Wsus что это простыми словами
Развертывание и использование WSUS сервера
В данной статье будет рассмотрен опыт установки и обслуживания WSUS в корпоративной среде, который позволит новичкам избежать ряда «подводных камней».
Автор: Денис Васильев
Установка обновлений и патчей является очень важной составной частью обеспечения безопасности. Для всех специалистов по информационной безопасности основной необходимостью является мониторинг, анализ и устранение уязвимостей программного обеспечения. Компания Microsoft предоставляет бесплатную возможность использования сервиса обновлений своих программных продуктов в течение всего времени поддержки программного продукта. Необходимые обновления доступны через сеть интернет всем пользователям программных продуктов.
Применение обновлений к корпоративной среде требует дополнительных механизмов управления. Microsoft предлагает использовать в корпоративной среде мощный бесплатный продукт Windows Server Update Services (WSUS), который позволяет экономить трафик в сети Интернет, централизованно управлять обновлениями для серверов и рабочих станций.
В данной статье будет рассмотрен опыт установки и обслуживания WSUS в корпоративной среде, который позволит новичкам избежать ряда «подводных камней».
Установка WSUS
В рамках ОС Windows Server 2008 существует роль сервера Windows Server Update Services(рис. 1).
Для Windows Server 2003 следующие системные требования к установке WSUS 3.0 SP1:
Несмотря на то, что служба практически не требовательна к процессору и оперативной памяти, ей необходима изрядная доля дискового пространства. Желательно 40 Гб и более. В конечном итоге, размер занимаемого дискового пространства будет зависит от количества продуктов, которые необходимо обновлять, и количества требуемых обновлений в инфраструктуре.
Если при установке сервер не удовлетворяет системным требования, то появится окно предупреждения, в котором будет описано что необходимо установить (рис. 2).
Настройка сервера WSUS
Для нормальной работы сервера необходимо указать ряд параметров, которые делаются с помощью «Мастер настройки Windows Server Update Services»
В окне «Выбор вышестоящего сервера» необходимо указать пункт «Синхронизировать с Центром обновлений Майкрософт» (рис. 3).
При применении к корпоративной среде прокси-сервера в окне «Настройка прокси-сервера» необходимо указать IP адрес, номер порта и параметры аутентификации на прокси-сервере(рис. 4).
В окне «Выбор языков» необходимо выбрать пункт «Загружать обновления только на следующих языках» обязательно выбрать «Английский». Выбор остальных языков необходимо делать исходя из систем, установленных в компании, обычно ещё добавляют «Русский» (рис. 5). Нет необходимости выбирать «Загружать обновления на всех языках, включая новые», так как это увеличит количество обновлений, хранящихся на дисковом пространстве.
В окне «Выбор продуктов» необходимо указать продукты, установленные в рамках корпоративной среды. ВНИМАНИЕ! Никогда не устанавливаете все продукты, так как это может привести к увеличению размера хранимых обновлений, при этом обновления не будут использоваться. Необходимо методично и последовательно выбрать только те продукты которые используются в рамках корпоративной среды (рис. 6).
В окне «Выбор классов» необходимо указать только те классы которые требуют обновлений. Так как указание лишних классов в значительной степени увеличивает размер хранимых обновлений (рис. 7).
В окне «Настройка расписания синхронизации» необходимо выбрать время синхронизации (рис. 8). В рамках WSUS синхронизации не предполагает загрузку обновлений. В данном случае синхронизация будет производить только обновление информации с сервера Центра обновлений Майкрософт».
После первой синхронизации необходимо открыть консоль WSUS и выбрать «Параметры». В «Параметры» открыть пункт «Файлы и языки обновлений» ( рис. 9)
После всех настроек необходимо добавить компьютеры в службу WSUS.
Добавление компьютеров в службу WSUS
Если у Вас есть домен, то достаточно в его групповой политике прописать службу WSUS и выбрать правила обновления компьютеров.
Это делается следующим образом «Пуск – Администрирование – Управление групповой политикой». Выбираем ту политику, которая действует в домене (по умолчанию Default Group Policy). Кликаем правой кнопкой и выбираем «Изменить».
В окне «Редактор управления групповыми политиками» заходим «Конфигурация компьютера – Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows». Выбираем пункт «Указать размещение службы обновлений в Интрасети » (рис. 11)
В окне «Свойства: Указать размещение службы обновлений в Интрасети» указываем параметр «Включен» и в строке «Укажите службу обновление в интрасети для поиска обновлений» прописываете строку вида: http:// [ip адрес или DNS имя сервера обновления в сети]. Копируете адрес в окно «Укажите сервер статистики в интрасети» (рис. 12). В рамках редактора групповой политики есть подсказки в окне объяснений (рис. 12).
