Актуализация на изходния windows през системния регистър. Осигуряване на навременно инсталиране на актуализации в работни групи

Актуализация на изходния windows през системния регистър. Осигуряване на навременно инсталиране на актуализации в работни групи
Актуализация на изходния windows през системния регистър. Осигуряване на навременно инсталиране на актуализации в работни групи
10.05.2021

При решаването на проблеми със сигурността на компютърната система трябва да се вземат предвид цял набор от проблеми, един от които е своевременното актуализиране на операционните системи и софтуера.

Въведение

За поддържане на операционните системи и софтуера актуални информационна системакомпаниите трябва да ги актуализират редовно. Тези действия могат да се извършват от сайта на Microsoft Update от всеки клиентски компютър или чрез използването на сървъра(ите). Windows сървърАктуализиране на услуги (WSUS). Ако говорим за корпоративна мрежа, препоръчителната опция е да използвате WSUS сървър. При работа с горепосочената услуга се постига значително намаляване на интернет трафика и е възможно централизирано управление на процеса на внедряване на системни и софтуерни корекции, получени от Microsoft.

Бих искал допълнително да отбележа, че на 23 март 2011 г. Microsoft обяви пускането на нов продукт "Windows Intune", една от функциите на който ще бъде изпълнението на онези задачи, за които WSUS отговаряше.

За да можете да надстроите клиентските компютри, трябва:

1. Проектирайте решението

2. Разположете WSUS сървъра/сървърите;

3. Осигурете редовна синхронизация на WSUS сървъра с ресурса на Microsoft Update;

4. Конфигуриране на параметрите на WSUS сървъра/сървърите;

5. Създайте целеви групи и поставете клиентски компютри в целеви групи на WSUS сървъра.

6. Конфигурирайте клиентите да използват WSUS сървъри;

7. Осигурете сигурността на WSUS сървъра/сървърите.

В тази статия не разглеждаме етапите на проектиране и внедряване, синхронизация, ще се съсредоточим върху конфигурирането на клиенти и защитата на WSUS сървъра.

Конфигуриране на клиенти на сървър за актуализиране без използване на групови правила

Има три начина за конфигуриране на клиенти да използват WSUS сървър:

  1. Използване на групови правила;
  2. Използване местна политикакомпютър;
  3. Директни промени в регистъра на клиентските станции.

Най-добрият начин е да използвате GPO, вижте фиг. 1 картографиран към необходимия AD (за Windows 2003) или AD DS (за Windows 2008) контейнер, но тази опция е налична само ако вашата организация има внедрена директорийна услуга Активна директория. Възможностите на Group Policy за конфигуриране на взаимодействие със сървъра за управление и за управление на процедурите за актуализиране на клиента напълно отговарят на нуждите на администратора. Това, което можем да проверим, като погледнем Фиг. 1. Списък налични настройкидостатъчно широк.

Ориз. 1. WSUS клиентски настройки.

Ако директорийната услуга не е внедрена в организацията, тогава можете да разрешите на клиента да комуникира с WSUS или чрез локална политика, или като "директно" правите промени в системен регистър работна станция, или сървъра, чието състояние искаме да поддържаме актуално. По същество политиката не е нищо повече от интерфейс към регистъра.

Има редица обстоятелства, при които работните станции и сървърите не са AD клиенти, като например:

Използване на справочна услуга на трета страна обаче решенията, базирани на операционна система, се използват като сървъри на приложения, файлови сървъри, клиентски работни станции. системи на Microsoft;

· Необходимостта от изграждане на "гост" зона за осигуряване на достъп на "външни" потребители до Интернет;

· Недостатъчна "зрялост" на фирмата, поради която централизираната справочна услуга не е разгърната, или липса на необходимост от тази услуга.

1. Необходимо е да поставите услугата за актуализиране на интранет и сървъра за статистика, както и да разпределите клиентите в групи.

В ключа на системния регистър

ще трябва да посочите адреса или името на сървъра за актуализиране, към който клиентът ще се свърже, и номера на порта, който е избран за работа с WSUS сървъра. По подразбиране е порт 80.

"WUStatusServer"=http://192.168.1.100

Тъй като е необходимо клиентските компютри да бъдат поставени в целеви групи, трябва да посочим към коя от целевите групи да бъде поставен компютърът:

"TargetGroupEnabled"=dword:00000001

В нашата версия целевата група се нарича "WSUS-Test-WKS". За клиенти, чието име на целевата група ще бъде различно, това поле е зададено на различна стойност. Параметърът TargetGroupEnabled в този случай осигурява контрол на груповото разположение от страна на клиента.

