Pri rješavanju sigurnosnih problema računalnih sustava mora se voditi računa o čitavom nizu problema, a jedan od njih je pravovremeno ažuriranje operativnih sustava i softvera.
Uvod
Kako bi operativni sustavi i softver informacijskog sustava tvrtke bili ažurni, potrebno ih je redovito ažurirati. Ove radnje mogu se izvršiti sa stranice Microsoft Update na svakom klijentskom računalu ili korištenjem poslužitelja(a) Windows Server Update Services (WSUS). Ako govorimo o korporativnoj mreži, onda je preporučena opcija korištenje WSUS poslužitelja. Radom s navedenom uslugom postiže se značajno smanjenje internetskog prometa te je moguće centralno upravljati procesom postavljanja sustavnih i softverskih zakrpa dobivenih od Microsofta.
Dodatno bih želio napomenuti da je 23. ožujka 2011. Microsoft najavio izlazak novog proizvoda "Windows Intune", čija će jedna od funkcija biti obavljanje onih zadataka za koje je prije bio zadužen WSUS.
Da biste mogli nadograditi klijentska računala, morate:
1. Dizajnirajte rješenje
2. Postavite WSUS poslužitelj/poslužitelje;
3. Osigurati redovitu sinkronizaciju WSUS poslužitelja s resursom Microsoft Update;
4. Konfigurirajte parametre WSUS poslužitelja/poslužitelja;
5. Kreirajte ciljne grupe i postavite klijentska računala u ciljne grupe na WSUS poslužitelju.
6. Konfigurirajte klijente za korištenje WSUS poslužitelja;
7. Osigurajte sigurnost WSUS poslužitelja/poslužitelja.
U ovom članku ne razmatramo faze dizajna i implementacije, sinkronizacije, usredotočit ćemo se na konfiguraciju klijenata i osiguranje WSUS poslužitelja.
Konfiguriranje klijenata poslužitelja ažuriranja bez korištenja pravila grupe
Postoje tri načina za konfiguriranje klijenata za korištenje WSUS poslužitelja:
Najbolji način je korištenje GPO-ova, pogledajte sl. 1 preslikan na potrebni AD (za Windows 2003) ili AD DS (za Windows 2008) spremnik, ali ova je opcija dostupna samo ako vaša organizacija ima implementiran Active Directory. Mogućnosti grupnih pravila za konfiguriranje interakcije s poslužiteljem za upravljanje i za upravljanje postupcima ažuriranja klijenta u potpunosti zadovoljavaju potrebe administratora. Ono što možemo provjeriti gledajući sl. 1. Popis dostupnih postavki prilično je širok.
Riža. 1. Postavke WSUS klijenta.
Ako imenička usluga nije raspoređena u organizaciji, tada možete implementirati mogućnost interakcije klijenta s WSUS-om putem lokalnih pravila ili "izravnim" izmjenama u registru sustava radne stanice ili poslužitelja, čije stanje mi želite biti u toku. U biti, pravilo nije ništa više od sučelja za registar.
Postoji niz okolnosti u kojima radne stanice i poslužitelji nisu AD klijenti, kao što su:
· Korištenje imeničkih usluga treće strane, međutim, rješenja temeljena na Microsoft operativnim sustavima koriste se kao poslužitelji aplikacija, poslužitelji datoteka, klijentske radne stanice;
· Potreba za izgradnjom zone "gost" za omogućavanje pristupa Internetu "vanjskim" korisnicima;
· Nedovoljna "zrelost" tvrtke, zbog koje centralizirana imenička služba nije implementirana, ili nepostojanje potrebe za ovom uslugom.
1. Potrebno je postaviti uslugu ažuriranja na intranet i poslužitelj statistike, te raspodijeliti klijente u grupe.
U ključu registra
morat ćete navesti adresu ili naziv poslužitelja za ažuriranje na koji će se klijent spojiti i broj porta koji je odabran za rad s WSUS poslužiteljem. Zadani je priključak 80.
"WUStatusServer"=http://192.168.1.100
Budući da je potrebno klijentska računala smjestiti u ciljne skupine, moramo odrediti u koju od ciljnih skupina računalo treba smjestiti:
"TargetGroupEnabled"=dword:00000001
U našoj verziji, ciljna skupina se zove "WSUS-Test-WKS". Za klijente čiji će naziv ciljne skupine biti drugačiji, ovo polje je postavljeno na drugu vrijednost. Parametar TargetGroupEnabled u ovom slučaju osigurava kontrolu postavljanja grupe na strani klijenta.
