北信源补丁分发系统用户手册

北信源补丁分发系统北信源补丁分发系统 用户手册用户手册 目录目录 1 系统介绍.3 2 系统安装.4 2.1 安装环境.4 2.2 安装注意事项.6 2.2.1 软件安装监控服务器部署注意事项.6 2.2.2 软件安装和应用过程中注意事项.6 2.3 系统组件安装.7 2.3.1 安装 WinPcap 驱动模块.8 2.3.2 初始化数据库.8 2.3.3 安装 Web 中央管理平台.11 2.3.4 安装区域管理器 Region Manage .11 2.3.5 配置设备扫描器模块 Region scan.12 2.3.6 安装补丁下载服务器模块.13 2.3.7 客户端注册及下载.14 2.4 区域管理器补丁管理设置.20 3 策略中心.21 4 补丁分发.30 5 补丁自动下载分发.33 6 客户端补丁检测（一）.37 7 客户端补丁检测（二）.38 8 本地补丁分发综合查询.39 9 补丁级联下载.39 1 系统系统介绍介绍 北信源微软补丁升级管理系统是北信源公司在为国家各大部委机关、各大行业网络用 户进行病毒安全服务、总结安全运营保障经验的基础上，分析当前网络客户端实际安全管 理要求研发的，系统支持推、拉两种方式自动下载补丁。整个补丁管理运行平台构架是： 通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁；补丁安全测试后，通 过补丁分发管理中心服务器对网络用户进行分发安装；补丁安装支持自动和手动两种方式。 北信源微软补丁升级管理系统由 6 部分组成：WinPcap 程序、SQL Server 管理信息库（安 装包：环境初始化程序） 、Web 中央管理配置平台（安装包：网页管理平台） 、区域管理器 (安装包：Region Manage,原区域扫描器已作为模块集成到区域管理器)、客户端注册程序 （安装包：注册程序） 、补丁下载服务器。 环境初始化程序：环境初始化程序：SQL Server 管理信息库，建立北信源微软补丁升级管理系统的初始 化数据库。包括：网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管 理范围信息、注册（未注册）机器信息、设备属性变化信息、报警信息等。扫描器将设备 最新状态信息同数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报警。 Web 管理平台：管理平台：Web 中央管理配置平台，本系统的管理配置中心。包括区域管理器、 扫描器、注册客户端的功能参数设定，网络设备信息发现、系统应用策略制订、报警信息 显示、定义任务功能制订、系统用户维护等配置操作。 Region Manage：区域管理器，系统数据处理中心。与管理信息数据库通讯，接收注 册程序提供的用户信息，将用户信息（用户填写的物理信息和系统自动采集的硬件信息） 并行存入数据库；接受来自控制台的命令操作，发送到客户端、扫描器执行。 对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，系统数据提供逐 级上报（转发）模式。 区域管理器内置网络扫描器，扫描器将设备最新状态信息报送至区域管理器，由区域 管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理规则在管理平台上报警。 扫描器配合区域管理器进行工作，可以在分级模式下使用。扫描器只依据 Web 管理平 台中配置的工作范围进行扫描，超越其范围，将不负责执行操作。 WinPcap 程序：程序：嗅探驱动软件，监听共享网络上传送的数据。 客户端注册程序：客户端注册程序：用户访问指定网站自动获得，用户填写本机信息，填写必要信息后 上报区域管理器。注册程序自动探测系统硬件信息，连同用户填写的信息一同上报区域管 理器。