В одній із попередніх статей ми детально описали процедуру. Після того, як ви налаштували сервер, потрібно налаштувати Windows-клієнтів (сервера та робочі станції) на використання сервера WSUS для отримання оновлень, щоб клієнти отримували оновлення з внутрішнього сервера оновлень, а не серверів Microsoft Update через Інтернет. У цій статті ми розглянемо процедуру налаштування клієнтів на використання сервера WSUS за допомогою групових політик домену Active Directory.

Групові політики AD дозволяють адміністратору автоматично призначити комп'ютери в різні групи WSUS, позбавляючи його необхідності ручного переміщення комп'ютерів між групами в консолі WSUS і підтримки цих груп у актуальному стані. Призначення клієнтів до різних цільових груп WSUS ґрунтується на мітці в реєстрі на клієнті (мітки задаються груповою політикою або прямим редагуванням реєстру). Такий тип співвідношення клієнтів до груп WSUS називається clientsidetargeting(Таргетинг за клієнта).

Передбачається, що в нашій мережі будуть використовуватися дві різні політики оновлення - окрема політика встановлення оновлень для серверів ( Servers) та для робочих станцій ( Workstations). Ці дві групи потрібно створити у консолі WSUS у секції All Computers.

Порада. Політика використання сервера оновлень WSUS клієнтами багато в чому залежить від організаційної структури OU в Active Directory та правил встановлення оновлення в організації. У цій статті ми розглянемо лише приватний варіант, що дозволяє зрозуміти базові принципи використання політик AD для встановлення оновлень Windows.

Насамперед необхідно вказати правило угруповання комп'ютерів у консолі WSUS (targeting). За промовчанням у консолі WSUS комп'ютери розподіляються адміністратором по групах вручну (server side targeting). Нас це не влаштовує, тому вкажемо, що комп'ютери розподіляються на групи на основі client side targeting (за певним ключем у реєстрі клієнта). Для цього в консолі WSUS перейдіть до розділу Optionsта відкрийте параметр Комп'ютери. Змініть значення на Use Group Policy or registry setting on computers(Використовувати групову політику або параметри реєстру на комп'ютерах).

Тепер можна створити GPO для настроювання клієнтів WSUS. Відкрийте доменну консоль управління груповими політиками (Group Policy Management) та створіть дві нові групові політики: ServerWSUSPolicy та WorkstationWSUSPolicy.

Групова політика WSUS для серверів Windows

Почнемо з опису серверної політики ServerWSUSPolicy.

Установки групових політик, які відповідають за роботу служби оновлень Windows, знаходяться в розділі GPO: Комп'ютерConfiguration -> Policies-> Administrativetemplates-> WindowsComponent-> WindowsUpdate(Конфігурація комп'ютера -> Адміністративні шаблони -> Компоненти Windows -> Windows Update).

У нашій організації ми маємо намір використовувати цю політику для встановлення оновлень WSUS на сервері Windows. Передбачається, що всі комп'ютери, що потрапляють під цю політику, будуть віднесені до групи Servers в консолі WSUS. Крім того, ми хочемо заборонити автоматичне встановлення оновлень на серверах при їх отриманні. Клієнт WSUS повинен просто завантажити доступні оновлення на диск, відобразити сповіщення про наявність нових оновлень у системному треї та очікувати запуску установки адміністратором (ручною або віддаленою за допомогою ) для початку інсталяції. Це означає, що продуктивні сервери не автоматично встановлюватимуть оновлення і перезавантажуватимуться без підтвердження адміністратора (зазвичай ці роботи виконуються системним адміністратором у рамках щомісячних планових регламентних робіт). Для реалізації такої схеми поставимо такі політики:

