关于Windows Server Update Service (WSUS), 你应该知道的那些事儿

WSUS从推出以来一直非常受欢迎。搭建上的容易,使用维护上的便捷都是它的优势。但是你有没有发觉随着时间的推移,这个工具变得不像以前那么好用了。今天我们谈谈几个重要的事儿。   WSUS服务器的清理维护 WSUS服务器自带“清理向导”。不过这个向导不是自动运行的。你需要至少每个季度执行一次。如果WSUS是运行在Windows Server 2012及以上操作系统的,我们还有PowerShell 命令可以使用。WSUS上的 “被取代”更新。很久以来,我们都不认为这些更新会对WSUS服务器、WSUS客户端有多少影响。实际情况是,所有没有被设置为“拒绝”的更新,即使它已经被“取代”,都会被客户端检测。这么多年积累下来,可想而知,无论是服务器还是客户端都要承受越来越大的性能压力。所以至少每个季度应该将“被取代”的更新做“拒绝”处理。具体可以参考我们英文博客,里面有一个PowerShell脚本可以使用。或者手工“拒绝”这些“被取代”的更新。 WSUS服务器的更新 WSUS作为一个应用,这个服务也是会定期有更新的。有些更新是增强安全性,有些是提高性能。所以关注我们的博客,安装最新版本。注意:安装之前务必备份WSUS的数据库。目前最新的WSUS服务器更新为以下4个,包含关于性能的最新优化,非常重要。 Windows Server 2016 (KB4039396) Windows Server 2012 R2 (KB4041693) Windows Server 2012 (KB4041690) WSUS 3.0 SP2 (KB4039929) WSUS服务器的客户端更新 每一个Windows 系统都自带WSUS的客户端组件——Windows Update。对于比较新的操作系统(Windows 8.1/Server 2012 R2) 和Windows 10,这个模块的更新会被囊括在每月的月度汇总中(Monthly Rollup)。Window 7/Server 2008 R2系列在2015年推出了专门的更新 https://support.microsoft.com/en-us/kb/3112343。请确保客户端的版本至少高于这个更新中的版本(7.6.7601.19077)。很遗憾,最老的操作系统Windows Server 2008 SP2 从2014年起没有什么更新。因而从客户端软件上无法进一步提高。 WSUS服务器自身的版本管理 在Window Server 2012之前,WSUS 3.0 SP2是一个独立的应用,可以安装在Windows Server 2008/Server 2008 R2上。从Windows Server…

0

关于简化安全更新后的说明

从2016年10月开始,操作系统安全更新发布模式有所变化(请参考之前博文)。原来针对每个受影响的操作系统组件,往往会有单独的安全更新修复。从10月开始,这些针对操作系统不同组件的修复,均集中在一个安装包中完成。 对于企业用户,更新管理系统中会出现Security Only Quality Update 和Security Monthly Quality Rollup这两大类安全更新。由于Security Monthly Quality Rollup 本身就涵盖了当月发布的Security Only Quality Update,细心的用户会发现从11月份开始,Security Only Quality Update被当月的Security Monthly Quality Rollup 所取代。这个取代关系是产品组综合评定下来确定的。 <更新>2016年12月5日(太平洋时间),产品组听取多方反馈后发布了最新确认信息。从12月开始,当月的Security Only Quality Update将不再被当月的Security Monthly Quality Rollup 所取代。届时对于11月份的安全更新,也会相应修改元数据(Metadata)。使用Configuration Manager 2007的用户将无需各种复杂变通方法来部署Security Only Quality Update。详细信息您可以参考产品组博文https://blogs.technet.microsoft.com/windowsitpro/2016/10/07/more-on-windows-7-and-windows-8-1-servicing-changes/ 引文如下: “UPDATE: 12/5/2016: In November 2016, the Security Monthly Quality Rollups were released as superseding the Security Only Quality…

0

TMG 2010 版本列表

TMG 2010最新的版本是Rollup 5, Service Pack 2. 这也是我们推荐您环境中使用的版本 (7.0.9193.640)。这个版本早在2014年6月底发布。如果您环境中的TMG还没有升级到最新,请尽早计划升级,以防止各种已知异常现象。 下表是对于TMG每个重要更新所对应的版本号,方便您的查找。 RTM, Service Pack, Rollup Version Updates Information TMG 2010 RTM 7.0.7734.100 Service Pack 1 7.0.8108.200 http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=16734 Update 1 for Service Pack 1 7.0.9027.400 http://www.microsoft.com/download/en/details.aspx?id=11445 SP1, Update 1 Rollup 1 7.0.9027.410 http://support.microsoft.com/kb/2433623 SP1, Update 1 Rollup 2 7.0.9027.425 http://support.microsoft.com/kb/2475183 SP1, Update 1 Rollup 3 7.0.9027.441 http://support.microsoft.com/kb/2498770 SP1,…