用户将本机注册信息发送到区域管理器后，区域管理器自动将客户端驻留程序应用 策略发送给用户，并自动更新。 客客户户端端驻驻留程序功能：留程序功能： 1.1. 进行本机硬件属性信息变化监视；进行本机硬件属性信息变化监视； 2.2. 进行本机进行本机 IP、MAC 地址变化审计；地址变化审计； 3.3. 本机系统补丁、软件安装、运行进程状况监测；本机系统补丁、软件安装、运行进程状况监测； 4.4. 探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警；探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警； 5.5. 接受接受 Web 管理平台的管理命令；管理平台的管理命令； 6.6. 阻断本机非法外联行为；阻断本机非法外联行为； 7.7. 执行执行 Web 管理平台下发的各种策略操作管理平台下发的各种策略操作。 补丁下载服务器：补丁下载服务器：安装在与 Internet 网络连接的机器上，用于实时下载补丁厂商发布 的补丁。 注：区域管理器（Region Manage） 、区域扫描器模块（Region scan） 、注册程序部分 系统的参数配置集中体现在网页管理平台操作上，上述三部分功能参数、功能项数值统一 在网页管理平台中进行配置。区域管理器（Region Manage） 、扫描器模块（Region scan）部分参数在自身软件组件中配置。 2 系统安装系统安装 2.1 安装环境安装环境 条件一：硬件环境条件一：硬件环境 SQL Server 数据库服务器：数据库服务器：用于安装系统管理信息数据库。PC 服务器或更高档服务 器， Pentium 2.4C 以上 CPU，512M 以上内存。 区域管理器：区域管理器：用于安装区域管理器程序。百兆或千兆网卡，PC 服务器或更高档服务器， Pentium 2.4C 以上 CPU，512M 以上内存。 扫描器模块：扫描器模块：配置同区域管理器。如单独安装扫描器模块，比较高档的 PC 计算机即 可。 本系统各程序可安装在同一台计算机上，也可在不同机器上安装 SQL 数据库、IIS 服 务器、区域管理器、扫描器模块等，此时推荐该计算机内存为 1G 以上。 建议将区域管理器、扫描器、网页管理平台安装在同一台机器上，作为监控服务器。 条件二：提供数据库、条件二：提供数据库、IIS 服务服务 操作系统操作系统：Windows 2000 或 Windows 2003 企业版操作系统。 SQL Server2000 软件：软件：配备 SQL Server 数据库系统，用于北信源微软补丁升级管理 系统建立管理信息库数据库列表项。 IIS 服务：服务：配备 IIS 服务器提供 Web 服务，用于安装 Web 网页管理配置平台。如所装 操作系统为 Windows 2003 企业版，则需要按照安装光盘中的 Windows 2003 的 IIS 配置说 明进行 IIS 配置。 条件三：为本系统提供相应端口条件三：为本系统提供相应端口 北信源微软补丁升级管理系统区域管理器将占用操作系统 88 端口，必须确保安装区域 管理器的机器该端口不被占用。区域内的防火墙应打开如下端口： 80，88,2388，2399，8901,8900,161,137,22105，8889，22106，22108 以及 ICMP 协议。 同时最好将 DNS 服务迁移至其它服务器。 2.2 安装注意事项安装注意事项 软件安装时，推荐将区域管理器、扫描器、数据库安装在同一台机器上（以下称为监 控服务器） ，建议按照下面要求进行监控服务器部署、软件安装、客户端注册。 2.2.1 软件安装监控服务器部署注意事项软件安装监控服务器部署注意事项 1、监控服务器在网络中放置位置注意点、监控服务器在网络中放置位置注意点 确保该监控服务器能够 ping 通所有被管理网络中任意一台客户端机器，同时被管理客 户端可以正常连接服务器的 TCP 的 80,88 两个端口。 