Da biste to učinili, u ključu registra
"TargetGroup"="WSUS-Test-WKS"
"TargetGroupEnabled"=dword:00000001
"WUServer"="http://192.168.1.100"
"WUStatusServer"="http://192.168.1.100"
"NoAutoUpdate"=dword:00000000
"AUOpcije"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000009
"UseWUServer"=dword:00000001
"RescheduleWaitTime"=dword:00000001
" NoAutoRebootWithLoggedOnUsers"=dword:00000000
Osiguravanjem da je navedena datoteka isporučena i izvršena, možemo konfigurirati klijente WSUS poslužitelja bez pribjegavanja grupnim pravilima. Opis svih varijabli registra koje se mogu koristiti za rad s poslužiteljem za ažuriranje i njihove moguće vrijednosti dani su u Vodiču za implementaciju Windows Server Update Services 3.0 SP2.
Kako biste osigurali sigurnost samog poslužitelja za ažuriranje, ima smisla slijediti nekoliko jednostavnih preporuka:
1. Ako trebamo osigurati sigurnu razmjenu informacija između klijenata i poslužitelja i/ili između WSUS poslužitelja, tada je moguće koristiti SSL protokol. Pogledajte "Osiguranje WSUS-a slojem sigurnih utičnica" u Vodiču za implementaciju usluga ažuriranja sustava Windows Server (). U nedostatku mrežne razmjene između poslužitelja, prijenos podataka je osiguran pomoću vanjskog medija. Alternativna metoda zaštite, ako je nemoguće koristiti SSL, je korištenje IPsec protokola. Pogledajte "Pregled IPsec implementacije" http://go.microsoft.com/fwlink/?LinkId=45154.
2. WSUS poslužitelj koji se sinkronizira s Microsoft Updateom trebao bi biti postavljen iza vatrozida i ograničen na hostove kojima je stvarno potreban. Pogledajte "Konfigurirajte vatrozid" u Vodiču za implementaciju usluga Windows Server Update Services (http://go.microsoft.com/fwlink/?LinkId=79983).
3. Što se tiče pristupa datoteci, ne biste trebali davati pretjerana dopuštenja za resurse, opis zahtjeva za pravima pristupa dan je u odjeljku "Prije nego počnete" u Vodiču za implementaciju usluga ažuriranja sustava Windows Server (http://go.microsoft.com /fwlink/ ?LinkId=79983).
4. Ako server za ažuriranje ima pristup Internetu (u nekim slučajevima to možda nije slučaj, na primjer, sinkronizacija se izvodi s drugim WSUS poslužiteljem koji ima tu mogućnost), tada je preporučljivo smjestiti njegovu bazu podataka na drugo računalo, koje ne može pristupiti izvana. Pogledajte "Dodatak B: Konfiguriranje udaljenog SQL-a" u Vodiču za implementaciju usluga Windows Server Update Services (http://go.microsoft.com/fwlink/?LinkId=79983).
5. Za upravljanje WSUS poslužiteljem, mudro je koristiti ugrađenu WSUS Administratorsku grupu koja će biti kreirana tijekom postavljanja.
Leonid Šapiro.
Bibliografija.
Anita Taylor Vodič za implementaciju Windows Server Update Services 3.0 SP2.
Anita Taylor Operativni vodič za Windows Server Update Services 3.0 SP2
[i]DMZ- demilitariziranizona
Ovdje nije sve pokriveno, već samo osnovne opcije konfiguracije WSUS klijenta.
Put do željenih poslužitelja možete odrediti ili pomoću adrese, što je učinjeno u gornjem primjeru, ili pomoću naziva poslužitelja, uz mogućnost razlučivanja naziva poslužitelja u njegovu IP adresu.
Ovo je apstraktni naziv ispitne grupe.
