Рациональный способ своевременного применения исправлений

В организациях средних размеров для управления исправлениями, как правило, используются такие решения, как Software Update Services (SUS). С учетом недостатков службы SUS, например ограниченного набора продуктов, которые можно модернизировать с ее помощью, специалисты Microsoft разработали усовершенствованную службу управления исправлениями под названием Windows Server Updates Services. Благодаря гибкости, передовой функциональности и простоте развертывания WSUS может быть полезна для предприятий любых размеров. В данной статье рассматривается процесс установки и настройки WSUS для предприятия, получения обновлений и настройки клиентов на прием исправлений с помощью WSUS.

В окончательную версию WSUS могут быть внесены усовершенствования и дополнительные функции, которых нет в версии Release Candidate (RC), доступной на данный момент. (Microsoft выпустила окончательную версию WSUS и Microsoft Update — вместо Windows Update — летом 2005 года.) На моих тестах WSUS RC работала стабильно, но до официального выпуска продукта я рекомендую ограничиться экспериментами в лабораторной среде. Необходимо загрузить из Web-узла WSUS бета-версию программы Background Intelligent Transfer Service (BITS) 2.0. Для работы WSUS требуется операционная система Windows 2000 Server или более поздняя версия, Microsoft Internet Information Services (IIS) 5.0 или более поздняя версия, BITS 2.0, ASP.NET, Windows .NET Framework 1.1 Service Pack 1 (SP1), Microsoft SQL Server-совместимая база данных и том NTFS с достаточным количеством свободного места для WSUS и любых исправлений, загружаемых для последующего распространения среди клиентов. Вместе с WSUS поставляется Windows Microsoft SQL Server 2000 Desktop Engine (WMSDE) for Windows Server 2003. Если WSUS устанавливается на системе Windows 2000 Server без сервера SQL Server 2000, то можно загрузить и установить только WMSDE. Для типичной конфигурации, обслуживающей менее 500 клиентов, Microsoft рекомендует систему с процессором с тактовой частотой не менее 1 ГГц, оперативной памятью емкостью 1 Гбайт и свободным пространством 30 Гбайт на жестком диске. Для обслуживания более 500 клиентов рекомендуется компьютер с процессором на 2ГГц или более быстрым и полным экземпляром SQL Server 2000. Минимальные требования к ресурсам WSUS гораздо скромнее, но по возможности следует развернуть продукт на системе рекомендуемой конфигурации или более мощной.

Процедура установки WSUS сравнительно проста и управляется мастером. Запустив мастер с помощью файла установки и подтвердив согласие с условиями лицензионного соглашения, следует выбрать место хранения обновлений. По умолчанию выбирается каталог C:WSUS; программа установки создает в выбранном каталоге папку с именем WSUSContent. Необходимо убедиться, что выбранный каталог находится на томе NTFS и там достаточно свободного места для хранения загружаемых обновлений.

На следующем экране мастера появляется приглашение указать подробные сведения о базе данных, в которой будет храниться информация об обновлениях и клиентах. Если WSUS устанавливается на системе Windows 2003, то по выбору пользователя мастер может установить на сервере базу данных WMSDE (стандартный вариант) или другой экземпляр базы данных. По умолчанию WMSDE размещается в C:WSUS; процедура установки создает подпапку с именем MSSQL$WSUS (такое имя носит экземпляр WMSDE). Если WSUS устанавливается на системе Windows 2000 Server, то необходимо выбрать экземпляр WMSDE или SQL Server, уже работающий на данном компьютере, установив флажок Use an existing database server on this computer и выбрав экземпляр базы данных. При желании можно установить WSUS в конфигурации внешний/внутренний (frontend/back-end) серверы, в которой SQL Server-совместимая база данных устанавливается на другом сервере. В руководстве по развертыванию WSUS описана процедура установки конфигурации типа внешний/внутренний и указаны особенности ее применения. Затем мастер просит выбрать Web-узел для использования в качестве административного инструмента WSUS- и Web-службы. WSUS можно запускать на выбираемом по умолчанию Web-узле или создать новый Web-узел WSUS, прослушивающий альтернативный порт. Рекомендуется запускать WSUS на специализированном сервере и использовать стандартный Web-узел, так как служба Automatic Updates на клиентах WSUS не обновляется самостоятельно, если WSUS прослушивает порт, отличный от 80 порта TCP (HTTP).

WSUS-серверы можно разместить в соответствии с централизованной топологией управления. Реплицированные серверы наследуют или зеркально отражают конфигурацию центрального сервера WSUS. Построить серверы-реплики можно только в процессе установки WSUS. На следующем этапе мастер установки позволяет указать центральный сервер, параметры которого будут наследовать серверы-реплики.

