2.4.9  漏洞修复

对Windows操作系统安全漏洞的提供统一的补丁加固，由于Linux操作系统不存在统一的漏洞补丁，不支持Linux系统漏洞补丁修复。

1. 修复策略

选择“策略中心>漏洞修复>修复策略”，将“漏洞修复”开启，显示漏洞修复策略配置界面，支持互联网环境、内网WSUS环境和本地扫描3种工作模式，如下图所示。

图2-181 漏洞修复工作模式选择

漏洞修复3种工作模式的应用场景。

·     互联网环境：该工作模式适用于客户机可以访问互联网资源情形，不需要单独部署WSUS补丁服务器，客户端使用微软提供的WSUS补丁服务器给主机提供补丁服务，该模式面向政企单位外网。

·     内网WSUS环境：该工作模式适用于用户网络与互联网隔离的情形，客户机无法访问互联网资源或客户机只能访问特定互联网资源无法自由访问互联网资源，需要在用户内网单独部署内网WSUS补丁服务器给主机提供补丁服务，该模式面向政企单位内网。

·     本地扫描：客户端使用自身携带的漏洞库特征，并从已配置好的补丁服务器下载补丁（通过HTTP或HTTPS下载补丁文件，本地扫描时获取补丁文件方式阅读2.9.2  升级章节）。

(1)     互联网环境

选择“互联网环境”后点击<保存>按钮，客户端执行漏洞扫描后，点击<修复>按钮时从互联网下载安装补丁。

图2-182 点击<修复>按钮

(2)     内网WSUS环境

用户内网中，若客户机已加入网络域并且管理员在域服务器上统一设置了漏洞修复策略，则在主机安全管理系统上配置漏洞修复策略为“不设置WSUS参数”，如下图所示。

图2-183 网络域环境下补丁修复模式配置

用户内网中，若客户机未使用域服务器配置漏洞修复策略或未加入域环境，可使用便捷配置（IP和端口）、高级配置模式/专家配置模式（导入配置文件）。

便捷模式配置，填入用户网络中实际部署的WSUS补丁服务器的IP地址和端口即可，端口使用默认的8530，点击<保存提交>按钮完成配置。

一般情况下，内网WSUS补丁服务选择便捷模式即可。

图2-184 WSUS补丁服务便捷配置

高级配置模式/专家配置模式，通过修改WSUS补丁服务器参数配置文件，并上传到控制中心。

图2-185 WSUS补丁服务高级配置

WSUS参数设置如下图所示。

图2-186 内网WSUS配置文件参数

(3)     本地扫描

本地扫描，使用客户端携带的本地漏洞库扫描，从控制中心下载补丁或将从第三服务器下载补丁（能够提供HTTP或HTTPS文件下载服务）。

图2-187 本地扫描配置

本地扫描时，获取补丁文件步骤请参考2.9.2  章节。

2. 忽略补丁

主机上的已安装软件和微软个别补丁可能会存在冲突导致系统蓝屏或软件异常的问题，或者微软发布的极个别补丁在主机上安装后存在系统异常问题，为避免这种情况发生，系统提供忽略特定漏洞的功能，客户端执行漏洞扫描修复时跳过设置的忽略漏洞。

选择“策略中心>漏洞修复>忽略补丁”，显示忽略补丁页面，在补丁编号输入框输入补丁编号，点击<添加>按钮和<保存提交>按钮完成，如下图所示。

图2-188 忽略补丁设置