最近，一个任所有网络管理员震惊的消息公布了。微软于10月20日在中国投放新一轮的正版增至计划，如果微软的XP操作系统没有通过微软正版验证的话，则用户开机进入操作系统后，桌面的背景将变为黑色。虽然用户可以重新设置背景，但是，每隔一个小时背景就会变为纯黑色。这虽然不影响正常的工作，但是至少会给员工的心情带来不良的影响。另外，当用户登录的时候还会出现“中断”对话框，并在屏幕右下方出现一个永久通知和持续提醒的对话框，显示“您可能是软件盗版的受害者”。另外，如果Office办公软件用户没有通过正版验证的话，则在验证失败后1-14天内，将会有弹出式对话框提醒用户所使用的软件不是正版;每隔两个小时就会有这么一次提醒。另外，若十五天后，用户还没有采取行动的话，则在Office文件中讲会被加入视觉提醒标记。如此的话，肯定会给用户的正常办公带来很大的负面影响。

　　另外，据传这次的正版验证，不适用安装向导。操作系统会通过自动更新更具不知不觉中给用户装上这个正版验证工具。其实现在微软正版软件在企业中的普及率，大家都心中有数。据我所知，有些企业即使买了微软的正版操作系统与Office办公软件，但是，实际用的话，仍然是利用盗版的软件。因为正版的操作系统与Office软件安装起来太麻烦。但是，现在微软出了这一个狠招，作为网络管理员该如何应对呢?

　　其他网络管理员采取什么样的措施，我不敢保证。至少笔者已经不放心用户自己从网络上下载补丁，升级操作系统。其实，笔者在一年以前，已经在考虑这方面的内容。并不是说笔者有先见之明，遇见了微软会出这一招。而是因为自动打补丁已经给用户带来了不少的麻烦。如有些补丁打上之后，系统的性能明显下降。原来补丁跟操作系统上装有的软件有冲突，等等。现在微软有推出了正版验证策略，更加促使我们要做好微软的补丁与自动更新管理。

　　为此，笔者在企业网络中做了如下的调整。

　　一、 关闭所有客户端的自动更新功能。

　　微软的补丁，包括现在的正版验证工具，基本上都是通过客户端操作系统上的“UPDATE”自动更新功能从网上下载并安装的。所以，若要对补丁进行集中管理的话，首先需要做的就是禁止操作系统自动从网络上下载相关的补丁。

　　要实现这个目的，我们可以通过防火墙等手段，限制操作系统连接到微软的服务器下载补丁。而只允许某些特定的IP地址，如补丁服务器，才能够连接到微软的网站下载补丁。笔者现在就是通过防火墙的IP地址过滤策略与访问控制列表策略，限制了客户端连接到微软的网站。

　　不过笔者为了确保安全，还在客户端上禁用了操作系统自带的UPDATE功能，从根源上限制客户端操作系统从网络上私自下载相关的补丁。因为企业中大部分的用户根本不能够区分哪些补丁是有用的。而且，有些补丁，如这个正版验证补丁，会在不知不觉中通过网络下载到客户端电脑，并且自动安装。这无疑不是我们网络管理员所希望看到的。

　　所以，为了做好系统补丁的统一管理，现在要做的第一步就是禁止所有的客户端从网上下载补丁。我们可以通过防火墙或者直接从客户端禁用掉这个功能。为了保险起见，网络管理员可以双管齐下，在防火墙与客户端上都进行相关的配置。

[1] [2] [3] 下一页