而近日，微軟又確認了另一個可能導致CPU高占用率的BUG，該BUG是由Windows九月份累積更新中的一個補丁造成的。

微軟表示，遇到這個BUG會影響輸入法編輯器或IME，目前已經存在手動解決方法來修復它。然而，完整的補丁正在開發中，它將在未來幾周內上線。

據悉，某些輸入法編輯器（IME）可能無響應或可能具有較高的CPU使用率，受影響的IME包括CHS（簡體中文）和CHT（繁體中文）和倉頡 / Quick鍵盤。

此外微軟還給出了受影響的Windows 10客戶端和服務器版本，如下：

Windows 10，版本1903Windows 10，版本1809Windows 10企業版LTSC 2019Windows 10，版本1803Windows 10，版本1709Windows 10，版本1703Windows 10 Enterprise LTSC 2016Windows 10，版本1607Windows Server，版本1903Windows Server，版本1809Windows Server 2019Windows Server，版本1803Windows Server，版本1709Windows Server 2016

目前，Windows 10的下一波更新將在9月底發布，不知道屆時這一問題會不會得到解決。如果大家在使用電腦的過程中發現CPU占用率莫名其妙過高，可以將“觸摸鍵盤和手寫面板服務”切換為手動啟動，以防止自動運行后帶來的BUG。

另一個尷尬的問題是知名滲透測試框架Metasploit近日在其工具庫中添加了一個針對高危漏洞BlueKeep的利用模塊。

據悉，該BlueKeep漏洞（CVE-2019-0708）是微軟在今年5月發現的高危漏洞，屬于蠕蟲，可利用Windows遠程桌面服務（RDS）傳播惡意程序。

在系統遭受攻擊后，黑客能夠任意控制該漏洞執行代碼，并通過遠程桌面協議（PDR）發送強制操控請求，以此在無交互情況下控制計算機。

據報道，將近100萬臺計算機存在BlueKeep高危漏洞風險，且根據BinaryEdge掃描發現仍有70萬臺中國計算機處在風險之中。

雷鋒網得知，該漏洞對于計算機的危害極大，安全人員目前只釋放出其中簡單的PoC（概念驗證）腳本，但還不夠成熟。盡管已經有人開發出了BlueKeep漏洞利用程序，但卻拒絕發布代碼。

該漏洞的可怕之處在于，基于Metasploit的BlueKeep漏洞可實現代碼執行，在前者釋放出執行代碼后即使普通人也可以利用這一漏洞發動攻擊。

當然，前提是在支持用戶交互的正確環境及參數下才能運行。此外，BlueKeep Metasploit模塊只適用于64位Windows 7 和 Windows 2008 R2，利用范圍也有限。