1

认识微软的病毒防护解决方案

对于恶意软件(病毒,木马,rootkit等),微软为普通个人用户和企业用户提供了各种防护解决方案。您可以参考下表。 操作系统 个人用户 企业用户 备注 Windows Vista (已经停止支持) Microsoft Security Essentials Forefront Endpoint Protection, System Center Endpoint Protection 1.       Forefront Endpoint Protection于2019年7月9日结束支持周期。   2.       请不要将Microsoft Security Essentials安装到服务器操作系统上。 Windows 7 Microsoft Security Essentials Forefront Endpoint Protection, System Center Endpoint Protection Windows 8.1 Windows Defender Forefront Endpoint Protection, System Center Endpoint Protection Windows 10 Windows Defender Windows Defender…

0

勒索软件——防护还是屈从

不知道你是否听说过勒索软件(Ransomware)的大名。这是一种专门利用复杂加密算法、秘钥来加密文档的恶意软件。目的是获取经济利益。受害者在发现重要文档无法打开(被加密)后,往往还会注意到一个说明文件,告知“如何赎回这些资料”。如果之前没有任何备份,中招之后极其痛苦。 微软恶意软件防护中心(Microsoft Malware Protection Center, MMPC)对于这种猖獗的恶意软件,先后发布过很多博文,提醒全球用户关注防护,保护自己不受侵害。 我们统计分析勒索软件的来源,钓鱼邮件首当其冲。其次是利用一些流行软件的安全漏洞。这里提醒大家的是,安全漏洞不仅仅局限于微软的操作系统和软件。您使用的其它软件也需要及时更新到最新版本,以防别有用心的人利用其安全漏洞。 做到留意钓鱼邮件,及时安装更新,是否就足够了呢?的确,我们还需要完成以下几个重要步骤。首要一点是您需要有完善的备份计划,无论是普通用户的工作机还是各种应用服务器。其次您需要智能的检测手段。例如邮件过滤系统,终端防护系统。进一步,您如果有策略阻止未知来源的软件运行,也可以很大程度上为您的系统做到防护。最后,实际上也是相当重要的环节(人的教育),周期性教育最终用户行为和习惯。 勒索软件能为攻击者带来巨大经济利益,它变种速度快、数量多,必须综合运用以上五步来防范。对于这五步,微软都有适合的产品和服务支持您。详细信息您可以参考相关阅读部分。谢谢。 相关阅读 https://blogs.technet.microsoft.com/office365security/how-to-deal-with-ransomware/ Don’t let this Black Friday/Cyber Monday spam deliver Locky ransomware to you

0

您了解产品的生命周期吗?

微软的产品支持周期非常重要。除了保障您使用产品外, 微软对处于支持周期的产品负责修复确认的安全漏洞,提供免费的安全更新。当产品结束支持周期后,不再有安全更新发布。此时,确保安全的第一要务是更新到支持的产品版本。 全新改版的微软产品生命周期站点(https://support.microsoft.com/en-us/lifecycle)在2016年下半年上线。您在这里可以了解到哪些产品的支持周期将要结束,哪些产品支持周期有延长。有助您早日规划,平稳过度。

0

Windows XP 网络威胁及面向小型企业和个人客户的处理指南

Tim Rains – Microsoft 众所周知,Microsoft 已于 2014 年 4 月 8 日结束了对 Windows XP 的产品支持。2001 年,Microsoft 发布了 Windows XP;在不久之后的 2002 年 10 月,又发布了 Windows XP 支持生命周期策略。2007 年 9 月,我们宣布 Windows XP 的支持将额外延长两年,延至 2014 年 4 月 8 日。我们非常明确地指出了产品的生命周期,提前数年便开始有意传播这一消息。因为我们深知,客户需要一段时间来规划技术投资,管理升级到更新系统和服务的过程。 我们也非常注重定期进行沟通,例如去年 8 月发表的一篇文章。此文主要阐述:受支持的版本能获得安全更新以防范新发现的漏洞;而 2014 年 4 月 8 日以后,Windows XP 将无法再获得安全更新。这意味着在 Windows XP 过时后(即结束支持后),再运行这种产品将导致技术风险上升,更容易受到恶意网络犯罪分子影响。这篇博客文章继续讨论上述话题,还提供了一些在采取后续举措时可以借鉴的指导信息。 近来,我跟一些企业客户进行过交流,其中许多企业都已经完成或即将完成将桌面计算环境从 Windows XP…