Также необходимо определить политику обновлений. Это делается через пункт «Настройка автоматических обновлений» (рис. 13).
В окне «Свойства: Настройка автоматических обновлений» указываем параметр «Включен» и параметры «Настройка автоматического обновления», «Установка по расписанию – день», «Установка по расписанию – время». В окне «Объяснение» есть описание всех параметров для серверов и желательно устанавливать параметр «2 –уведомления о загрузке и установке», что позволит администраторам выбирать время установки обновлений на сервера(рис. 14).
Если в рамках инфраструктуры присутствуют рабочие места которые не входят в состав домена (например мобильные рабочие места), но служба обновлений для этих рабочих мест необходима, то существует возможность указания этой службы в «Локальной политике безопасности».
В командной строке набираем gpedit.msc и проделываем те же операции, которые были описаны выше для групповой политики в домене.
Через некоторое время компьютер появится в окне «Компьютеры – Все компьютеры – Не назначенные компьютеры» при «Состояние: Любой» (рис. 15).
Управление обновлениями
Для того чтобы увидеть и одобрить необходимые обновления нужно в «Обновления – Все обновления» выбрать следующие пункты фильтра: «Одобрение: Неодобренные» и Состояние: Требуется» и нажать «Обновить»(рис. 16). ВНИМАНИЕ! для проверки необходимых обновлений всегда обращайте внимание, чтобы настройки фильтра стояли в положениях «Одобрение: Неодобренные» и Состояние: Требуется», иначе вы рискуете загрузить ненужные вам обновления, или не загрузить их вообще. В случае, если фильтр в настройках «Одобрение: Неодобренные» и Состояние: Требуется» показал пустое поле, то все необходимые обновления для компьютеров уже одобрены и находятся на сервере.
После одобрения на компьютере через какое-то время появятся обновления согласно правилам, настроенным в политике безопасности.
Достаточно часто существует необходимость принудительной проверки обновлений на сервере обновлений со стороны компьютера. Для этого существует программа wuauclt.exe, которая запускается через командную строку. Для проверки обновлений её необходимо запускать с ключом /detectnow (wuauclt.exe /detectnow). Для посылки отчета о состоянии (очень часто необходимо при первом подключении к серверу обновлений) необходимо запускать с ключом /reportnow (wuauclt.exe /reportnow).
SMEARG
Развёртывание локального сервера обновлений под управлением WSUS
Сегодня я хочу поделиться своим опытом развёртывания сервера обновлений WSUS. Тем кто работает с WSUS, наверное будет неинтересно, а тем, кто не знает, что это, или знает, но не использует может и пригодится. Но для начала пару слов о том, что это и для чего это нужно.
Статья большая, но в ней много картинок (как любят писать на одном очень популярном в определённых кругах сайте – осторожно, трафик! 😉
Что такое WSUS?
Windows Server Update Services (WSUS) — сервер обновлений операционных систем и продуктов Microsoft. С его помощью можно обновлять как собственно операционные системы, так и многие другие продукты Microsoft (Office, Exchange, SQL и многие другие).
WSUS — бесплатный продукт, его можно скачать с сайта Microsoft.
Зачем это нужно?
По умолчанию операционные системы обновляются самостоятельно с сервера Microsoft, который находится где-то в интернете:
Типичная схема обновления
Для малых организаций эта схема вполне приемлема, но если количество компьютеров организации больше, чем n (нет, n это мало, лучше m :)) и если софт от Microsoft не ограничивается только операционными системами, то количество скачиваний и следовательно трафика значительно увеличивается. Например в организации 100 компьютеров, на каждом из которых установлены Windows 7 и Office. Допустим выходят обновления для семёрки и офиса, размером по 1 МБ каждое. Так, чтобы обновить все компьютеры понадобится выкачать 200 МБ. В наш цифровой век для многих это уже проблема, но всё же зачем лишний раз “засорять эфир”.
Ещё одно неудобство автоматического обновления кроется в использовании какого-либо специфического софта, или драйверах, которые могут конфликтовать с обновлениями. Да и сам Microsoft не безгрешен, и время от времени обновления сами по себе вызывают конфликт с системой (например, проблема с SP1 для Windows 7, после установки которого некоторые системы работали нестабильно, а некоторые вообще вываливались в синий экран). В этом случае одним единственным обновлением можно “положить” все компьютеры организации.
Для предотвращения таких ситуаций может служить установка локального сервера обновлений под управлением WSUS.
При использовании WSUS схема обновлений выглядит иначе: WSUS-сервер выкачивает все необходимые обновления, а клиенты сети обновляются уже с этого сервера:
Схема обновления с использованием WSUS
При желании/необходимости можно протестировать свежие обновления на тестовом компьютере, и только после успешной проверки обновлять всю сеть.