小獅子最喜歡的雞腿 分割線

可曾遇到過使用Windows自帶的UPDATE下載補丁速度非常慢，往往要等待3小時以上甚至更多呢？這還僅僅局限在關鍵更新上，要是把驅動和非關鍵更新也下載的話需要的時間會更長。如果公司只是在一個內網中員工計算機不容許上網的話你又是如何保證他們的補丁是最新的呢？恐怕使用默認的UPDATE都不能實現這些功能。
　　
　　微軟替我們想出了一個辦法——使用WSUS。通過WSUS我們可以建立一個內部的UPDATE服務器，讓公司的計算機直接到這臺UPDATE服務器上下載補丁，使得更新補丁時間大大縮短，提高了安全性。另外對于沒有連到INTERNET的計算機只要在內網中可以訪問這臺UPDATE服務器也可以隨時安裝最新的補丁，有效的防止了漏洞型病毒在內網的傳播。
　　
　　一、Windows Server Update Services介紹
　　
　　WSUS（Windows Server Update Services）是微軟公司繼SUS（Software Update Service）之后推出的替代SUS的產品。目前版本為2.0。想必有的網絡管理員使用過SUS，那么WSUS具有哪些主要新特性呢？
　　
　　（1）支持對更多微軟產品進行更新，除了Windows，還有Office、Exchange、SQL等產品的補丁和更新包都可以通過WSUS發布，而SUS只支持Windows系統。
　　
　　（2）支持更多的語言包括中文。
　　
　　（3）使用2.0版的后臺智能傳輸服務，比SUS更好的利用了網絡帶寬。
　　
　　（4）對客戶機的管理更加強大，可以對不同客戶機分配不同的用戶組，對不同組分配不同的下載規則。
　　
　　（5）在設置和管理上比SUS更加簡單直觀。
　　
　　如果你的網絡要升級的客戶端小于500臺計算機的話需要WSUS服務器硬件最小是750MHz主頻的處理器以及512MB內存，當然還需要有充足的硬盤空間來保存更新程序的安裝文件。
　　
　　二、部署Windows Server Update Services
　　
　　理論上的說教效果不好，所以筆者將設定一個應用環境為大家講解如何安裝及配置WSUS服務器以及如何設置客戶端通過這個WSUS服務器下載補丁。
　　
　　Windows Server Update Services　小檔案：
　　軟件版本：2.0正式版
　　軟件大小：　124MB
　　軟件語言：多國語言
　　軟件平臺：Win2000/2003 Server
　　軟件授權：共享軟件
　　下載地址：http://download.microsoft.com/download/9/3/3/933eaf5d-f2a2-4a03-8a87-e8f6e6d07e7f/WSUSSetup.exe
　　
　　實戰：在企業內網建立WSUS服務器容許客戶機通過這個服務器更新補丁
　　
　　任務描述：筆者所在公司的網絡處于教育網，客戶機連接微軟官方的UPDATE站點速度很慢，更新補丁時間比較長，為了提高公司網絡的安全，加快補丁更新速度選擇一臺服務器通過WSUS建立一個公司內部的UPDATE站點，讓所有員工計算機到這個UPDATE站點更新補丁。服務器名稱為softer。
　　
　　準備工作：由于軟件需要很多必備組件,如果在Win2000server上安裝WSUS則需要安裝這些組件,而這些組件都是默認安裝在Windows2003上的,所以筆者建議大家使用2003部署WSUS服務器。同時建議安裝該服務器的服務器謹慎安裝其它WEB網站。具體需求如圖1。
　　

圖1

　　實現方法：
　　
　　第一步：Win2003默認沒有啟用IIS服務，所以我們需要通過“控制面板->添加刪除程序->添加刪除Windows組件”，安裝里面的“應用程序服務器”組件，安裝的同時會把IIS添加到本地計算機。（如圖2）
　　

圖2

　　
　　第二步：下載WSUS并雙擊安裝程序，程序將自動解壓縮。（如圖3）
　　

圖3

　　
　　第三步：開始安裝WSUS，所有步驟和安裝普通軟件一樣。在出現選擇安裝路徑的界面需要注意的是安裝路徑有6GB空間而且安裝路徑所在驅動器是NTFS格式的文件系統。（如圖4）
　　

圖4

　　
　　第四步：由于筆者的Win2003沒有安裝SQL SERVER，所以軟件還會向計算機安裝SQL SERVER桌面版。（如圖5）
　　

圖5

　　第五步：在網站設置窗口我們選擇“使用現有IIS默認網站”即可，如果本地計算機還開啟了其他站點服務，80端口被占用的話，選擇下方的使用8530端口選項即可，不過實際中會造成使用的不方便。（如圖6）
　　
　　

圖6

　　
　　第六步：由于我們是獨立的升級服務器而不是其他服務器的鏡像站點，所以在鏡像更新設置時不用選擇。（如圖7）
　　

圖7

　　
　　第七步：開始安裝WSUS到本地計算機。（如圖8）
　　

圖8

　　
　　第九步：接下來會出現輸入正確的用戶名和密碼，我們直接輸入Windows2003系統的管理員帳戶和密碼即可。
　　
　　第十步：第一次成功登錄WSUS的界面后我們會在下方“待做事項列表”中看到“同步服務器，現在就開始”的顯示信息。點該選項開始設置WSUS。（如圖9）
　　
　　第八步：安裝完畢后我們打開瀏覽器，使用http://localhost/wsusadmin訪問WSUS的管理界面，當然直接輸入計算機名或IP地址訪問也是可以的，筆者輸入http://softer/wsusadmin來訪問。
　　
　　第九步：接下來會出現輸入正確的用戶名和密碼，我們直接輸入Windows2003系統的管理員帳戶和密碼即可。
　　
　　第十步：第一次成功登錄WSUS的界面后我們會在下方“待做事項列表”中看到“同步服務器，現在就開始”的顯示信息。點該選項開始設置WSUS。（如圖9）
　　

