Windows Server 2003 操作系统漏洞较多,存在较大的安全隐患,微软官方已不再对其提供补丁支持。本文通过研究和应用 Windows 的密钥管理技术(KMS技术),在园区网建立了一套 KMS 批量激活系统,对安装 Windows 7 的用户终端和安装 Windows Server 2008、Windows Server 2012 的信息系统服务器进行操作系统联网激活,使得漏洞补丁能够定期更新、安全策略正常推送,确保操作系统运行正常、稳定。

一、前言

  随着软硬件技术的快速发展,联想、华为、浪潮、 DELL、IBM、惠普等国内外知名IT厂商生产的计算机已经不支持版本较低的 Windows 操作系统安装部署,微软不再对终端操作系统 Windows XP 和服务器操作系统 Windows Server 2003 的进行补丁支持,这使得安装低版本 Windows 操作系统的计算机存在较大的安全隐患。微软的密钥管理服务(KMS) 技术,采用通用的 GVLK 密钥,允许大批量的计算机联网激活,可以为授权的用户终端、服务器和激活系统之间提供持续的激活服务,适用于园区网内大量的台式机、服务器进行在线激活授权。

二、KMS 批量激活

  利用 Windows 的秘钥管理(KMS)技术,在园区网内建立一套 KMS 批量激活系统(简称KMS服务器),KMS客户端(本文中指园区网内安装 Windows 7 的用户终端、安装 Windows Server 2008 和 Windows Server 2012 的业务系统服务器)向 KMS 服务器发送激活请求,KMS服务器响应后,会为园区网内的KMS客户端提供激活认证ID,收到该激活ID后,KMS客户端通过KMS服务自动将操作系统激活,实现正常的系统软件服务和操作,KMS客户端和KMS服务器保持定期连接,以便KMS激活服务自动检查、实现激活到期后的自动续约。

KMS 批量激活

KMS 批量激活原理图

  Windows 7、Windows Server 2008、Windows Server 2012 操作系统批量激活采用 C/S 架构(即客户端-服务器拓扑架构),KMS客户端通过接入园区网获得授权进行激活。

  选用一台服务器作为KMS主机,在其上部署 Windows Server 2012,并安装KMS主机密钥至该服务器,通过电话获取KMS主机密钥的确认ID对KMS主机进行激活,该激活服务器支持对安装 Windows 7、Windows Server 2008、Windows Server 2012 的KMS客户端进行联网激活。

  通过网络配置使KMS客户端与KMS主机之间保持连接畅通,KMS客户端通过 TCP 远程过程调用连接到KMS主机,本项目中 TCP 连接端口设置为1688,通过三次握手在KMS客户端和KMS主机之间建立 TCP 会话后,KMS客户端向KMS 主机发送激活请求,该激活请求中包含加密的计算机ID 作为客户端标识,KMS主机接收到激活请求后,响应KMS客户端的请求,对其进行激活;如果KMS主机没有回应,KMS客户端将在2 小时后向KMS主机重新发送激活请求(本项目中KMS 客户端尝试自动激活的时间间隔设定为2小时);如果KMS客户端已经激活,该客户端会在7天后向KMS主机重新发送激活请求进行条目更新续订激活授权(本文中KMS 客户端向KMS主机续订其激活授权的时 间间隔设定为7天);如果已激活的KMS客户端180天之内没有向KMS主机发送续订激活的请求,该KMS 客户端的激活授权将自动到期,该KMS 主机将处于未激活状态(本文中KMS 客户端向KMS主机发送续订激活授权的宽限时间设定为180天)。

  KMS主机将授权的客户端ID添加进其维护的激活列表中,在接收到KMS客户端的激活请求后,统计响应KMS客户端的激活计数(本文中指已经激活的相应操作系统数量),并将激活计数反馈给客户端。KMS 主机在激活请求列表中维护一个激活阈值,将该激活阈值作为授权策略通过网络下发给KMS客户端,KMS客户端将接收的激活计数与授权策略相比较,满足激活条件(激活计数≥激活阈值)的,则对KMS 客户端进行激活。本项目中 Windows 7 操作系统的激活阈值为25,Windows Server 2008 和 Windows Server 2012 操作系统的激活阈值均为5。

  根据上述技术方案建立KMS批量激活系统,将其接入园区网,在用户终端和服务器端运行激活脚本程序,进行在线激活,其实施效果如下图所示:

KMS 批量激活

Windows 7 运行激活程序

KMS 批量激活

Windows 7 用户终端已激活

KMS 批量激活

Windows Server 2008 运行激活程序

KMS 批量激活

Windows Server 2008 服务器已激活

KMS 批量激活

Windows Server 2012 运行激活程序

KMS 批量激活

Windows Server 2012 服务器已激活

结语

  国内外一些企业采用多次密钥(MAK)技术对 Windows 7、 Windows Server 2008 和 Windows Server 2012 等操作系统进行激活,该技术不定期续约激活,但如果检测到计算机硬件发生 了较大变更,需进行重新激活,且激活次数超过限定范围,需请求更大的允许激活次数。与MAK技术相比,本文采用 KMS 激活技术,该技术允许大批量的计算机联网激活,计算 机硬件如果有较大变更,仍然可以为授权的用户终端、服务器和激活系统之间提供持续的的激活服务,采用 KMS 批量技术更适用于院园区网内大量的台式机、服务器进行在线激活授权。(文/王鹏)