比黑客更快修補安全漏洞：活用 SCCM、WSUS 為企業網路安全把關

許多 IT 人都知道企業網路安全基礎的鐵三角，那就是防火牆、防毒軟體以及系統更新，但是這三者之間的先後順序大家是各有論調。以筆者個人的業界經驗與觀點而言，認為若是您公司網路中的用戶端與伺服端系統是以 Windows 為主，那麼系統更新的管理肯定得擺在第一位，而且還得有較聰明的管理方法，否則 IT 救火隊第一人的封號肯定非您莫屬。

根據統計在雲端世界裡最可怕的資訊安全危機並非病毒程式，而是網路社交工程以及系統安全漏洞。為什麼呢？因為如今防毒軟體的市場已經相當飽和，許多知名的防毒軟體也都紛紛推出非商業用途的免費版本，這讓許多個人用戶的電腦，直接遭受到惡意程式迫害的機率大幅降低。但行動裝置應用的普及，卻讓通過網路社交工程來進行惡意程式散佈、詐騙的案例暴增。除此之外從企業用戶端、伺服器、虛擬化平台到各類行動裝置以及混合雲的整合部署之下，系統安全漏洞已成為全球黑客的眾矢之的。

企業網路中系統整合的目標大致可區分為兩個層面來看。第一是解決廣泛資訊工作者(IW)的協同合作需要，包括了上下游廠商資訊系統的整合。第二則是解決資訊單位(IT)的管理問題，包括了橫跨多點地理位置的 IT 運作整合管理，讓各系統、資料庫、網路以及硬體，都能夠受到更有效率的監視與管制。然而系統的整合雖然可以解決作業效率上的問題，但卻增加了資安方面的隱憂，也就是所謂的系統連爆效應，而它的導火線往往不是病毒程式，而是系統安全漏洞。這一些漏洞讓駭客入侵攻擊程式拿到偽造的入場門票，並且在極短暫的時間之內就能夠讓蠕蟲兵團、殭屍軍團以及各種後門程式，蔓延至所有伺服端核心系統，以及用戶端的作業系統之中，甚至於令公司內部所有的網路交換器癱瘓！

為了避免這樣的事情發生，IT 部門必須擬定一套有效的解決方案，讓所有系統與應用程式的漏洞修補速度比黑客程式散佈的速度還要快一步才行。以 Windows 為主的企業網路中，可以使用的解決方案分別是 WSUS(Windows Server Update Services)以及 SCCM(System Center Configuration Manager)。WSUS 可以有效控管 Active Directory 架構下，所有 Windows 與 Microsoft 相關應用程式的更新管理問題，是 IT 維持所有 Windows 系統健康狀態的必要手段。而 SCCM 則是可以進一步深入解決所有第三方廠商軟體的更新管理問題，包括 IT 部門所自行研發的應用程式。

目前最新版本的 WSUS 服務提供於 Windows Server 2012 R2 的伺服器角色之中，接下來筆者將以此版本來作為示範講解，告訴您如何在真實的企業網路環境中，針對不同的電腦群組實施適合的集中更新管理機制，讓所有 Windows 電腦都能夠受到最基本的安全保障。