28.06.2010

Развертывание и использование WSUS сервера

В данной статье будет рассмотрен опыт установки и обслуживания WSUS в корпоративной среде, который позволит новичкам избежать ряда «подводных камней».

Автор: Денис Васильев

Установка обновлений и патчей является очень важной составной частью обеспечения безопасности. Для всех специалистов по информационной безопасности основной необходимостью является мониторинг, анализ и устранение уязвимостей программного обеспечения.  Компания Microsoft предоставляет бесплатную возможность использования сервиса обновлений  своих программных продуктов  в течение всего времени поддержки программного продукта. Необходимые обновления доступны через сеть интернет всем пользователям программных продуктов.

Применение обновлений к корпоративной среде требует дополнительных механизмов управления. Microsoft предлагает использовать в корпоративной среде мощный бесплатный продукт Windows Server Update Services (WSUS), который позволяет экономить трафик в сети Интернет, централизованно управлять обновлениями для серверов и рабочих станций.

В данной статье будет рассмотрен опыт установки и обслуживания WSUS в корпоративной среде, который позволит новичкам избежать ряда «подводных камней».

Установка WSUS

В рамках ОС Windows Server 2008 существует роль сервера Windows Server Update Services(рис. 1).

рис. 1

Для Windows Server 2003 следующие системные требования к установке WSUS 3.0 SP1:

  • Операционная система: Windows Server 2003 SP1 и выше.
  • Дополнительные роли сервера: IIS 6.0 и выше
  • Дополнительные обновления ОС: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.
  • Дополнительные программы: Microsoft Report Viewer, SQL Server 2005 SP1 (Служба WSUS способна установить внутреннюю службу Windows Internal Database).

Несмотря на то, что служба практически не требовательна к процессору и оперативной памяти, ей необходима изрядная доля дискового пространства. Желательно 40 Гб и более. В конечном итоге, размер занимаемого дискового пространства будет зависит от количества продуктов, которые необходимо обновлять, и количества требуемых обновлений в инфраструктуре.
Если при установке сервер не удовлетворяет системным требования, то появится окно предупреждения, в котором будет описано что необходимо установить   (рис. 2).

рис. 2

Настройка сервера WSUS

Для нормальной работы сервера необходимо указать ряд параметров, которые делаются с помощью  «Мастер настройки Windows Server Update Services»

В окне «Выбор вышестоящего сервера» необходимо указать пункт «Синхронизировать с Центром обновлений Майкрософт» (рис. 3).

рис. 3

При применении к корпоративной среде прокси-сервера в окне «Настройка прокси-сервера» необходимо  указать  IP адрес, номер порта и параметры аутентификации на прокси-сервере(рис. 4).

рис . 4

В окне «Выбор языков» необходимо выбрать пункт «Загружать обновления только на следующих языках» обязательно выбрать «Английский». Выбор остальных языков необходимо делать исходя из систем, установленных в компании, обычно  ещё добавляют «Русский» (рис. 5). Нет необходимости выбирать «Загружать обновления на всех языках, включая новые», так как это увеличит количество обновлений, хранящихся на дисковом пространстве.

рис. 5

В окне «Выбор продуктов» необходимо указать продукты, установленные в рамках корпоративной среды. ВНИМАНИЕ! Никогда не устанавливаете все продукты, так как это может привести к увеличению размера хранимых обновлений, при этом обновления не будут использоваться. Необходимо методично и последовательно выбрать только те продукты которые используются в рамках корпоративной среды (рис. 6).

рис. 6

В окне «Выбор классов» необходимо указать только те классы которые требуют обновлений. Так как указание лишних классов в значительной степени увеличивает размер хранимых обновлений (рис. 7). 

рис. 7

В окне «Настройка расписания синхронизации» необходимо выбрать время синхронизации (рис. 8). В рамках WSUS синхронизации не предполагает загрузку обновлений. В данном случае синхронизация будет производить только обновление информации с сервера Центра обновлений Майкрософт».

рис. 8

После первой синхронизации необходимо открыть консоль WSUS и выбрать «Параметры». В «Параметры» открыть пункт «Файлы и языки обновлений» ( рис. 9)

рис. 9

Во вкладке «Файлы обновлений» окна «Файлы и языки обновлений» необходимо указать каким образом будет осуществляться хранение файлов обновлений. Так как мы хотим уменьшить размер Интернет трафика, то необходимо выбрать «Хранить файлы обновлений локально на этом сервере» и ОБЯЗАТЕЛЬНО! выбираем пункты «загружать файлы обновлений на сервер только после одобрения обновления» и «Загружать файлы экспресс - установки» (рис. 10). Пункт «Загружать файлы обновлений на сервер только после одобрения обновления» необходим, так как по умолчанию сервер загрузить ВСЕ обновления, которые он посчитает необходимым для выбранных продуктов.   Однако так как с течением времени очень многие обновления аккумулируются в Service Pack, то вероятнее всего они  не будут нужны и займут дисковое пространство.