监控服务器给客户端下达策略的端口为：TCP 端口 22105； 监控服务器扫描发现客户端利用以下协议及端口： ICMP 协议（发现 IP 地址存在的其中一种方式） ； NETBIOS 协议,UDP 端口 137(为了发现机器名和 MAC 地址)； SNMP 协议,TCP 端口 161（为了发现智能设备如路由器、交换机等） ； 在本地网络中若划分了 VLAN，或本地网络存在防火墙，请注意上述问题。 2、存在网中子网（如经过地址转换）的网络布置点、存在网中子网（如经过地址转换）的网络布置点 对于网络中存在网中网现象，如采用 NAT 地址转化或者代理方式在 10.*. *. *网络 中接入 192.*. *. *网段，这些子网用户的管理方式如下： 情况一：子网有专人管理，并且有独立机房 应在该子网中安装一套完整的监控系统。 情况二：子网无专人管理，或无独立机房，可采用以下 3 种方式之一处理 机器数量少的建议统一更改 IP 为 10.*. *. * 网段。 由管理员监督子网中所有机器进行注册并保证不得遗漏。 在该网络中指定一台工作站专门安装区域管理器软件和区域扫描模块，并将区域管理 器配置中 SQL 服务器地址指向监控服务器。 2.2.2 软件安装和应用过程中注意事项软件安装和应用过程中注意事项 1、必须按照软件安装步骤进行安装、必须按照软件安装步骤进行安装 1）确认本机 IIS 服务正常； 2）确认本机 SQL 已正常安装并能正常使用（以本地系统账户方式安装） ； 3）确认目标安装盘剩余空间不小于 10G； 4）请务必按照指定顺序安装各个模块； 5）请在区域扫描模块所在计算机中安装 SNMP 服务； 6）安装完所有系统模块后，请一定按照说明文档进行客户端程序的配置及分发安装。 2、监控服务器的安全性问题、监控服务器的安全性问题 管理服务器安装 Windows2000 Server 操作系统（带 IIS） 、MS SQL Server2000 数据 库后，一定要确保对 Windows2000、SQL 和 IE 进行重要安全补丁修补，规范操作系统、 数据库的口令和密码设置，保证 SQL、IIS 的正常启动运行。 确保本服务器无病毒，同时可配置本服务器网络通讯端口仅打开： 80，88，6800，8901，8900，22105，2388，2399，8889。 3、保护机制的应用、保护机制的应用 对大多数交换机、路由器、非 Windows 设备，需要将其设置为保护状态（避免被阻断 导致网络不通） ，其它如有系统无法识别的重要设备，请在网页管理平台设备信息查询中手 动将其设置为保护状态。 2.3 系统组件安装系统组件安装 安装顺序依次为：安装顺序依次为： *安装 SQL Server 数据库； *安装 WinPcap 驱动程序； *安装并运行环境初始化程序，初始化数据库； *安装网页平台并进行划分区域，配置区域 IP 范围、区域管理器参数、设备扫描器参 数 等（推荐安装在默认路径下） ； *安装区域管理器（推荐安装在默认路径下） ； *通知所有用户下载并运行注册客户端代理探头程序。 2.3.1 安装安装 WinPcap 驱动模块驱动模块 在安装页面中选择“安装 WinPcap 驱动模块”按钮，单击“下一步”安装在区域扫描 器所在计算机上。 2.3.2 初始化数据库初始化数据库 初始化数据库是在 SQL 数据库中初始化建立 VRVEIS 数据库并生成系统必需的相关数 据表格，在此过程中需要利用本地数据或者调用远程 SQL 数据库，用户需要根据实际安装 情况按以下两种方式进行操作： 本地本地 SQL 数据库服务器环境初始化数据库服务器环境初始化 1)、环境初始化，建立初始数据库 在 SQL 服务器地址栏中添加本地机器 IP 地址、SQL 用户名、以及 SQL 用户密码。 