Главная Security, Без рубрики, Новое Обеспечение своевременной установки обновлений в рабочих группах
  • Обеспечение своевременной установки обновлений в рабочих группах

    2398697_f520 Решая проблемы безопасности вычислительной системы, приходится учитывать целый комплекс проблем, одна из которых – своевременное обновление операционных систем и программного обеспечения.

     

    Введение

    Для поддержания актуального состояния операционных систем и ПО информационной системы компании следует осуществлять их регулярные обновления. Эти действия могут выполняться с сайта Microsoft Update каждым клиентским компьютером или посредством использования сервера/серверов Windows Server Update Services (WSUS). Если мы говорим о корпоративной сети, то рекомендованный вариант – использование сервера WSUS. При работе с вышеупомянутой службой достигается значительное снижение Интернет трафика и обеспечивается возможность централизованного управления процессом развертывания исправлений системы и ПО, получаемых от Microsoft.

    Хотелось бы дополнительно отметить, что на 23 марта 2011 года компания Microsoft анонсировала выход нового продукта «Windows Intune», одной из функций которого будет выполнение тех задач, за которые раньше отвечал WSUS.

    Для обеспечения возможности обновления компьютеров клиентов необходимо:

    1. Выполнить проектирование решения

    2. Осуществить развертывание сервера/серверов WSUS;

    3. Обеспечить регулярную синхронизацию сервера WSUS с ресурсом Microsoft Update;

    4. Настроить параметры работы сервера/серверов WSUS;

    5. Создать целевые группы и поместить компьютеры клиентов в целевые группы на сервере WSUS.

    6. Настроить клиентов на использование серверов WSUS;

    7. Обеспечить безопасность сервера/серверов WSUS.

    В настоящей статье мы не рассматриваем этапы проектирования и развертывания, синхронизации, речь пойдет о настройке клиентов и обеспечении безопасности сервера WSUS.

     

    Настройка клиентов сервера обновлений без использования групповых политик

    Настройка клиентов на использование сервера WSUS возможна тремя способами:

    1. Использование групповой политики;
    2. Использование локальной политики компьютера;
    3. Непосредственное внесение изменений в реестр станций клиентов.

    Наилучшим способом является использование Объектов Групповой Политики см. рис. 1, привязанных к требуемому контейнеру AD (для Windows 2003) или AD DS (для Windows 2008), однако этот вариант возможен только в случае, если в организации развернута служба каталога Active Directory. Возможности групповой политики по настройке взаимодействия с сервером управления и по управлению процедурами обновления клиентов полностью обеспечивают потребности администратора. В чем мы можем удостовериться взглянув на рис. 1. Перечень доступных настроек достаточно широк.

    pic1

    Рис. 1. Параметры настройки клиента WSUS.

    Если служба каталога в организации не развернута, то реализовать возможность взаимодействия клиента с WSUS можно либо посредством локальной политики, либо путем «прямого» внесения изменений в системный реестр рабочей станции, или сервера, актуальность состояния которого мы хотим обеспечить. В сущности, политика есть ни что иное, как интерфейс к реестру.

    Обстоятельства, при которых рабочие станции и серверы не являются клиентами AD, могут возникать в целом ряде случаев, например:

    · Использование службы каталога третьих фирм, однако, в качестве серверов приложений, файловых серверов, рабочих станций клиентов используются решения на базе операционных систем Microsoft;

    · Необходимость построения «гостевой» зоны для предоставления доступа «внешних» пользователей, к сети Интернет;

    · Не достаточная «зрелость» компании, ввиду которой централизованная служба каталога не развернута, или отсутствие потребности в указанной службе.

    · Наличие DMZ[i], внутри которой развернуты серверы, не являющиеся клиентами AD или AD DS и. т. д.

    Таким образом, возникает ситуация, при которой с одной стороны администратору приходится обеспечивать регулярное обновление систем, а с другой невозможность использования объектов групповой политики приводит к вполне понятным трудностям. Как же можно решить такую проблему?

    Было бы крайне желательно избавиться от подобных проблем. Добиться этого можно с помощью использования сценария настройки. При этом надо обеспечить механизм автоматической централизованной доставки этого сценария на рабочие станции сотрудников и серверы. Такие средства есть и в самих ОС компании Microsoft, кроме того допустимо использовать возможности современных антивирусных систем, управляемых централизовано. Следовательно, основываясь на том, что средство доставки сценария у нас есть, рассмотрим вариант настройки клиентов сервера WSUS.

    Следует отметить, что от администраторов, прежде чем обновлять компьютеры клиентов требуется ряд предварительных действий:

    · Необходимо заранее подготовить все целевые группы, т. е. коллекции учетных записей компьютеров на сервере WSUS, на которые будут устанавливаться обновления.

