0x01 前言

我的服务器好几个虚拟机都是运行windows系统，同时家里的笔记本和台式机都是安装了windows系统，其中包含windows XP、windows 7、windows 8、windows 10和windows server 2012。

每一次微软发布更新的时候，我的每一个虚拟机和每一台运行着windows的实体设备都需要单独进行更新。这一重复的操作过度消耗我的网络带宽，所以我决定在其中一台windows server 2012上配置WSUS服务。

0x02 WSUS

WSUS的全称是Windows Server Update Services，这是微软免费提供的补丁分发方案。

首先要通过简单的配置，使得WSUS能正常稳定低运行；然后将所有客户端的更新服务器地址指向WSUS服务器。最后在WSUS服务器上审批、发布补丁，而后服务器将从微软下载审批通过的补丁并进行分发。当然，服务器是被动的，需要在客户端上设置自动更新服务启动的时间。

当WSUS服务配置完成那一刻起，除了要手动审批补丁外，几乎不需要进行其他的任何操作。这极大减少了维护的工作量和减少不必要的网络资源消耗。

0x03 安装

使用添加角色和功能向导添加WSUS功能：

然后点击下一步直至到达服务器角色选项卡：

勾选Windows Server更新服务，并在弹出的选项框中单击添加功能，然后一直单击下一步直至到达WSUS内容选项卡，并在其中填写升级文件保存的绝对路径：

这里请根据你的实际情况填写路径，完成后单机下一步直至完成。单击完成后，WSUS服务开始安装：

0x04 配置

更新完成后需要进行自动配置，这个过程需要时间比较长，需要耐心等待：

具体的信息可以在服务器管理器左侧的WSUS选项栏中进行查阅：

自动部署完成后就可以使用WSUS配置向导进行最后的配置了：

在配置向导中的配置点如下：

1. 是否加入Microsoft更新改善计划，我选否；
2. 选择上游服务器，因为我只有这一台服务器，并不存在上游服务器，所以选择从Microsoft更新服务器中获取补丁文件；
3. 指定代理服务器，我并没有使用代理连接网络，所以这里不做选择并点击下一步。与此同时需要网络访问上游服务器（我选的是Microsoft更新服务器）并从中获取一些信息并保存。这一步操作依据网络的速度，可能需要比较长的时间；
4. 选择语言，我今选择英文与简体中文，请根据实际情况进行选择；
5. 选择产品，因为我是用于测试环境，所以选择所有产品。请根据实际情况进行选择；
6. 选择分类，因为我是用于测试环境，所以选择所有产品。请根据实际情况进行选择；
7. 配置同步计划，请根据实际情况进行配置；
8. 完成，可以勾选开始初始同步，也可以完成后手动同步。

0x05 审批

在实际生产环境中，并不是所有的补丁都是需要的。如果实际环境中没有安装windows XP操作系统，那么相关的产品补丁可以去除。还有一种情况是如果补丁与实际环境中的软件相冲突，也可以手动拒绝，拒绝后的补丁将不会分发到客户机。

从更新服务管理界面中可以查看同步状态、统计信息等信息。其中代办事项中会显示尚未审批的补丁，如果补丁处于尚未审批或拒绝的状态，补丁将不会被分发到客户机。

单击待办事项中的已审批按钮即可进入相应的界面对补丁进行审批操作：

0x06 客户机

这里我选用windows 10作为演示的客户机。

通过组合键win+R打开运行窗口并键入gpedit.msc打开系统策略窗口：

请依次打开：计算机配置–>管理模版–>windows组件–>windows更新。首先需要修改配置自动更新，请依据实际情况进行配置自动更新。双机打开设置窗口：

然后配置指定internet Microsoft更新服务位置，这里使用http协议，需要填写http://[IP]:[Port]。我的是http://10.1.1.7:8530。端口8530是WSUS默认的端口，请在防火墙中手动放行。如果需要修改默认端口，请在WSUS管理窗口中进行修改。配置界面如下：

完成后需要手动刷新策略，通过组合键WIN+R打开运行窗口并键入CMD后回车打开CMD窗口。在CMD窗口中键入gpupdate /force后回车以更新策略：

完成后返回WSUS服务器进行查阅，检查客户机是否显示在服务器的计算机列表中：

上图中显示我的windows 10为windows vista，这很明显是错误的。

0x07 结语

WSUS因为可以通过GUI界面进行配置操作，所以并不难。但要注意的是硬盘最好能足够大，如果你想保存更多补丁文件的话。