مصدر تحديث Windows عبر التسجيل. ضمان تثبيت التحديثات في الوقت المناسب في مجموعات العمل

مصدر تحديث Windows عبر التسجيل. ضمان تثبيت التحديثات في الوقت المناسب في مجموعات العمل
مصدر تحديث Windows عبر التسجيل. ضمان تثبيت التحديثات في الوقت المناسب في مجموعات العمل
10.05.2021

عند حل مشكلات أمان نظام الكمبيوتر، يتعين على المرء أن يأخذ في الاعتبار مجموعة كاملة من المشكلات، أحدها هو تحديث أنظمة التشغيل والبرامج في الوقت المناسب.

مقدمة

للحفاظ على أنظمة التشغيل والبرامج محدثة نظام معلوماتيجب على الشركة تحديثها بانتظام. يمكن تنفيذ هذه الإجراءات من موقع Microsoft Update بواسطة كل كمبيوتر عميل أو من خلال استخدام خادم/خوادم مشغل برامج وندوزخدمات التحديث (WSUS). إذا كنا نتحدث عن شبكة الشركة، فإن الخيار الموصى به هو استخدام خادم WSUS. عند العمل مع الخدمة المذكورة أعلاه، يتم تحقيق انخفاض كبير في حركة المرور على الإنترنت ويتم توفير القدرة على إدارة عملية نشر تصحيحات النظام والبرامج الواردة من Microsoft مركزيًا.

أود أيضًا أن أشير إلى أنه في 23 مارس 2011، أعلنت Microsoft عن إصدار منتج جديد "Windows Intune"، وستكون إحدى وظائفه هي تنفيذ تلك المهام التي كانت WSUS مسؤولة عنها سابقًا.

للتأكد من إمكانية تحديث أجهزة الكمبيوتر العميلة، يجب عليك:

1. صمم الحل

2. نشر خادم/خوادم WSUS؛

3. تأكد من المزامنة المنتظمة لخادم WSUS مع مورد Microsoft Update؛

4. تكوين معلمات التشغيل لخادم/خوادم WSUS؛

5. قم بإنشاء مجموعات مستهدفة ووضع أجهزة الكمبيوتر العميلة في مجموعات مستهدفة على خادم WSUS.

6. تكوين العملاء لاستخدام خوادم WSUS؛

7. التأكد من أمان خادم/خوادم WSUS.

في هذه المقالة لن نتناول مراحل التصميم والنشر والمزامنة، بل سنتحدث عن إعداد العملاء وضمان أمان خادم WSUS.

تكوين عملاء خادم التحديث دون استخدام سياسات المجموعة

هناك ثلاث طرق لتكوين العملاء لاستخدام خادم WSUS:

  1. استخدام نهج المجموعة؛
  2. الاستخدام السياسة المحليةحاسوب؛
  3. تغييرات مباشرة على سجل محطات العملاء.

أفضل طريقة هي استخدام كائنات سياسة المجموعة، انظر الشكل. 1 مقترن بحاوية AD (Windows 2003) أو AD DS (Windows 2008) المطلوبة، ولكن هذا الخيار متاح فقط إذا كانت مؤسستك لديها خدمة دليل منشورة الدليل النشط. إن إمكانات نهج المجموعة لإعداد التفاعل مع خادم الإدارة وإدارة إجراءات تحديث العميل تلبي احتياجات المسؤول بشكل كامل. ما يمكننا التحقق منه من خلال النظر إلى الشكل. 1. القائمة الإعدادات المتاحةواسع كفاية.

أرز. 1. إعدادات عميل WSUS.

إذا لم يتم نشر خدمة الدليل في المؤسسة، فيمكن تحقيق قدرة العميل على التفاعل مع WSUS إما من خلال السياسة المحلية أو عن طريق إجراء تغييرات "مباشرة" على تسجيل النظام محطة العملأو الخادم الذي نريد التأكد من أن حالته محدثة. في جوهرها، السياسة ليست أكثر من مجرد واجهة للتسجيل.

يمكن أن تنشأ الظروف التي لا تكون فيها محطات العمل والخوادم عملاء AD في مجموعة متنوعة من الحالات، على سبيل المثال:

· استخدام خدمة دليل تابعة لجهة خارجية، ومع ذلك، يتم استخدام الحلول المستندة إلى أنظمة التشغيل كخوادم التطبيقات، وخوادم الملفات، ومحطات عمل العميل أنظمة مايكروسوفت;

· الحاجة إلى بناء منطقة "ضيف" لتمكين المستخدمين "الخارجيين" من الوصول إلى شبكة الإنترنت؛

· عدم نضج الشركة بالشكل الكافي، مما أدى إلى عدم نشر خدمة الدليل المركزي، أو عدم الحاجة لهذه الخدمة.

