Як додати не-Microsoft поновлення в WSUS
Крім програм Microsoft, системні адміністратори повинні подбати і про продукти інших фірм. Більшість популярних, а тому потенційно уразливих програм, таких як Adobe Flash, Adobe Reader, Mozilla Firefox, Google Chrome, вміють оновлюватися самостійно, але часто установники вимагають підвищених привілеїв і у користувача є можливість їх відключити.
Існує можливість централізувати установку сторонніх оновлень через WSUS. Для цього можна скористатися однією з безкоштовних програм, які вміють працювати з сервером оновлень через API:
Програми роблять одне і теж. На момент написання статті трохи більше міг WSUS Package Publisher, тому ...
Установка і настройка WSUS Package Publisher (WPP)
вимоги
- У локальної мережі повинен бути розгорнутий WSUS
- Встановлений .Net Framework 4.0
- Для WSUS 3.0 SP2 має бути встановлено оновлення KB2530678
Wsus Package Publisher можна встановлювати як на сервер WSUS, так і на робочу станцію. В останньому випадку на комп'ютері повинна бути встановлена адміністративна консоль WSUS. Також користувач повинен бути локальним адміністратором і входити в групу «Wsus Administrators» на сервері. На комп'ютері під керуванням Windows 8 повинні бути встановлені Remote Server Administration Tools (RSAT).
Завантажуємо архів WPP з сайту і витягаємо файли в папку.
Додавання сервера
Запускаємо Wsus Package Publisher.exe. Якщо WPP знаходиться на сервері WSUS, то він автоматично додасть локальний комп'ютер в список, в іншому випадку налаштовуємо самостійно:
- У меню Tools вибираємо Settings
- Задаємо параметри підключення (поля Server Name, Connection Port, Use SSL)
- Якщо WPP запущений на сервері WSUS, відзначаємо галочку Connect to local server
- Натискаємо Add Server
- При необхідності додаємо інші сервера
У рядку меню вибираємо потрібний сервер, натискаємо кнопку Connect / Reload
Налаштування сертифіката
Далі потрібно налаштувати сертифікат, яким будуть підписані пакети для поширення через WSUS. У меню Tools відкриваємо пункт Certificate
Тут можна або випустити самоподпісанний сертифікат (кнопка Generate the certificate), або завантажити свій, наприклад, випущений локальним центром сертифікації. Кнопка Load a certificate активується після введення пароля від файлу з закритим ключем в поле Password
Зберігаємо сертифікат (Save the certificate), щоб потім поширити його на клієнтські комп'ютери.
Перезавантажуємо сервер WSUS. Досить запустити знову служби iis і wsusservice
Перевірити, що сертифікат був встановлений правильно, можна через mmc оснастку «Сертифікати» для локального комп'ютера. Тут потрібно переконатися в його наявності в контейнерах «WSUS», «Довірені видавці» ( «Trusted Publishers») і (для самоподпісанного сертифіката) в «Довірені кореневі центри сертифікації» ( «Trusted Root Certificates Authorites»).
Налаштування клієнтських комп'ютерів
На кінцевих комп'ютерах має бути встановлено сертифікат, за допомогою якого будуть підписуватися поновлення. А також включений режим дозволяє встановлювати підписані поновлення з локальної мережі через WSUS.
сертифікати
Якщо сертифікат був згенерований WSUS або WPP (WSUS self-signed certificate), то його потрібно помістити в контейнери «Довірені видавці» ( «Trusted Publishers») і в «Довірені кореневі центри сертифікації» ( «Trusted Root Certificates Authorites») на локальному комп'ютері . Якщо сертифікат був випущений, наприклад, доменним центром сертифікації, то досить додати його в папку «Довірені видавці». При цьому сертифікат випускає центру повинен перебувати в «Довірених кореневих центрах сертифікації».
Для комп'ютерів, які входять в домен, сертифікат можна поширити через групову політику, додавши його до відповідних вузли розділу Конфігурація комп'ютера \ Політики \ Конфігурація Windows \ Параметри безпеки \ Політики відкритого ключа
Включення локальних оновлень
Для комп'ютерів з робочої групи потрібно встановити параметр в реєстрі HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AcceptTrustedPublisherCerts = 1
Якщо все зроблено правильно, то клієнтські комп'ютери зможуть приймати сторонні поновлення, в іншому випадку з'явиться помилка Windows Update 800B0109.