SQL 数据库服务器环境初始化 2)、检查数据库初始化是否成功： 检查数据库初始化 当有如图“初始化数据库结构成功”提示框弹出时，说明已成功创建初始化数据库。 否则会出现如下图所示提示信息： 初始化数据库失败提示信息 如果出现如上图所示提示信息，用户需要检查所填入的 SQL 数据库 IP 地址、用户 名以及用户密码，重新初始化数据库。 远程远程 SQL 数据库服务器环境初始化数据库服务器环境初始化（建议非特殊情况不采用远程方式）（建议非特殊情况不采用远程方式） 1)、输入远程数据库信息，配置 SQL 客户端：安装远程数据库需要首先输入远程数据库 IP 地址、用户名称、用户密码，然后点击“配置 SQL 客户端” ，出现如下界面： 配置 SQL 客户端 2)、在通用栏中，启用 TCP/IP 协议：在通用栏中，选用 TCP/IP 协议，并启用，然后 单击别名，进行别名添加设置。 启用所选协议 3)、进行客户端别名的添加:单击上图中所圈中的别名，出现如下所示： 对客户端别名的添加 4)、进行网络协议的选择和服务器别名的添加：此时用户需要首先选择网络协议，选 定为 TCP/IP，服务器别名根据用户需要自由添加，点击确定后完成数据库初始化。 2.3.3 安装安装 Web 中央管理平台中央管理平台 安装安装 Web 管理平台管理平台 此部分程序要求安装在默认路径下，安装过程中请确保信息填写正确，否则，Web 服 务器可能不能正确访问 SQL Server 数据库。 Web 中央管理平台中央管理平台访问访问 Web 管理平台安装以后在 IIS 目录上以虚拟目录的形式存在，虚拟目录名称为 VRVEIS，用户在安装完成以后，用 http: :/Web 服务器域名（服务器域名（IP）/VRVEIS 的形式访问 Web 管理平台主页面。默认用户名为 admin，密码为。 （以下的都是用 admin 登陆进行说明 的） 。审计用户名为 audit,默认密码为，详见附录（六） 。 如果 http: :/Web 服务器域名（服务器域名（IP）/VRVEIS 访问无效，则以 http: :/Web 服务器域名服务器域名 （IP）/VRVEIS/INDEX. .ASP 方式登录。 Windows2003 下 IIS 配置以及 NTFS 磁盘格式配置注意事项见附录（七） 。 2.3.4 安装区域管理器安装区域管理器 Region Manage 在 Web 中央管理平台中划分区域及指定区域管理器后（参见 Web 中央管理平台配置） 安装区域管理器组件。安装后进行以下两项配置： SQL 客户端配置客户端配置 如果“区域管理器”没有同 SQL 装在同一台服务器上，需要在如下图所示窗口中将默 认网络库选择为“TCP/IP” ，使客户端能够远程访问数据库。在“区域管理器”中选择“配 置”-“系统配置” ，配置 SQL 客户端，也可以通过 Alt+S 热键，进入配置。 常规配置 上述配置完毕以后，需要重新启动“区域管理器” ，使系统生效。 区域管理器系统配置区域管理器系统配置 SQL 服务器配置：服务器配置：进入“系统配置” ，逐步输入 SQL 服务器 IP 地址、用户名称及密码、 数据库名称（默认为 VRVEIS） ，单击“确定”完成 SQL 服务器配置。 区域管理器中 SQL 配置 2.3.5 配置设备扫描器配置设备扫描器模块模块 Region scan 在配置好 Web 防护系统区域及其区域管理器后做以下步骤： 在配置管理里，点击“扫描器配置”可以添加扫描器，配置扫描范围。 区域扫描器配置 填写相关信息之后重新启动区域管理器，程序会自动缩小到系统托盘，表示数据库连 接成功，程序运行正常，此时通过上图中“扫描器配置”项来查看扫描器相关运行信息。 