1. من الضروري استضافة خدمة التحديث على الإنترانت وخادم الإحصائيات، وكذلك توزيع العملاء على مجموعات.

في قسم التسجيل

ستحتاج إلى تحديد عنوان أو اسم خادم التحديث الذي سيتصل به العميل ورقم المنفذ المحدد للعمل مع خادم WSUS. بشكل افتراضي، يتم افتراض المنفذ 80.

"WUStatusServer"=http://192.168.1.100

نظرًا لأنه من الضروري وضع أجهزة الكمبيوتر العميلة في مجموعات مستهدفة، فيجب علينا الإشارة إلى المجموعات المستهدفة التي يجب وضع الكمبيوتر فيها:

"TargetGroupEnabled"=dword:00000001

في نسختنا، المجموعة المستهدفة تسمى "WSUS-Test-WKS". بالنسبة للعملاء الذين سيكون اسم المجموعة المستهدفة لديهم مختلفًا، سيكون لهذا الحقل قيمة مختلفة. توفر المعلمة TargetGroupEnabled في هذه الحالة التحكم في الموضع في مجموعة من جانب العميل.

للقيام بذلك، في قسم التسجيل

"TargetGroup"="WSUS-Test-WKS"

"TargetGroupEnabled"=dword:00000001

"WUServer"="http://192.168.1.100"

"WUStatusServer"="http://192.168.1.100"

"NoAutoUpdate"=dword:00000000

"AUOptions"=dword:00000004

"ScheduledInstallDay"=dword:00000000

"ScheduledInstallTime"=dword:00000009

"UseWUServer"=dword:00000001

"RescheduleWaitTime"=dword:00000001

" NoAutoRebootWithLoggedOnUsers"=الكلمة المزدوجة:00000000

من خلال التأكد من تسليم الملف المحدد وتنفيذه، يمكننا تكوين عملاء خادم WSUS دون اللجوء إلى استخدام سياسات المجموعة. يتوفر وصف لجميع متغيرات التسجيل التي يمكن استخدامها للعمل مع خادم التحديث وقيمها المحتملة في دليل نشر Windows Server Update Services 3.0 SP2.

لضمان أمان خادم التحديث نفسه، فمن المنطقي اتباع عدد من التوصيات البسيطة:

1. إذا كنا بحاجة إلى ضمان تبادل آمن للمعلومات بين العملاء والخوادم و/أو بين خوادم WSUS، فمن الممكن استخدام بروتوكول SSL. راجع "تأمين WSUS باستخدام طبقة المقابس الآمنة" في دليل نشر خدمات Windows Server Update (). في حالة عدم وجود تبادل شبكي بين الخوادم، يتم ضمان نقل البيانات باستخدام وسائل الإعلام الخارجية. طريقة بديلةالحماية، إذا كان من المستحيل استخدام SSL، هي استخدام بروتوكول IPsec. راجع "نظرة عامة على نشر IPsec" http://go.microsoft.com/fwlink/?LinkId=45154.

2. يجب وضع خادم WSUS الذي يتزامن مع Microsoft Update خلف جدار حماية ويجب أن يكون الوصول إليه متاحًا فقط للمضيفين الذين يحتاجون إليه بالفعل. راجع "تكوين جدار الحماية" في دليل نشر خدمات Windows Server Update (http://go.microsoft.com/fwlink/?LinkId=79983).

3. أما بالنسبة للوصول إلى الملفات، فلا ينبغي توفيرها الأذونات المفرطةالموارد، راجع قسم "قبل البدء" في دليل نشر خدمات Windows Server Update (http://go.microsoft.com/fwlink/?LinkId=79983) للحصول على وصف لمتطلبات حقوق الوصول.

4. إذا كان خادم التحديث لديه حق الوصول إلى الإنترنت (في بعض الحالات قد لا يكون هذا هو الحال، على سبيل المثال، يتم إجراء المزامنة مع خادم WSUS آخر لديه هذه الإمكانية)، فمن المستحسن وضع قاعدة البيانات الخاصة به على كمبيوتر آخر والتي لا يمكن الوصول إليها من الخارج. راجع "الملحق ب: تكوين Remote SQL" في النوافذدليل نشر خدمات تحديث الخادم (http://go.microsoft.com/fwlink/?LinkId=79983).