• ConfigureAutomaticUpdates(Налаштування автоматичного оновлення): Enable. 3 – Autodownloadandnotifyforinstall(Автоматично завантажувати оновлення та повідомляти про їхню готовність до встановлення)– клієнт автоматично завантажує нові оновлення та сповіщає про їхню появу;
• SpecifyIntranetMicrosoftupdateservicelocation(Вказати розміщення служби оновлень Майкрософт в інтрамережі): Enable. Set Вкажіть службу оновлень в інтрамережі для пошуку оновлень: http://srv-wsus.сайт:8530, Set the intranet statistics server (Вкажіть сервер статистики в інтрамережі): http://srv-wsus.сайт:8530– тут потрібно вказати адресу вашого сервера WSUS та сервера статистики (зазвичай вони збігаються);
• No auto-restart with logged on users for scheduled автоматичні updates installations(Не виконувати автоматичне перезавантаження під час автоматичного встановлення оновлень, якщо в системі працюють користувача): Enable– заборонити автоматичне перезавантаження за наявності сесії користувача;
• Enableclient-sidetargeting (Дозволити клієнту приєднання до цільової групи): Enable. Target group name for this computer (Ім'я цільової групи для цього комп'ютера): Servers– у консолі WSUS віднести клієнти до групи Servers.

Примітка. Під час налаштування політики оновлення радимо уважно познайомитися з усіма параметрами, доступними в кожній з опцій розділу GPO WindowsUpdateі задати відповідні для вашої інфраструктури та організації параметри.

Політика встановлення оновлень WSUS для робочих станцій

Ми припускаємо, що оновлення клієнтських робочих станцій, на відміну від серверної політики, будуть встановлюватися автоматично вночі відразу після отримання оновлень. Після встановлення оновлень комп'ютери повинні перезавантажуватися автоматично (попереджаючи користувача за 5 хвилин).

У цій GPO (WorkstationWSUSPolicy) ми вказуємо:

• AllowAutomaticUpdatesimmediateinstallation(Дозволити негайне встановлення автоматичних оновлень): Disabled- заборона на негайне встановлення оновлень при їх отриманні;
• Allownon-administratorstoreceiveupdatenotifications(Дозволити користувачам, які не є адміністраторами, отримувати повідомлення про оновлення): Enabled- відображати не-адміністраторам попередження про появу нових оновлень та дозволити їхнє ручне встановлення;
• Configure Automatic Updates:Enabled. Configure automatic updating: 4 - Auto download and schedule the install. Scheduled install day: 0 - Everyday. Scheduled install time: 05:00 - при отриманні нових оновлень клієнт скачує в локальний кеш і планує їх автоматичну установку на 5:00;
• Target group name for this computer: Workstations– у консолі WSUS віднести клієнта до групи Workstations;
• No auto-restart with logged on users для встановлених автоматичних updates installations: Disabled- система автоматично перезавантажиться через 5 хвилин після закінчення інсталяції оновлень;
• Specify Intranet Microsoft update service location: Enable. Set intranet update service for detecting updates: http://srv-wsus.сайт:8530, Set the intranet statistics server: http://srv-wsus.сайт:8530-Адреса корпоративного WSUS сервера.

У Windows 10 1607 і вище, незважаючи на те, що ви вказали отримувати оновлення з внутрішнього WSUS, все ще можуть намагатися звертатися до серверів Windows Update в інтернеті. Ця «фіча» називається DualScan. Для відключення отримання оновлень із інтернету потрібно додатково включати політику DonotallowupdatedeferralpoliciestocausescansagainstWindowsUpdate ().

Порада. Щоб покращити рівень пропатченості комп'ютерів в організації, в обох політиках можна налаштувати примусовий запуск служби оновлень (wuauserv) на клієнтах. Для цього у розділі Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Servicesзнайдіть службу Windows Update і задайте для неї автоматичний запуск ( Automatic).

Призначаємо політики WSUS на OU Active Directory

Наступний крок – призначити створені політики до відповідних контейнерів (OU) Active Directory. У нашому прикладі структура OU в домені AD максимально проста: є два контейнери - Servers (у ньому містяться всі сервери організації, крім контролерів домену) і WKS (Workstations - комп'ютери користувачів).

Порада. Ми розглядаємо лише один досить простий варіант прив'язування політик WSUS до клієнтів. У реальних організаціях можна прив'язати одну політику WSUS на всі комп'ютери домену (GPO з налаштуваннями WSUS вішається на корінь домену), рознести різні види клієнтів по різних OU (як у нашому прикладі – ми створили різні політики WSUS для серверів та робочих станцій), на великих розподілених доменах можна прив'язувати або призначати GPO на підставі або скомбінувати перелічені способи.