Pozdrav svima danas, još jedna napomena za sebe, naime popis poslužitelja Windows Update. Zašto ovo može biti korisno, na primjer, ako dobijete pogrešku Update not found kada instalirate WSUS ulogu, ili obrnuto, iz nekog razloga ih želite zabraniti, da uštedite promet ako nemate WSUS, jer nisu svi Windowsi ažuriranja su dobra, a posebno u modernim verzijama, mislim da nema smisla podsjećati na pogrešku, iako se ovaj popis može nastaviti jako dugo. Razlog nije važan, glavna stvar je znati što je to i kako s njim raditi. U nastavku ću vam pokazati metode za zabranu adresa poslužitelja za ažuriranje Microsofta, univerzalne, prikladne za jedno računalo i za centralizirano upravljanje unutar poduzeća.
Ovdje je snimak zaslona pogreške ako nemate dostupnu adresu poslužitelja za ažuriranje Microsofta. Kao što vidite, pogreška nije vrlo informativna. Dobivam ga na poslužitelju koji nosi WSUS ulogu, tko se ne sjeća što je to, onda je ovo lokalni centar za ažuriranje za poduzeća radi uštede prometa, a ovdje ažuriranja za Windows nisu instalirana zbog nedostupnosti Microsoftovih poslužitelja.
S razvojem Interneta, stalno ažuriranje operativnog sustava postalo je uobičajeno. Sada programeri mogu popraviti i poboljšati sustav tijekom cijelog razdoblja njegove podrške. Ali česta ažuriranja sustava Windows 10 nisu uvijek zgodna. Zato bi bilo lijepo da ih možete isključiti.
Razlozi mogu biti vrlo različiti, a samo vi možete odlučiti koliko trebate onemogućiti ažuriranja. Istodobno, treba imati na umu da se važni popravci za ranjivosti sustava isporučuju zajedno s poboljšanjima određenih značajki. Pa ipak, situacije u kojima bi se samoažuriranja trebala onemogućiti javljaju se vrlo često:
Postoji mnogo načina za isključivanje ažuriranja sustava Windows 10. Neki od njih su prilično jednostavni za korisnika, drugi su teži, a treći zahtijevaju instalaciju programa trećih strana.
Upotreba centra za ažuriranje za onemogućavanje nije najbolja opcija, iako ga programeri iz Microsofta nude kao službeno rješenje. Doista možete isključiti automatsko preuzimanje ažuriranja putem njihovih postavki. Problem je u tome što će ovo rješenje nekako biti privremeno. Izdanje velikog ažuriranja sustava Windows 10 promijenit će ovu postavku i vratiti ažuriranja sustava. Ali svejedno ćemo proučiti postupak gašenja:
Nakon ovih promjena, manja ažuriranja više se neće instalirati. Ali ovo vam rješenje neće pomoći da se zauvijek riješite preuzimanja ažuriranja.
Objavljeno 18. veljače 2009. bez komentaraU ovom ću vam članku reći o nekim ključevima registra koji su povezani s Windows Updateom. Pokazat ću vam razne opcije koje ti ključevi registra mogu prihvatiti.
Ako ste propustili drugi dio ovog članka, pročitajte
Iako su i Windows Update i WSUS općenito prilično jednostavni za postavljanje, ponekad možete dobiti veću kontrolu unosom nekih promjena u Windows Registry. U ovom članku ću vam pokazati neke ključeve registra koji se odnose na Windows Update. Pokazat ću vam razne opcije koje ti ključevi registra mogu prihvatiti.
Početi
Prvo ću razveseliti odvjetnike i upozoriti ih da izmjene u registru mogu biti vrlo opasne. Neispravni unosi u registar mogu rezultirati uništenjem Windowsa i/ili svih pokrenutih aplikacija na računalu. Prije nego pokušate unijeti promjene u registar, morate napraviti potpunu sigurnosnu kopiju sustava, spreman sam vam pokazati kako se to radi.
Ima još jednu stvar koju ti moram reći. Podešavanje o kojem vam želim reći odnosi se samo na računala sa sustavom Windows XP. Možete izravno napraviti promjene za određene strojeve ili ih možete primijeniti kao dio skripte za prijavu. Također, neke od tipki koje ću pokriti možda ne postoje prema zadanim postavkama. Ako želite koristiti ključ koji ne postoji, prvo ga morate izraditi. Također biste trebali biti svjesni da se ponašanje Windows Updatea može kontrolirati korištenjem pravila grupe. Grupna pravila ponekad mogu modificirati ključeve registra da slijede ponašanje koje određuju.
