任何一個有生命力的軟件都免不了經常更新。微軟的Windows系統也不例外，事實證明，許多用戶為了安全的目的經常需要更新。不可否認，Windows Update也確實是一個實用的功能。特別是在Windows Server 2003中，它允許系統實施集中管理并自動安裝更新。也許有人說，現在還有其它的方案可以完成這項功能，但在多數情況下，Windows更新和Windows服務器更新服務(即所謂的WSUS)是一個低成本高效益的解決方案，而且運行平滑，成為管理員的***。

但是，管理員有時并不允許一般用戶隨意更新其軟件。自從發生黑客劫持Windows更新后臺服務的安全事件之后，情況尤其如此。雖然管理員們采取的限制方法不限于我們討論的內容，但今天我們實施的組策略設置，可以允許我們控制用戶的更新過程，并確保用戶不能用Windows Update上傳更新文件。

我們認為，為安全起見，管理員們應該是能夠使用WindowsUpdate上傳更新文件的唯一人員。我們可以通過管理Windows Update訪問設置來防止用戶訪問Windows Update;這就必然需要我們配置組策略。如果你想給某些用戶訪問Windows Update的訪問權，你可以設置誰可以訪問這些設置。

我們可以用幾種獨立的措施移除對Windows Update 特性的訪問，可以用一些措施防止使用Windows Update進行更新，另外一些措施清除對Windows Update項目的鏈接，再用另外一些措施禁用或配置自動更新。使用本文中所討論的組策略會禁用用戶或計算機的自動更新。為了防止Windows Update更新操作系統，需要如下的步驟：

1. 打開組策略編輯器(方法是單擊“開始”/“運行”，輸入gpedit.msc，單擊“確定”。)

2. 創建一個新的組策略對象，例如，forbidUpdates

3. 選擇“計算機配置”

4. 單擊“管理模板”

5. 單擊“系統”

6. 單擊“Internet通信管理”

7. 選擇“Internet通信設置”

8. 在組策略編輯器的右側的窗格中，雙擊“關閉訪問所有的Windows更新特性”, 單擊“已啟用”單選按鈕，單擊“確定”。如圖1和圖2：

圖1

圖2#p#

為了禁用用戶通過其它途徑訪問Windows Update命令，例如禁用在“開始”菜單或“Internet Explorer”中的更新，請完成下面的步驟：

1. 單擊“用戶配置”

2. 單擊“管理模板”

3. 單擊“開始菜單和任務欄”

4. 在組策略編輯器的右側的窗格中，雙擊“刪除到“Windows Update”的訪問和鏈接”。如圖3：

圖3

5. 選擇“已啟用”單選按鈕，單擊“確定”，如圖4：

圖4#p#

為完全地防止用戶使用Windows Update，需要完成下面的步驟：

1. 打開“組策略編輯器”

2. 選擇“計算機配置”

3. 單擊“管理模板”

4. 單擊“Windows組件”

5. 單擊“Windows Update”，雙擊“刪除使用所有Windows Update功能的訪問”，如圖5：

圖5

6. 單擊選擇“已啟用”單選按鈕，單擊確定。如圖6：

圖6

(本文試驗在Windows server 2003 sp2環境中通過。)

拋磚引玉，上面我們討論了限制使用Windows Update更新的三種方法，您可以根據自己的網絡和系統情況選擇一種而采用之，如果您能利用組策略找出限制用戶權限的其它方法，也請您告訴筆者。那本文就達到目的了。

【編輯推薦】

1. 組策略管理難點之應用控制
2. 用組策略加固網絡