【IT168 应用技巧】您讨厌修补吗?我很讨厌,修补向来是吃力不讨好的工作,而且商业价值又很低,做起来更加无趣。当然,唯一的商业价值就是知道您可能可以避免未来发生不可预期的大灾难。
一直以来,IT 产业都将修补视为一份苦差事。它是熬夜加班,打电话说「亲爱的,抱歉,我赶不及回去吃晚餐了」的主要原因,修补及修补管理是我们避之唯恐不及的工作。
不过近来的修补管理已经不再像以前那么烦人。不久前,我们需要使用庞大的电子表格,链接每个修补程序与修补程序的「MS」号码和「q」号码,并配合它的 Microsoft 重要性与企业的优先级,才能做好修补工作。而追踪哪些修补程序要取代其他修补程序,每月则会耗掉至少半天的时间。
但随着 Windows Server Update Services (WSUS) 的推出,许多这些缺点都获得改进。这个简单却神奇的省时工具免除了修补工作所需的大部分人力。利用 WSUS 加上一点脚本,甚至可以指示它立即修补计算机,而无须等候下一次排程的周期 (这个脚本还在;想要复本的话,请浏览 concentratedtech.com)。
WSUS 有一项限制,就是它的自动化修补机制只有在您需要修补的服务器或桌面计算机处于开机状态才能执行。基于种种原因而必须关机的计算机会造成 WSUS 的问题。此时就需要设定修补周期在隔日早上机器重新启动时立刻开始执行,否则系统管理员就必须在前一天晚上另行找出机器并启动它。
到目前为止,我们都晓得 WSUS 的这项限制没啥大不了。如果用户让机器在夜晚修补周期的期间关机,隔日早上启动机器时便会看到好意的球形通知,修补程序便会开始安装。即使在今日,服务器通常还是会一直处于开机状态。这表示服务器一直在运作,因此能够从 WSUS 修补多载接收指示。
改变配方
自从数据中心转为虚拟化之后,这个轻松的静态环境又再次发生变化。一旦虚拟化之后,我们的服务器仍然可能保持持续开机的状态。但是这些虚拟服务器必须其来有自。对于我们大多数人来说,这个「有自」就是透过复制服务器范本。
服务器模板很棒,因为它可以帮助我们快速建立新的服务器,然后用最省力的方法让服务器上线。此外还能确保每一部服务器都是从相同的核心组态开始运作。但服务器范本也有黑暗面。虽然这些计算机在孕育新服务器方面很称职,但模板本身并不应该赋予生命力。
服务器范本是在某处的档案共享上以 VHD 档案的形式存在。关闭时,此档案实际上处于休眠状态。它与大型的 Word 档案或 Excel 电子表格相差无几。开启时,休眠档案变成完全运作的服务器,它可以处理正常的工作负载,也可以进行现今恶意代码的邪恶工作或其他攻击方式。
简言之,如果这些休眠档案未经过修补,就可能成为全新的恶意代码发作的温床,而原因只不过是它们被启动了。
开始紧张了吗?很好,因为这就是 Microsoft Offline Virtual Machine Servicing Tool (目前提供 2.1 版) 的宗旨。这个免费的解决方案加速器会安装一组自动功能,目的是让原本为休眠状态的虚拟机 (VM) 与 WSUS 保持最新状态。
[图 1] 脱机 VM 服务的三大组件
为了掌握它的运作方式,请参阅 [图 1]。您可以看到装载 System Center Virtual Machine Manager (VMM) 的服务器如何与其中一个链接库共享、Hyper-V 主机,以及您的软件更新管理服务器互动。此更新管理服务器可以是 WSUS 服务器,或可用的 System Center Configuration Manager (SCCM) 服务器。无论使用何者,处理程序都差不多。
Offline VM Servicing Tool 使用所谓的「 服务工作 」来管理在 VMM 链接库中为 VM 部署更新的工作。这些服务工作基本上是由 Windows 工作排程器在预定时间开始处理的工作。
当服务工作准备好启动时,它首先会从 VM 的模板位置「唤醒」VM。唤醒作业牵涉到将 VM 部署到 Hyper-V 主机,并启动它。一旦启动 VM 之后,VM 内部设定的 Windows Update Agent (WUA) 便会收到指示以开始软件更新周期。
VM 的 WUA 设定方式与您为所有计算机所使用的设定相同。您可以透过组策略套用,或在 VM 内手动设定。您必须设定所有的典型 WSUS 设定,这个处理作业才能顺利执行,例如设定更新服务位置、所有 WSUS 计算机群组,以及您的安全策略所定义的其他特定特性。
成功更新 VM 之后,服务工作便会关闭它,并传回链接库。这项自动处理程序可确保您的 VM (以及基础结构的其余部分) 都根据正确的修补程序进行更新。Offline VM Servicing Tool 不会加入自己的更新管理设定,反而是依赖您已经为 WSUS 或 SCCM 建立的现有设定。
事实上,安装 Offline VM Servicing Tool 需要采取几个步骤,如果您尚未读过相关的解决方案加速器指南,可能不太清楚这些步骤。虽然已经是 2.1 版,但这个工具仍然像是早期发行的版本。安装这个工具需要从 Microsoft 网站进行控制台下载。执行它则需要额外的步骤,就是将 PSExec 二进制文件 (psexec.exe 与 pdh.dll 两者都要) 下载和复制到工具的 bin 文件夹,位置是 C:\Program Files\Microsoft Offline Virtual Machine Servicing Tool\bin。另外还必须针对 RemoteSigned 设定 Windows PowerShell 执行原则。
[图 2] Offline VM Servicing Tool 控制台
安装之后,它的控制台 (如 [图 2] 所示) 实际上只会识别虚拟机群组来决定到时候哪些机器要接受修补。它也会识别服务工作,这些服务工作中包含更新工作的特性。此外,服务工具只会配合您的 VMM 链接库内含的 VM 运作。这意味着已经部署到 Hyper-V 主机的已关闭 VM 将无法使用此工具。
它会用于实际上不是模板的 VM,例如您准备好在机器故障或需要额外服务器时带上线的热备援 VM。在此情况下,工具建议在热备援服务器上使用次要 NIC 并部署到隔离网络。这么做可确保当您只想要套用最新修补程序时,不会发生热备援开始运作的意外。
Microsoft Offline Virtual Machine Servicing Tool 可能并非满足您所有脱机修补需求的全方位解决方案,但是这个工具经济实惠而且功能单纯,如果您只想让某些休眠 VM 维持最新状态,它可以派上用场。考虑到手动执行更新作业的痛苦,再加上错失修补程序可能造成的影响,您就能了解密切掌握所有休眠中但具有潜在危险的 VM 有多么重要。