Ещё если сеть организации очень большая, и/или распределена территориально по разным городам, можно настроить так, чтобы был один главный сервер WSUS (upstream), и несколько других, которые будут загружать обновления с него (downstream), а клиенты в свою очередь будут обновляться с этих WSUS серверов. Но это уже детали, на них я останавливаться не буду.
Установка WSUS
Для нормальной работы потребуются следующие компоненты:
Установка WSUS не требует больших усилий; при установке нужно указать следующие параметры:
Настройка WSUS
После первоначальной настройки (выбора вышестоящего сервера (то-ли сервера WSUS, то-ли Microsoft Update), прокси-сервера (если используется)) необходимо выполнить первоначальную синхронизацию, после которой будет доступна следующая информация об обновляемых продуктах:
WSUS — Подключение к вышестоящему серверу
После этой синхронизации можно выбирать что и для чего загружать.
Языки обновлений
Продукты
Классы
В данном примере WSUS конфигурируется таким образом, что он будет выкачивать только критические обновления для русскоязычных версий Windows XP.
На следующем этапе нужно указать расписание синхронизации с вышестоящим сервером – либо вручную, либо автоматически. Во втором случае нужно указать время первой синхронизации и количество синхронизаций в день:
Расписание синхронизации
Все эти настройки можно настраивать как при первоначальной настройке, так и потом в любое время (на скриншотах как раз из варианта “потом”).
Теперь у нас всё готово для работы. После прохождения всех вышеописанных этапов открывается консоль WSUS:
Консоль WSUS
В дереве слева задаются опции, большинство из которых мы уже рассмотрели.
Так как сервер мы только настроили, и ещё не запускали синхронизацию, то в разделе “Общие сведения” сплошные нули.
Нажимаем “Синхронизировать сейчас” и ждём.
Примечание: Нужно отметить, что процесс получения обновлений сравнительно длительный процесс (особенно в первый раз) и зависит от тех настроек, которые мы рассматривали выше, а именно какие обновления качать, для каких продуктов, и на каких языках. За это время можно если не выпить, то налить чашку кофе точно 🙂
После завершения синхронизации в этом же окне можно ознакомиться с результатом синхронизации и с количеством выкачанных обновлений:
Консоль WSUS после синхронизации
Развернув дерево в левой части окна, можно выбрать конкретный тип обновлений, в левой части окна вверху появится список соответствующих обновлений, а снизу информация о выбранном обновлении:
Обзор обновлений
А при двойном щелчке на обновлении подробная информация о нём открывается в отдельном окне, при условии, что был установлен Microsoft Report Viewer.
После ознакомления с информацией об обновлении, для того, чтобы его можно было установить, его нужно одобрить (некоторые обновления заменяются другими, и их можно не устанавливать, в таком случае в информации об обновлении появляется предупреждение). Для одобрения нужно нажать правой кнопкой мышки на обновлении и в появившемся меню выбрать пункт Одобрить. В следующем окне последовательно нажать Одобрено для установки и Применить к дочерним.
Одобрение обновлений
На этом настройка собственно WSUS заканчивается.
Настройка групповых политик
Далее если используется домен, на контроллере домена нужно создать групповую политику для обновления и привязать её к какому-либо подразделению (OU) либо же ко всему домену. Если домена нет, то нужно изменить групповую политику на клиентских компьютерах таким образом, чтобы сервером обновлений был WSUS.
Для этого в консоли Group Policy Managment нужно перейти в раздел Конфигурация компьютера –> Административные шаблоны –> Компоненты Windows –> Windows Update. В этом разделе содержатся настройки, относящиеся к обновлению.
В данном случае нас интересуют лишь некоторые параметры.
Настройка автоматического обновления:
Свойства: Настройка автоматического обновления
Переключатель нужно поставить в положение Включён и настроить один из четырёх вариантов обновления
Если выбрать пункт автоматически загрузить и обновить, ниже нужно будет задать расписание.
Указать размещение службы обновлений Microsoft в интрасети:
Свойства: Указать размещение службы обновлений Microsoft в интрасети
Также включить, и указать полный путь к серверу в WSUS, и серверу статистики.
Частота поиска автоматических обновлений:
Свойства: Частота поиска автоматических обновлений
Указать в часах как часто следует проверять наличие обновлений.
Также можно включить Разрешить пользователям, не являющимся администраторами, получать уведомления об установке.
Всё! Наконец-то всё настроено можно переходить к проверке.
Проверка на клиенте
При использовании групповых политик для обновления системы, все настройки, отвечающие за обновление будут недоступны даже для администратора. В этом можно убедиться зайдя на вкладку Автоматическое обновление свойств системы:
Свойства системы: автоматическое обновление
Значок в трее
Вернувшись в консоль WSUS можно наблюдать за процессом:
Процесс обновления
Напоследок хотелось бы сказать ещё пару слов о группах компьютеров.
