наверх

Главная, «Windows IT Pro», № 03, 2011 40395 прочтений

Публикация чужих обновлений в службах WSUS

Используем локальные API-интерфейсы публикации для защиты приложений, выпущенных другими компаниями

Рассел Смит

РЕКЛАМА

В соответствии с отчетами компаний, работающих на рынке информационной безопасности, Secunia, Symantec и McAfee, в первом квартале 2010 года больше всего уязвимых мест обнаружено в приложениях независимых поставщиков, даже больше, чем в операционной системе. Компания Microsoft предоставляет службы Windows Server Update Services (WSUS) в качестве бесплатного компонента Windows Server для обновления сторонних прикладных программ; аналогичное средство для пользователей — служба Windows Update. Но у небольших компаний, не имеющих доступа к системам управления корпоративного класса, нет простого способа обновлять сторонние приложения, установленные на компьютерах Windows.

У многих распространенных программ, таких как Adobe Macromedia Flash Player и Google Chrome, есть собственные механизмы обновления, однако для них действует ряд ограничений. Например, сторонний механизм обновления может оказаться неспособным к принудительному обновлению или непригодным для централизованного управления. Кроме того, часто их пользователям требуются расширенные права.

Учитывая, что на каждом устройстве может функционировать несколько механизмов обновления, недолго и запутаться.

WSUS или GPSI

В Active Directory (AD) предусмотрен механизм установки программ с использованием групповой политики (GPSI), предоставляющий администраторам элементарные средства для обновления и развертывания программ на клиентских компьютерах с применением файлов Windows Installer (.msi). Но GPSI не рассчитан на крупные сети, а компания Microsoft не развивала технологию в течение 10 лет, прошедших со времени выпуска AD.

Начиная с версии 3.0 службы WSUS располагают локальными API-интерфейсами публикации, которые впервые обеспечивают разработчикам возможность строить программы для публикации специальных обновлений в службах WSUS. Однако бесплатный инструментарий Microsoft для внедрения этих API-интерфейсов отсутствует, хотя методы локальной публикации доступны из сценариев Visual Basic и других языков программирования. Дополнительные сведения об инструментах локальной публикации приведены во врезке «Издатель обновлений System Center и каталоги партнеров служб обновления Windows Server». Несмотря на это, использование WSUS для развертывания сторонних программ и обновлений имеет много преимуществ перед GPSI, в том числе:

  • наряду с пакетами. msi можно развертывать исполняемые файлы командной строки и драйверы, не назначая пользователям административных полномочий;
  • служба Background Intelligent Transfer Service (BITS) обеспечивает передачу файлов установки клиентам во время простоев канала связи — идеальное решение для медленных сетей;
  • службы WSUS проектировались как часть распределенной архитектуры крупной компании;
  • в службах WSUS предусмотрены простые функции подготовки отчетов.

Локальные публикации WSUS

На примере следующих процедур показан простой способ публикации сторонних обновлений в службах WSUS. Все операции в этом примере, в том числе обновления клиента WSUS, выполняются на компьютере Windows Server 2008 R2, входящем в состав домена в тестовой среде. Прежде чем выполнить процедуры, установите WSUS с настройками по умолчанию с помощью мастера Server Manager.

Настройте WSUS для выбора целевых клиентов. Чтобы указать компьютеры, которые будут получать специальные обновления в тестовой среде, необходимо подготовить группу компьютеров.

  1. Зарегистрируйтесь на сервере Server 2008 R2 в качестве администратора домена.
  2. Откройте оснастку Windows Server Update Services консоли управления Microsoft (MMC) из раздела Administrative Tools меню Start.
  3. В панели навигации разверните сервер WSUS и нажмите кнопку Options.
  4. В области Options прокрутите вниз список параметров настройки и щелкните Computers.
  5. В диалоговом окне Computers установите флажок Computers и нажмите кнопку OK.
  6. В области навигации разверните узел Computer, щелкните правой кнопкой мыши All Computers и выберите пункт Add Computer Group.
  7. В диалоговом окне Add Computer Group дайте новой группе имя Local Updates и нажмите кнопку OK.

