随着越来越多的员工在家工作,WindowsUpdateforBusiness提供了一种使用最新补丁更新Windows终结点的简便方法。在本文中,我研究了WindowsServerUpdateServices和WindowsUpdateforBusiness之间的区别,以及为什么我认为后者在大多数情况下是最佳解决方案。
什么是WindowsServer更新服务?
WindowsServerUpdateServices(WSUS)是WindowsServer的组件。WSUS您可以部署单个实例。或者可以将其配置为分布式拓扑,以服务在不同网络或物理位置上分离的端点。
可以在不同的层次结构中设置WSUS服务器,在这些层次结构中,WSUS从上游服务器或直接从Internet接收更新。WSUS是一种灵活的解决方案,它允许组织为成千上万个端点提供服务,这远远超出单个实例可以处理的范围。WSUS还与Microsoft端点管理器(以前称为System Center Configuration Manager(SCCM))集成,在其中处理更新端点。
WSUS的部署和维护很复杂
但是WSUS提供了许多灵活性,包括批准单个更新的能力,所以还是有很多需要注意的地方。首先是复杂性。即使您部署了一个WSUS实例,也应遵循一些最佳实践,以确保WSUS是安全的。
默认情况下,不使用HTTPS来保护端点与WSUS之间以及WSUS下游和上游服务器之间的通信。每个WSUS服务器应配置为强制执行安全套接字层(SSL)/传输层安全性(TLS)加密,并使用HTTPS。
将WSUS配置为使用HTTPS有助于保护端点免受远程破坏,并防止黑客提升特权。但是将WSUS配置为使用HTTPS的前提条件很多。首先,您需要获取证书。这可能意味着要建立自己的公钥基础结构(PKI),这并非易事。
证书一旦安装,就需要在Internet信息服务(IIS)中绑定到5个不同的应用程序。然后,可以使用wsusutilconfiguressl命令将WSUS配置为使用HTTPS。最后,应该将端点配置为需要HTTPS,这意味着更新组策略配置,以便端点在正确的端口上使用HTTPS进行连接。
如您所见,即使您只有一个WSUS实例,也对本地基础结构有很大的要求。我认为对于大多数组织来说,WSUS可能已经过时且不再适用。过去8年几乎没有更新。并且它仍然使用SQL2012和ReportViewer2012。WSUS依赖Internet Explorer,并且IIS设置已知会引起问题。
为什么应将WindowsUpdate用于企业而不是WindowsServerUpdateServices
WindowsUpdateforBusiness
微软似乎并不关心将WSUS引入现代世界。这就是为什么有WindowsUpdateforBusiness(WUfB)。尽管WUfB不能让组