Щоб призначити політику на OU, клацніть у консолі керування груповими політиками за потрібним OU, виберіть пункт меню Link as Existing GPOта виберіть відповідну політику.

Порада. Не забудьте про окрему OU з контролерами домену (Domain Controllers), в більшості випадків цей контейнер слід прив'язати «серверну» політику WSUS.

Так само потрібно призначити політику WorkstationWSUSPolicy на контейнер AD WKS, у якому перебувають робочі станції Windows.

Залишилось оновити групові політики на клієнтах для прив'язування клієнта до сервера WSUS:

Усі налаштування системи оновлень Windows, які ми задали груповими політиками, повинні з'явитися в реєстрі клієнта у гілці HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Цей reg файл можна використовувати для перенесення налаштувань WSUS на інші комп'ютери, на яких не вдається налаштувати параметри оновлень за допомогою GPO (комп'ютери в робочій групі, ізольованих сегментах, DMZ тощо)

Windows Registry Editor Version 5.00

"WUServer"="http://srv-wsus.сайт:8530"
"WUStatusServer"="http://srv-wsus.сайт:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Servers"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

Також зручно контролювати застосовані налаштування WSUS на клієнтах за допомогою rsop.msc.

І через деякий час (залежить від кількості оновлень та пропускної спроможності каналу до сервера WSUS) потрібно перевірити в третій наявність спливаючих сповіщень про наявність нових оновлень. У консолі WSUS у відповідних групах мають з'явитися клієнти (у табличному вигляді відображається ім'я клієнта, IP, ОС, відсоток їхньої «пропатченості» та дата останнього оновлення статусу). Т.к. ми політиками прив'язали комп'ютери та сервери до різних груп WSUS, вони отримуватимуть лише оновлення, схвалені до встановлення на відповідні групи WSUS.

Примітка. Якщо на клієнті оновлення не з'являються, рекомендується уважно вивчити на проблемному клієнті лог служби оновлень Windows (C: WindowsUpdate.log). Зверніть увагу, що Windows 10 (Windows Server 2016) використовується . Клієнт завантажує оновлення до локальної папки C:\Windows\SoftwareDistribution\Download. Щоб запустити пошук нових оновлень на сервері WSUS, потрібно виконати команду:

wuauclt /detectnow

Також іноді доводиться примусово перереєструвати клієнта на сервері WSUS:

wuauclt /detectnow /resetAuthorization

В особливо складних випадках можна спробувати відремонтувати службу wuauserv. У разі виникнення , спробуйте змінити частоту перевірки оновлень на сервері WSUS за допомогою політики Automatic Update detection frequency.

У наступній статті ми опишемо особливості. Також рекомендуємо ознайомитись зі статтею між групами на WSUS сервері.

Published on Лютий 18, 2009 by · Коментарів немає

У цій статті я розповім вам про деякі ключі реєстру (Registry Keys), пов'язані з оновленням Windows (Windows Update). Я покажу вам різні параметри, які можуть отримувати ці ключі реєстру.

Якщо ви пропустили другу частину цієї статті, то, будь ласка, прочитайте

Хоча і оновлення Windows (Windows Update) і WSUS, загалом, досить легко налаштовувати, іноді ви можете отримати більш детальний контроль шляхом внесення деяких змін до реєстру Windows. У цій статті я покажу вам деякі ключі реєстру, пов'язані з оновленням Windows (Windows Update). Я покажу вам різні параметри, які можуть отримувати ці ключі реєстру.

Для початку

Для початку я ощасливлю юристів і попереджу, що внесення змін до реєстру може бути дуже небезпечним. Внесення неправильних параметрів реєстру може призвести до знищення Windows та/або будь-яких запущених програм на машині. Перед спробою внесення змін до реєстру необхідно зробити повну резервну копію системи, я готовий показати вам, як це робиться.

Є ще одна річ, про яку я маю вам розповісти. Точне налаштування, про яке я хочу вам розповісти, застосовується лише для комп'ютерів, які працюють під керуванням Windows XP. Ви можете вносити зміни для певних машин безпосередньо, або їх можна застосувати як частину сценарію при вході (login script). Також деякі ключі, про які я розповім, можуть не існувати за промовчанням. Якщо ви хочете використовувати ключ, який не існує, то ви повинні спочатку створити його. Ви також повинні знати, що поведінкою оновлення Windows можна керувати за допомогою політики групи (group policy). Політики груп можуть іноді модифікувати ключі реєстру таким чином, що вони дотримуються заданої ними поведінки.