Настройка локальной политики компьютера для Windows Update. В производственной среде следующие параметры будут настроены в объекте групповой политики (GPO) и привязаны к организационной единице (OU), содержащей компьютеры, обновляемые с использованием WSUS. Ради простоты подготовим локальную политику компьютера для настройки Windows Update только на локальном компьютере.

  1. Щелкните Start, введите MMC в поле поиска и нажмите клавишу Enter.
  2. В новом окне консоли нажмите клавиши Ctrl+M, чтобы добавить новую оснастку.
  3. В окне Add or Remove Snap-ins выберите редактор объектов групповой политики под элементом Available snap-ins и нажмите кнопку Add.
  4. В диалоговом окне Select Group Policy Object подтвердите выбор по умолчанию (Local Computer) и нажмите кнопку Finish.
  5. В окне Add or Remove Snap-ins нажмите OK.
  6. На панели навигации MMC разверните Local Computer Policy, Computer Configuration, Administrative Templates, Windows Components. Дважды щелкните Windows Update.
  7. На центральной панели дважды щелкните Configure Automatic Updates.
  8. В окне Configure Automatic Updates выберите Enabled, а затем нажмите кнопку OK.
  9. На центральной панели дважды щелкните Specify intranet Microsoft update service location, а затем Enabled.
  10. В разделе Options в обоих полях введите http://, а следом имя локального сервера WSUS. Затем нажмите кнопку OK. В этом примере имя сервера WSUS — WINMEM1 и все службы находятся на одном сервере. Поэтому вводится http://winmem1 как для Set the intranet update service for detecting updates, так и для Set the intranet statistics server.
  11. На центральной панели дважды щелкните Enable client-side targeting.
  12. В окне Enable client-side targeting щелкните Enable. В поле Target group name for this computer введите Local Updates. Нажмите кнопку OK.
  13. Дважды щелкните Allow signed updates from an intranet Microsoft update service location, щелкните Enable и нажмите кнопку OK.
  14. Закройте оснастку MMC.
  15. Откройте окно командной строки и запустите команду gpupdate/force, чтобы немедленно применить новые настройки к серверу.

Установка Local Update Publisher. Local Update Publisher — открытый инструмент, бесплатно загружаемый с сайта SourceForge по адресу sourceforge.net/projects/localupdatepubl. Единственное обязательное условие для запуска программы Local Update Publisher — наличие платформы. NET Framework 3.5, которую можно установить с использованием Server Manager on Server 2008 R2. Это можно сделать быстро, открыв окно PowerShell и выполнив следующие команды:

import-module servermanager
add-windowsfeature net-framework

После установки. NET Framework запустите инструмент Local Update Publisher на сервере WSUS. Затем выполните следующие действия.

  1. Запустите инструмент Local Update Publisher из меню Start в разделе All Programs. Появится приглашение подключиться к серверу WSUS. Сервер WSUS — локальный, поэтому можно оставить поле Name пустым и нажать кнопку Connect.
  2. В окне программы Local Update Publisher щелкните LOCALHOST в разделе Update Services.
  3. Появится окно No WSUS Certificate found; нажмите в нем кнопку Yes.
  4. В диалоговом окне Certificate Information щелкните Create Certificate. Откроется второе окно, указывающее, что самозаверяющий сертификат успешно подготовлен и должен быть установлен на всех локально обновляемых клиентах.
  5. В окне подтверждения установки нажмите кнопку OK.
  6. В диалоговом окне Certificate Information щелкните Export Cert, затем сохраните копию сертификата на компьютере.
  7. Нажмите кнопку OK.

В производственной среде удобно использовать сертификат, изданный удостоверяющим центром (CA), который является частью инфраструктуры открытых ключей PKI компании.

Подготовка WSUS для локальных обновлений. Прежде чем продолжить, необходимо установить самозаверяющий сертификат на сервере WSUS. В производственной среде сертификат устанавливается на сервере WSUS и всех клиентах, получающих с него локальные обновления.

