WSUS: сервис централизованного управления обновлениями и исправлениями
Сергей «grinder» Яремчук (grinder@ua.fm, )
Своевременная установка обновлений и исправлений является одним из факторов, обеспечивающих надежную защиту информационной системы. Индивидуальное обновление систем приведет к существенному увеличению трафика и потребует большего внимания со стороны администратора. В 2002 году корпорация Microsoft предложила бесплатный продукт для управления обновлениями – SUS (Software Update Services), который сейчас заменен более мощным решением – WSUS (Windows Server Update Services).
Содержание:
- Как работает WSUS
- Подготовка перед установкой
- Устанавливаем WSUS
- Настройки в Configuration Wizard
- Настройка параметров службы автоматического обновления
- Создание групп компьютеров для обновления
- Обновление систем
- Заключение
Служба WSUS предназначена для централизованного управления обновлениями и исправлениями продуктов Microsoft: Windows 2000 SP4/XP/2003/Vista, Office XP/2003, Exchange Server, SQL Server и других. По мере выхода новых продуктов этот список автоматически обновляется. Служба WSUS состоит из серверной и клиентской части. Серверная часть устанавливается внутри сети и подменяет собой Microsoft Update, к которому подключаются клиенты за обновлениями при настройке по умолчанию. Такой подход предоставляет множество преимуществ. Так все обновления скачиваются с сайта Microsoft только один раз. Администратор может самостоятельно выбрать тип обновлений, остановившись, например, только на критических обновлениях безопасности и драйверах, а также указать язык. Причем теперь появилась возможность первоначально протестировать выбранные обновления на группе компьютеров, и, убедившись, что все идет нормально, разрешать устанавливать их остальным. В разветвленных сетях можно использовать несколько сервисов WSUS, скачивать обновления через Интернет будет только один из них. Для хранения описаний обновлений, конфигурации сервера WSUS и состояния обновлений клиентских систем используется база данных. Клиентом WSUS является служба Automatic Updates (Автоматическое обновление).
На момент написания статьи была доступна версия WSUS 3.0 beta 2, которую мы и будем дальше рассматривать. Учитывая, что работает она стабильно, имеет дополнительные возможности и некоторые особенности по сравнению с предыдущей версией 2.0, да и любая бета рано или поздно превращается в релиз. Установленный WSUS 2.0 легко обновляется до 3.0, при этом будут сохранены все предыдущие настройки, но если используется несколько серверов обновлений, то процесс модернизации должен начинаться с основного сервера.
Перед началом установки самого WSUS необходимо убедиться, что компьютер и система удовлетворяют некоторым требованиям, иначе процедура установки может затянуться. Так для работы сервера обновлений, который будет обслуживать до 500 клиентов, потребуется компьютер с процессором 1 Гц и 1 Гб оперативной памяти. Раздел, в который будет устанавливаться WSUS, должен быть отформатирован под файловую систему NTFS и иметь не менее 6 Гб свободного места причем, чем больше типов систем будем обновлять, тем больше должно быть свободного пространства. Еще 1 Гб свободного места должен иметь системный раздел и 2 Гб раздел, на котором установлен Windows SQL Server 2005 Embedded Edition (далее SQL Server 2005 EE). Операционная система должна быть Windows Server 2003 SP1 или Vista. Версия WSUS 2.0 поддерживала еще и Windows 2000 SP3, но в 3.0 его из списков зависимостей вычеркнули. В дальнейшем мы будет разбирать установку применительно к 2003 SP1. Перед установкой WSUS необходимо установить следующие обязательные компоненты:
- Microsoft Internet Information Services (IIS) 6.0;
- ;
- ;
- .
В отличие от предыдущей версии, настраивавшейся через веб-интерфейс, третья версия использует уже MMC. И для его работы потребуется . Если в системе чего-то не хватает для корректной установки или работы WSUS, по ходу будет выдаваться подсказка. В качестве SQL сервера может использоваться уже названный SQL Server 2005 EE, который идет в комплекте WSUS или SQL Server 2005 SP1. Первый устанавливается и настраивается автоматически, поэтому нет причин от него отказываться. В качестве клиентских машин могут выступать: Windows 2000 Pro/Server/Advanced Server с SP 4, Windows XP Pro с SP 1 и выше и Windows Server 2003 всех версий.