Privilege Elevation
Jedan problem s dobivanjem ažuriranja s WSUS poslužitelja je taj što korisnici ne mogu odobriti ili odbiti ažuriranja osim ako nisu članovi lokalne administratorske grupe. Međutim, možete koristiti registar za podizanje korisničkih povlastica tako da mogu instalirati ili odbiti instalirati promjene, bez obzira jesu li članovi lokalne administratorske grupe ili ne. S druge strane, također možete spriječiti korisnike da instaliraju ažuriranja i to pravo prepustiti administratoru (Admin).
Ključ registra odgovoran za ovo: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins
Ključ ElevateNonAdmins ima dvije moguće vrijednosti. Zadana vrijednost 1 omogućuje korisnicima koji nisu administratori da instaliraju ažuriranja. Ako ovu vrijednost promijenite na 0, samo će administratori moći instalirati ažuriranja.
Ciljane skupine
Jedna od sjajnih stvari o WSUS-u je ta što vam omogućuje korištenje ciljanja na strani klijenta. Ideja s pozicioniranjem na strani klijenta je da možete definirati različite grupe računala i distribuirati prava za instaliranje ažuriranja ovisno o članstvu u grupi. Prema zadanim postavkama, pozicioniranje na strani klijenta se ne koristi, ali ako ga odlučite koristiti, postoje dva ključa registra koji će vam u tome pomoći. Prvi od ovih ključeva uključuje ciljanje na strani klijenta, a drugi navodi naziv grupe kojoj računalo pripada. Oba ova ključa moraju biti kreirana u: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
Prvi ključ je DWORD ključ pod nazivom TargetGroupEnabled. Ovaj ključ možete postaviti na 0 da biste onemogućili ciljanje na strani klijenta ili na 1 da biste omogućili ciljanje na strani klijenta.
Drugi ključ koji morate stvoriti treba se zvati TargetGroup i imati vrijednost niza. Vrijednost ovog ključa mora biti naziv grupe kojoj računalo treba biti dodijeljeno.
Instaliranje WSUS poslužitelja
Ako ste se neko vrijeme bavili webom, vjerojatno znate da se web dizajn s vremenom mijenja. Stvari kao što su rast tvrtke, novi sigurnosni zahtjevi i korporativna ograničenja često su u pozadini mrežnih promjena. Što je s ažuriranjima sustava Windows? WSUS je skalabilan i može se instalirati na hijerarhijski način. To znači da organizacija može imati više instaliranih WSUS poslužitelja. Ako se računalo premjesti u drugi dio tvrtke, tada WSUS poslužitelj koji je izvorno definiran za to računalo možda više neće biti prikladan za novu lokaciju. Srećom, nekoliko jednostavnih izmjena registra može promijeniti WSUS poslužitelj s kojeg računalo prima ažuriranja.
Postoje dva ključa koji se koriste za identifikaciju WSUS poslužitelja. Svaki od njih nalazi se u: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\. Prvi ključ se zove WUServer. Ovaj ključ mora biti postavljen na tekstualnu vrijednost koja opisuje URL WSUS poslužitelja (na primjer: http://ime poslužitelja).
Drugi ključ koji trebate promijeniti je onaj koji se zove WUStatusServer. Ideja s ovim ključem je da računalo (PC) treba prijaviti svoj status WSUS poslužitelju tako da WSUS poslužitelj može znati koje su promjene instalirane na računalu. WUStatusServer ključ obično sadrži točno istu vrijednost kao WUServer ključ (na primjer: http://servername).
Agent za automatsko ažuriranje
Dakle, opisao sam kako spojiti računalo na određeni WSUS poslužitelj ili na određenu ciljnu skupinu, ali to je samo pola procesa. Windows Update koristi agenta za ažuriranje koji zapravo instalira ažuriranja. Postoji nekoliko ključeva registra koji se nalaze u HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU koji kontroliraju agenta za automatsko ažuriranje.