рис. 10

После всех настроек необходимо добавить компьютеры в службу WSUS.

Добавление компьютеров в службу WSUS

Если у Вас есть домен, то достаточно в его групповой политике прописать службу WSUS и выбрать правила обновления компьютеров.

Это делается следующим образом «Пуск  – Администрирование – Управление групповой политикой». Выбираем  ту политику, которая действует в домене (по умолчанию Default Group Policy). Кликаем правой кнопкой и выбираем «Изменить».

В окне «Редактор управления групповыми политиками» заходим «Конфигурация компьютера – Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows». Выбираем пункт «Указать размещение службы обновлений в Интрасети » (рис. 11)

рис.11

В окне «Свойства: Указать размещение службы обновлений в Интрасети» указываем параметр «Включен» и в строке «Укажите службу обновление в интрасети для поиска обновлений» прописываете строку вида: http:// [ip адрес или DNS имя сервера обновления в сети]. Копируете  адрес в окно «Укажите сервер статистики в интрасети» (рис. 12). В рамках редактора групповой политики есть подсказки в окне объяснений (рис. 12).

рис. 12

Также необходимо определить политику обновлений. Это делается через пункт «Настройка автоматических обновлений» (рис. 13).

рис. 13

В окне «Свойства: Настройка автоматических обновлений» указываем параметр «Включен»  и параметры «Настройка автоматического обновления», «Установка по расписанию – день», «Установка по расписанию – время». В окне «Объяснение» есть описание всех параметров  для серверов и желательно устанавливать параметр «2 –уведомления о загрузке и установке», что позволит администраторам выбирать время установки обновлений на сервера(рис. 14).

рис. 14

Если в рамках инфраструктуры присутствуют рабочие места которые не входят в состав домена (например мобильные рабочие места), но служба обновлений для этих рабочих мест необходима, то существует возможность указания этой службы в «Локальной политике безопасности».

В командной строке набираем gpedit.msc и проделываем те же операции, которые были  описаны выше для групповой политики в домене.

Через некоторое время компьютер появится в окне «Компьютеры – Все компьютеры – Не назначенные компьютеры» при «Состояние: Любой» (рис. 15).

рис. 15

Управление обновлениями

Для того чтобы увидеть и одобрить необходимые обновления нужно  в «Обновления – Все обновления» выбрать следующие пункты фильтра: «Одобрение: Неодобренные» и Состояние: Требуется» и нажать «Обновить»(рис. 16). ВНИМАНИЕ! для проверки необходимых обновлений всегда обращайте внимание, чтобы настройки фильтра стояли в положениях «Одобрение: Неодобренные» и Состояние: Требуется», иначе вы рискуете загрузить ненужные вам обновления, или не загрузить их вообще. В случае, если фильтр в настройках «Одобрение: Неодобренные» и Состояние: Требуется» показал пустое поле, то все необходимые обновления для компьютеров уже одобрены и находятся на сервере.

рис. 16

После одобрения на компьютере через какое-то время появятся обновления согласно правилам, настроенным в политике безопасности.

Достаточно часто существует необходимость принудительной проверки обновлений на сервере обновлений со стороны компьютера. Для этого существует программа wuauclt.exe, которая запускается через командную строку. Для проверки обновлений её  необходимо запускать с ключом /detectnow  (wuauclt.exe /detectnow). Для посылки отчета о состоянии (очень часто необходимо при первом подключении к серверу обновлений)  необходимо запускать с ключом /reportnow (wuauclt.exe /reportnow).