    · Стоит предусмотреть наличие тестовой группы, на которую, установка будет осуществляться в первую очередь, для обеспечения тестирования на совместимость с оборудованием и программным обеспечением.

    · Выполнить пробное развертывание и проанализировать полученные результаты.

    Развертывание обновлений в рабочей среде предприятия выполняется по завершению успешного тестирования. Последнее утверждение, конечно, носит рекомендательный характер, поскольку установка обновления без предварительной проверки возможна, однако пренебрегать такой этим не стоит, ввиду того, что не исключается несовместимость прикладного программного обеспечения с обновлениями, получаемыми от Microsoft.

    Создание групп компьютеров на сервере WSUS осуществляется с помощью консоли управления сервером WSUS, раздел «Computers». См. рис. 2. Пункт меню «Add Computer Group…»

    pic2

    Рис. 2. Создание групп компьютеров на сервере WSUS.

     

    Внесение изменений в реестр клиента WSUS

    Итак, создадим .reg файл, с помощью которого и будут выполнены все необходимые действия. В дальнейшем указанный файл будет выполнен на всех рабочих станциях и серверах, обновление которых с помощью WSUS нам предстоит обеспечить.

    На что следует обратить внимание при конфигурировании клиентов[ii]?

    1. Необходимо размещение службы обновлений в интрасети и сервер статистики, а также распределить клиентов по группам.

    В разделе реестра

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

    потребуется указывать адрес, или имя сервера обновлений, к которому будет выполняться подключение клиента и номер порта, который избран для работы с сервером WSUS. По умолчанию подразумевается 80-ый порт.

    «WUServer»=http://192.168.1.100[iii]

    «WUStatusServer»=http://192.168.1.100

    Поскольку требуется помещение компьютеров клиентов в целевые группы, то мы должны указать в какую из целевых групп должен быть помещен компьютер:

    «TargetGroup»= WSUS-Test-WKS[iv]

    «TargetGroupEnabled»=dword:00000001

    В нашем варианте целевая группа называется «WSUS-Test-WKS». Для клиентов, имя целевой группы которых будет иным, в этом поле указывается другое значение. Параметр TargetGroupEnabled в данном случае обеспечивает управление помещением в группу со стороны клиента.

    2. Далее необходимо задать параметры взаимодействие клиента с сервером обновлений.

    Для этого в разделе реестра

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU добавим некоторые изменения.

    «NoAutoUpdate»=dword:00000000 указывает на то, что включается автоматическое обновление

    «AUOptions»=dword:00000004 в данном случае мы требуем, чтобы обновления автоматически загружалось на компьютеры клиентов, при этом установка будет выполняться согласно заданному расписанию, параметры которого приводятся ниже.

    «ScheduledInstallDay»=dword:00000003

    «ScheduledInstallTime»=dword:00000012

    Параметр ScheduledInstallDay указывает на периодичность обновлений, ScheduledInstallTime на время установки. Таким образом, в примере установка выполняется каждый 3 день недели, т. е. во вторник в 12 часов дня. Для ежедневной настройки установки обновлений следует указать "ScheduledInstallDay"=dword:00000000

    «DetectionFrequency»=dword:00000006

    «DetectionFrequencyEnabled»=dword:00000001

    Затем мы указываем интервал времени между циклами обращений к серверу для проверки на наличие обновлений (скажем, 1 раз в 6 часов) и включаем режим детектирования. Теперь обращения к серверу WSUS будут происходить каждые 6 часов с неким случайным отклонением для проверки наличия разрешенных для установки обновлений. При появлении последних, инициируется процесс их загрузки.

    «UseWUServer»=dword:00000001 – говорит о том, что для установки обновлений будет использоваться именно сервер WSUS, если будет задано нулевое значение переменной, то клиент будет работать с Microsoft Update.

    «RescheduleWaitTime»=dword:00000015 – определяем время ожидания после перезагрузки системы до старта установки пропущенных на предыдущих циклах, обновлений. В данном случае задано 15 минут.

    «RescheduleWaitTimeEnabled»=dword:00000001 включение установки пропущенных обновлений.

    «NoAutoRebootWithLoggedOnUsers»=dword:00000000 уведомление пользователя и автоматическая перезагрузка компьютера клиента через 5 минут.

    Теперь рассмотрим пример файла настройки клиента полностью:

    Windows Registry Editor Version 6.1

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

    "TargetGroup"="WSUS-Test-WKS"

    "TargetGroupEnabled"=dword:00000001

    "WUServer"="http://192.168.1.100"

    "WUStatusServer"="http://192.168.1.100"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]

    "NoAutoUpdate"=dword:00000000

    "AUOptions"=dword:00000004

    "ScheduledInstallDay"=dword:00000000

    "ScheduledInstallTime"=dword:00000009

    "UseWUServer"=dword:00000001

    "RescheduleWaitTime"=dword:00000001

    "NoAutoRebootWithLoggedOnUsers"=dword:00000000

    Обеспечив доставку и выполнение указанного файла, мы сможем настроить клиентов сервера WSUS, не прибегая к использованию групповых политик. Описание всех переменных реестра, которые могут быть использованы для работы с сервером обновлений и их возможных значений приводится в Windows Server Update Services 3.0 SP2 Deployment Guide.