Prva od ovih tipki je tipka AUOptions. Ova DWORD vrijednost može se postaviti na 2, 3, 4 ili 5. Vrijednost 2 znači da bi agent trebao obavijestiti korisnika kada se ažuriranja preuzmu. Vrijednost 3 znači da će se ažuriranje automatski preuzeti i da će korisnik biti obaviješten o instalaciji. Vrijednost 4 znači da se ažuriranje treba automatski preuzeti i instalirati prema planu. Da bi ova opcija radila, također morate postaviti vrijednosti za ključeve ScheduledInstallDay i ScheduledInstallTime. Kasnije ću više govoriti o ovim ključevima. Konačno, vrijednost 5 znači da je potrebno automatsko ažuriranje, ali ga mogu konfigurirati krajnji korisnici.
Sljedeći ključ o kojem želim govoriti je ključ AutoInstallMinorUpdates. Ovaj ključ može imati vrijednost 0 ili 1. Ako je vrijednost ključa 0, tada se manja ažuriranja obrađuju na isti način kao i sva druga ažuriranja. Ako je vrijednost ključa 1, tada se manja ažuriranja tiho instaliraju u pozadini.
Drugi ključ povezan s agentom za automatsko ažuriranje je ključ DetectionFrequency. Ovaj ključ vam omogućuje da postavite koliko često agent treba provjeravati ažuriranja. Vrijednost ključa mora biti cijeli broj između 1 i 22, što predstavlja broj sati između pokušaja traženja ažuriranja.
Pridruženi ključ registra je ključ DetectionFrequencyEnabled. Kao što naziv implicira, ova tipka vam omogućuje da omogućite ili onemogućite funkciju Frekvencija otkrivanja. Ako postavite vrijednost ovog ključa na 0, tada će vrijednost ključa DetectionFrequency biti zanemarena, a ako postavite vrijednost ključa na 1, tada će agent morati koristiti vrijednost ključa DetectionFrequency.
Sljedeći ključ o kojem želim govoriti je ključ NoAutoUpdate. Ako je vrijednost ovog ključa 0, omogućeno je automatsko ažuriranje. Ako je vrijednost ključa 1, automatsko ažuriranje je onemogućeno.
Posljednji ključ registra o kojem želim govoriti je ključ NoAutoRebootWithLoggedOnUsers. Kao što vjerojatno znate, neka ažuriranja možda neće stupiti na snagu bez ponovnog pokretanja sustava. Ako korisnik radi u ovom trenutku, tada ponovno pokretanje može biti vrlo nepoželjno. Ovo je osobito istinito ako je korisnik otišao od svog stola i nije spremio svoj rad. U ovom slučaju pomoći će ključ NoAutoRebootWithLoggedOnUsers. Vrijednost ovog ključa može biti 0 ili 1. Ako je vrijednost ključa 0, korisnici će dobiti upozorenje od 5 minuta prije nego što se sustav automatski ponovno pokrene. Ako je vrijednost ključa 1, tada će korisnici jednostavno primiti poruku u kojoj se traži dopuštenje za ponovno pokretanje, ali korisnici to mogu odabrati.
Zaključak
Postoji mnogo više ključeva registra povezanih s ažuriranjem sustava Windows. O ostalima ću govoriti u drugom dijelu ovog članka.
www.windowsnetworking.com
U jednom od prošlih članaka detaljno smo opisali postupak. Nakon što ste konfigurirali poslužitelj, morate konfigurirati Windows klijente (poslužitelje i radne stanice) da koriste WSUS poslužitelj za primanje ažuriranja tako da klijenti primaju ažuriranja s internog poslužitelja za ažuriranje, a ne s poslužitelja Microsoft Update preko Interneta. U ovom ćemo članku proći kroz proces konfiguriranja klijenata za korištenje WSUS poslužitelja pomoću grupnih pravila domene Active Directory.
AD Group Policies omogućuje administratoru da automatski dodjeljuje računala različitim WSUS grupama, eliminirajući potrebu za ručnim premještanjem računala između grupa u WSUS konzoli i održavanju tih grupa ažuriranima. Dodjela klijenata različitim ciljnim skupinama WSUS-a temelji se na oznaci u registru na klijentu (oznake postavljaju pravila grupe ili izravno uređivanje registra). Ova vrsta mapiranja klijenata u WSUS grupe se zove klijentstranaciljanje(Ciljanje na strani klijenta).