  1. Нажмите кнопку Start, введите MMC в поле поиска и нажмите клавишу Enter.
  2. В новом окне консоли нажмите комбинацию клавиш CTRL+M, чтобы добавить новую оснастку.
  3. В диалоговом окне Add or Remove Snap-ins выберите Certificates в разделе Available snap-ins и нажмите кнопку Add.
  4. В диалоговом окне Certificates snap-in выберите учетную запись Computer и нажмите Next.
  5. Подтвердите выбор Local Computer, сделанный по умолчанию, и нажмите Finish.
  6. В диалоговом окне Add or Remove Snap-ins нажмите кнопку OK.
  7. На панели навигации MMC разверните Certificates (Local Computer), а затем узел Trusted Root Certification Authorities.
  8. Щелкните правой кнопкой мыши Certificates, выберите пункт All Tasks и щелкните Import.
  9. В мастере Certificate Import нажмите кнопку Next.
  10. На странице File to Import нажмите Browse.
  11. Выберите файл сертификата, сохраненный на компьютере, и нажмите кнопку Next.
  12. На странице Certificate Store подтвердите настройки, выбранные по умолчанию, и нажмите кнопку Next.
  13. Нажмите Finish.

По завершении импорта нажмите кнопку OK в поле оповещения. На центральной панели окна MMC отображается самозаверяющий сертификат WSUS Publishers. Повторите шаги с 7 по 13 для импорта того же сертификата в контейнер Trusted Publishers. Затем оснастку MMC Certificates можно закрыть.

Подготовка локального обновления. Для этого необходимо работать с файлом Windows Installer, так как инструмент Local Update Publisher автоматически строит правила для применения обновлений через WSUS. Если требуется использовать файл exe и если не удается извлечь из него пакет Windows Installer, необходимо изучить основные правила публикации обновлений System Center. Дополнительные сведения об этих правилах можно найти по адресу technet.microsoft.com/en-us/library/bb531004.aspx.

Чтобы установить новейшую версию Flash Player через WSUS, в первую очередь загрузите файл Flash Player Windows Installer из адреса fpdownload.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_10_active_x.msi. Затем выполните следующие шаги для создания локального обновления.

  1. В меню Tools щелкните Create Update.
  2. В окне Import Update from File, показанном на экране 1, нажмите кнопку Browse. Затем выберите ранее загруженный msi-файл Flash Player. Все файлы упакованы в установщике Flash Player MSI.
  3. Нажмите кнопку Next. На следующей странице, показанной на экране 2, уже содержится вся необходимая информация, за исключением сведений о поставщике и продукте.
  4. В поле Vendor введите Adobe. В поле Product укажите Flash Player 10.1.85.3 или нужную версию программы.
  5. Нажмите кнопку Next. При подготовке обновления вместе c msi-файлом применяется Local Update Publisher, поэтому правила автоматически заполняются на нескольких следующих страницах мастера установки. Впоследствии правила можно изменять или дополнять.
  6. На странице Package Level — Installed Rules, показанной на экране 3, нажмите кнопку Next, чтобы принять правила по умолчанию.
  7. Повторите шаг 6 на следующих страницах: Package Level — Installable Rules, Installation Item Level — Superseded Rules и Installation Item Level — Rule Metadata.
  8. Просмотрите XML-информацию для обновления, затем нажмите кнопку Finish.

 

Экран 1. Импорт файла Windows Installer на сервер WSUS

 

Экран 2. Ввод сведений о программном пакете

 

Экран 3. Назначение правил установки

Спустя несколько секунд на экране должно появиться извещение об успешной публикации обновления во WSUS.

Утверждение локального обновления. Один из недостатков локальных обновлений заключается в том, что не отображается административная консоль WSUS; управлять обновлениями приходится каким-нибудь другим способом. Управлять и утверждать локальные обновления можно с помощью инструмента Local Update Publisher.

  1. В Local Update Publisher разверните LOCALHOST, Updates, Adobe, Flash Player 10.1.85.3.
  2. В области сведений щелкните правой кнопкой мыши на обновлении и нажмите кнопку Approve.
  3. В диалоговом окне Approve Update (экран 4) щелкните No Approval справа от группы Local Updates, а затем Approved for Install.
  4. В нижней части диалогового окна Approve Update нажмите кнопку Approve.
  5. В ответ на запрос подтверждения нажмите OK.
  6. Нажмите кнопку Close.