圖9

　　
　　第十一步：在同步選項設置界面可以提供給我們的參數比較多，由于篇幅有限這里不能詳細講解了。平常用到最多的是“計劃”下的“手動同步”或“每天定時同步”。另外還有“產品和分類”下方的設置我們可以在產品處選擇可供更新的產品種類，除了Windows，還有Office、Exchange、SQL等產品的補丁和更新包都可以通過WSUS發布。在“更新分類”處也可以詳細的設置提供下載的補丁類別，例如是否提供驅動程序的下載等信息。（如圖10）
　　

圖10

　　
　　第十二步：設置完“產品和分類”與“更新分類”后我們還需要選擇更新的語言種類，在上面界面的最下方有一個“高級同步選項”，通過他我們可以設置更新的語言為中文（簡體）。（如圖11）
　　

圖11

　　
　　第十三步：在圖9界面左邊點“開始同步”將啟動服務器的同步功能，服務器將連接微軟官方UPDATE服務器下載設置的補丁以便以后客戶端更新用。（如圖12）
　　

圖12

　　
　　第十四步：大概等待2到3個小時就完成了補丁的更新，當然具體時間還是根據你選擇的補丁數量決定的。由于筆者公司大部分都是Win2000操作系統，所以我只選擇了更新2000補丁包及驅動程序。
　　
　　第十五步：僅僅下載完更新包還不能提供補丁更新服務，我們還需要對剛剛下載的安全和關鍵更新進行復查和批準。這時在待做事項列表中點“復查安全和關鍵更新”。（如圖13）
　　

圖13

　　
　　第十六步：在“更新”界面中我們將所有補丁選中，最簡單的方法是按CTRL+A全選。選擇完畢點左邊“更新任務”下的“更改批準”。這樣就會將剛剛下載的所有補丁進行批準安裝。如果你不希望客戶端下載某某更新則不選擇該補丁名稱即可。（如圖14）
　　

圖14

　　
　　第十七步：在“批準更新”窗口中我們在批準下拉選項中選擇“安裝”，然后確定即可。這樣所有客戶端就可以下載并安裝剛剛批準的補丁了。至此服務器上的所有設置完畢。（如圖15）
　　

圖15

　　
　　第十八步：下面我們還需要對客戶端的計算機進行設置，因為默認情況都是通過微軟官方的UPDATE服務器下載補丁的。我們需要手動修改為剛剛建立的WSUS服務器的地址。首先通過“任務欄的開始->運行->輸入gpedit.msc”啟動組策略。
　　
　　小提示：如果公司內部使用的是域建立的網絡，那么直接在域控制器上設置組策略即可。
　　
　　第十九步：在“本地計算機策略->計算機配置->管理模板”上點鼠標右鍵，選擇添加刪除模板。（如圖16）

第二十步：通過“添加”按鈕將Wuau模板加入到“當前策略模板”中。（如圖17）
　　

圖17

　　第二十一步：選擇“本地計算機策略->計算機配置->管理模板->Windows組件->Windows update”，雙擊“配置自動更新”，然后選擇自動更新補丁的類型。（如圖18）
　　

圖18

　　
　　第二十二步：在“本地計算機策略->計算機配置->管理模板->Windows組件->Windows update”中雙擊“指定Intranet Microsoft更新服務位置”，將剛剛建立的WSUS服務器地址進行添加，使用計算機名和IP地址都是可以的。（如圖19）
　　

圖19

　　
　　第二十三步：在客戶機上通過“開始->運行->輸入CMD”進入命令行模式。然后敲入wuauclt.exe /detectnow命令啟動更新。（如圖20）
　　

圖20

　　
　　第二十四步：客戶端啟動了更新設置后我們就可以在服務器上通過管理界面看到這些客戶端了。（如圖21）當然所有的更新補丁安裝補丁都是在后臺進行的，我們在客戶端上是不容易查覺的，要想了解客戶端補丁安裝情況只有通過服務器上的管理界面來查看。
　　

圖21

　　
　　總結：經過這二十四步我們就完成了企業內部網絡的Windows update服務器的建立，員工計算機可以連接這臺服務器飛速下載并安裝補丁了。只有補丁得到及時更新才能最大限度的防止漏洞病毒在內網的傳播。