在 Windows 中如何徹底控制、禁止用户私自進行系統更新?
儘管我們已經可以透過群組原則搭配 WSUS 伺服器的使用,來集中控管 Windows 用戶端以及伺服器的更新,但許多 IT 部門可能會希望能夠控管得更加徹底,也就是讓使用者的電腦完全無法找到 Windows Update 的選項,以避免它們直接通過 Microsoft Update 的網站來進行更新。針對這一項需求,一樣能夠使用群組原則的設定,來把 Windows 用戶端電腦中的開始功能表、IE 瀏覽器以及控制台的 Windows Update,移除掉可直接連線至 Microsoft 線上更新的超連結(WindowsUpdate.microsoft.com)或選項,一旦移除完成之後,即使透過瀏覽器的網址列手動輸入也同樣無法進行連線。此原則的設定就在[使用者設定]\[原則]\[系統管理範本]\[開始功能表和工作列]節點下,請如圖 45 所示開啟[移除 Windows Update 的連結並存取]原則內容並設定為[已啟用]即可。
圖 45 移除 Windows Update 連結
接下來讓我們來一同看看 Windows 7 用戶端在被套用此原則之後的結果。如圖 46 所示首先是開始功能表,可以發現原有預設的[Windows Update]選項消失了。
圖 46 開始功能表比較
接著再來看看 IE 瀏覽器的[工具]下拉選單,如圖 47 所示可以發現其中預設的[Windows Update]選項也消失了。
圖 47 IE 瀏覽器工具選單比較
如圖 48 所示最後則是從控制台中開啟[Windows Update]管理介面,同樣可以發現原有的[從線上檢查來自 Windows Update 的更新]超連結也消失了。至於透過手動輸入 Windows Update 官方網址的方式,是否真的也無法進行連線更新呢?就留著讓讀者們自行去試試看吧。
圖 48 Windows Update 比較
本文最後我們將回到 WSUS 管理介面中的[選項]頁面,來看看究竟還有哪一些重要的設定是我們必須知道的。首先肯定是[自動核准]的功能設定,如圖 49 所示請點選開啟它。
圖 49 WSUS 選項管理
在如圖 50 所示的[自動核准]設定頁面之中,您可以勾選使用預設的自動核准原則,或是手動新增自訂的規則,因為您可能會希望僅讓一些特定的電腦群組使用自動核准的更新機制。
圖 50 自動核准設定
如圖 51 所示在自訂的新增規則設定頁面之中,您可以指定像是在特定的分類之中(例如:重大更新)來自動核准所有電腦或是某一個電腦群組的更新。
圖 51 新增規則
如圖 52 所示便是選擇電腦群組的設定頁面,如此一來此規則將只會對於您所指定的電腦群組,進行自動核准的更新作業。
圖 52 選擇電腦群組
完成自動核准的規則設定之後,您可以立即點選[執行規則]。如圖 53 所示執行前將會出現此提示訊息。點選[是]即可。
圖 53 立即執行規則
除了自動核准的選項設定之外,建議您也完成如圖 54 所示的[電子郵件通知]設定,以便可以接收到來自系統的更新同步報告以及更新狀態報告。在此必須分別完成收件者的 Email、傳送頻率、語言以及電子郵件伺服器的連線組態設定。
圖 54 電子郵件通知設定
完成設定之後還可以直接在[電子郵件伺服器]頁面之中點選[測試]按鈕,以便確認在指定的收件者信箱之中,能夠收到如圖 55 所示的 Email 測試訊息。
圖 55 電子郵件通知測試
至於如圖 56 所示便是一封由 WSUS 系統所正式發送的新更新提醒通知,以便讓管理人員可進一步決定是否要核准這一些更新項目。
圖 56 更新提醒通知
結論
如今無論是作業系統、應用軟體、瀏覽器、防毒軟體等等,甚至是智慧手機與平板的 OS 以及 App,各大廠也都有自家的更新管理機制,但其中又以 Windows 的更新最為龐大、更新上架速度最快。也因為如此 Microsoft 才會在許多年以前推出所謂的 SUS(Software Update Services),不久後演化成功能較齊全的 WSUS(Windows Server Update Services),此更新服務已是目前業界最具完整的 Windows 集中更新管理解決方案,而它的進階安全整合管理應用,則是可以延伸至 System Center Configuration Manager 以及 Network Access Protection,讓可能因用戶端的安全漏洞,所引發的企業網路淪陷之危機降至最低。然而您可能還不知道,更縝密的更新管理之架構設計,將在未來的 Windows Server 2016 與 System Center 2016 推出後讓各位大開眼界。
瀏覽相關文章
比黑客更快修補安全漏洞:活用 SCCM、WSUS 為企業網路安全把關
比黑客更快修補安全漏洞:開始部署及設定 WSUS
比黑客更快修補安全漏洞:開始部署及設定 WSUS (1)
比黑客更快修補安全漏洞:網域電腦的更新管理
比黑客更快修補安全漏洞:網域電腦的更新管理 (1)
比黑客更快修補安全漏洞:網域電腦的更新管理(2)
比黑客更快修補安全漏洞:工作群組電腦的更新管理
在 Windows 中如何徹底控制、禁止用户私自進行系統更新?
4 Responses
[…] 比黑客更快修補安全漏洞:活用 SCCM、WSUS 為企業網路安全把關 比黑客更快修補安全漏洞:開始部署及設定 WSUS 比黑客更快修補安全漏洞:開始部署及設定 WSUS (1) 比黑客更快修補安全漏洞:網域電腦的更新管理 比黑客更快修補安全漏洞:網域電腦的更新管理 (1) 比黑客更快修補安全漏洞:網域電腦的更新管理(2) 比黑客更快修補安全漏洞:工作群組電腦的更新管理 在 Windows 中如何徹底控制、禁止用户私自進行系統更新? […]
[…] 比黑客更快修補安全漏洞:活用 SCCM、WSUS 為企業網路安全把關 比黑客更快修補安全漏洞:開始部署及設定 WSUS 比黑客更快修補安全漏洞:開始部署及設定 WSUS (1) 比黑客更快修補安全漏洞:網域電腦的更新管理 比黑客更快修補安全漏洞:網域電腦的更新管理 (1) 比黑客更快修補安全漏洞:網域電腦的更新管理(2) 比黑客更快修補安全漏洞:工作群組電腦的更新管理 在 Windows 中如何徹底控制、禁止用户私自進行系統更新? […]
[…] 比黑客更快修補安全漏洞:活用 SCCM、WSUS 為企業網路安全把關 比黑客更快修補安全漏洞:開始部署及設定 WSUS 比黑客更快修補安全漏洞:開始部署及設定 WSUS (1) 比黑客更快修補安全漏洞:網域電腦的更新管理 比黑客更快修補安全漏洞:網域電腦的更新管理 (1) 比黑客更快修補安全漏洞:網域電腦的更新管理(2) 比黑客更快修補安全漏洞:工作群組電腦的更新管理 在 Windows 中如何徹底控制、禁止用户私自進行系統更新? […]
[…] 比黑客更快修補安全漏洞:活用 SCCM、WSUS 為企業網路安全把關 比黑客更快修補安全漏洞:開始部署及設定 WSUS 比黑客更快修補安全漏洞:開始部署及設定 WSUS (1) 比黑客更快修補安全漏洞:網域電腦的更新管理 比黑客更快修補安全漏洞:網域電腦的更新管理 (1) 比黑客更快修補安全漏洞:網域電腦的更新管理(2) 比黑客更快修補安全漏洞:工作群組電腦的更新管理 在 Windows 中如何徹底控制、禁止用户私自進行系統更新? […]