Господа, удачных вам обновлений

или введите имя

CAPTCHA
Страницы: 1  2  3  4  
Прохожий
28-06-2010 14:42:04
Статья безграмотна. Во-первых, автор вкрячивает WSUS на веб-узел по умолчанию, что чревато конфликтами в случае наличия на сервере, к примеру, центров управления антивирусами (что далеко ходить, установленный по умолчанию Symantec Endpoint Protection после установки WSUS с такими настройками тихо умрёт). Почему не прикрутить WSUS к 8530-му порту, на который точно ничего иное не полезет? Во-вторых, автор КАПСОМ кричит, что нужно загружать файлы экспресс-установки, не объясняя, на кой тратить значительно больше места на сервере и интернет-трафика ради мизерного ускорения установки обновлений. На свежеустановленной машине, на которую разом рухнет обновлений от 20 ("голая" "семёрка") до сотни (ХР SP3 плюс офис) задержка вследствие их установки так и так будет заметной, на пропатченной же машине, на которую раз в две недели приходят полторы заплатки, разницы не будет уже по причине незаметности процесса.
-0.5990 |
Прохожий
28-06-2010 14:42:17
В-третьих, у автора в сети все - сами себе локальные администраторы, которые решают, когда устанавливать заплатки. Если для серверов это ещё хоть как-то оправдано, то в случае рабочих станций выглядит форменным бредом: прав локального админа у пользователей, за редчайшим исключением, вообще быть не должно, а с иными правами обновления с такой настройкой вообще не будут ставиться, пока их админ не обойдёт и не поставит ручками. Если уж делать по уму, и если уж хочется на серверы заплаты руками ставить, то нужно делать отдельную GP для серверов, а отдельную - для рабочих станций, и вот уж для них установку заплат сделать принудительно-автоматической. Резюме: автор, очевидно, ни мануалы по WSUS не удосужился почитать, ни собственных шишек не успел набить. А потому, статья выглядит не внятной инструкцией "смотрите, как надо", а описанием вида "вот как я настроил WSUS первый раз в жизни, посмотрите, не много ли косяков я натворил?". Увы.
-0.5990 |
Добрый критик
28-06-2010 17:43:42
Да вроде же русскими буквами написано: "В данной статье будет рассмотрен опыт установки и обслуживания WSUS в корпоративной среде, который позволит новичкам избежать ряда «подводных камней»." Что ж непонятного то?
0.5990 |
Прохожий
28-06-2010 17:50:44
Почему же, всё понятно. Только опыта особого у автора не наблюдается, и избежать "подводных камней" новичкам этот мануал не поможет. Мало того, как я уже писал выше, конфигурация с установкой WSUS на 80 порт вообще потенциально проблемна, так что написанное скорее подталкивает новичков к "подводным камням", а не помогает их избежать. Поймите правильно, я вовсе не сремлюсь написать нечто вроде "КГ/АМ" или самоутвердиться, отнюдь. Я просто хотел попытаться донести до автора недостатки повествования с тем, чтобы он знал, куда двигаться дальше. Возможно, я был немного жестковат... что ж, сорри тогда ему.
-0.5990 |
28-06-2010 18:29:15
2 Прохожий. ТО есть установив на 80 порт другую службу вы предлагаете. А почему бы другую службу не установить на другой порт. Настройка дополнительный параметров установки обновлений на отличный от 3. Может приводит к перезагрузке рабочих станций. Тем более. Но так как бизнес предназначен для бизнеса то пусть выбирают время установки. Например, с выключением компьютера. И поверьте мне прав администратора не надо. Иначе может привести к нежелательным результатам. почему существуют люди которые считают иное мнение ошибочным. Вот и появляются люди которые вообще используют другие системы доставки обновлений. Мне вот интересно знать какие?
0.5990 |
28-06-2010 21:51:47
Мне вот интересно знать какие? Вот бы узнать. Однако, на намёки поделиться опытом ответа нет - типа коммерческая тайна. Прям как будто их адмнские пароли выспрашивают. Имею мнение - ничем вообще централизовано не обновляют. Ибо не умеют ни тестироать обновы, ни планировать сей процесс в масштабах предприятия.
0 |
Прохожий
28-06-2010 23:58:52
> А почему бы другую службу не установить на другой порт. Разумеется, в идеале, все обслуживающие компанию службы следует вешать на порты, отличные от 80-го, хотя бы для предупреждения конфликтов. Однако, я имел в виду немного другое, а именно: 1. установка WSUS на 80-й порт способна порушить другую службу, уже установленную на нём, либо, напротив, есть шанс порушить WSUS, устанавливая что-то новое впоследствии, тогда как на 8530-й порт ничего не полезет с вероятностью 99.9% 2. в отличие от некоторых достижений индусского кодинга, у WSUS очень дружелюбный инсталлятор, и её перевесить на альтернативный порт можно одним кликом уже на этапе установки. В любом случае, аргументов за установку на 80-й порт в разы меньше, чем аргументов в пользу 8530-го порта.
-0.5990 |
Прохожий
28-06-2010 23:59:51