Підвищення привілеїв

Одна з проблем при отриманні оновлень від сервера WSUS полягає в тому, що користувачі не можуть затверджувати або відмовлятися від оновлень, доки вони не є членами групи локальних адміністраторів (local administrators group). Однак, ви можете використовувати реєстр, щоб підвищити привілеї користувачів таким чином, щоб вони мали можливість встановлювати або відмовлятися від встановлення змін незалежно, чи є членами групи локальних адміністраторів (local administrator) чи ні. З іншого боку, ви також можете заборонити користувачам встановлювати оновлення та залишити це право адміністратору (Admin).

Ключ реєстру, який відповідає за це: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins

Ключ ElevateNonAdmins має два можливі значення. Значення за умовчанням, що дорівнює 1, дозволяє користувачам, які не є адміністраторами, встановлювати оновлення. Якщо ви зміните це значення на 0, лише адміністратори зможуть інсталювати оновлення.

Target Groups

Одна із чудових речей із WSUS полягає в тому, що він дозволяє використовувати позиціонування клієнтської сторони (client side targeting). Ідея з позиціонуванням клієнтської сторони полягає в тому, що ви можете задавати різні комп'ютерні групи і роздавати права на встановлення оновлень залежно від членства в групі. За замовчуванням позиціонування клієнтської сторони не використовується, але якщо ви вирішите використовувати його, то є два ключі реєстру, які допоможуть вам це зробити. Перший із цих ключів включає позиціонування клієнтської сторони (client side targeting), а інший вказує назву групи, до якої належить комп'ютер. Обидва з цих ключів повинні бути створені в: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\

Перший ключ – це ключ DWORD під назвою TargetGroupEnabled. Ви можете надати цьому ключу значення 0, тим самим відключивши client side targeting, або 1, що включає позиціонування клієнтської сторони (client side targeting).

Інший ключ, який ви повинні створити, має називатися TargetGroup і мати рядкове значення. Значенням цього ключа має бути назва групи, до якої має бути приписаний комп'ютер.

Встановлення сервера WSUS

Якщо ви трохи були залучені до роботи з мережею, то ви, ймовірно, знаєте, що дизайн мережі має тенденцію змінюватися з часом. Такі речі, як зростання компанії, нові вимоги до безпеки та корпоративні обмеження часто лежать в основі для зміни мережі. Як це стосується оновлення Windows? WSUS масштабується і може встановлюватися ієрархічним способом. Це означає, що у організації може бути кілька встановлених серверів WSUS. Якщо PC переміщений в іншу частину компанії, сервер WSUS, який спочатку був визначений для цього комп'ютера, може більше не підходити для нового місця. На щастя, кілька простих модифікацій реєстру допоможуть змінити сервер WSUS, від якого PC отримує оновлення.

Існують два ключі, які використовуються для визначення сервера WSUS. Кожен з них розташований в: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\. Перший ключ називається WUServer. Для цього ключа необхідно задати текстове значення, що описує URL-сервера WSUS (наприклад: http://servername).

Інший ключ, який потрібно змінити – це ключ під назвою WUStatusServer. Ідея з цим ключем полягає в тому, що комп'ютер (PC) повинен повідомляти про свій статус серверу WSUS таким чином, щоб сервер WSUS міг знати, які зміни було встановлено на комп'ютері. Ключ WUStatusServer зазвичай містить таке ж значення, як і ключ WUServer (наприклад: http://servername).

Агент автоматичного поновлення (Automatic Update Agent)

Отже, я розповів про те, як підключити комп'ютер (PC) до певного сервера WSUS або певної групи (target group), але це лише половина процесу. Оновлення Windows Update використовує агент оновлення (update agent), який насправді інсталює оновлення. Є кілька ключів реєстру, які розташовуються в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU та контролюють агента автоматичного оновлення (automatic update agent).