После выбора параметров развертывания и прежде чем приступить к процессу установки и настройки, WSUS выводит итоговый экран. После завершения установки можно запустить административную Web-страницу (экран 1), выбрав пункты All Programs, Administrative Programs, Microsoft Windows Server Update Services из меню Start.

Экран 1. Просмотр административной Web-страницы WSUS

Настройка конфигурации WSUS

Теперь все готово для того, чтобы настроить WSUS-сервер на получение программных обновлений. Для начала следует щелкнуть на пиктограмме Options в правом верхнем углу административной Web-страницы и выбрать Synchronization Options. Если конфигурация WSUS еще не настроена, то при первой попытке синхронизировать WSUS для получения программных обновлений (щелчком на ссылке Get started by synchronizing your server в разделе To Do List) на экране появится страница настройки Synchronization Options. Прежде чем щелкнуть на пиктограмме Synchronize now в разделе Tasks, необходимо убедиться в корректности настроек WSUS-сервера. Первый настраиваемый параметр — расписание синхронизации. Следует настроить WSUS на автоматическое получение обновлений один раз в день или назначить ручную синхронизацию (т. е. WSUS-сервер должен синхронизироваться администратором по мере необходимости).

Затем нужно выбрать продукты, для которых требуется загружать критические исправления и категории обновлений. По умолчанию WSUS-сервер загружает важнейшие обновления и исправления для системы безопасности для всех продуктов Windows. Администратор может изменить продукты и типы обновлений, получаемые WSUS, щелкнув на соответствующей кнопке Change. По щелчку на кнопке Change в разделе Products на экране появляется диалоговое окно, в котором можно выбрать продукты, для которых нужно получать обновления. В результате щелчка на кнопке Change в разделе Update classifications на экране появляется аналогичное диалоговое окно со списком типов обновлений, которые можно загрузить. Число выбранных типов не ограничивается; WSUS получит эти типы, но не обязательно автоматически распространяет их среди клиентов. Список продуктов и категорий обновлений для WSUS загружается из узла Microsoft Update при каждом сеансе синхронизации.

Экран 2. Выбор дополнительных параметров синхронизации

Затем следует прокрутить вниз страницу Synchronization Options (экран 2) и ввести данные proxy-сервера. Если на proxy-сервере реализован выходной фильтр или брандмауэр, то нужно настроить его так, чтобы WSUS мог установить соединение с необходимыми Web-узлами. Затем следует указать узел, из которого WSUS будет получать обновления. По умолчанию это сайт Microsoft Update. Однако благодаря мощной функции WSUS можно построить иерархию серверов, чтобы нижестоящие серверы получали обновления от вышестоящих. С помощью такой конфигурации можно уменьшить нагрузку на Internet-соединение и зависимость от него. Как правило, корневой WSUS-сервер настраивается на получение всех обновлений для всех продуктов в организации, а серверы второго уровня — на доставку только обновлений, необходимых для клиентов и нижестоящих серверов. Иерархия WSUS-серверов отличается от централизованной топологии управления, в которой были созданы серверы-реплики, поскольку управлять нижестоящими WSUS-серверами можно независимо от вышестоящих, от которых поступают обновления.

И наконец, на странице Synchronization Options следует щелкнуть на кнопке Update Files and Languages Advanced, чтобы выбрать файлы обновления, доставляемые в ходе синхронизации, и языки, для которых будут загружены обновления. Еще одна мощная функция WSUS — возможность загружать только информацию об обновлениях, но не сами обновления, перед тем как принимать решение об их развертывании у клиентов. С помощью данной функции можно просмотреть имеющиеся обновления и выбрать полезные для клиентов. Кроме того, можно загрузить файлы экспресс-установки, чтобы ускорить обслуживание. После настройки WSUS можно вручную запустить синхронизацию, щелкнув на пиктограмме Synchronize now в панели Tasks. Чтобы по окончании синхронизации получить детальные статистические данные, в том числе список загруженных обновлений (экран 3), следует щелкнуть кнопку Last synchronization result на административной домашней странице.

Экран 3. Статистика синхронизации

Настройка клиентов WSUS

Следующий шаг после завершения установки, настройки и проверки работоспособности WSUS — настроить на подключение к WSUS и сгруппировать клиентские системы. Клиентом WSUS может быть любая клиентская система, работающая с WSUS-совместимым продуктом Microsoft. Список совместимых операционных систем и серверов можно получить, щелкнув на пиктограмме Options на административной домашней странице WSUS, выбрав пункт Synchronization Options и щелкнув на кнопке Products Change.