    Рекомендации по обеспечению безопасности сервера обновлений

    Для обеспечения безопасности самого сервера обновлений имеет смысл выполнить ряд простых рекомендаций:

    1. Если нам требуется обеспечить безопасный информационный обмен между клиентами и серверами и/или между серверами WSUS, то предусматривается возможность использования протокола SSL. См. раздел «Securing WSUS with the Secure Sockets Layer» в Windows Server Update Services Deployment Guide (http://go.microsoft.com/fwlink/?LinkId=79983). При отсутствии сетевого обмена между серверами перенос данных обеспечивается посредством внешнего носителя. Альтернативным способом защиты, при невозможности использования SSL, является применение протокола IPsec. См. «Overview of IPsec Deployment» http://go.microsoft.com/fwlink/?LinkId=45154.

    2. Сервер WSUS, который синхронизируется с Microsoft Update, следует размещать за брандмауэром и предоставлять доступ к нему только тем узлам, которые действительно в этом нуждаются. См. раздел «Configure the Firewall» в Windows Server Update Services Deployment Guide (http://go.microsoft.com/fwlink/?LinkId=79983).

    3. Что касается, файлового доступа, то не следует предоставлять избыточных разрешений на ресурсы, описание требований к правам доступа приводится в разделе «Before You Begin» в Windows Server Update Services Deployment Guide (http://go.microsoft.com/fwlink/?LinkId=79983).

    4. Если сервер обновлений имеет доступ в Интернет (в ряде случаев этого может и не быть, например, выполняется синхронизация с другим сервером WSUS, который обладает такой возможностью), то его БД рекомендовано размещать на другом компьютере, доступ из вне к которому невозможен. См. «Appendix B: Configure Remote SQL» в the Windows Server Update Services Deployment Guide (http://go.microsoft.com/fwlink/?LinkId=79983).

    5. Для управления сервером WSUS, разумно использовать встроенную группу WSUS Administrators, которая будет создана при развертывании.

     

    Леонид Шапиро.

     

    Список литературы.

    [1] Anita Taylor Windows Server Update Services 3.0 SP2 Deployment Guide.

    [2] Anita Taylor Windows Server Update Services 3.0 SP2 Operations Guide

    [3] http://technet.microsoft.com/en-us/library/cc720507(WS.10).aspx

    [4] http://technet.microsoft.com/en-us/windowsserver/bb332157


    [i] DMZ — demilitarized zone

    [ii] Здесь рассматриваются не все, а только основные параметры настройки клиента WSUS.

    [iii] Указать путь к искомым серверам можно как с помощью адреса, что было сделано в приведенном примере, так и с помощью имени сервера, предусмотрев при этом возможность разрешения имени сервера в его IP-адрес.

    [iv] Здесь приводится абстрактное имя тестовой группы.

Комментарии

  1. то ли время позднее,то ли ещё чего,но по прочтении данной статьи я бы не рискнул ставить. Умом и благодаря опыту я конечно понимаю, что настраивается много проще и быстрее благо делал это уже.

  2. Егор, ничего там сложного нет, просто показано как одним reg файлом можно менять настройки WSUS клиента, не имеющего центрального управления.

  3. В рабочих группах клиенты часто устанавливаются из образа мастер-компьютера. Не будут ли с этим проблем у WSUSa?

  4. используйте sysprep при установке новых компьютеров.
    сам всегда запускаю скрипт reg файла. если нужно обновить компьютер не в домене или рабочий ноутбук

  5. Была как-то проблема что некий софт после sysprep-а на отрез не хотел работать, хотя все лицензионные соглашения былу учтены, помог newsid.

  6. @kkvkkv
    Компьютеры уже давно установлены.

  7. [b]varnik [/b] Проблемы могут быть если образ сделан из машины, уже прописанной на WSUS. Тогда у поднятых из образа машин может оказаться один и тот же SusClientID, и корректной работы не будет. В этом случае надо остановить службу, удалить из реестра идентификаторы (лежат прямо в HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate), запустить службу и перерегистрировать станцию на WSUS командой wuauclt.exe /resetauthorization.

  8. Великолепно!!!!

  9. Вопрос, если WSUS работает не на стандартном 80 порту, а на 8530 , правильно ли будет выглядеть ветка реестра:

    «WUServer»=http://192.168.1.100:8530

    «WUStatusServer»=http://192.168.1.100:8530

  10. Собственно, посмотрел в реестре на уже рабочих машинах с WSUS на порту 8530 ))) Все правильно))