2.3.6 安装补丁下载服务器安装补丁下载服务器模块模块 在安装页面中选择“补丁下载服务器安装模块”按钮，输入序列号 SN，单击“下一步” 、在桌面生成 DownPatch.exe 快捷方式，执行后如下图所示： 丁下载服务器主界面 点击系统配置系统配置弹出如下图： 补丁下载索引解析界面 添加补丁索引添加补丁索引：从北信源站点获取补丁索引，用以获取补丁厂商发布补丁信息，通过 对补丁索引的解析，下载补丁。按照补丁索引、管理配置要求从补丁厂商站点获取补丁， 补丁下载支持各种方式（下载线程、下载时间）自定义下载补丁。 补丁下载参数设置 2.3.7 客户端注册及下载客户端注册及下载 （一）客户端注册原理及注册程序配置（一）客户端注册原理及注册程序配置 客户端注册客户端注册原理原理 执行注册程序，根据要求填入指定信息，系统自动将所添加信息和系统自动采集获得 的设备信息发送到区域管理器（设置为转发模式的将发送到上级区域管理器） ，区域管理器 将注册信息导入 SQL 数据库保存，在 Web 管理平台中设置的客户端参数策略将由区域扫 描器扫描客户端后，发送给客户端驻留程序保存执行。 该客户端驻留程序驻留在系统内部，以服务的方式实时运行，一旦某个客户端非法接 入互联网或设备改变违规，客户端就向 web 管理平台发送报警数据，同时本机将显示报警 信息。 修改客户端注册程序配置文件修改客户端注册程序配置文件 在 web 平台中配置管理-注册程序配置。注册程序使用前需要网管人员的配置，主要 是设置区域管理器 IP 地址（注册时客户端信息发向该 IP 地址所在的区域管理器） ，如区域 管理器为 44,配置如下图所示： 注册程序配置 在这里，可以对注册时需要填加的单位、注册密码进行编辑。如下图所示: 单位和部门添加删除 （二）客户端注册方法（二）客户端注册方法 客户端注册方法包括网页静态注册、网页动态注册、手动注册、网关重定向强制注册 等。 网页静态注册：网页静态注册： 静态注册比较简单，客户端只需要将配置好的注册文件上传到公共主页上即可，做一 个链接，访问主页后手动下载注册。 主要讲述动态注册，这种方法适用于网络用户较多的情况，客户端只要访问网络内公 共网站，网页将自动对客户端进行探测，弹出提示窗口，提示用户进行注册。 网页动态注册：网页动态注册： 利用网络中已经构建好的内部网站，一方面网络客户端可以通过手动获得注册程序， 也可以通过在主网页上加载弹出页面的方式进行提示性注册。本手册将主要介绍后一种方 式。 当网络中客户端计算机访问本网络内部网站时，在该主页代码中加入一段代码（如下） 。 本代码作用在于首先获得该客户端计算机的 IP 地址，再读取数据库里面相关 IP 地址的注 册和其它相关信息，如果该 IP 地址的设备存在，系统会根据其是否完成“注册” 、 “信任” 、 “保护”三项操作进行判断，只要满足其中任意一条件，都不会提示注册，否则会弹出窗 口提示注册。 网页加载弹出程序方法如下：编辑已有主页的源程序，在需要加载弹出窗口主页的源 代码中放入以下代码： 注意：需要将其中的 http:/ 53/vrveis/quest.asp 换成 http:/ 安装内网安全 管理网页平台计算机 IP/vrveis/quest.asp 即可，此时当网络中计算机访问该内部主页时，会 自动弹出如下提示页面： 网页动态注册 使用网页动态注册时，请管理员通知注册人，在访问本网站时，暂时关闭网页弹出拦 截程序或将本网站添加到不拦截列表中。 手动注册：手动注册：除了自动注册设备外，遇到需要手工注册新增设备时，也可通过 WEB 管 理平台中数据查询，设备信息查询中的手动添加设备功能，将新增设备的具体信息详细登 记填写至数据库中，并将其置为保护设备。 注意：注意： 1.多级级联注册：如果系统为多级级联方式，必须在区域管理器的高级配置中的“系 统配置” 、 “策略配置”选项中的级联选项选中，并正确添加上级管理器的 IP 地址，各级区 域会将自己所管辖的区域管理 IP 段上报到上级数据库中存储。 