 

Экран 4. Подтверждение локальных обновлений

Проверка установки. Последний шаг — убедиться, что клиент Windows Update установил локальное обновление.

  1. На сервере WSUS щелкните Start, введите Windows Update в поле поиска и нажмите клавишу Enter.
  2. В результатах поиска щелкните Check for updates.
  3. В разделе Windows Update панели управления вновь щелкните Check for updates (слева).
  4. Приблизительно через одну минуту должен появиться элемент для установки важного обновления.
  5. Щелкнув 1 important update is available, проверьте имя обновления. Это должно быть только что опубликованное локальное обновление.
  6. Проверив обновление, щелкните Install updates для установки Flash Player.

В программе Local Update Publisher предусмотрены основные функции подготовки отчетов, с помощью которых можно увидеть, какие компьютеры в группе успешно получили обновления. В производственной среде нет причин устанавливать Flash Player непосредственно на сервере WSUS.

Отключение автоматических обновлений Flash Player. По умолчанию Flash Player проверяет наличие новых версий через каждые 30 дней. В корпоративной среде полезно отключить эту функцию и централизованно управлять обновлениями через WSUS. С помощью бесплатного инструмента, такого как Microsoft Orca, в базу данных MSI можно внести необходимый файл конфигурации. Однако эта процедура довольно сложна для пользователей, не имеющих опыта подготовки пакетов Windows Installer. Более простой вариант — создать файл конфигурации (mms.cfg) для отключения функции автоматического обновления. Процесс описан в статье «IT Administration: Configure Flash Player auto-update notification» по адресу kb2.adobe.com/cps/167/16701594.html. Затем следует использовать параметры групповой политики, чтобы скопировать файл в подходящее место на клиентских компьютерах.

Не отдавайте обновления на волю случая

В одном лишь обновлении для Adobe Acrobat Reader, выпущенном 10 октября 2010 года, заделано 23 лазейки в системе безопасности, через которые злоумышленник мог запустить вредные программы. Поэтому своевременное обновление широко распространенных программ нельзя оставлять на волю случая. Часто системные администраторы надеются, что пользователи будут применять обновления самостоятельно. Однако для локальных обновлений обычно требуются административные полномочия, предоставление которых увеличивает вероятность заражения.

Использование WSUS для публикации сторонних обновлений или даже собственных обновлений пользователя поможет существенно снизить вероятность заражения компьютера. Благодаря регулировке полосы пропускания в медленных сетях и возможности (при наличии соответствующей архитектуры) обслуживать ноутбуки, не всегда подключенные к корпоративной сети, WSUS — оптимальное решение для пересылки обновлений на все компьютеры компании.

Если нежелательно использовать бесплатные открытые программы для публикации обновлений на сервере WSUS, можно воспользоваться сценариями или подготовить собственное приложение. Кроме того, компания EminentWare (www.eminentware.com) предоставляет два коммерческих решения: WSUS Extension Pack для публикации локальных обновлений через WSUS и 3rd Party Updates Pack с непрерывно обновляемыми и проверяемыми каталогами сторонних приложений.

Рассел Смит (rms@russell-smith.net) — независимый ИТ-консультант, специализируется на управлении системами

Купить номер с этой статьей в pdf

Комментарии

harison [2012-10-24 09:34:19]

Вопрос к ре-автору статьи. Вы проделывали это лично? У меня возникла проблема. Все сделал по статье, сертификат установил себе на компьютер. WSUS видит мой комп в числе тех, кто нуждается в обновлении (в качестве "обновления" я выбрал установку хот-фикса), но висит уже несколько недель и не обновляет. Ошибок по логам ПК нету, проверяю каждое утро, ошибок по WSUS тоже нет.
Есть идеи или предложения? Очень критично, не хотелось бы бегать и ставить всем фиксы руками. ;)


28/04/2016 №05

Купить выпуск

Анонс содержания
«Windows IT Pro»

Подписка:

«Windows IT Pro»

на месяцев

c

Средство массовой информации - www.osp.ru. Свидетельство о регистрации СМИ сетевого издания Эл.№ ФС77-62008 от 05 июня 2015 г. Выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзором)