Відмінний безкоштовний інструмент для централізованого адміністрування та розгортання критично важливих виправлень.
Однак поки спогади про Blaster ще свіжі в пам'яті вашого керівництва, ви можете виконати підготовчу роботу, щоб спростити застосування виправлень до помилок, які будуть виявлені в подальшому. Microsoft Software Update Services (SUS) - це безкоштовний інструмент, що дозволяє централізовано керувати виправленнями та іншими програмами корекції для операційної системи на клієнтських комп'ютерах і серверах Windows. Для тих, хто відповідає в компанії за підтримку стабільності і безпеки клієнтських систем Windows, SUS надає, по крайней мере, два переваги. По-перше, більше не доведеться перевіряти Web-сайт Microsoft Security Privacy і вручну завантажувати виправлення, щоб потім встановити їх на свої системи. По-друге, замість нерегулярного і вибіркового розгортання виправлень індивідуальними користувачами з сайту Windows Update, можна виконати одну завантаження і стежити за тим, коли і на яких машинах встановлені виправлення.
Налаштовуємо сервери SUS
Після завантаження програми SUS Server слід встановити її на систему, яка буде діяти як первинний сервер SUS в локальному середовищі. Щоб гарантувати, що комп'ютер, з якого розподіляються виправлення для системи безпеки, сам є захищеним, в процесі установки SUS Server на ньому будуть встановлені і запущені майстер IIS Lockdown Wizard і інструмент безпеки urlscan, якщо вони ще не запускалися.
Первинний сервер SUS буде отримувати виправлення з загальнодоступного сайту Windows Update. Якщо розміри або топологія конкретної середовища дозволяють мати додаткові сервери SUS, можна конфігурувати їх в розрахунку на отримання оновлень з сайту Windows Update, з іншого сервера SUS або з налаштованої вручну точки розподілу оновлень. Більш докладно про можливості настройки серверної частини можна дізнатися, звернувшись до документа "Software Update Services Deployment White Paper". Для того щоб сервери SUS безперервно отримували всі необхідні нові виправлення безпеки, налаштуйте їх так, щоб вони відносно самих себе діяли як клієнти.
Малюнок 1. Сторінка адміністрування сервера Software Update Services.
клієнтська частина
Важлива перевага клієнта Automatic Updates полягає в тому, що завантаження оновлень виконується за допомогою служби Background Intelligent Transfer Service (BITS) і можлива послідовна установка декількох виправлень. BITS задіє тільки вільну частину смуги пропускання і обмежує смугу пропускання, яку займає процес завантаження, коли в мережі виконуються інші дії. Послідовна установка оновлень скасовує вимогу перезавантаження до тих пір, поки не встановлено заданий набір виправлень, а потім виконується єдина перезавантаження.
поведінка клієнта
Після установки відповідних клієнтів Automatic Updates у вас з'являється кілька варіантів виконання налаштувань, що визначають їх поведінку. Використання Group Policy - найкращий підхід для настройки клієнтів, але можна і безпосередньо редагувати параметри реєстру або використовувати системну політику Windows NT 4.0.
Для того щоб скористатися Group Policy при налаштуванні клієнтів, необхідно завантажити адміністративний шаблон Software Update Services 1.0 ADM File for Service Pack 1 Group Policy. Посилання на цей шаблон ви знайдете, клацнувши Software Update Services with Service Pack 1 Now Available на домашній сторінці SUS. Новий шаблон слід скопіювати в каталог% windir% inf на контролері домену Active Directory (AD). Щоб встановити шаблон, потрібно запустити Microsoft Management Console (MMC), додати оснастку Group Policy, натиснути правою кнопкою Administrative Templates в розділі Computer Settings і вибрати Add / Remove Templates. Потім виберіть wuau.adm і натисніть кнопку Add.
Малюнок 2. Вбудовані політики для настройки поведінки клієнтських систем при централізованій роботі з виправленнями
Після додавання шаблону перейдіть до Computer ConfigurationAdministrative TemplatesWindows Update. Повинні бути видно чотири політики, показані на (рисунку 2). Політика Configure Automatic Updates дозволяє контролювати поведінку процесу установки виправлень. Політика містить варіанти від Notify for download and notify for install (варіант 2) до Auto download and schedule the install (варіант 4). Якщо ви вибираєте варіант 4, слід задати розклад для установки виправлень. Політика Specify intranet Microsoft update service location дозволяє визначити сервери, з яких клієнти копіюють виправлення, і сервери, на які клієнти відправляють звіти зі статистикою про процес установки. Обидві установки можуть вказувати на один і той же сервер. Політика Reschedule Automatic Updates scheduled installations дозволяє задати розклад для повторної установки пропущених виправлень. Наприклад, якщо встановити значення 30, то установка будь-яких запланованих виправлень, пропущених раніше, почнеться через 30 хвилин після наступного завантаження системи.
Остання політика, No auto-restart for scheduled Automatic Updates installations. дає можливість управляти процесами перезавантаження, коли виправлення вимагають перезавантаження, після того як були встановлені. Включення цієї настройки дозволяє користувачеві вибрати, коли перезавантажувати систему. Якщо настройка відключена або не виконано, Automatic Updates попереджає підключеного користувача, що система буде перезавантажена протягом 5 хвилин. Якщо ви не можете скористатися Group Policy для настройки клієнта, знайдіть в документі "Software Update Services Deployment White Paper" інформацію про застосування записів реєстру для конфігурації клієнтів.
Завантаження, підтвердження вибору і розгортання оновлень
Як тільки закінчиться первісна синхронізація вмісту сервера SUS, сторінка адміністратора буде відображати список завантажених виправлень. Щоб підтвердити вибір виправлень для подальшої установки, потрібно просто поставити прапорець поруч з кожним вибраним виправленням і клацнути Approve. Microsoft часто випускає нові версії раніше вийшли виправлень. Щоб автоматизувати подальше управління новими версіями, клацніть Set options в лівій панелі сторінки адміністратора, потім виберіть настройку Automatically approve new versions of previously approved updates ( «Автоматично підтверджувати нові версії раніше обраних оновлень»). Попереднє тестування виправлень в тестовому середовищі, звичайно, є важливим кроком, однак питання вибору критеріїв для відбору і методи тестування виходять за рамки цієї статті.
Слідкуйте за випуском
Як уже згадувалося, клієнти Automatic Updates можуть відправляти звіти про встановлені виправлення на один з внутрішніх серверів. Це досягається за допомогою журналів Microsoft IIS, які зберігаються в підкаталогах з іменами W3SVCx в каталозі% windir% system32logfiles. Змінюючи варіанти формування журналів IIS, можна фільтрувати журнали, щоб уникнути надлишку даних, так щоб концентруватися тільки на даних SUS.
Для цього слід відкрити оснастку MMC Computer Management і перейти до Services and Applications, Internet Information Services. У правій панелі клацніть правою кнопкою Default Web Site і виберіть Properties. Клацніть вкладку Home Directory, зніміть прапорець Log visits. потім натисніть OK. У лівій панелі клацніть Default Web Site, потім клацніть правою кнопкою на файлі wutrack.bin в правій панелі. Виберіть Properties, клацніть вкладку File і поставте прапорець Log visits. Сконфігуровані таким чином файли журналів IIS будуть записувати тільки повідомлення, згенеровані клієнтами Automatic Updates.
Просто автоматизований менеджмент
SUS повністю відповідає тій меті, для якої він розроблявся - забезпечити простий автоматизований менеджмент виправлень для операційної системи. Але виправлення драйверів пристроїв, пакети оновлень (service packs), виправлення для додатків і інших серверів в даний час не підтримуються.