此时，当网络中任意一台下级区域客户端计算机访问主网站的同时，会根据最上级区 域数据库中存储的各级上报 IP 段信息，自动将该客户端注册程序文件下载路径指向为自己 所处 IP 段的本级区域注册器上，做到各个区域的客户端计算机在访问同一网站进行注册程 序下载时，所下载的客户端程序均为自己所在区域的专用注册程序。 如果网络中内部网站，网络管理员可以通知网络内计算机在本系统 Web 管理平台的登 录页面中点击下载注册程序完成系统注册，或者在此页面下按上面的步骤做好弹出提示窗 口方式注册。注册程序界面如下： 终端注册信息 无论采取哪种方式，在注册成功以后，注册程序除了将主动添加的信息自动上报以外， 还会自动收集其它和系统相关的信息进行上报。 客户端和区域管理器连接通讯不正常的情况下，将提示用户“缺省注册成功” ，表示客 户端探头已经注册完毕，但还没有与区域管理器通讯。当区域扫描器扫到该计算机的 IP 地 址时，才会将添加的信息及系统采集信息上报到区域管理器，存储在数据库当中。 2本系统使用初期，若要求对下属网络中的计算机信息进行统计、注册、入库，必须 在 Web 管理平台中管理器设置项内选中“允许客户端注册” ，如注册时需要密码，也需要 在 WEB 管理平台中进行设置，如下图所示： 允许客户端注册 注册信息编辑 （三）（三）客户端客户端卸载卸载 网络客户根据情况需要卸载客户端探头程序时，运行安装程序包中的探头卸载程序 UnInstallEdp.exe 如图： 客户端卸载 记录下序列号，并将序列号复制到如下图的第一个方框中： 查看卸载密码 点击查看将会产生一个卸载密码，将其输入卸载密码框中点击卸载即可。 卸载密码 或通过 WEB 管理平台中的点点控制中的终端卸载终端卸载如图： 终端点对点-终端卸载 2.4 区域管理器补丁管理设置区域管理器补丁管理设置 （1）补丁下载配置）补丁下载配置 进行补丁分发管理前，首先需要对区域管理器的补丁下载管理模块进行设置： 补丁路径为北信源内网安全管理平台的安装路径，下图为系统默认的 C:VRV，该目录下 的RegionManageDistributePatch 即为补丁下载默认的存放路径，提供给客户端下载。 区域管理器补丁管理设置 本级补丁下载管理控制： 最大连接数限制：设置客户端同时连接区域管理器并发下载补丁数量。 流量限制：限制下载补丁时区域管理器最大流量值。 级联选项：上下级区域管理器级联情况下，设定上级区域管理器 IP 和数据通讯端口。 （2）文件分发策略配置）文件分发策略配置 经过以上配置后，还需要进行补丁策略分发参数设置： 分发参数设置 进行策略任务分发前必须选择启动策略分发任务，启用 ping 探测，确定分发文件所在 的路径，分发时间间隔、分发数据通讯端口、分发线程等相关参数，如需设置级联，请在 级联选项中，指定上级区域管理器级联 IP 地址等，上述部分参数按照系统默认设置即可。 3 策略中心策略中心 如何进行策略创建和分发如何进行策略创建和分发 （1）在“策略管理中心”中左边的策略项中可点击需要制定的策略，然后在 右边的“新建策略名”中输入相应的策略名称后，单击“创建创建”按钮开始创 建策略。 策略中心策略制定 （2）随后在具体的策略的配置中根据用户的实际需要配置好策略后，单击 “保存策略保存策略”就完成了一条策略的创建。 （由于各个策略项的配置过程都不一 样，这里不再用截图表示，下一节将具体介绍） （3）接下来是下发策略，即指定策略的执行对象，可通过单击“对象对象”按钮 后，可按界面的提示完成对象的分配。如下图所示： 下发策略 策略分配对象 表示创建策略成功 （4）如果需要让某一条策略暂时不使用，可按界面中对应的“停用停用”单选按 钮使策略失效，需要使用的时候再单击“启用启用”按钮使策略生效。如果想要 删除某一条策略，则直接按“删除删除”按钮即可。