Как и в SMS 2003, на каждом клиенте WSUS должен быть размещен агент. В отличие от SMS 2003, WSUS нельзя настроить на автоматическую загрузку агентов на клиентские компьютеры. Но хорошо, что агент представляет собой знакомую агентскую программу Automatic Updates, которая входит в состав Windows XP и не отличается от агента, поставляемого вместе с Windows 2000 как часть SUS. За исключением агента для XP, Automatic Updates может загружать из сети и устанавливать собственную модернизированную версию через WSUS. Владельцы версии XP, выпущенной до пакета SP1, или клиентов Windows 2000 без установленного агента Automatic Updates могут загрузить клиента Automatic Updates из узла с адресом http://www.microsoft.com/windows2000/ downloads/recommended/susclient/default.asp. Данная версия подготовлена для распространения в корпоративной среде. Более подробно о развертывании Automatic Updates рассказано в документе Software Update Services Deployment White Paper, который можно найти по адресу http://www.microsoft.com/windowsserversystem/ sus/susdeployment.mspx. Агент Automatic Updates для отдельных клиентских систем может быть загружен через службу Windows Update.

Клиент Automatic Updates можно настроить на подключение к WSUS одним из двух способов. Если клиенты являются членами леса Active Directory (AD), то Automatic Updates можно настроить на соединение с WSUS с использованием объектов GPO (Group Policy Object). Если клиенты не входят в лес, то их можно настроить индивидуально с помощью оснастки Local Security Policy консоли Microsoft Management Console (MMC). В редакторе Group Policy Editor (GPE) или Local Security Policy следует перейти в раздел Computer Configuration, Administrative Templates, Windows Components и щелкнуть на Windows Update. Как минимум, необходимо установить параметры Configure Automatic Updates и Specify intranet Microsoft update service location. Первый параметр указывает Automatic Updates способ обработки обновлений (по умолчанию автоматически загружать обновления и извещать администратора об их готовности к установке). Второй параметр содержит URL для WSUS и серверов статистики, на которые клиент Automatic Updates отправляет отчеты (для обоих нужно использовать общий адрес URL).

После того как клиенты будут настроены на использование WSUS-сервера, следует организовать их в группы на сервере. Группы используются для применения исправлений к наборам клиентов. Две встроенные группы формируются в процессе установки WSUS: All Computers и Unassigned Computers. Если все клиенты WSUS настроены одинаково, то не обязательно организовывать дополнительные группы; можно одобрить обновления для одной из двух стандартных групп. Группы формируются щелчком на пиктограмме Computers и затем на значке Create a computer group в панели Tasks. Компьютеры можно вручную перемещать в группы на сервере, выбирая из списка Unassigned Computers, щелкая на пиктограмме Move the selected computer в панели Tasks и выбирая целевую группу из раскрывающегося списка. Альтернативный вариант — назначить имя группе клиентов с помощью объекта GPO или политики Local Security Policy; этот метод называется целеуказанием на клиентской стороне (client-side targeting). Он особенно полезен, если настольные компьютеры и серверы распределены по организационным единицам (OU) по функциональности или конфигурации, а для настройки компьютеров в OU используются GPO. Достаточно указать в параметре Enable client-side targeting объекта GPO имя группы, членами которой должны быть компьютеры, подпадающие под действие GPO. Для активизации клиентского целеуказания на сервере WSUS нужно щелкнуть на пиктограмме Options на административной Web-странице, щелкнуть на Client Computer Options и выбрать параметр Use Group Policy or registry settings on client computers. Необходимо также сформировать группы, членами которых будут клиенты. Можно настроить и дополнительные клиенты с помощью объектов GPO или Local Security Policy, в результате чего повышается гибкость функционирования Automatic Updates.

Администратор может получить информацию об обновлениях, которые были инсталлированы и не инсталлированы на клиентах, о неприменимых исправлениях, а также базовую информацию о каждом клиенте, например об аппаратной конфигурации и времени последнего обращения клиента Automatic Updates к серверу WSUS. Для этого достаточно щелкнуть на пиктограмме Computers на административной Web-странице и выбрать клиента, информацию о котором необходимо вывести на экран.

Утверждение обновлений для групп

Обновления, полученные из Windows Update или вышестоящего сервера WSUS, не пересылаются в клиенты автоматически. Прежде чем передать обновление, администратор WSUS должен утвердить его для обнаружения и дистрибуции. По умолчанию только критические исправления и исправления для системы безопасности утверждаются для обнаружения на клиентах во встроенной группе All Computers, а обновления автоматически утверждаются для дистрибуции. Администратор может изменить способ автоматического обнаружения и утверждения обновлений и указать соответствующие группы клиентов. Для этого следует щелкнуть на пиктограмме Options, а затем на Automatic Approval Options; в результате на дисплее будет отображена страница, подобная показанной на экране 4.