5. لإدارة خادم WSUS، من الحكمة استخدام مجموعة مسؤولي WSUS المضمنة، والتي سيتم إنشاؤها أثناء النشر.

ليونيد شابيرو.

فهرس.

أنيتا تايلور دليل نشر خدمات Windows Server Update 3.0 SP2.

دليل عمليات Anita Taylor Windows Server Update Services 3.0 SP2

[i]المنطقة المجردة من السلاح - منزوعة السلاحمنطقة

لم تتم تغطية كل شيء هنا، ولكن فقط الإعدادات الأساسية لتكوين عميل WSUS.

يمكنك تحديد المسار إلى الخوادم المطلوبة إما باستخدام العنوان، وهو ما تم في المثال الموضح، أو باستخدام اسم الخادم، مع توفير إمكانية تحويل اسم الخادم إلى عنوان IP الخاص به.

هذا هو الاسم الملخص لمجموعة الاختبار.

تعد التحديثات التلقائية ميزة وظيفية مهمة لأي منها نظام التشغيل. وبفضل ذلك، يتلقى الكمبيوتر تحديثات مهمة في الوقت المحدد، مما يجعل النظام أكثر استقرارًا وأمانًا. في نظام التشغيل Windows 7، يتم تنشيط الوظيفة في البداية. وهذا يعني أنه في حالة وجود اتصال بخوادم Microsoft، تقوم خدمة التحديث بالتحقق من توفر الحزم الجديدة وتنزيلها وتثبيتها. عادةً ما تتم جميع العمليات دون أن يلاحظها أحد تقريبًا من قبل المستخدم، ولكن عندما تظهر عروض مستمرة للترقية إلى 10، فإن هذا يعتبر مبالغة بالفعل.

تعطيل نظريا التنزيل التلقائيلا يستحق التحديث. إنه مفيد لأنه يسد الثغرات الأمنية ويحسن تشغيل نظام التشغيل ويضيف ميزات جديدة إليه (فيما يتعلق بـ "العشرات"). توجد أيضًا قائمة بالأسباب التي تؤدي إلى تعطيل خدمة التحديث التلقائي:

  1. لا يحب المستخدم أن تنخفض سرعة الإنترنت أثناء التحديث و/أو لا يمكن إيقاف تشغيل الكمبيوتر لفترة طويلة.
  2. يحتوي الكمبيوتر على إنترنت لاسلكي باهظ الثمن أو محدود.
  3. مشاكل بعد إطلاق نظام التشغيل المحدث.
  4. فشل أثناء تثبيت حزم التحديث.
  5. لا توجد مساحة كافية على وحدة تخزين النظام لاستيعاب الزيادة في حجم Windows 7، والتي تنمو مع كل تحديث.

أنواع

ومع ذلك، قبل تعطيل تحديث Windows 7، فكر فيما إذا كان ذلك ضروريًا حقًا. بالإضافة إلى إلغاء تنشيط الخدمة، يمكن تحويلها إلى أوضاع التشغيل التالية.

  1. تلقائية بالكامل - تتم العمليات دون تدخل المستخدم، فقط يتم إعلام المستخدم باكتمال تثبيت الحزم.
  2. يبحث عن أحدث الإصلاحات وينزلها وفق جدول زمني، ويتم تثبيت الحزم من قبل المستخدم.
  3. التحقق التلقائي وإخطار المستخدم بتوفر التحديثات.
  4. التحديث الذاتي معطل. كل شيء يتم يدويا.

يتم تحديد الخيارات في مكون مركز التحديث.

طرق قطع الاتصال

إعدادات أي ويندوزيتم تخزينها في السجل الخاص به. يمكنك الوصول إلى المفتاح المسؤول عن إعدادات مركز التحديث بعدة طرق بسيطة وبعض الطرق الأكثر تعقيدًا. دعونا ننظر إليهم جميعا.

تغيير إعدادات مركز التحديث

لنبدأ بإعداد الخدمة لأنفسنا. للوصول إلى واجهة التكوين، تحتاج إلى فتح "مركز التحديث" باستخدام إحدى الطرق التالية.

نظام

  1. خلال قائمة السياقجهاز الكمبيوتر الخاص بي، أطلق عليه اسم "الخصائص".
  1. في اليسار القائمة العموديةانقر على الرابط المناسب الموجود في أسفل النافذة.

  1. انتقل إلى "لوحة التحكم".
  2. افتح قسم "النظام والأمان".
  1. استدعاء العنصر الذي يحمل نفس الاسم.

إذا تم عرض عناصر لوحة التحكم كأيقونات بدلاً من فئات، فسيظهر رابط للعنصر في النافذة الرئيسية.

  1. لذلك، بعد الدخول إلى النافذة المطلوبة، انقر فوق "إعدادات المعلمات".
  1. انتقل إلى قسم "التحديثات المهمة" وحدد الخيار المناسب من القائمة المنسدلة.

الطريقة الوحيدة لتعطيل تلقي التحديثات بشكل كامل على جهاز كمبيوتر يعمل بنظام التشغيل Windows 7 هي إيقاف الخدمة.

تعطيل الخدمة

تتم إدارة الخدمات في "السبعة" من خلال:

  • التحرير المباشر لمفاتيح التسجيل، وهو أمر غير مريح للغاية؛
  • برامج الطرف الثالث لتكوين نظام التشغيل (سنتخطى هذا الخيار)؛
  • تزوير وحدات تحكم MMC;
  • أعدادات النظام؛
  • سطر الأوامر;
  • محرر نهج المجموعة (موجود في Windows 7 Ultimate وEnterprise).

إزالة الخدمة من التشغيل التلقائي

أسرع طريقة لتعطيل التحديثات هي من خلال مكون النظام.

  1. قم بتنفيذ "msconfig" في نافذة مترجم الأوامر، والتي سيتم فتحها بعد الضغط باستمرار على مفاتيح Win + R أو النقر فوق الزر "Run" في ابدأ.
  1. انتقل إلى علامة التبويب "الخدمات".
  2. ابحث عن "Windows Update" (ربما تحديث ويندوز) وقم بإزالة مربع الاختيار المجاور له.
  1. احفظ الإعدادات الجديدة.

حتى نهاية الجلسة الحالية، ستعمل الخدمة، وتؤدي المهام الموكلة إليها بشكل صحيح. للاستخدام التكوين الجديديحتاج Windows 7 إلى إعادة التشغيل.

دعونا نستخدم الأداة الإضافية لوحدة التحكم MMC

توفر الأداة الإضافية لوحدة تحكم النظام التي تحمل الاسم نفسه إمكانية الوصول إلى إدارة كافة الخدمات الموجودة على جهاز الكمبيوتر. يبدأ مثل هذا.

  1. افتح قائمة السياق الخاصة بدليل "جهاز الكمبيوتر".
  2. اتصل بالأمر "إدارة".
  1. في القائمة الرأسية اليسرى، قم بتوسيع عنصر "الخدمات والتطبيقات". بعد ذلك قم بالضغط على رابط "الخدمات".

سيكون الخيار الأبسط لاستدعاء نفس النافذة هو تشغيل الأمر "services.msc" من خلال مربع الحوار "Run".

  1. قم بالتمرير إلى نهاية قائمة الخدمات وافتح "خصائص" خدمة Windows Update.
  1. في القائمة المنسدلة "نوع بدء التشغيل"، حدد "معطل" بدلاً من "تلقائي" لتوديع تحديث أوتوماتيكيللأبد. إذا كنت بحاجة إلى تعطيل الخدمة الآن، فتأكد من النقر فوق "إيقاف". احفظ الإعدادات الجديدة باستخدام الزر "تطبيق" وأغلق جميع النوافذ.

لا يحتاج الكمبيوتر إلى إعادة التشغيل لتطبيق الإعدادات.

محرر نهج المجموعة

ستساعدك أداة إضافية أخرى لـ MMC تسمى Local Group Policy Editor على تكوين أي معلمة نظام.

إنه غير متوفر في الإصدار المنزلي من Seven!

  1. يتم تشغيل الأداة عن طريق تشغيل الأمر "gpedit.msc" من خلال نافذة "Run".
  1. في القسم الفرعي "تكوين الكمبيوتر"، قم بتوسيع فرع "القوالب الإدارية".
  1. يفتح " مكونات ويندوز"وابحث عن مركز التحديث.
  2. على الجانب الأيمن من النافذة نجد معلمة يبدأ اسمها بـ "إعدادات التحديث التلقائي".
  3. استدعاء إعداداته.
  1. انقل مربع الاختيار إلى موضع "تعطيل" وانقر فوق "موافق" لإغلاق النافذة وحفظ التغييرات.

دعونا نستخدم سطر الأوامر

من خلال سطر الأوامر، يتم تنفيذ جميع العمليات نفسها باستخدام الواجهة الرسومية، وأكثر من ذلك، ولكن في وضع النص. الشيء الرئيسي هو معرفة بناء الجملة والمعلمات الخاصة بهم.

الأمر "cmd" مسؤول عن استدعاء سطر الأوامر.

  1. افتح مترجم الأوامر وقم بتنفيذه.


مرحبًا بالجميع، اليوم لدي ملاحظة إضافية لنفسي، وهي قائمة بخوادم Windows Update. لماذا يمكن أن يكون هذا مفيدًا، على سبيل المثال، إذا تلقيت الخطأ لم يتم العثور على التحديث عند تثبيت دور WSUS، أو العكس لسبب ما تريد حظره، لحفظ حركة المرور، إذا لم يكن لديك WSUS، لأنه ليس كل التحديثات النوافذ جيدةوخاصة في الإصدارات الحديثة، أعتقد أنه لا يوجد أي معنى للتذكير بالخطأ، على الرغم من أن هذه القائمة يمكن أن تستمر لفترة طويلة جدًا. السبب ليس مهمًا، الشيء الرئيسي هو معرفة أنه موجود ويمكنك العمل معه بطريقة أو بأخرى. سأعرض لك أدناه طرقًا لحظر عناوين الخادم تحديثات مايكروسوفتكلاهما عالمي ومناسب لجهاز كمبيوتر منفصل وللإدارة المركزية داخل المؤسسة.

لماذا لا يتم تثبيت تحديثات Windows؟

فيما يلي لقطة شاشة للخطأ إذا كان عنوان خادم تحديث Microsoft الخاص بك غير متاح. كما ترون، الخطأ ليس مفيدا للغاية. أحصل عليه على خادم له دور WSUS، بالنسبة لأولئك الذين لا يتذكرون ما هو عليه، فهو المركز المحليتحديثات للمؤسسات، لتوفير حركة المرور، وهنا لا يتم تثبيت تحديثات Windows بسبب عدم توفر خوادم Microsoft.

ماذا تفعل إذا لم يتم تثبيت تحديثات Windows

  • أولاً، يجب عليك التحقق مما إذا كان لديك إنترنت، حيث أن وجوده إلزامي لمعظم الأشخاص، ما لم يكن لديك مجال Active Directory بالطبع وقمت بتنزيله من WSUS الخاص بك
  • بعد ذلك، إذا كان هناك إنترنت، فابحث عن رمز الخطأ، لأنه من خلال هذا تحتاج إلى البحث عن معلومات حول حل المشكلة (من المشكلات الأخيرة يمكنني تقديم مثال على كيفية حل الخطأ 0x80070422 أو الخطأ c1900101)، ولكن ويمكن أيضًا الاحتفاظ بالقائمة لفترة طويلة جدًا.
  • نحن نتحقق من الخادم الوكيل الخاص بنا مما إذا كان هناك حظر على عناوين خادم تحديث Microsoft التالية.

قائمة خوادم تحديث Microsoft نفسها

  1. http://windowsupdate.microsoft.com
  2. http://*.windowsupdate.microsoft.com
  3. https://*.windowsupdate.microsoft.com
  4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
  5. http://*.update.microsoft.com
  6. https://*.update.microsoft.com
  7. http://*.windowsupdate.com
  8. https://activation.sls.microsoft.com/
  9. http://download.windowsupdate.com
  10. http://download.microsoft.com
  11. http://*.download.windowsupdate.com
  12. http://wustat.windows.com
  13. http://ntservicepack.microsoft.com
  14. https://go.microsoft.com/
  15. http://go.microsoft.com/
  16. https://login.live.com
  17. https://validation.sls.microsoft.com/
  18. https://activation-v2.sls.microsoft.com/
  19. https://validation-v2.sls.microsoft.com/
  20. https://displaycatalog.mp.microsoft.com/
  21. https://licensing.mp.microsoft.com/
  22. https://purchase.mp.microsoft.com/
  23. https://displaycatalog.md.mp.microsoft.com/
  24. https://licensing.md.mp.microsoft.com/
  25. https://purchase.md.mp.microsoft.com/