但在删除某策略之前最好先 停用该条策略。 策略的高级设置策略的高级设置 策略的高级设置用于客户端程序对策略的执行设置，包括策略状态（启动、停止） 、策 略存活时间（策略执行的起止时间） 、策略执行触发条件（在何种条件下开始执行策略） 、 策略无效时间（规定时间内客户端不执行策略） 、策略应用范围（本级区域、下级区域、所 有区域） 、级联策略类型等，有些策略还包括具体的触发时间设置等。 高级策略设置 说明：策略名称：在此处可以修改策略名称。 策略状态：制定策略的风险系数。 风险级别：即是否启动风险系数。 策略存活时间范围：即策略以天为单位的存活时间段。 策略无效工作日：即可在一星期中选中一天或多天使策略无效。 策略无效时间段：即策略以分为单位的无效的时间段。 强制策略：级联策略发到下级管理器时，下级管理员对策略内容不能修改，并 且不能修改该策略的对象和启动、停用状态。 样板模版：级联策略发到下级管理器时，下级管理员对策略内容不能修改，但 是可以修改该策略的对象和启动、停用状态。 策略有效网络：a.在所有网络均有效:该功能意思是策略在区域管理范围内、外 均有效。 b.仅在该网络中有效：该功能意思是仅在区域管理范围内有效。 系统策略设定系统策略设定 1)补丁分发策略补丁分发策略 补丁自动分发：补丁自动分发：提供客户端补丁的自动下载及安装，可设置补丁探测时间，运行参 数及运行形式。 基于分发时间、补丁检测周期等进行策略制订，策略发送到网络客户端后，客户端注 册程序统一执行补丁应用策略。 补丁自动分发策略 如：在 WindowsXP 中运行“WindowsXP-KB-x86-CHS.exe”补丁为例，首先进入命 令提示符窗口。接着在进入系统补丁所在目录后，按“补丁名称+/？”的方式来查看一下 该补丁支持的命令行参数，如图所示： 补丁执行参数项 人工选择补丁分发人工选择补丁分发：该功能可以根据人工选择特定的补丁下发给客户端，如下图所 示： 人工选择补丁分发 2）终端配置策略）终端配置策略 终端设置策略终端设置策略：对客户端时间，ARP 阻断以及各种信息的上报等进行设置。 “同步终端时间”中选中单选框是，可同步客户端时间为服务器时间。 “自定义探头应答 IP”中输入 IP 后，表示更改区域管理器为指定的 IP，若要添加更 多的 IP，各 IP 间用分号分隔。 “自定义ARP阻断设置”中选中单选框是，则可设置每次发送 ARP欺骗包的间隔时间和 持续时间。 “审计日志上报间隔” 。 “补丁信息上报”： 将终端补丁安装信息上报到服务器。 （注：若已下发了自动补丁 分发策略，则此功能自动开启。 ） “进程信息上报”将终端系统运行进程情况上报服务器。 “软件信息上报”将终端系统软件信息定时上报到服务器。 “策略更新周期”指定客户端按设置间隔时间进行更新。 终端设置策略 终端代理扫描策略终端代理扫描策略：利用客户端探头进行本网段扫描，并且本网段中必须有一台已 注册的计算机。 终端代理扫描策略 3）管理器策略）管理器策略 管理器策略 4）按对象分配策略）按对象分配策略 按设备分配按设备分配：策略管理中心设备-策略查询，用户通过设备 IP 或设备名称查 询下发给该设备的策略，能够快速查找到相应的客户端正在执行的策略，并支持模糊查询。 按设备分配 按设备组分配按设备组分配：可以为自定义的用户添加策略，并且可以显示为每一组自定义的用 户下发的策略，并且可以编辑和或取消该策略。 按用户组分配（一） 按用户组分配（二） 5）策略下发查询）策略下发查询 用户可以查看策略的下发情况，查询下载策略的设备 IP 及名称和下载时间等信息。 策略下载查询 4 补丁分发补丁分发 对补丁进行分类显示，设置补丁检测页面的运行参数；支持多种方式对补丁分发结果 信息进行查询。 