Экран 4. Настройка WSUS для автоматического обнаружения и утверждения обновлений

Процедуры для обновлений, обнаружение и дистрибуция которых не утверждены автоматически, настраиваются вручную. Для этого необходимо щелкнуть на пиктограмме Updates, после чего на дисплее появляется окно, аналогичное показанному на экране 5. Каждое обновление, загруженное в сервер WSUS, заносится в список вместе с исчерпывающей информацией о нем: подлежит ли обновление автоматическому обнаружению и утверждению; если режим автоматического обнаружения или утверждения активизирован, то указываются компьютеры (объединенные в группы), которые нуждаются в обновлении или уже располагают им. Администратор вручную настраивает обновление для обнаружения или утверждает его, выбирая из списка и щелкая на пиктограмме Change approval в списке Tasks. В результате на экране появляется диалоговое окно, в котором можно утвердить обновление. Возможные варианты — Detection (обнаружение), Install (установить) и Not approved (не утверждено). Если решено установить обновление, то можно назначить даты и временной порог установки, щелкнув на ссылке рядом с Deadline. По умолчанию временной порог отсутствует, и пользователи с административными полномочиями на клиентских компьютерах могут назначить время установки. Иногда очередность применения обновлений нарушается. В этом случае можно запретить применение предыдущих обновлений (если это еще не сделано), установив флажок Decline all updates superseded by the selected updates.

Экран 5. Ручное обнаружение и утверждение обновлений

Если установка на клиентах одобрена, то обновления разворачиваются в следующем сеансе связи Automatic Updates с сервером WSUS. Если только информация об обновлении загружена на сервер WSUS, то сервер загрузит обновление целиком с Microsoft Update или вышестоящего WSUS-сервера и будет готов передать его клиентам.

С помощью WSUS обновления можно удалять. Эта функция позволяет отменить модернизацию, которая приводит к неполадкам в имеющихся приложениях или конфликтует с другими исправлениями. Чтобы удалить обновление, следует выбрать его из списка, щелкнуть на пиктограмме Change approval в списке Tasks и выбрать пункт Remove из раскрывающегося списка в диалоговом окне.

Подготовка отчетов с помощью WSUS

С помощью WSUS можно генерировать отчеты трех типов, щелкая на пиктограмме Reports в административной странице WSUS. Первый отчет — Status of Updates, в котором перечислены исправления, загруженные в сервер WSUS, независимо от того, обозначены ли они как обязательные для клиентов и были ли они установлены. Второй отчет, Synchronization Results, содержит детали последней синхронизации, выполненной сервером WSUS через Windows Update или вышестоящий WSUS-сервер. Третий отчет — Settings Summary, в котором приводится список параметров для сервера WSUS.

Обслуживание удаленных и мобильных клиентов

Задача модернизации удаленных и мобильных клиентов создает дополнительные трудности для организаций любых размеров. Как правило, такие клиенты подключаются к сети через коммутируемое или VPN-соединение в течение различных периодов времени, часто по медленным каналам и недостаточно долго, чтобы установить контакт с WSUS и загрузить утвержденные обновления. WSUS позволяет передавать клиентам информацию об утвержденных обновлениях, а затем направлять их на сайт Microsoft Update для загрузки обновлений. Чтобы настроить клиентский компьютер на этот режим, следует щелкнуть на кнопке Update Files and Languages Advanced и выбрать пункт Store update files on Microsoft Update. К сожалению, этот параметр нельзя применить к отдельным группам; он воздействует на все группы WSUS-сервера и любых подключенных к нему клиентов. Если администратор предприятия планирует использовать эту функцию, то необходимо выделить особый WSUS-сервер для обслуживания удаленных и мобильных клиентов.

Следующие шаги

Перед развертыванием WSUS в производственной среде необходимо тщательно спланировать процедуру установки WSUS. В первую очередь необходимо идентифицировать машины, которые будут клиентами WSUS, и сгруппировать их по категориям. На данном этапе полезно организовать AD и собрать клиентские системы в OU, чтобы подготовиться к использованию GPO для назначения параметров Automatic Updates. Если принято решение построить иерархию WSUS-серверов, необходимо определить, какие нижестоящие серверы будут распределять конкретные обновления по различным группам клиентов. Вышестоящим серверам следует получить обновления, распространяемые нижестоящими серверами, даже если сами они не передают эти обновления клиентам. После того как инфраструктура WSUS будет построена и созданы группы, можно приступать к настройке Automatic Updates на клиентах для подключения к WSUS-серверам. По возможности следует использовать целеуказание на клиентской стороне; в противном случае необходимо вручную распределить компьютеры по группам на сервере WSUS. Рекомендуется тщательно протестировать все обновления перед дистрибуцией. Полезно сформировать тестовые или пилотные группы и настроить WSUS на автоматическую доставку программных исправлений. Если неполадок не возникает, то по истечении установленного периода времени можно расширить область доставки. Начав работать с WSUS, вы, скорее всего, обнаружите, что задача развертывания исправлений заметно упростилась.


Джон Хоуи - Менеджер центра Microsoft Security Center of Excellence. Имеет сертификаты CISSP, CISM и CISA. jhowie@microsoft.com