WSUS позволяет группировать компьютеры для определения обновлений для конкретных компьютеров. При первом подключении все компьютеры по умолчанию попадают в группы “Все компьютеры” и “Неназначенные компьютеры”.
Группы можно использовать, например, для тестирования обновлений до того, как развёртывать их на всю сеть. И если проверка прошла успешно применять обновления к группе “Все компьютеры”. Подробнее о группах компьютеров и о тонкостях работы с WSUS можно ознакомиться в пошаговом руководстве по началу работы с WSUS.
Службы Windows Server Update Services (WSUS)
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Службы Windows Server Update Services (WSUS) позволяют ИТ-администраторам развертывать новейшие обновления продуктов Майкрософт. Службы WSUS позволяют в полной мере управлять процессом распределения обновлений, выпущенных через Центр обновления Майкрософт, среди компьютеров в сети. В данном разделе представлен обзор этой роли сервера и дополнительные сведения о том, как развертывать и обслуживать WSUS.
Описание роли сервера WSUS
Сервер WSUS предоставляет возможности для управления обновлениями и их распространения через консоль управления. Сервер служб WSUS может также быть источником обновлений для других серверов WSUS в организации. Сервер WSUS, действующий как источник обновлений, называется вышестоящим сервером. В реализации служб WSUS хотя бы один сервер WSUS в сети должен иметь возможность подключаться к Центру обновления Майкрософт для получения информации о доступных обновлениях. Учитывая вопросы безопасности и конфигурации сети, администратор может самостоятельно определить количество дополнительных серверов, напрямую подключенных к Центру обновления Майкрософт.
Практическое применение
Управление обновлениями — это процесс управления развертыванием и обслуживанием промежуточных выпусков программного обеспечения в рабочей среде. Это помогает поддерживать производительность, преодолевать уязвимости и обеспечивать стабильность рабочей среды. Если организация не может устанавливать и поддерживать известный уровень доверия в своих операционных системах и прикладном программном обеспечении, то у нее может появиться ряд уязвимостей, что в случае взлома способно привести к потере дохода и интеллектуальной собственности. Чтобы минимизировать данную угрозу, необходимо правильно настроить системы, использовать последние версии программного обеспечения и установить рекомендуемые обновления ПО.
Основными сценариями, в которых WSUS повышает эффективность вашего бизнеса, являются:
Централизованное управление обновлениями
Автоматизация управления обновлениями
Новые и измененные функции
Обновление с любой версии Windows Server, поддерживающей WSUS 3.2, до Windows Server 2012 R2 требует предварительного удаления WSUS 3.2.
В Windows Server 2012 обновление с любой версии Windows Server с установленными службами WSUS 3.2 блокируется в процессе установки, если будет обнаружена служба WSUS 3.2. В этом случае вам будет предложено сначала удалить службы обновления Windows Server, а затем повторно обновить сервер.
Но после изменений, внесенных в текущем выпуске Windows Server и Windows Server 2012 R2, установка не блокируется при обновлении с любой версии Windows Server и WSUS 3.2. Если перед выполнением обновления Windows Server или Windows Server 2012 R2 не будут удалены службы WSUS 3.2, то задачи WSUS после установки будут завершаться ошибкой. Известен только один метод решения такой проблемы — отформатировать жесткий диск и повторно установить Windows Server.
Службы Windows Server Update Services представляют собой встроенную роль сервера со следующими дополнительными возможностями.
Может быть добавлена и удалена с помощью диспетчера серверов
Включает командлеты Windows PowerShell для управления наиболее важными задачами администрирования в службах WSUS
Добавляет возможность использования хэширования SHA256 для дополнительной безопасности
Обеспечивает разделение клиента и сервера, благодаря чему версии агента Центра обновления Windows (WUA) могут поставляться независимо от WSUS
Использование Windows PowerShell для управления WSUS
Системным администраторам для автоматизации работы необходим охват с помощью автоматизации командной строки. Основной целью является облегчение администрирования WSUS, позволяя системным администраторам автоматизировать их ежедневный труд.
Какой эффект дает это изменение?
Пропуская основные операции WSUS через Windows PowerShell, системные администраторы могут увеличить продуктивность, уменьшить время на изучение новых инструментов, а также снизить количество ошибок из-за неоправданных ожиданий, ставших результатом отсутствия согласованности простых операций.
Что работает иначе?
В более ранних версиях операционной системы Windows Server отсутствовали командлеты Windows PowerShell, а автоматизация управления обновлениями была затруднительным делом. Командлеты Windows PowerShell для операций WSUS дают дополнительную гибкость и быстроту системному администратору.
Содержание коллекции
В эту коллекцию включены следующие руководства по планированию, развертыванию и администрированию служб WSUS.