Перший із цих ключів – це ключ AUOptions. Цьому параметру DWORD може бути присвоєно значення 2, 3, 4 або 5. Значення 2 означає, що агент повинен повідомляти користувача при завантаженні оновлень. Значення 3 означає, що оновлення буде завантажено автоматично, а користувачеві буде повідомлено про встановлення. Значення 4 означає, що оновлення має бути автоматично завантажено та встановлено відповідно до плану. Для того, щоб працювала ця опція, необхідно також встановити значення для ключів ScheduledInstallDay та ScheduledInstallTime. Докладніше я розповім про ці ключі пізніше. І нарешті, значення 5 означає, що автоматичне оновлення потрібно, але він може бути налаштований кінцевими користувачами.

Наступний ключ, про який я хочу поговорити - це ключ AutoInstallMinorUpdates. Цей ключ може приймати значення 0 або 1. Якщо значення ключа 0, то незначні оновлення (minor updates) обробляються як і будь-які інші оновлення. Якщо значення ключа 1, то незначні оновлення (minor updates) тихо встановлюються у фоновому режимі.

Інший ключ, що стосується агента автоматичного оновлення (Automatic Update Agent) – це ключ DetectionFrequency. Цей ключ дозволяє задати, як часто агент повинен звертатися за оновленнями. Значення ключа має бути ціле число від 1 до 22, що відображає кількість годин між спробами звернення за оновленням.

Пов'язаний із ним ключ реєстру – це ключ DetectionFrequencyEnabled. Як бачимо з назви, цей ключ дозволяє підключити або вимкнути функцію Detection Frequency. Якщо встановити значення цього ключа дорівнює 0, то значення ключа DetectionFrequency ігноруватиметься, а якщо встановити значення ключа дорівнює 1, то агент повинен буде використовувати значення ключа DetectionFrequency.

Наступний ключ, про який я хочу розповісти, – це ключ NoAutoUpdate. Якщо значення цього ключа 0, автоматичне оновлення підключено. Якщо значення ключа дорівнює 1, автоматичне оновлення вимкнено.

Останній ключ реєстру, про який я хочу поговорити – це ключ NoAutoRebootWithLoggedOnUsers. Як ви, ймовірно, знаєте, деякі оновлення не можуть набути чинності без перезавантаження системи. Якщо користувач у цей час працює, то перезавантаження може бути дуже небажаним. Це особливо вірно, якщо користувач відійшов від свого робочого місця та не зберіг свою роботу. У цьому випадку допоможе ключ NoAutoRebootWithLoggedOnUsers. Значення цього ключа може бути 0 або 1. Якщо значення ключа дорівнює 0, користувачі отримають 5 хвилинне попередження перед тим, як система автоматично піде на перезавантаження. Якщо значення ключа дорівнює 1, то користувачі просто отримають повідомлення, в якому запитується дозвіл на перезавантаження, але користувачі можуть здійснити його на власний розсуд.

Висновок

Існує набагато більше ключів реєстру щодо оновлення Windows. Про решту з них я розповім у другій частині цієї статті.

www.windowsnetworking.com

Дивіться також:

Readers Comments (Коментарів немає)

Exchange 2007

Якщо ви бажаєте прочитати попередні частини цієї серії статей, перейдіть за посиланнями: Проведення моніторингу Exchange 2007 за допомогою диспетчера System ...

Вступ У цій статті з кількох частин я хочу показати вам процес, який нещодавно використав для переходу з існуючого середовища Exchange 2003.

Якщо ви пропустили першу частину цієї серії, будь ласка, прочитайте її за посиланням Використання інструмента Exchange Server Remote Connectivity Analyzer Tool (Частина...

Якщо ви пропустили попередню частину цієї серії статей, перейдіть на посилання Моніторинг Exchange 2007 за допомогою диспетчера System Center Operations ...

Всім привіт сьогодні замітка більше для себе, а саме список серверів оновлень Windows Update. Для чого це може стати в нагоді, ну наприклад якщо ви отримали помилку Оновлення не знайдено при встановленні WSUS ролі, або навпаки з якоїсь причини хочете їх забанити, для економії трафіку, якщо у вас немає WSUS, так як не всі оновлення Windows хороші і особливо в У сучасних її версіях, думаю, немає сенсу нагадувати про помилку, хоча цей список можна продовжувати дуже довго. Причина не важлива, головне щоб знати, що таке є і з цим можна якось працювати. Нижче я вам покажу методи заборони адрес сервера оновлень microsoft, як універсальний, що підходить для окремого комп'ютера, так і для централізованого управління в рамках підприємства.

