Protejarea computerelor client cu sus

Un instrument excelent gratuit pentru administrarea și implementarea centralizată a patch-urilor critice.

Cu toate acestea, în timp ce amintirile lui Blaster sunt încă proaspete în memoria manualului dvs., puteți efectua lucrările pregătitoare pentru a simplifica aplicarea corecțiilor la erori care vor fi detectate ulterior. Microsoft Software Update Services (SUS) este un instrument gratuit care vă permite să administrați centralizat patch-uri și alte programe de corecție pentru sistemul de operare pe computerele client și pe serverele Windows. Pentru cei care sunt responsabili pentru menținerea stabilității și securității sistemelor client Windows, SUS oferă cel puțin două avantaje. În primul rând, nu mai trebuie să verificați site-ul web Microsoft Security Confidențialitatea și descărcarea manuală a patch-urilor, apoi instalarea lor pe sistemele lor. În al doilea rând, în loc de o implementare neregulată și selectivă a patch-urilor de către utilizatori individuali de pe site-ul Windows Update, puteți efectua o descărcare și monitoriza când și pe ce mașini sunt instalate fișierele fixe.

Configurarea serverelor SUS

După descărcarea programului SUS Server, trebuie să îl instalați pe un sistem care acționează ca server principal SUS în mediul local. Pentru a vă asigura că computerul din care este distribuit patch-ul de securitate este el însuși securizat, în timpul instalării serverului SUS, expertul de blocare IIS și instrumentul de securitate urlscan vor fi instalate și rulează pe acesta, dacă acestea nu au fost deja pornite.

Serverul principal SUS va primi patch-uri de pe site-ul public Windows Update. Dacă dimensiunea sau topologia unui anumit mediu vă permite să aveți servere SUS suplimentare, le puteți configura pentru a primi actualizări de pe un site Windows Update, de la un alt server SUS sau de la un punct de distribuție actualizat manual. Pentru mai multe informații despre opțiunile de configurare a părții de server, consultați documentul "Software Update Services Services White Paper". Pentru ca serverele SUS să primească în mod continuu toate setările noi de securitate necesare, configurați-le astfel încât să acționeze ca clienți pentru ei înșiși.


Figura 1. Pagina serverului Software Update Services.

Partea clientului

avantaj important client Actualizări automate constă în faptul că se descarcă actualizarea folosind serviciul Background Intelligent serviciu de transfer (BITS) și capacitatea de a instala în mod constant remedieri rapide. BITS utilizează numai porțiunea liberă a lățimii de bandă și limitează lățimea de bandă pe care procesul de descărcare o ia atunci când alte acțiuni sunt efectuate în rețea. Instalarea succesivă a actualizărilor anulează solicitarea de repornire până când este instalat un set specificat de patch-uri și apoi este efectuat un singur repornire.

Comportamentul clienților

După instalarea clienților corespunzători actualizărilor automate, aveți mai multe opțiuni pentru a configura setările care determină comportamentul acestora. Folosirea politicii de grup este abordarea cea mai preferată pentru configurarea clienților, însă puteți edita direct setările de registry sau utilizați politica de sistem Windows NT 4.0.

Pentru a utiliza politica de grup atunci când configurați clienții, trebuie să descărcați fișierul ADM pentru Service Pack 1.0 Service Pack 1 pentru Politica de grup Service Pack 1. Veți găsi un link la acest șablon făcând clic pe Software Update Services cu Service Pack 1 Now Available disponibil pe pagina principală SUS. Noul șablon ar trebui să fie copiat în directorul% windir% inf din controlerul de domeniu Active Directory (AD). Pentru a instala șablonul, porniți Consola de administrare Microsoft (MMC), adăugați modulul snap-in pentru politica de grup, faceți clic cu butonul din dreapta pe Șabloane de administrare din secțiunea Setări computer și selectați Adăugare / eliminare șabloane. Apoi selectați wuau.adm și faceți clic pe Add (Adăugare).


