任何一个有生命力的软件都免不了经常更新。微软的Windows系统也不例外,事实证明,许多用户为了安全的目的经常需要更新。不可否认,Windows Update也确实是一个实用的功能。特别是在Windows Server 2003中,它允许系统实施集中管理并自动安装更新。也许有人说,现在还有其它的方案可以完成这项功能,但在多数情况下,Windows更新和Windows服务器更新服务(即所谓的WSUS)是一个低成本高效益的解决方案,而且运行平滑,成为管理员的***。
但是,管理员有时并不允许一般用户随意更新其软件。自从发生黑客劫持Windows更新后台服务的安全事件之后,情况尤其如此。虽然管理员们采取的限制方法不限于我们讨论的内容,但今天我们实施的组策略设置,可以允许我们控制用户的更新过程,并确保用户不能用Windows Update上传更新文件。
我们认为,为安全起见,管理员们应该是能够使用WindowsUpdate上传更新文件的唯一人员。我们可以通过管理Windows Update访问设置来防止用户访问Windows Update;这就必然需要我们配置组策略。如果你想给某些用户访问Windows Update的访问权,你可以设置谁可以访问这些设置。
我们可以用几种独立的措施移除对Windows Update 特性的访问,可以用一些措施防止使用Windows Update进行更新,另外一些措施清除对Windows Update项目的链接,再用另外一些措施禁用或配置自动更新。使用本文中所讨论的组策略会禁用用户或计算机的自动更新。为了防止Windows Update更新操作系统,需要如下的步骤:
1. 打开组策略编辑器(方法是单击“开始”/“运行”,输入gpedit.msc,单击“确定”。)
2. 创建一个新的组策略对象,例如,forbidUpdates
3. 选择“计算机配置”
4. 单击“管理模板”
5. 单击“系统”
6. 单击“Internet通信管理”
7. 选择“Internet通信设置”
8. 在组策略编辑器的右侧的窗格中,双击“关闭访问所有的Windows更新特性”, 单击“已启用”单选按钮,单击“确定”。如图1和图2:
图1
图2#p#
为了禁用用户通过其它途径访问Windows Update命令,例如禁用在“开始”菜单或“Internet Explorer”中的更新,请完成下面的步骤:
1. 单击“用户配置”
2. 单击“管理模板”
3. 单击“开始菜单和任务栏”
4. 在组策略编辑器的右侧的窗格中,双击“删除到“Windows Update”的访问和链接”。如图3:
图3
5. 选择“已启用”单选按钮,单击“确定”,如图4:
图4#p#
为完全地防止用户使用Windows Update,需要完成下面的步骤:
1. 打开“组策略编辑器”
2. 选择“计算机配置”
3. 单击“管理模板”
4. 单击“Windows组件”
5. 单击“Windows Update”,双击“删除使用所有Windows Update功能的访问”,如图5:
图5
6. 单击选择“已启用”单选按钮,单击确定。如图6:
图6
(本文试验在Windows server 2003 sp2环境中通过。)
抛砖引玉,上面我们讨论了限制使用Windows Update更新的三种方法,您可以根据自己的网络和系统情况选择一种而采用之,如果您能利用组策略找出限制用户权限的其它方法,也请您告诉笔者。那本文就达到目的了。
【编辑推荐】