Если после установки возникнут проблемы с работой WSUS, следует проследить, что встроенная в Windows группа Network Service имеет доступ:
- Для чтения (read) к каталогу, куда установлен WSUS, иначе не будет работать BITS;
- Полный доступ (Full Control) к каталогу WSUSWsusContent, так устанавливается по умолчанию, но другими сервисами, отвечающими за безопасность, может сбрасываться;
- Полный доступ к каталогам %windir%Temp и %windir%Microsoft .NETFrameworkv1.1.4322Temporary ASP.NET Files.
Установку могут производить только члены локальной группы Администраторы. Напомню, что IIS 6.0 уже идет в комплекте Windows Server 2003, но по умолчанию не устанавливается. Если этого еще не сделано. Зайди в «Установка и удаление программ – Установка компонентов Windows – Application Server» и установи флажок напротив IIS. Теперь все готово к установке.
Последняя версия WSUS 3.0 доступна по адресу . Запускаем полученный исполняемый файл WSUSSetup.exe. После анализа системы на предмет наличия всех зависимостей, будет предложено принять лицензионное соглашение. На следующем шаге Select Update Source определяется источник клиентских обновлений. Если выбрать Store updates locally, сервер WSUS 3.0 будет хранить обновления в указанном месте на локальном диске. Иначе клиентские компьютеры будут каждый раз загружать одобренные обновления с сайта Microsoft. Трудно придумать логичное применение второго варианта в нормальных условиях, потому стоит остановиться на локальном хранении обновлений.
Теперь переходим к выбору базы данных. По умолчанию предлагается использовать SQL Server 2005 EE, идущий в комплекте, как вариант подойдут локальный или удаленный SQL Server. Далее производится попытка подключения к выбранной базе данных, в случае Successfully connected двигаемся дальше.
Рис. 1. Выбор базы данных
На Web Site Selection выбирается веб-узел, который будет использоваться WSUS. Рекомендуется использовать имеющийся IIS работающий на 80 порту, как вариант предлагается создать отдельный веб-узел работающий по порту 8530. Внизу дан URL-адрес, к которому будут подключаться клиентские компьютеры для загрузки обновлений, запомни его.
После нажатия на «Next» смотрим итоговую информацию, и далее собственно установка всех компонентов WSUS. Выбрав по окончании флажок «Launch WSUS Server Configuration Wizard», получим возможность запустить Configuration Wizard, который поможет произвести первоначальные установки. Не стоит упускать такую возможность, хотя при желании его всегда можно запустить из основного окна программы, зайдя в Options – WSUS Server Configuration Wizard.
Рис. 2. Чего-то не хватает
Настройки в Configuration Wizard
По умолчанию WSUS получает обновления с веб-узла Microsoft Update напрямую. Но если в сети используется прокси-сервер, или сервер WSUS прикрыт межсетевым экраном, тогда соответствующие настройки необходимо указать на первых шагах мастера. Открой исходящие соединения по 80 и 443 портам. Если правила безопасности ограничивают такие соединения только с определенными доменами, в документации WSUS приведен список этих серверов (, ). Кроме того, здесь же указывается источник обновлений. Это может быть один из сайтов Microsoft, или один из уже настроенных серверов WSUS. В большинстве случаев во вкладке Choose Upstream Server выбираем Microsoft Update. А в Specify Proxy Server настройки прокси, если он есть.
Для заполнения полей понадобится его адрес, номер порта и данные аутентификации, если они необходимы. Для продолжения дальнейших настроек необходимо сначала получить информацию о доступных типах обновлений, продуктах, для которых поддерживается обновление, и их языках. Процесс получения этой информации займет минут 15, поэтому нажимаем Start Synchronization и идем спокойно пить кофе. По окончанию процесса станут доступны следующие пункты, и можно двигаться дальше.
Рис. 3. Окно Configuration Wizard
Первая остановка Choose Languages. Если не нужно обновлять системы с корейской, японской и прочими локализациями, выбираем «Download updates only in these languages» и флажком отмечаем нужные языки. К сожалению здесь, как и во второй версии, не возможно выбрать обновления конкретных видов продуктов в зависимости от языка интерфейса. Например, если у тебя только один компьютер с английским языком, то придется разбираться не только с обновлениями к этой системе, а и с остальными продуктами (офису, операционными системами и пр.).