Figura 2. Politici încorporate pentru configurarea comportamentului sistemelor client în lucrul centralizat cu patch-uri

După ce ați adăugat șablonul, accesați Configurare computer Șabloane administrativeWindows Update. Cele patru politici prezentate în (Figura 2) ar trebui să fie vizibile. Politica Configurați actualizările automate vă permite să monitorizați comportamentul procesului de instalare a patch-urilor. Politica conține opțiuni de la notificare pentru descărcare și notificare pentru instalare (versiunea 2) pentru a descărca automat și pentru a programa instalarea (versiunea 4). Dacă selectați opțiunea 4, trebuie să specificați o programare pentru instalarea patch-urilor. Politică Specificați intranet Locația serviciului de actualizare Microsoft vă permite să identificați serverele de la care clienții copiază patch-uri și servere la care clienții trimit rapoarte cu statistici despre procesul de instalare. Ambele setări pot indica același server. Politica de instalări planificate pentru Actualizări automate vă permite să setați programul pentru reinstalarea patch-urilor ratate. De exemplu, dacă ați setat valoarea la 30, instalarea oricăror patch-uri programate care au fost ignorate mai devreme va începe la 30 de minute după următoarea pornire de sistem.

Ultima politică, Fără reinițializare automată pentru instalările programate pentru Actualizări automate. Acesta oferă posibilitatea de a gestiona procesele de repornire atunci când patch-urile necesită o repornire după ce au fost instalate. Activarea acestei setări permite utilizatorului să aleagă când să repornească sistemul. Dacă setarea este dezactivată sau nu este efectuată, Actualizările automate avertizează utilizatorul conectat că sistemul va fi repornit în 5 minute. Dacă nu puteți utiliza Politica de grup pentru a configura clientul, găsiți documentul „Software Update Services Implementare Cartea albă“ informații privind utilizarea intrărilor de registry pentru a configura clienții.

Descărcați, confirmați selecția și implementați actualizări

Imediat ce se încheie sincronizarea inițială a conținutului serverului SUS, pagina de administrator va afișa lista de patch-uri descărcate. Pentru a confirma selectarea patch-urilor pentru o instalare ulterioară, pur și simplu selectați caseta de selectare de lângă fiecare remediere selectată și faceți clic pe Aprobați. Microsoft de multe ori eliberează noi versiuni ale remedierilor lansate anterior. Pentru a automatiza gestiunea ulterioară a noilor versiuni, faceți clic pe Setare opțiuni în panoul din stânga al paginii de administrator și apoi selectați Autori aprobarea noilor versiuni ale actualizărilor aprobate anterior. Testarea preliminară a plasturilor într-un mediu de testare este, desigur, un pas important, totuși, alegerea criteriilor de selecție și metode de testare depășește domeniul de aplicare al acestui articol.

Urmați lansarea

După cum sa menționat deja, clienții Actualizări automate pot trimite rapoarte despre patch-urile instalate pe unul dintre serverele interne. Acest lucru este realizat prin utilizarea Microsoft IIS jurnalele care sunt stocate în numele subdirectoare W3SVCx în directorul% windir% system32logfiles. Prin modificarea opțiunilor de generare a jurnalelor IIS, puteți filtra jurnalele pentru a evita un exces de date, astfel încât să vă concentrați doar asupra datelor SUS.

Pentru aceasta, deschideți modulul snap-in Management MMC Computer și navigați la Servicii și aplicații, Internet Information Services. În panoul din dreapta, faceți clic dreapta pe site-ul Web implicit și selectați Proprietăți. Faceți clic pe fila Home Directory, debifați vizitele Jurnal. apoi faceți clic pe OK. În panoul din stânga, faceți clic pe pictograma Implicit Web site, apoi faceți clic dreapta pe fișierul wutrack.bin din panoul din dreapta. Selectați Proprietăți, faceți clic pe fila Fișier și bifați caseta de validare Jurnal jurnal. Fișierele jurnal IIS configurate în acest mod vor scrie numai mesaje generate de clienții Actualizări automate.

Gestionare pur automatizată

SUS este pe deplin compatibil cu scopul pentru care a fost proiectat să ofere o gestionare automată simplă a patch-urilor pentru sistemul de operare. Însă nu sunt acceptate în prezent soluții pentru drivere de dispozitiv, service pack, patch-uri pentru aplicații și alte servere.

Articole similare