补丁库分类列表 补丁网页下载设置 本地补丁下发综合查询 补丁分发下载统计 级联补丁分发查询 补丁的来源可使用北信源补丁下载服务器从软件厂商网站获取补丁索引及补丁，直接 或通过移动存储设备，导入内网区域管理器的补丁分发目录进行客户端补丁自动分发，客 户端将获取的补丁放在本地%windir%system32distribute 目录下，下载后可自动安装，安装 后会自动删除安装文件。 5 补丁自动下载分发补丁自动下载分发 北信源终端安全管理支持对微软操作系统发布补丁的统一分发，并且用户可使用此系 统进行级联方式的补丁自动分发安装和监控。 统一补丁分发通过北信源补丁下载服务器（互联网）从互联网下载所有补丁。 对于物理隔离的内部网络，其补丁升级服务器中的补丁数据必须从外部获得，因此， 要求在 Internet 上进行补丁下载，巨大的补丁库使得每次补丁导入工作非常烦琐。北信源 针对此类物理隔离的内网，使用增量式补丁分离技术，在外网补丁下载服务器分离出内网 已安装、未安装补丁，分类导入系统补丁，即仅对内网的补丁进行“增量式”的升级，以 提高效率。通过增量补丁分离器，在每次导入导出补丁时，可减少拷贝工作量（系统菜单 中的补丁策略定义、补丁库分类、补丁安装查询、补丁下载查询主要基于此种方式工作） 。 （1）补丁下载服务器）补丁下载服务器 补丁下载服务器界面 北信源终端安全管理中包括了补丁下载服务器模块软件，直接运行 DownPatch.exe 文 件进行下载补丁文件。 补丁下载服务器默认配置为从微软公司网站下载微软所有补丁，下载后移植到北信源 终端安全管理的系统vrvRegion ManageDistributePatch目录下保存。 指定下载补丁类型包括： 1）中文补丁、英文补丁。 2）微软公布的级别补丁：0 级、1 级、2 级、3 级、4 级。 3）系统类别：IE5.0、IE5.5、IE6.0、WIN NT、Windows 2000、Windows XP 和其 他(包括 Windows 2003)。 补丁下载设置：实时、定时两种方式探测补丁厂商网站补丁更新状况。 补丁下载服务器设置 （2）补丁库分类）补丁库分类 补丁分析器功能模块，针对下载的补丁，由补丁分析器进行归类存放，按照不同操作 系统类别、补丁编号、补丁发布时间、补丁风险等级、补丁公告进行归类，帮助管理人员 快速识别补丁重要程度。 补丁厂商如微软，其补丁发布时就指定补丁号、补丁类型、补丁危害程度、操作系统 支持等补丁属性，北信源终端安全管理自动识别补丁的不同属性并归类。 补丁库分类包括：A 类、B 类、C 类、T 类。将所有补丁自由组合为不同的类，A 类、 B 类、C 类、T 类为用户自定义类型补丁（T 类建议为测试类型补丁，用于一些特殊补丁 的测试，指定用于特定的测试组机器） 。 （3）补丁策略定义及补丁分发）补丁策略定义及补丁分发 参见 Web 管理页面策略中心系统控制中心自动补丁分发，其中补丁分发策 略分为：补丁自动分发、人工选择补丁分发。 a补丁自动分发：补丁自动分发：制定对补丁库中所有补丁的自动分发策略，自动分发到不同操作系 统。 补丁策略分发器功能模块，基于分发时间、补丁检测周期，特定补丁等多种定义项进 行制订策略，策略发送到网络客户端后，由客户端注册程序统一执行补丁应用策略。 补丁分发策略制订 注意：本策略的执行由驻留在客户端的程序进行。 策略制订完毕后，按区域、按设备进行分发。对特定的若干个补丁文件进行分发，将 指定补丁文件放在C:VRVRegionManageDistributePatch 相应语言目录下，添加执行文件名 称参数。 参数的选择如参数的选择如：在 WindowsXP 中运行“WindowsXP-KB-x86-CHS.exe”补丁为例 我们应首先进入命令提示符窗口。接着在进入系统补丁所在目录后，按“补丁名称+/？” 的方式来查看一下该补丁支持的命令行参数，如图所示。 补丁命令参数项 把需要指定的参数以上图的格式输入到 4-6 图的参数项中如：-u 则表示无人职守安装。 多个参数之间