Pretpostavlja se da će naša mreža koristiti dva različita pravila ažuriranja - zasebno pravilo za instaliranje ažuriranja za poslužitelje ( poslužitelji) i za radne stanice ( Radne stanice). Ove dvije grupe potrebno je kreirati u WSUS konzoli u odjeljku Sva računala.
Savjet. Pravila za klijente da koriste WSUS poslužitelj za ažuriranje uvelike ovise o organizacijskoj strukturi OU-a u Active Directory i pravilima instalacije ažuriranja u organizaciji. U ovom ćemo članku pogledati samo određenu opciju koja vam omogućuje razumijevanje osnovnih načela korištenja AD pravila za instaliranje ažuriranja sustava Windows.
Prije svega, trebate odrediti pravilo grupiranja računala u WSUS konzoli (ciljanje). Prema zadanim postavkama, u WSUS konzoli, administrator ručno raspodjeljuje računala u grupe (ciljanje na strani poslužitelja). To nam ne odgovara, pa označavamo da su računala raspoređena u grupe na temelju ciljanja na strani klijenta (po određenom ključu u registru klijenta). Da biste to učinili, u WSUS konzoli idite na odjeljak Mogućnosti i otvorite opciju računala. Promijenite vrijednost u Koristite pravila grupe ili postavke registra na računalima(Koristite pravila grupe ili postavke registra na računalima). 
Sada možete stvoriti GPO za konfiguriranje WSUS klijenata. Otvorite konzolu za upravljanje grupnim pravilima temeljenu na domeni i stvorite dva nova grupna pravila: ServerWSUSPolicy i WorkstationWSUSPolicy.
Počnimo s opisom politike poslužitelja ServerWSUSPolicy.
Postavke pravila grupe odgovorne za rad usluge Windows Update nalaze se u odjeljku GPO: RačunaloKonfiguracija -> Politike-> upravnišablone-> Windowskomponenta-> WindowsAžuriraj(Konfiguracija računala -> Administrativni predlošci -> Komponente sustava Windows -> Ažuriranje sustava Windows).
U našoj organizaciji namjeravamo koristiti ovo pravilo za instaliranje WSUS ažuriranja na Windows poslužiteljima. Očekuje se da će sva računala koja potpadaju pod ovu politiku biti dodijeljena grupi poslužitelja na WSUS konzoli. Osim toga, želimo spriječiti poslužitelje da automatski instaliraju ažuriranja kada ih prime. WSUS klijent bi trebao jednostavno preuzeti dostupna ažuriranja na disk, prikazati upozorenje za nova ažuriranja u paleti sustava i pričekati da administrator pokrene instalaciju (ručno ili daljinski putem ) kako bi započeo instalaciju. To znači da produktivni poslužitelji neće automatski instalirati ažuriranja i ponovno se pokrenuti bez potvrde administratora (obično ove radove obavlja administrator sustava kao dio planiranog mjesečnog održavanja). Da bismo implementirali takvu shemu, postavit ćemo sljedeća pravila:
Bilješka. Prilikom konfiguriranja pravila ažuriranja, savjetujemo vam da pažljivo pregledate sve postavke dostupne u svakoj od opcija u odjeljku GPO. WindowsAžuriraj i postavite odgovarajuće postavke za svoju infrastrukturu i organizaciju.
Pretpostavljamo da će se ažuriranja na klijentskim radnim stanicama, za razliku od pravila poslužitelja, automatski instalirati noću odmah nakon primanja ažuriranja. Računala bi se nakon instaliranja ažuriranja trebala automatski ponovno pokrenuti (upozorenje korisnika 5 minuta unaprijed).
U ovom GPO-u (WorkstationWSUSPolicy) navodimo:
U sustavu Windows 10 1607 i novijim, iako ste im rekli da preuzimaju ažuriranja s internog WSUS-a, oni će možda pokušati kontaktirati poslužitelje Windows Update na internetu. Ova se "osobina" zove DualSkenirati. Da biste onemogućili primanje ažuriranja s interneta, morate dodatno omogućiti pravilo ČininedopustitiAžurirajodgodapolitikedouzrokskeniraprotivWindowsAžuriraj ().