Продукты для обновлений указываются в Choose Product. Здесь просто отмечаем флажками, что необходимо обновлять, и переходим к Choose Classifications, в котором доступны следующие классы обновлений: драйверы, критические обновления, накопительные пакеты обновлений, обновления определений, обновления системы безопасности, обновления, пакеты новых функций, пакеты обновлений и средства. К сожалению никаких объяснений, на счет назначения тех или иных функций, не дано. И чтобы действительно разобраться с некоторыми позициями, придется сначала загрузить некоторые примеры. Здесь опять же нельзя выставить гибко классы в зависимости от операционных систем или приложений. В Set Sync Schedule выставляются параметры синхронизации. Ее можно производить, вручную выбрав Synchronize Manually или автоматически по расписанию – Synchronize Automatically. В последнем случае необходимо в First Synchronization указать время первой синхронизации и в Synchronization per day – число синхронизаций в день.
И, наконец, последняя вкладка Finish. Активация «Launch the Windows Server Update Services Administration Snap-in» после выхода из мастера запустит администраторскую консоль, а выбор «Begin initial synchronization» запустит первую синхронизацию. Но с Administration Snap-in пока спешить не будем.
Настройка параметров службы автоматического обновления
Для возможности работы через WSUS клиентские компьютеры потребуют совместимую версию Automatic Updates, поэтому при подключении каждой новой системы к серверу WSUS на него будет установлена совместимая версия. Теперь приступаем к настройке службы автоматического обновления клиентских компьютеров.
Оптимальный способ настройки естественно зависит от сетевого окружения. Если используется служба каталогов Active Directory, для настройки клиентов можно и нужно использовать объекты групповой политики (GPO). При отсутствии такой службы следует использовать объекты локальной групповой политики. Но в любом случае, не зависимо от варианта, требуется указать путь к серверу WSUS для клиентского компьютера и настроить службу автоматического обновления. Для чего необходимо выполнить следующие действия: загрузить административный шаблон, настроить автоматическое обновление, указать клиенту путь к серверу WSUS. Выбираем Пуск – Выполнить, набираем «gpedit.msc«. В появившемся редакторе политик открываем узел «Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Windows Update». При отсутствии такого пункта необходимо добавить шаблон wuau.adm. Для чего щелкни мышкой по заголовку «Административные шаблоны», в контекстном меню выбери команду «Добавление и удаление шаблонов», затем щелкни на «Добавить» и укажи в списке на wuau.
Все параметры описаны достаточно хорошо, поэтому остановлюсь только на требующих первоначальной настройки. Первый параметр, к которому следует обратиться – «Настройка автоматического обновления». Этот параметр позволяет указать, разрешается ли автоматическое обновление для данного компьютера. После включения службы необходимо выбрать один из четырех возможных вариантов настройки групповой политики:
- Уведомлять перед загрузкой обновлений и уведомлять повторно перед их установкой – при наличии подходящих обновлений, система информирует пользователя о необходимости их загрузки, а затем и об установке;
- Загружать обновления автоматически и уведомлять, когда они готовы к установке – подходящие обновления загружаются автоматически в фоновом режиме, а перед началом установки пользователю выводится сообщение;
- Загружать обновления и устанавливать их по заданному ниже расписанию – выбираются дни и время, когда будет производиться принудительная загрузка и установка обновлений, в случае необходимости перезагрузка будет выполнена автоматически (если это не отменено в «Не выполнять автоматический повторный запуск для автоматических установок обновлений»);
- Разрешать локальным администраторам выбирать режим настройки – в этом случае локальный администратор, используя «Панель Управления – Центр обеспечения безопасности – Автоматическое обновление», сможет сам выбирать настройки автоматического обновления.
Следующий пункт «Указать размещение службы обновлений Microsoft в интрасети», позволяет изменить политику, указывающую на сервер в сети, на котором будет работать внутренняя служба обновлений. При задании этой политики требуется указать два параметра: сервер, на котором клиентская программа будет искать обновления, и сервер, куда будет отправляться статистика. Можно назначить для обеих задач один и тот же сервер, указав его адрес в виде http://WSUS_server/.
Основные настройки выполнены. Локальные политики вступают в силу немедленно, и примерно через 20 минут компьютер появится в списке Unassigned Computer. Политики на основе Active Directory обновляются приблизительно каждые 90 минут. Ускорить этот процесс можно, введя в консоли на клиентском компьютере команду «gpupdate /force» и запустив поиск сервера WSUS вручную «wuauclt.exe /detectnow«.
