--------------------------------------
題外話,會這樣做是因為2017年5月爆發大規模的「想哭」勒索病毒事件,組織雖然沒有遭受波及(這時候要讚嘆有中華電信資安艦隊和SonicWall防火牆訂閱,以及平常就有宣導用戶端電腦要更新),但聽過微軟官方的分析之後,還是決定要讓用戶端電腦都統一更新政策
具微軟官方的說法是,會中毒的電腦幾乎都是漏洞未修補,而且是「已知」漏洞,也就是已經公告周知的漏洞、並且已發布安全性更新,而這些病毒就是依這些已知漏洞去寫出來的,但如果電腦沒有更新,就等於讓病毒有機可趁。
所以至少要更新到前幾次(前一兩個月的),是相對安全,因為新的病毒也許還沒被寫出來
而「想哭」病毒,印象中微軟的說法是2016年下半年有公告的漏洞與安全性更新,也就是如果當次(或之後)沒有更新到的(一直沒更新),重的機率相當高
---------------------------------------
設定流程:
1. 在AD開啟群組原則管理,第一層按滑鼠右鍵,點選「在這個網域中建立GPO並連結到(C)…」新增一個原則(不要在預設的Default Domain Policy做設定,避免混淆),另取一個名稱,中英文皆可;筆者在此實作取的名稱是「Windows Update for Client」
2. 編輯該原則,會跳出群組原則管理編輯器,展開「電腦設定→系統管理範本→Windows 元件→Windows Update」,再點選右側「設定自動更新」
3. 設定啟用,並選擇自動下載和通知安裝、自動下載和排程安裝等,最後按確定或套用
4. 完成後,群組原則管理編輯器視窗就可以關掉,再回到群組原則管理去看該原則設定是否有誤。群組原則生效的時間很快,慢的話也會在90~120分鐘派送到用戶端
※值得注意的是,網域內通常會有其他Server、而且都是手動更新/重啟,避免服務中斷。所以如果這個更新原則是自動下載/排程更新,得另外在Server群組下再建一個群組原則,才不會讓Server也跟著自動更新了。
=======================
延伸閱讀:
沒有留言:
張貼留言