【转】教会用户自己给系统打补丁

　　如果你与我认识的大多数管理员一样，这篇文章的题目可能会使你困惑:你为什么要教用户如何修复他们的系统呢?总而言之，管理员的主要任务之一就是锁定工作站，不让用户对工作站做任何事情。然而，在某些情况下，教用户如何自己进行补丁管理是很有意义的。

　　那些拥有许多小型远程办公室的公司就是一个很好的例子。这些小型办公室除了拨号连接之外缺少其它连接方式。根据我的经验，这些小办公室一般都配备二、三台没有与外界保持不间断连接的电脑。在这种情况下，实现补丁管理自动化是很困难的或者是不可能的。如果你要使系统保持最新的状态，你有两个选择:派遣技术支持人员每天都到远程办公室去，或者教用户如何在自己的系统上使用补丁。在这种情况下，最简单和节省成本的方法就是培训最终用户。

　　此外，很多管理员在他们的家里也有电脑并且拥有一直保持连接的宽带网。这些雇员应该具有补丁管理的基础知识，因为你不知道他们什么时候需要在家里工作。如果雇员家里的电脑不能够正确地使用补丁，敏感的文件就可能向外界泄漏。病毒和特洛伊木马程序也可能会附在雇员家里电脑的文件上，然后感染小办公室的电脑。如果你教育雇员了解使用补丁的重要性，向他们演示如何正确使用补丁，他们很可能会用一些时间加固家里的电脑(特别是在你提出建议或者要求他们这样做的时候)。

　　补丁管理培训会议

　　那么，你如何教育用户在他们的系统上使用补丁呢?仅仅发送电子邮件或者备忘录可能不会奏效，因为一半的用户不会阅读这些文件，另一半用户也许不会重视这些文件。因此，你要设法与各个小组或者部门召开一系列培训会议，解释和演示补丁管理。要设法控制这些会议的规模。

　　因为参加会议的人数越少，用户越容易对他们不懂的事情提出问题。

　　在你与用户讨论补丁管理的时候，你必须记住大多数用户不熟悉补丁管理。你还要记住，有许多关于补丁的神话在到处传播，而且有些人非常相信这些神话。对于用户对自己的系统使用补丁，你要提出能够做什么和不能够做什么的具体建议。下面是在讨论中要考虑的几个问题:

　　·补丁是修复瑕疵以及安全漏洞的。

　　·如果你使用Windows XP，打开自动更新功能将使Windows随时使用最新的补丁。

　　·Office等应用程序偶尔也需要使用补丁。你需要查看应用程序厂商的网站寻找与应用程序相关的补丁。

　　·如果你使用版本较老的操作系统，你需要到微软的网站查看是否有你使用的版本的Windows的新补丁。

　　·如果你运行较老版本的Windows，如果你的机器有足够的硬件支持，升级到Windows XP SP2是一项很好的投资。(一定要警告用户，WindowsXP的最低硬件配置一般都被低估了)。

　　·微软不通过电子邮件发布安全补丁。如果你收到一封电子邮件，声称是一个服务包、热补丁、补丁或者类似补丁的东西，立即删除这个邮件，不要打开这个邮件。这类电子邮件通常都包含病毒。

　　·如果用户对补丁或者安全问题有具体的疑问，他们可以与你联系或者访问微软的安全网站：http://www.microsoft.com/security

　　如何让用户听从你的意见

　　使用补丁对于用户来说是一项繁重的任务。并不是每一个人都能接受这种想法。但是，有一种可靠的方法可以推销补丁管理，那就是担心。

　　例如，你可以向雇员们展示一个包含利用操作系统安全漏洞的指令的恶意黑客的网站。你可以向雇员们解释，除非他们使用了补丁，否则任何访问那个黑客网站的人都会知道如何攻破他们公司的网络。给出某些文件包含安全漏洞的具体例子，特别是与参加会议的小组或者部门有关的例子。然后，向他们展示神奇的安全公告:这个再一次保证其系统安全的补丁。

　　某些人早晚会问为什么补丁管理对于家庭电脑也是必要的。普通的概念是只有大公司的网站才是黑客攻击的目标，你们公司已经使用了安全系统。

　　当提出这个问题的时候，问一下这个小组，他们中有多少人曾经走进一家商店并且建立临时决定用信用卡消费。几乎每一个都干过一两次这样的事。向他们解释商店会立即批准信用卡消费。任何有正当的信用卡的人都可以不带一分钱走进商店，然后抱着价值3000美元的电视机走出商店。

　　黑客频繁攻击家庭电脑就是为了窃取人名、地址和社会保险号等个人信息。拥有足够的个人信息，这些黑客就可以用你的名字和信用记录申请信用卡。你很快就会为这些黑客购买电视机。

　　有些人也许还会问，你的具体建议是否与他们有关。毕竟每一个家庭的电脑的设置都是不一样的。这一点是肯定的。我敢担保，我撰写这篇文章使用的电脑与你阅读这篇文章使用的电脑肯定有很大的不同。然而，至少有一个可以减轻你的安全威胁的因素，那就是Windows XP。