Savjet. Kako bi se poboljšala "razina krpanja" računala u organizaciji, obje se politike mogu konfigurirati tako da prisilno izvršavaju uslugu ažuriranja (wuauserv) na klijentima. Za ovo, u odjeljku Konfiguracija računala -> Pravila -> Postavke sustava Windows -> Sigurnosne postavke -> Usluge sustava pronađite uslugu Windows Update i postavite je da se automatski pokreće ( Automatski).
Sljedeći korak je dodjeljivanje kreiranih pravila odgovarajućim spremnicima aktivnog imenika (OU). U našem primjeru OU struktura u AD domeni je maksimalno jednostavna: postoje dva spremnika - Servers (sadrži sve servere organizacije, osim kontrolera domene) i WKS (Workstations - korisnička računala).
Savjet. Gledamo samo jednu prilično jednostavnu opciju za vezanje WSUS pravila za klijente. U stvarnim organizacijama moguće je vezati jedno WSUS pravilo za sva računala u domeni (GPO s WSUS postavkama priložen je korijenu domene), kako bi se različite vrste klijenata odvojile u različite OU (kao u našem primjeru, stvorio različita WSUS pravila za poslužitelje i radne stanice), u velikim distribuiranim domenama možete vezati ili dodijeliti GPO-ove na temelju ili kombinirati gore navedene metode.
Da biste dodijelili politiku OU-u, kliknite na željeni OU u konzoli za upravljanje pravilima grupe, odaberite stavku izbornika Poveži kao postojeći GPO i odaberite odgovarajuću politiku.
Savjet. Ne zaboravite na zasebnu OU s kontrolerima domene (kontrolori domene), u većini slučajeva WSUS politika "poslužitelja" treba biti priložena ovom spremniku.
Na potpuno isti način trebate dodijeliti pravilo WorkstationWSUSPolicy AD WKS spremniku koji sadrži Windows radne stanice.
Preostaje ažurirati grupna pravila na klijentima kako bi se klijent vezao na WSUS poslužitelj:
Sve postavke sustava za ažuriranje Windows koje postavljamo grupnim pravilima trebaju se pojaviti u registru klijenta u grani HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.
Ova reg datoteka može se koristiti za prijenos WSUS postavki na druga računala koja se ne mogu konfigurirati za ažuriranja pomoću GPO-a (računala u radnoj grupi, izolirani segmenti, DMZ, itd.)
Windows Registry Editor verzija 5.00
"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Poslužitelji"
"ElevateNonAdmins"=dword:00000000
"NoAutoUpdate"=dword:00000000 -
"AUOpcije"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
Također je zgodno kontrolirati primijenjene WSUS postavke na klijentima pomoću rsop.msc.
A nakon nekog vremena (ovisno o broju ažuriranja i propusnosti do WSUS poslužitelja), trebate provjeriti u traci skočne obavijesti o dostupnosti novih ažuriranja. U WSUS konzoli klijenti bi se trebali pojaviti u odgovarajućim grupama (u tabelarnom obliku ispisuje se ime klijenta, IP, OS, postotak njihove "zakrpanosti" i datum zadnjeg ažuriranja statusa). Jer smo povezali računala i poslužitelje s različitim WSUS grupama prema pravilima, oni će primati samo ažuriranja odobrena za instalaciju na odgovarajućim WSUS grupama.
Bilješka. Ako se ažuriranja ne pojavljuju na klijentu, preporučuje se da pažljivo pregledate dnevnik usluge Windows Update (C:\Windows\WindowsUpdate.log) na problematičnom klijentu. Imajte na umu da Windows 10 (Windows Server 2016) koristi . Klijent preuzima ažuriranja u lokalnu mapu C:\Windows\SoftwareDistribution\Download. Da biste započeli traženje novih ažuriranja na WSUS poslužitelju, morate pokrenuti naredbu:
wuauclt /detectnow
Također, ponekad morate prisilno izvršiti ponovnu registraciju klijenta na WSUS poslužitelju:
wuauclt /detectnow /resetAuthorization
U posebno teškim slučajevima možete pokušati popraviti uslugu wuauserv. Ako se to dogodi, pokušajte promijeniti učestalost provjere ažuriranja na WSUS poslužitelju pomoću pravila učestalosti otkrivanja automatskog ažuriranja.
U sljedećem članku opisat ćemo značajke . Također preporučujemo da pročitate članak između grupa na WSUS poslužitelju.