Чому не інстальовано оновлення Windows

Ось скріншот помилки якщо у вас недоступна адреса сервера оновлень Microsoft. Як бачите, помилка мало інформативна. Її я отримую на сервері несучою роль WSUS, хто не пам'ятає, що це таке, то це локальний центр оновлень для підприємств, для економії трафіку, і ось тут якраз не встановлюються оновлення Windows через недоступність серверів Microsoft.

Що робити, якщо не ставляться оновлення Windows

• Насамперед ви повинні перевірити, чи є у вас інтернет, тому що його наявність обов'язкова для більшості людей, якщо звичайно у вас не домен Active Directory і ви їх завантажуєте з вашого WSUS
• Далі якщо інтернет є, дивимося код помилки, тому що саме по ньому потрібно вже шукати інформацію про вирішення проблеми (з останніх проблем можу навести приклад, як вирішується Помилка 0x80070422 або Помилка c1900101), але список можна так само вести дуже довго.
• Перевіряємо у себе на проксі сервері, чи немає заборони до таких адрес сервера оновлень microsoft.

Сам список серверів оновлень microsoft

1. http://windowsupdate.microsoft.com
2. http://*.windowsupdate.microsoft.com
3. https://*.windowsupdate.microsoft.com
4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
5. http://*.update.microsoft.com
6. https://*.update.microsoft.com
7. http://*.windowsupdate.com
8. https://activation.sls.microsoft.com/
9. http://download.windowsupdate.com
10. http://download.microsoft.com
11. http://*.download.windowsupdate.com
12. http://wustat.windows.com
13. http://ntservicepack.microsoft.com
14. https://go.microsoft.com/
15. http://go.microsoft.com/
16. https://login.live.com
17. https://validation.sls.microsoft.com/
18. https://activation-v2.sls.microsoft.com/
19. https://validation-v2.sls.microsoft.com/
20. https://displaycatalog.mp.microsoft.com/
21. https://licensing.mp.microsoft.com/
22. https://purchase.mp.microsoft.com/
23. https://displaycatalog.md.mp.microsoft.com/
24. https://licensing.md.mp.microsoft.com/
25. https://purchase.md.mp.microsoft.com/

Вирішуючи проблеми безпеки обчислювальної системи, доводиться враховувати комплекс проблем, одна з яких – своєчасне оновлення операційних систем та програмного забезпечення.

Вступ

Для підтримки актуального стану операційних систем та програмного забезпечення інформаційної системи компанії слід здійснювати їх регулярні оновлення. Ці дії можуть виконуватися з сайту Microsoft Update кожним клієнтським комп'ютером або за допомогою сервера/серверів Windows Server Update Services (WSUS). Якщо ми говоримо про корпоративну мережу, то рекомендований варіант – використання сервера WSUS. При роботі з вищезазначеною службою досягається значне зниження Інтернет трафіку і забезпечується можливість централізованого керування процесом розгортання виправлень системи та програмного забезпечення, одержуваних від Microsoft.

Хотілося б додатково зазначити, що на 23 березня 2011 року компанія Microsoft анонсувала вихід нового продукту Windows Intune, однією з функцій якого буде виконання тих завдань, за які раніше відповідав WSUS.

Для забезпечення можливості оновлення комп'ютерів клієнтів необхідно:

1. Виконати проектування рішення

2. Здійснити розгортання сервера/серверів WSUS;

3. Забезпечити регулярну синхронізацію сервера WSUS із ресурсом Microsoft Update;

4. Налаштувати параметри роботи сервера/серверів WSUS;

5. Створити цільові групи та помістити комп'ютери клієнтів у цільові групи на сервері WSUS.

6. Налаштувати клієнтів використання серверів WSUS;

7. Забезпечити безпеку сервера/серверів WSUS.

У цій статті ми не розглядаємо етапи проектування та розгортання, синхронізації, мова піде про налаштування клієнтів та забезпечення безпеки сервера WSUS.