　　微软一般每两年发布一次Windows操作系统。但是，Windows XP已经使用相当长时间了。大多数拥有使用时间不到四年的电脑的用户都在使用Windows XP(不过也有人使用Mac或者Linux操作系统)。事实是Windows XP是一种占统治地位的操作系统，你展示的例子可能会与这个小组中的大多数人有关。对于少数落后的使用Windows 98的用户来说，你可以利用这个机会警告这些用户他们面临的风险并且鼓励他们升级。

　　提供讲义

　　你可以考虑提供一些如何自动化实用补丁和手工下载补丁的明确和简单的指南。你可以在每次讨论会结束的时候分发这些讲义，并且提供在线寻找这些指南的网络链接。这样，你接到的求助电话就会少一些，更多的用户会在你推广补丁管理的斗争中增加力量。

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

五大绝招轻松搞定系统更新

一、了解一些补丁的相关知识点

首先我们来了解一些必要的有关补丁的知识点，这些知识点你可能还不知道，了解它们有助于你将Windows Update理解得更透彻：

1.不要忘记了除了Windows系统外，微软的其他软件也会发布HotFix（热补丁），比如Office等，大家访问Windows Update主页的时候就可以看到。

2.微软公司每发布一个安全公告，都会为这个安全公告给出一个唯一的编号，其格式都统一为MS**-***，比如MS04-071，其中MS代表MicroSoft，04代表2004年，071代表第71个安全公告，而与之对应发布的HotFix则以Q******或者KB******来命名（其中Q******是比较早一点的补丁命名方式，KB******是新的命名方式）。

3.HotFix命名规则是：Q******_XXX_YY_ZZZ_NNN。其中******是KB号，通过它你可以到微软搜索有关该补丁的知识和故障解决，地址为：http://support.microsoft.com/?kbid=******；XXX代表操作系统，如果是Windows XP则是WXP；YY代表SP版本号，比如SP2；ZZZ代表机型，比如X86；NNN代表语言，如果是中文补丁，则为http://v5.windowsupdate.microsof ... fault.aspx?ln=zh-cn访问。

对于Windows 2000用户直接在左边导航栏的“相关主题”中点击“Windows Update 目录”链接，对于Windows XP用户则先点击“管理员选项”链接，在打开的页面中点击“Windows Update 目录”链接。

这时候如果你第一次使用Windows Update目录，那么系统会要求你安装一个名为“Windows Update”的ActiveX插件，当然是点击“是”安装。

安装完毕后，点击“查找 Microsoft Windows 操作系统的更新”链接，并在打开的页面中选择你的操作系统，注意这里区分到SP版本，比如你的系统是Windows 2000 SP4，那么就选择“Windows 2000 Professinal SP4”，我用的是Windows XP SP1，还有别忘了选择语言，接下来点击“高级搜索选项”，一般来说我们不需要安装“多语言功能”、“其他 Windows 下载”这两项，取消勾选它们。最后点击“搜索”。

大家马上就可以看到搜索结果了，包括“重要更新”、“推荐更新”、“高级安全性更新”、“Internet 和多媒体更新”等，我们先点“重要更新”链接，可以看到所有结果，点你认为需要安装的补丁旁边的“添加”按钮。

所有补丁添加完毕后点击“转到下载篮子”，再点击“浏览”选择一个保存目录，点击“立即下载”即可开始补丁的下载了。

这时候会弹出一个“协议条款”，点“接受”就开始下载了。

下载完毕后你会看到D:\hotfix目录下多了许多文件夹，我们需要的是exe格式的补丁文件，将他们一一拷贝整理到D:\hotfix中保存起来吧。

方法二：通过Windows Update下载

上面的方法相对来说麻烦一点，不过定制性很强，我们也可以通过Windows Update更新来下载，不过方法有点特别：首先安装正规方法在线下载，等安装完毕后千万不要重新启动计算机，这时候来到你的硬盘中剩余空间最大的那个磁盘分区，你会看到一个名为“Wutemp”的文件夹，里面就是刚刚安装的补丁了，将他们拷贝出来再重新启动计算机。为什么这时候不能重启呢？因为重新启动后，系统会自动删除该文件夹，你会发现它已经消失得无影无踪。

　　四、教你批量安装下载回来的补丁

前面我们已经将补丁一股脑的载到硬盘了，如果一个一个点击安装太麻烦，而且装一个重启一下计算机实在效率太低，下面就来开始批量安装。

首先要从http://www.microsoft.com/downloads/release.asp?ReleaseID=29821下载一个名为QChain的小软件，这个东东是微软专门发布用来批量安装补丁的工具，将它放在D:\hotfix目录下，接下来我们来编写一段比较简单的批处理文件：

