS 2.0为例

可以去[url]http://go.microsoft.com/fwlink/?LinkId=47374[/url]下载当前版本的SUS（直接下载地址为：

[url]http://download.microsoft.com/download/f/6/d/f6d9eb30-2612-47f7-b14a-41a47e8a9a8e/WSUS2-KB919004-x86.exe[/url]）。

关于SUS的配置和配置，由于微软发布了《Windows Server Update Services 入门循序渐进指南》、《Windows Server Update Services 自述文件中文文档》，有需要的网管可以下载参考，限于篇幅笔者不再对SUS具体的操作进行阐述，上述两个文档可以在下列地址下载：

关于SUS的技术网站，特向读者推荐一些笔者经常访问的站点：

SUSserver Forums：[url]http://forums.susserver.com/index.php?showforum=14[/url]

这里提供一些有用的技巧和注意的地方：

一、手动启动 WSUS 服务器检测：

在客户端上的命令提示符中运行

此命令行选项将指示自动更新立即连接到 WSUS 服务器。一旦应用了组策略，便可手动启动检测。如果执行此步骤，则不必等待 20 分钟便可将客户端计算机连接到 WSUS 服务器。这条命令很方便，网管一定要牢记。

二、在客户端上快速识别是否应用了WSUS ：

打开 %SystemRoot%\windows 文件夹，查找“WindowsUpdate.log”，如果发现该日志文件则说明WSUS已经成功的应用在该客户端上。使用WU和SUS的话生成更新日志文件是“Windows Update.log”，细心的话就能发现，原来WSUS的日志文件的文件名比WU和SUS的少了一个空格。

三、使客户端cookie过期：

WSUS使用cookie在客户端存储各种类型的信息，其中包含呵护端计算机属于的组成员信息（Client side），默认在WSUS创建它以后的一个小时过期，使用以下命令可以立即更新组成员：

客户端获得WSUS的更新是根据配好组策略，后台自动执行wuauclt进行的，不需要手动去干预。 假设WSUS服务器地址是192.168.0.1，并在服务器上同步了更新，批准安装更新，服务器端基本就没有其他操作了。接着在客户端上配组策略，默认情况下组策略配置完毕后10～20分钟后生效，之后会自动访问WSUS，WSUS也会自动收集客户端信息…… 如果服务器端设置没错的话，关键还是正确配好客户端。

1. 在“运行”中执行gpedit.msc来打开组策略对象编辑器，依次展开“计算机配置”、“管理模板”、“Windows 组件”，然后单击“Windows Update”。

2. 在详细信息窗格中，单击“指定 Intranet Microsoft 更新服务位置”。

3. 同时在“为检测更新设置 Intranet 更新服务”和“设置 Intranet 统计服务器”中键入同一WSUS 服务器的HTTP URL。例如，在上述两个文本框中键入 http://服务器名，其中服务器名是 WSUS 服务器的名称。

4. 单击“确定”，然后配置自动更新的行为。

另外有一个地方要注意，客户端不支持Windows 9X，还有就是Windows XP Home没有组策略，为了能用上局域网中的SUS，只能用注册表来部署，将下面代码复制到记事本，并命名后缀名为reg的文件，导入注册表即可：

其中[url]http://WSUS[/url]这一行要改成你安装sus服务器的地址。

服务器通常是24x7全天候运行的，所以，当五一长假人们都去放假的时候，服务器并不会也跟着放假。在这无人值守的期间里，要想保证服务器的安全，做一些安全加固措施还是有必要的。

在企业中，Windows 服务器通常作为以下角色：Web Server、ISA Server、VPN Server，这类角色应用比较多，故本文将重点介绍如何防护。

Web Server的安全，极其重要，如果在安全设置上有所疏忽，往往会被黑客挂上网页木马，这样，当访问此Web Server时，就不知不觉自动运行了木马，从而大面积传播。也有病毒利用IIS漏洞，感染Web Server，快速的散播病毒，如前几年的红色代码。