Рис. 4. Настройка службы автоматического обновления
Создание групп компьютеров для обновления
Если консоль управления WSUS еще не открыта, выбираем Windows Server Update Services в Программы – Администрирование. Важной частью настройки работы WSUS является создание групп компьютеров. Группы компьютеров позволяют определить устанавливаемые обновления для однородных систем. Хорошим тоном, является предварительное тестирование устанавливаемых обновлением на небольшой группе типичных (но не критичных) систем, а в случае нормального их функционирования в течение определенного промежутка времени, распространения и на остальные компьютеры. По умолчанию в списке присутствует две группы All Computers и Unassigned. Можно добавить любое количество групп, каких-либо ограничений не существует.
Возможны два способа добавления компьютеров в группы WSUS. Первый – установка имени группы в пункте «Разрешить клиенту присоединиться к целевой группе» политик безопасности. По умолчанию используется второй более гибкий и удобный вариант. Изменить поведение сервера можно перейдя в Options – Computers. Положение переключателя «Use the Updates Service console» свидетельствует об использовании именно этого варианта. Если переключить его в «Use Group Policy or registry setting on computers», принадлежность к группам задается в реестре или в групповых политиках.
Теперь переходим непосредственно к созданию групп. Это также просто. Щелкнув мышкой по Computers and Groups, выбираем в меню Add Computer Group и в появившемся диалоговом окне вводим название группы. Тем временем в Unassigned начинают появляться компьютеры. Для перемещения компьютера в группу выделяем компьютер или группу компьютеров, затем в контекстном меню выбираем Change Membership и в появившемся списке нужную группу. Все.
Теперь осталось только обновить выбранные системы. Но сначала необходимо эти обновления загрузить, если это еще не сделано. Выбираем Action – Synchronize Now. Теперь в Updates можно просмотреть доступные обновления. По умолчанию здесь несколько пунктов All Updates, Critical Updates, Security Updates и WSUS Updates. Для быстрого поиска обновлений выбираем Action – Search, после чего следует ввести необходимые критерии поиска. Чтобы не повторять эту процедуру каждый раз, выбираем New Update View и формируем постоянный запрос к базе, который после нажатия на ОК будет виден в папке Update. Также обрати внимание на фильтры Approval и Status, используя их можно быстро отобрать обновления еще по нескольким критериям. Нас сейчас интересуют All Updates, Approval – Unapproved и Status – Any. Если щелкнуть по заголовку обновления, можно получить подробную информацию о его назначении: критичность, продукты, возможность удаления обновления и необходимость принятия лицензионного соглашения, ссылку на страницу сайта Microsoft, содержащую более подробную информацию.
В появившемся списке выбираем необходимые обновления поодиночке, или удерживая клавишу <Ctrl>. Затем в контекстном меню выбираем Approve, появляется диалоговое окно Approve Updates, в котором представлены группы компьютеров, для разрешения их установки необходимо выбрать Approve to Install. Если же обновления наоборот нужно удалить, то поступаем аналогичным образом, только в меню выбираем уже Approved for Removal.
Рис. 5. Одобрение обновления
Чтобы получить отчет о произведенных обновлениях, приблизительно через сутки выбираем Reports – Update Status Summary и, указав критерии отбора, нажимаем Run Report. Следует отметить, что отчеты являются одной из сильных сторон WSUS версии 3.0.
Рис. 6. Пример отчета WSUS
Возможно и автоматическое одобрение обновлений. Для этого следует, выбрав компьютер, нажать на Options и на появившейся странице Automatic Approvals. Затем в зависимости от того, что требуется сделать New Rule или Install AutoDeployment Rule, и нажимаем Edit. В диалоговом окне выбираем параметры и указываем имя правила, автоматическая установка или одобрение выбирается в Advanced.
Первоначальную настройку WSUS можно считать законченной. После произведенных действий сервер WSUS будет периодически получать обновления с Microsoft Update, а клиентские компьютеры автоматически получать одобренные обновления. Но WSUS имеет еще много интересных функций и возможностей, таких, например, как формирование отчетов и отсылка e-mail сообщений. Успехов.
Статья опубликована в февральском номере журнала «Xakep» за 2007 год.