> Настройка дополнительный параметров установки обновлений на отличный от 3. Может приводит к перезагрузке рабочих станций. Само собой. И что в этом плохого, что рабочая станция перезагрузится, скажем, в два часа ночи? > Но так как бизнес предназначен для бизнеса то пусть выбирают время установки. ...и сообщают его в IT-департамент для корректировки групповых политик. > И поверьте мне прав администратора не надо. Соответствующая политика в статье не описана, а со значением её "по умолчанию" права администратора нужны. > почему существуют люди которые считают иное мнение ошибочным Я не считаю иное мнение по определению ошибочным, да и не на ошибки указывал, а на недочёты. > Вот и появляются люди которые вообще используют другие системы доставки обновлений. Мне вот интересно знать какие? SMS?
-0.5990 |
29-06-2010 09:32:03
Сколько стоит SMS? Целесообразно его использовать и платить деньги за установку обновлений в корпоративной сети.
0 |
Прохожий
30-06-2010 14:26:05
Разумеется, использовать SMS как замену WSUS нецелесообразно. Но лично я, к примеру, и не предлагал его использование в подобном ключе, я просто предположил, что могут использовать вместо WSUS критики этой статьи.
0 |
Алтай
28-06-2010 15:58:03
Я отказался от использования wsus на подшефных сетях. Используются другие системы доставки заплаток. Видимо wsus они не допилят никогда до вменяемого состояния. О статье: всегда умиляло, как можно быстро и красиво сделать статью по любой windows based технологии, и она получится красивая и большая и с картинками. И в то же время - а что нового автор сказал? Да ничего, картинок нашлёпал да написал куда в какие меню и кнопки жать (курсивом даже выделил для красивости).
-0.5990 |
фетиш-мастер [Малиновые штаны]
28-06-2010 16:03:39
да какая разница главное что индекс цитируемости у мелкомягких не упадет а о том, что этот сайт давно уже лижет между булок мелкософту, не знает только тот, кто не знает об его существовании
0 |
28-06-2010 16:29:11
Я отказался от использования wsus на подшефных сетяхНе надо стесняться рассказывать о своих достижениях более подробно. Получишь приз - электрочайник. И незабыаемые впечатления от комментов на твою статью.
0.5990 |
Алтай
28-06-2010 17:00:17
Не, ну надо же хоть пытаться быть тоньше? О своих достижениях я не могу рассказать-коммерческая тайна. Электрочайник имейццо. Незабываемые впечатления отхватываем регулярно.
-0.5990 |
28-06-2010 17:03:24
Так и запишем - реальных достижений нет, предложить по делу ничего не можешь. Зачем тогда с критикой вылез?
0.5990 |
Mr B
29-06-2010 17:56:31
Интересно, это какой продукт более эффективно, чем WSUS работает в среде Windows? Ну хоть намекните!
0 |
Добрый критик
28-06-2010 17:32:56
Вот мне всегда было интересно, как можно что-то критиковать, ничего не предлагая взамен???? Создается впечатление, что здесь тусуются либо толстые старые пердуны, которым делать нечего больше, как сидеть и чмырить людей, которые стараются, либо сопливые малолетние сосунки..... Критикуешь - предлагай Завидуешь - завидуй молча.....
0 |
28-06-2010 17:46:22
WSUS так же прибил в сетке. А начинал я использовать энтот продукт еще с SUS'a... И столько гемора было у меня с ним (последний - svchost грузящий на 99% систему), что вернуться к нему я пока не решаюсь...
0 |
28-06-2010 18:17:08
Опять же не стесняйся рассказать, чем заменил и какие результаты замены.
0 |
29-06-2010 10:49:52
ставлю критичные патчи через ГП, остальное - нафик. Пока это лучше чем всуньс
0 |
admin (tm)
28-06-2010 20:55:42
вчера накатил на xp 46 заплаток - типа не убудет. в итоге после часа ожидания шатдауна - машина больше не поднялась - либо бсод либо падение сервера rpc с принудительной перезагрузкой через минуту даже в safe mode. понятно что винда под снос и мелкие глюки накопились, я конечно ради интереса посмотрю кто падает в бсодах, загружу ерд и попробую выяснить почему приболел rpc сервер. Но почему надо рубать систему в safe mode? гуи же работает без rpc? и как уберечься от падений rpc сервера при апдейтах, который никогда не падал? опять курить полдня форумы? вообщем, всус или не всус, а более 15 лет секса с виндой конкретно наскучил. если система стоит денег и она черный ящик - эта система должна работать. может суппорт мс помучить?
0 |
mr_gfd
28-06-2010 22:10:00
tdss лечить до, а не переустанавлиать вместо. у Вас трипаки, батенька.
0 |
Прохожий
29-06-2010 00:01:42
> 15 лет секса с виндой Если Вы за 15 лет так и не научились содержать систему в порядке, то система в этом не виновата.
0 |
admin (tm)
29-06-2010 00:58:52
господа, спасибо за диагноз по смс tdss поищем. руки помоем. ну раз система требует особых навыков, тем более система виндоуз пора на свалку
0 |
Гость
29-06-2010 16:17:58
Да-да. Если у других после обновления Windows система работает, то стоит в первую очередь задуматься - "А может это у меня что-то не так?
0 |
Страницы: 1  2  3  4