「打給賀，挖西飛飛，今天你要來點 Active Directory Security 嗎？」

前題

• 若發生漏洞或重大更新，微軟會推出 Patch 更新包
• 手動更新的缺點
  1. 網路效率：企業內部如果有多台需要更新，會影響企業網路
  2. 目前已安裝的軟體影響：可能導致軟體間版本衝突

WSUS

• 全名 Windows Server Update Service
• 步驟
  1. 微軟更新包下載
  2. 到 WSUS 伺服器
  3. 利用「核准流程」部屬到使用者端電腦
     • gpupdate 指令

WSUS 所需元件

1. Microsoft Report Viewer Redistributable
   • 可以產生所需報告
     • 更新狀態報告
     • 使用者端電腦狀態
     • 同步結果報告
2. Microsoft System CLR Types for SQL Server
   • 儲存 WSUS 伺服器設定資訊
   • metadata
     • 更新程式屬性
     • 適用規則
     • 安裝資訊

常見架構

• 主從架構
  • 主要 WSUS 伺服器：用來取得更新程式
  • 次要 WSUS 伺服器：跟主要取得更新程式，部屬給使用者
• 模式
  • 自治模式：取得更新程式後，需自行判別是否核准
  • 複本模式：取得更新程式後，無法自行管理

相關攻擊

• WSUSPect – Compromising the Windows Enterprise via Windows Update
  • 預設更新使用 HTTP 未強制使用 HTTPS 導致容易中間人攻擊