Налаштування клієнтів сервера оновлень без використання групових політик

Налаштування клієнтів на використання сервера WSUS можливе трьома способами:

1. використання групової політики;
2. використання локальної політики комп'ютера;
3. Безпосереднє внесення змін до реєстру станцій клієнтів.

Найкращим способом є використання Об'єктів Групової Політики див. рис. 1, прив'язаних до необхідного контейнера AD (для Windows 2003) або AD DS (для Windows 2008), однак цей варіант можливий лише у випадку, якщо в організації розгорнуто службу каталогу Active Directory. Можливості групової політики з налаштування взаємодії з сервером управління та управління процедурами оновлення клієнтів повністю забезпечують потреби адміністратора. У чому ми можемо переконатися, глянувши на рис. 1. Перелік доступних налаштувань досить широкий.

Мал. 1. Установки клієнта WSUS.

Якщо служба каталогу в організації не розгорнута, то реалізувати можливість взаємодії клієнта з WSUS можна або за допомогою локальної політики, або шляхом прямого внесення змін до системного реєстру робочої станції, або сервера, актуальність стану якого ми хочемо забезпечити. По суті політика є ні що інше, як інтерфейс до реєстру.

Обставини, за яких робочі станції та сервери не є клієнтами AD, можуть виникати в ряді випадків, наприклад:

· Використання служби каталогу третіх фірм, однак, як сервери додатків, файлових серверів, робочих станцій клієнтів використовуються рішення на базі операційних систем Microsoft;

· Необхідність побудови «гостової» зони для надання доступу «зовнішніх» користувачів до мережі Інтернет;

· Не достатня «зрілість» компанії, через яку централізована служба каталогу не розгорнута, або відсутність потреби у зазначеній службі.

1. Необхідно розміщення служби оновлень в інтрамережі та сервері статистики, а також розподілити клієнтів по групах.

У розділі реєстру

потрібно вказати адресу, або ім'я сервера оновлень, до якого буде з'єднуватися клієнта та номер порту, обраний для роботи з сервером WSUS. За умовчанням мається на увазі 80-й порт.

"WUStatusServer" = http://192.168.1.100

Оскільки потрібно розміщення комп'ютерів клієнтів у цільових групах, то ми повинні вказати в яку з цільових груп має бути поміщений комп'ютер:

"TargetGroupEnabled"=dword:00000001

У нашому варіанті цільова група називається "WSUS-Test-WKS". Для клієнтів, ім'я цільової групи яких буде іншим, у цьому полі вказується інше значення. Параметр TargetGroupEnabled у разі забезпечує управління приміщенням у групу з боку клієнта.

Для цього у розділі реєстру

"TargetGroup"="WSUS-Test-WKS"

"TargetGroupEnabled"=dword:00000001

"WUServer"="http://192.168.1.100"

"WUStatusServer"="http://192.168.1.100"

"NoAutoUpdate"=dword:00000000

"AUOptions"=dword:00000004

"ScheduledInstallDay"=dword:00000000

"ScheduledInstallTime"=dword:00000009

"UseWUServer"=dword:00000001

"RescheduleWaitTime"=dword:00000001

" NoAutoRebootWithLoggedOnUsers"=dword:00000000

Забезпечивши доставку та виконання зазначеного файлу, ми зможемо налаштувати клієнтів сервера WSUS, не вдаючись до використання групових політик. Опис усіх змінних реєстру, які можуть бути використані для роботи з сервером оновлень та їх можливих значень, наведено у Windows Server Update Services 3.0 SP2 Deployment Guide.

Для безпеки самого сервера оновлень має сенс виконати ряд простих рекомендацій:

1. Якщо нам потрібно забезпечити безпечний інформаційний обмін між клієнтами та серверами та/або між серверами WSUS, то передбачається можливість використання протоколу SSL. Зверніться до розділу «Securing WSUS with Secure Sockets Layer» у Windows Server Update Services Deployment Guide (). За відсутності мережного обміну між серверами перенесення даних забезпечується у вигляді зовнішнього носія. Альтернативним способом захисту, за неможливості використання SSL, є застосування протоколу IPsec. Див. "Overview of IPsec Deployment" http://go.microsoft.com/fwlink/?LinkId=45154.