Windows 的Web Server是IIS，有关IIS安全的话题比较宽泛，限于篇幅，这里只简单介绍利用微软提供的加强IIS安全的工具来加固安全性。

微软对IIS的防护提供了一些有用的工具，如IIS Lockdown Tool（[url]http://www.microsoft.com/technet/security/tools/locktool.mspx[/url]）、UrlScan（[url]http://www.microsoft.com/technet/security/tools/urlscan.mspx[/url] ）。

应用这两个工具可以做到：禁用或者删除不必要的IIS服务和组件；修改默认配置，提高系统文件和Web内容目录的安全性；用URLScan来过滤HTTP请求。

本文不准备详谈，请参考微软官方站点：

不管服务器是作为何种角色，保护服务器自身的安全是首要的，只有做好了Windows自身的安全，才能谈得上它作为其他角色的安全。请参见：

Windows Server 2003安全指南：

在即将到来的长假前，对服务器作一番安全基准检查是非常有必要的。微软官方提供了这样的一个工具，叫Microsoft基准安全分析器MBSA。大部分的微软软件检测器都包含在内（如windows2000/2003/xp,IIS,SQL7.0/2000,IE,office2000/2002/2003)，除了检测漏洞之外，还提供了详细的解决方案以及补丁下载地址，MBSA Ver2.0.1包含图形和命令行界面，可以进行本地和远程扫描。使用MBSA可以确保没有遗漏的安全漏洞，由于MBSA可以自动更新，所以应该定期使用以检查新出现的漏洞。

MBSA最新版本为2.1，但微软中文关于MBSA的介绍却没有更新，仍然为1.2。MBSA2.0.1可以在下面地址下载：

MBSA 2.1现在还是测试版，主要是为Vista提供了完整的支持。

有关MBSA的白皮书可以参见：

注意，虽然该中文白皮书是以MBSA 1.2为例，但对于MBSA 2是通用的。见图：

对于企业市面上发行的一些安全软件，如360安全卫士，就提供了扫描系统漏洞并下载漏洞补丁的功能，见图：

不过目前360安全卫士暂时不提供Windows Server和Vista版的系统漏洞扫描的功能。但企业中的客户端完全可以用来扫描系统的漏洞并打补丁。

对于客户端而言，未采取域的，自然就没有应用域上的组策略，也就不能按照域控制器上的组策略配合SUS服务器自动进行安全更新，可以主动检测系统漏洞，采用MBSA或360安全卫士等带有检测系统漏洞并打补丁的功能的安全产品来完成。如果限于条件，企业网络没有SUS补丁服务器的话，上述措施就显得更有必要了。

客户端需要做的措施还有：

关闭不必要的程序和服务，以减小攻击免；

使用基于主机的防火墙；

安装病毒防护软件，并升级到最新病毒库；

客户端的安全使用行为也很重要，如不随意运行来历不明的文件、不随意访问不明网站。

有条件的企业，可以成立主动防病毒响应小组，制定值班制度负责监视外部的恶意软件警报站点以预警恶意软件的攻击。

建立网络安全及病毒事件出现后的应急机制和处置方案，由专人负责事件处理工作。确保企业在网络安全及病毒事件发生时能做好及时有效的处理，防止病毒感染，遏制病毒扩散，最大限度降低病毒发作带来的损失。企业可以根据实际情况来安排节日期间的值班，如遇问题联络国家计算机病毒应急处理中心或当地公共信息网络安全监察部门。

做好物理安全也不容忽视，如防盗、禁止无关人员接近服务器，这点非常重要。

如果企业能在五一长假前安排一次网络安全演练，也未尝不可，但目前中小型企业能做到这一点者，寥寥无几。只有那些对网络运行的安全性和稳定性有更高要求的企业，才会进行网络安全演练。

关于如何做好长假前的企业网络安全措施，由于版面的关系，只能就此收笔，最后祝广大企业网管度过一个平安、祥和的五一长假！