@echo off

setlocal

set ATHTOFIXES=D:\HotFix

%ATHTOFIXES%\*****.exe -z -q

%ATHTOFIXES%\qchain.exe

其中*****.exe代表补丁的文件名，一般这些文件名比较长，大家可以修改一下名字。我们将这个批处理文件保存在D:\hotfix目录中，运行它就OK了，安装完毕只需重新启动一次计算机。有关这个qchain.exe工具的使用，大家可以参考一篇微软的Knowledge Base文档：http://support.microsoft.com/default.aspx?scid=kb;en-us;296861，这里有详细介绍。

五、将补丁更新抵挡在门外

你看了这个题目一定会觉得奇怪，明明补丁对于用户的安全性非常重要，为什么还要介绍这个“不安装补丁”的方法呢？有时候我们在安装某个补丁后会出现意想不到的问题（去年就有一次在安装补丁后出现和鼠标驱动不兼容的BUG，当然这是少数情况）。如何抵挡呢？

首先我们从Windows的自动更新服务（Automatic Windows Update）窗口中获得这个补丁的KB号，比如是KB123456，接下来我们打开注册表编辑器，定位到

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix”分支，在其下建立一个名为“KB123456”的子键，再在右边窗口中新建一个名为“Installed”的REG_DWORD值，将其值设置为“1”。这样做的目的在于让Windows觉得你已经安装了这个补丁，就不会再让你安装它了。

当然，不过你要安装这个补丁，那删除这个KB123456键就行了。

现在SP2已经在Windows Update中发布了，很多朋友都听说了SP2可能让你的BT下载慢或者这样那样的问题，好吧，如果你实在不想更新，那就干掉它吧！

1.对于一般用户：在注册表编辑器中找到“HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate”，在右边窗口中新建一个“DoNotAllowXPSP2”REG_DWORD值，设置其值为“1”。如果你有一天后悔了，那删除这个键就行了，或者将其值设置为“0”也行。

2.对于局域网的用户：局域网中的用户也可以用这个技巧，不过如果机器多了实在太麻烦，比如我就要管理几十台机器，如果一台一台的修改注册表，那工作量有点大。于是我在微软的主页搜刮了一下，原来它已经为我们提供了一段很简单的批处理代码，大家将其保存为cmd格式，代码如下：

@echo off

if "%1"=="" goto Usage

if "%1"=="/?" goto Usage

set REGBlockKey=HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate

set REGBlockValue=DoNotAllowXPSP2

set RemoteMachine=%1

if /I "/B" =="%2" goto Block

if /I "/U" =="%2" goto UnBlock

goto Usage

:Block

REG ADD \\%RemoteMachine%\%REGBlockKey% /v %REGBlockValue% /t REG_DWORD /d 1

goto End

:UnBlock

REG DELETE \\%RemoteMachine%\%REGBlockKey% /v %REGBlockValue% /f

goto End

:Usage

:End

（代码来自微软发布的软件中提取，有少量删减）

在命令行窗口中进入该cmd文件所在目录，运行“*.cmd 计算机名 /b”就行了，其中计算机名当然是你局域网机器的名字了。如果有一天后悔，那就运行“*.cmd 计算机名 /u”撤消。

　　六、教育网用户的更新方案

对于教育网的朋友来说，如果从微软的服务器万水千山的下载更新HotFix非常困难，而且速度不是一般的慢。好在国内不少大学为自己的学校提供了微软Windows Update服务的镜像站点，可以同步更新，而且他们大都向校外的用户开放。如果你身在教育网，请继续往下看，我们以西安交通大学的自动更新服务为例来介绍如何使用，其它大学的使用方法与之大同小异，大家可以参看相关帮助。

首先打开主页http://202.117.21.253/，它不支持Windows 98以下版本的操作系统，如果你的操作系统是Windows 2000/Windows 2000 SP1，那就先从http://202.117.21.253/WUAU22CHS.msi下载安装一个客户端程序，如果是Windows 2000 SP2以上、Windows XP SP1以上、Windows Server 2003，则不需要安装。如果你的机器24小时开机，那就下载http://202.117.21.253/server-update.rar，如果不是，那就下载http://202.117.21.253/pc-update.rar，他们两者的区别在于前者会在每天中午11点进行定时更新，后者则在你开机后10-30分钟内更新。

下载完毕后将其介压缩，运行其中的update.bat文件，它就会自动为你工作了，跟直接在微软更新几乎一模一样。

其它提供Windows Update同步更新服务的教育网站点有：

四川大学：http://windowsupdate.scu.edu.cn/

厦门大学：http://windowsupdate.xmu.edu.cn

上海大学：http://windowsupdate.ccshu.net/windows/

上海交通大学：http://windowsupdate.sjtu.edu.cn

华南农业大学：http://sus.scau.edu.cn/

天津外国语学院：http://windowsupdate.tjfsu.edu.cn/

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

教你看懂补丁

1:明明白白Hotfix

Hotfix是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序，通常称为