让系统及时的通过域用户脚本自动的打补丁

Windows操作系统的安全问题越来越受到人们的关注，每隔一段时间，微软就会发布修复系统漏洞的补丁。但是，由于很多用户不能及时使用这些补丁加固系统，因此往往造成重大损失，所以及时打补丁非常重要。然而，现在局域网的规模越来越大，对网络管理员来说，手工为每台客户机安装补丁的工作量实在太大，很难及时完成。

选择解决方式
网络管理员除了手工为每台客户机安装补丁外，还可以采用以下几种方式来解决这个复杂问题：

1. 在企业的局域网中架设微软提供的免费软件升级服务器(Software Update Services，SUS)，安排客户机定期自动执行升级，但是遇到紧急情况会出现某些电脑被漏掉的情况。

2. 使用微软Systems Management Services中补丁分发功能，SMS非常强大，不过它可不是免费的。

3. 采用第三方的管理软件如：IBM的Tivoli与LANDesk的Management Suite等。

简单、方便、快捷、免费是我们管理员追求的最高境界了，我提供的通过域用户脚本自动打补丁的方法大概就能符合上面的要求了。

脚本登录需知
不过在使用登录脚本之前我们需要了解下面两个问题：

1. 如何避免每安装完一个补丁就重启

Hotfix文件具有多个可选参数。重要的有-z表示安装后不重新启动计算机，-m表示安装过程中不出现提示信息，-q表示安装过程中不出现提示信息。我们下面的脚本可以使用到-m和-q两个。

如何将多个补丁文件串联起来？我们就要用到微软提供的Qchain.exe程序。Qchain.exe的使用非常简单，语法是Qchain [logfilename] ，Logfilename表示日志文件名，它记载了多个补丁安装前后的注册表中未决文件重命名队列键值的对比。实际上，Qchain.exe的功能就是检查注册表的未决文件重命名队列键值，对多个Hotfixes的安装文件进行合适的链接和取舍操作，最终保证被修改文件是最新版本。(详情与下载参http://support.microsoft.com/kb/815062)

2. 如何判断用户已经安装了哪些补丁

微软提供的补丁都有一个“KB”号，这是为了方便用户查询详情的代码，比如KB823980(“冲击波”的漏洞)，就可以通http://support.microsoft.com/?id=823980查到详细说明。我们也知道当安装完毕一个补丁的时候会在系统目录(%SystemRoot%)中存放同样名称的Log文件。从以上两方面我们就可以利用系统目录中是否有KB823980.log文件判断补丁安装与否。

创建脚本
好了，万事俱备，只欠东风！我们赶紧做个脚本吧。

1. 在Server上建立Hotfix目录将要安装的补丁和Qchain.exe放到此目录下。同时我觉得按照微软的“KB”号将补丁的改名排列好，如图1所示。

2. 设置Hotfix文件夹的访问权限，设置Administrators为完全控制，Authenticated users为读取权限，如图2所示。

图2设置Hotfix文件夹的访问权限

3. 在C:\Winnt\Sysvol\Sysvol\Domain_name\Scripts下建立Hotfix.bat脚本。请将本文中Domain_name更改为各位网管员自己管理的服务器名称。

脚本内容如下：

@echo off

echo 正在检测Windows2000 Update Server,请稍后......

IF not EXIST C:\Winnt\ GOTO END

net use Z: \\Server_name\Hotfix

Z:

IF EXIST %SystemRoot%\KB823980.log ECHO 恭喜您！已经安装了KB823980号补丁，进行下一项检查......

IF not EXIST %SystemRoot%\KB823980.log echo很遗憾！没有安装KB823980号补丁，现在正在安装，请稍候......

IF not EXIST %SystemRoot%\KB823980.log KB823980.exe -z -q

IF EXIST %SystemRoot%\KB823182.log ECHO恭喜您！已经安装了KB823182号补丁，
……

(参照上面的步骤，后面的补丁内容请手动添加)

echo 您已经安装了全部的补丁，谢谢使用......

Qchain.exe

C:

net use Z: /Delete /Y

:END

注：我们通过net use命令将共享的文件夹映射到本地。

4. 针对用户在活动目录里面设置用户登录脚本Hotfix.bat，如图3所示。

图3 在活动目录里面设置用户登录脚本

配置完成以后我们就需要等到用户登录就可以了。如果Windows XP 用户，只需要把IF not EXIST C:\Winnt\ GOTO END中的“Winnt”改为“Windows”就可以，注意补丁一定要是针对Windows XP的才可以，上面的脚本大家可以直接更改，不过一定要先做实验。