2. Сервер WSUS, який синхронізується з Microsoft Update, слід розміщувати за брандмауером і надавати доступ до нього лише тим вузлам, які дійсно цього потребують. Див. розділ «Configure the Firewall» у Windows Server Update Services Deployment Guide (http://go.microsoft.com/fwlink/?LinkId=79983).

3. Що стосується файлового доступу, то не слід надавати надмірних дозволів на ресурси, опис вимог до прав доступу наведено в розділі "Before You Begin" у Windows Server Update Services Deployment Guide (http://go.microsoft.com/fwlink/ ?LinkId=79983).

4. Якщо сервер оновлень має доступ до Інтернету (у ряді випадків цього може і не бути, наприклад, виконується синхронізація з іншим сервером WSUS, який має таку можливість), то його БД рекомендовано розміщувати на іншому комп'ютері, доступ з якого неможливий. “Appendix B: Configure Remote SQL” у Windows Server Update Services Deployment Guide (http://go.microsoft.com/fwlink/?LinkId=79983).

5. Для керування сервером WSUS розумно використовувати вбудовану групу WSUS Administrators, яка буде створена при розгортанні.

Леонід Шапіро.

Список літератури.

Anita Taylor Windows Server Update Services 3.0 SP2 Deployment Guide.

Anita Taylor Windows Server Update Services 3.0 SP2 Operations Guide

[i] DMZ - demilitarizedzone

Тут розглядаються не всі, лише основні параметри налаштування клієнта WSUS.

Вказати шлях до шуканих серверів можна як за допомогою адреси, що було зроблено в наведеному прикладі, так і за допомогою імені сервера, передбачивши можливість дозволу імені сервера в його IP-адресу.

Тут наводиться абстрактне ім'я тестової групи.

З розвитком інтернету постійне оновлення операційної системи стало звичним явищем. Тепер розробники можуть виправляти та доопрацьовувати систему протягом усього терміну її підтримки. Але часті оновлення Windows 10 – це не завжди зручно. Саме тому добре вміти відключати їх.

Причини вимкнення автоматичного оновлення

Причини можуть бути різними, причому тільки ви самі можете вирішити, наскільки вам необхідно відключити оновлення. При цьому варто враховувати, що разом із покращеннями тих чи інших можливостей постачаються важливі виправлення уразливостей системи. І все ж таки ситуації, коли самостійні оновлення варто відключити, виникають досить часто:

• платний інтернет - інколи оновлення є дуже великим і його завантаження може дорого обійтися, якщо ви платите за трафік. У такому разі краще відкласти завантаження та завантажити пізніше за інших умов;
• Нестача часу - після завантаження оновлення почне встановлюватися в процесі вимкнення комп'ютера. Це може бути незручно, якщо вам потрібно швидко завершити роботу, наприклад, ноутбук. Але ще гірше тут те, що рано чи пізно Windows 10 вимагатиме перезапустити комп'ютер, а якщо ви не зробите цього, то через якийсь час перезапуск пройде примусово. Все це відволікає та заважає працювати;
• безпека - хоч самі по собі оновлення часто містять важливі виправлення системи, ніхто і ніколи не може передбачити все. В результаті одні оновлення можуть відкрити вашу систему для вірусної атаки, інші просто порушать її роботу відразу після установки. Розумний підхід у цій ситуації – оновлюватись через деякий час після виходу чергової версії, попередньо вивчивши відгуки.

Вимкнення автоматичного оновлення Windows 10

Способів, як вимкнути оновлення Windows 10, є багато. Деякі з них дуже прості для користувача, інші складніші, а треті вимагають встановлення сторонніх програм.

Вимкнення через центр оновлень

Використання центру оновлення для відключення – не найкращий варіант, хоч його і пропонують як офіційне рішення розробники з Microsoft. Ви можете вимкнути автоматичне завантаження оновлень через їх налаштування. Проблема тут у тому, що це рішення так чи інакше буде тимчасовим. Реліз великого оновлення Windows 10 змінить це налаштування та поверне оновлення системи. Але ми все одно вивчимо процес відключення:

Після цих змін незначні оновлення більше не встановлюватимуться. Але це рішення не допоможе вам назавжди позбутися завантаження оновлень.