0

Windows安全问答

问题列表: 1.工具(WCE)是如何能够获得用户口令的HASH甚至明文的?. 1 2.攻击者使用WCE必须满足什么条件?. 2 3. 在线登录(联系到DC)的情形下Windows通过什么方式保护用户的登录信息(HASH)?. 2 4. 在离线登陆(联系不到DC)的情形下Windows如何保护用户的登录信息?. 3 5. Vista(Windows Server 2008)和以后的操作系统是否有对NTLM的加强?. 3 6.为什么微软不发布一个产品更新来解决这些工具带来的风险?. 4 7. 微软提供哪些建议来减低规避用户登录信息被盗的风险?. 4 8. Windows的安全级别获得了什么认证?. 4 1.工具(WCE)是如何能够获得用户口令的HASH甚至明文的? 回答: 获取口令hash的方法: –          WCE必须运行在管理员的帐号下才可以读到所需要的内容。 –          根据操作系统的版本,WCE会用不同的方法找到lsass.exe进程中存储口令HASH的地址. 他们用的方法是反向工程来分析lsass.exe里面用的数据结构。这些数据机构都是内存中的数据结构. –          计算出HASH的地址以后WCE就通过ReadProcessMemory()或者在lsass.exe进程中注入机器代码来读取内存的内容并显示出来。 有关WCE,它的作者有一个非常详细的说明在下面的PDF文档中. http://www.ampliasecurity.com/research/WCE_Internals_RootedCon2011_ampliasecurity.pdf. 获取明文口令的方法: 当用户在Windows上提供用户名和登录证明(口令或PIN码)进行登录的时候,口令和PIN码是通过明文来提供的. 具体的验证协议需要把它们变成协议里规定的格式再来使用.同时为了兼容一些协议,比如Digest, 当前的Windows还允许用可逆的方式来来加密用户口令并存在内存中。 –          WCE必须运行在管理员的帐号下才可以读到所需要的内容。 –          根据操作系统的版本,WCE会用不同的方法找到lsass.exe进程中存储加密口令和加密key的地址. 他们用的方法是反向工程来分析lsass.exe里面用的数据结构。这些数据机构都是内存中的数据结构. –          计算出加密口令和加密key的地址以后WCE就通过ReadProcessMemory()或者在lsass.exe进程中注入机器代码来读取内存的内容。 –          得到加密口令和加密key后用反向工程方法的到的解密方法来进行解密,得到明文口令   注: Windows从来不会把口令以明文的方式存储在内存或磁盘上,只存了可逆加密过的口令.当协议要明文口令的时候,Windows会把这些口令解密并提供给相应的协议. 这种保护并不能阻止有系统级别访问权限的攻击者利用操作系统同样的方式获得这些口令并用于非法的目的.一个攻击者可以通过反向工程的方式用和操作系统同样的办法得到明文口令.这也是WCE获得明文口令的方法.   2.攻击者使用WCE必须满足什么条件?…

0

[技术分享–RMS篇] 20130827, 使用 RMS 保护任何文件类型的文档

如果您对 RMS 的理解还停留在它只能保护 Office 文档的层面上,那么微软最新的工具”Microsoft Rights Management sharing app for Windows” 将会让您耳目一新,它可以为您保护任何格式的文档。 注:目前此工具还在测试版(RC release),正式版将不久后推出。 下载链接:https://portal.aadrm.com/Home/Download/ (点击 Windows 图标即可)   首先,让我们来列举一下当前版本提供的一些新功能: 使用用户自定义的权限(通过调用 RMS 模板)保护任何文件; 直接调用默认邮件客户端,通过邮件将加密保护的文档共享给公司内部用户; 支持任何文件类型,包括 Office 和 PDF 文档; 允许 Office2010 与云端的 Azure Active Rights Management 协同工作; 在 Word, Excel, PowerPoint 工具栏上添加了新的按钮,在您完成文档的编辑后直接点击这个按钮即可加密和邮件发给您要共享的人。   使用举例: 工具安装完成后,重启您的计算机,之后您会选择某个特定文件右键时会增加两个选项:Protect in-place 和 Share Protected。 1. 当您选择了第一个选项 Protect in-place 后,您可以使用 RMS 预定义模版对文档进行加密,也可以指定允许打开的用户或组,还可以移除对文档的保护(文档所有者)….

0

[技术分享–RMS篇] 20130723, AD RMS 自我排错分析篇

如果你是一个 AD RMS 服务器管理员,突然有用户跟你报告说无法使用 RMS 服务对文档进行加解密,在向微软提交 Case 请求协助前,可以按照下面的步骤进行初步排错: 1.     确保当前用户为域用户,并且正确配置了邮件地址属性; 2.     确保 AD RMS 服务器的认证 URL 和授权 URL 都加入到了 IE 的 Local Intranet 安全区域; 参考 – http://blogs.technet.com/b/gcrsec/archive/2009/02/27/rms.aspx 事实上,这一步对于 Office2013 客户端来说是必须要做的;   3.     确保客户端计算机上使用 IE 可以正常访问 AD RMS 服务器的认证 URL 和授权 URL; http(s)://<your cluster>/_wmcs/certification/certification.asmx     http(s)://<your cluster>/_wmcs/licensing/license.asmx   正常情况下,以上两个 URL 应该可以被直接访问,并且整个过程中没有关于证书的任何警告或报错信息(如果启用了 HTTPS); 4.     如果所有客户端都无法正常使用,请检查下 AD…

0