За да направите това, в ключа на системния регистър

"TargetGroup"="WSUS-тест-WKS"

"TargetGroupEnabled"=dword:00000001

"WUServer"="http://192.168.1.100"

"WUStatusServer"="http://192.168.1.100"

"NoAutoUpdate"=dword:00000000

"AUOptions"=dword:00000004

"ScheduledInstallDay"=dword:00000000

"ScheduledInstallTime"=dword:00000009

"UseWUServer"=dword:00000001

"RescheduleWaitTime"=dword:00000001

" NoAutoRebootWithLoggedOnUsers"=dword:00000000

Като гарантираме, че посоченият файл е доставен и изпълнен, можем да конфигурираме WSUS сървърни клиенти, без да прибягваме до групови правила. Описание на всички променливи на регистъра, които могат да се използват за работа със сървъра за актуализиране, и техните възможни стойности са дадени в Ръководството за разполагане на Windows Server Update Services 3.0 SP2.

За да се гарантира сигурността на самия сървър за актуализиране, има смисъл да следвате няколко прости препоръки:

1. Ако трябва да осигурим сигурен обмен на информация между клиенти и сървъри и/или между WSUS сървъри, тогава е възможно да използваме SSL протокола. Вижте „Защита на WSUS със слоя със защитени сокети“ в Ръководството за внедряване на услуги за актуализиране на Windows Server (). При липса на мрежов обмен между сървърите, преносът на данни се осъществява чрез външен носител. Алтернативен начинзащитата, когато е невъзможно да се използва SSL, е използването на протокола IPsec. Вижте „Общ преглед на внедряването на IPsec“ http://go.microsoft.com/fwlink/?LinkId=45154.

2. WSUS сървърът, който се синхронизира с Microsoft Update, трябва да бъде поставен зад защитна стена и ограничен до хостове, които наистина се нуждаят от него. Вижте „Конфигуриране на защитната стена“ в Ръководството за внедряване на услуги за актуализиране на Windows Server (http://go.microsoft.com/fwlink/?LinkId=79983).

3. Що се отнася до достъпа до файлове, не трябва да предоставяте излишни разрешенияресурси, вижте раздела „Преди да започнете“ в Ръководството за внедряване на услуги за актуализиране на Windows Server (http://go.microsoft.com/fwlink/?LinkId=79983) за описание на изискванията за разрешение.

4. Ако сървърът за актуализиране има достъп до Интернет (в някои случаи това може да не е така, например се извършва синхронизация с друг WSUS сървър, който има такава възможност), тогава се препоръчва да поставите неговата база данни на друг компютър, който не може да бъде достъпен отвън. Вижте "Приложение B: Конфигуриране на отдалечен SQL" на прозорцитеРъководство за внедряване на услуги за актуализиране на сървъра (http://go.microsoft.com/fwlink/?LinkId=79983).

5. За да управлявате WSUS сървъра, е разумно да използвате вградената WSUS група администратори, която ще бъде създадена по време на внедряването.

Леонид Шапиро.

Библиография.

Anita Taylor Windows Server Update Services 3.0 SP2 Ръководство за внедряване.

Anita Taylor Windows Server Update Services 3.0 SP2 Ръководство за операции

[i]DMZ- демилитаризиранзона

Не всичко е обхванато тук, а само основните опции за конфигуриране на WSUS клиент.

Можете да посочите пътя до желаните сървъри или като използвате адреса, което беше направено в горния пример, или като използвате името на сървъра, като същевременно предоставяте възможност за преобразуване на името на сървъра в неговия IP адрес.

Това е абстрактното име на тестовата група.

Автоматичното актуализиране е важна характеристика на всеки операционна система. Благодарение на него компютърът получава важни актуализации навреме, което прави системата по-стабилна и защитена. В Windows 7 функцията е активирана по подразбиране. Това означава, че ако има връзка със сървърите на Microsoft, услугата за актуализиране проверява за свежи пакети, изтегля ги и ги инсталира. Обикновено всички процеси протичат почти незабелязано от потребителя, но когато има постоянни предложения за надграждане до 10, това вече е твърде много.

Теоретично деактивирайте автоматично изтеглянене си струва да се актуализира. Полезно е, защото затваря пропуските в сигурността, оптимизира работата на операционната система, добавя нови функции към нея (по отношение на „десетките“). Има и списък с причини, поради които услугата за автоматично актуализиране трябва да бъде деактивирана:

  1. Потребителят не харесва, че скоростта на интернет пада по време на актуализацията и / или компютърът не може да бъде изключен за дълго време.
  2. Скъп или ограничен безжичен интернет на компютъра.
  3. Проблеми след стартиране на актуализираната ОС.
  4. Грешки по време на инсталирането на пакети за актуализация.
  5. Няма достатъчно място на системния том, за да може Windows 7 да расте с всяка актуализация.

Видове

Въпреки това, преди да деактивирате актуализацията на Windows 7, помислете дали наистина е необходима. В допълнение към деактивирането на услугата, тя може да бъде превключена към следните режими на работа.

  1. Напълно автоматичен - операциите протичат без намеса на потребителя, като последният се уведомява само за завършване на инсталирането на пакетите.
  2. Търсене и изтегляне на свежи корекции по график, а инсталирането на пакети се извършва от потребителя.
  3. Автоматична проверка за уведомяване на потребителя, когато има налични актуализации.
  4. Самообновяването е деактивирано. Всичко се прави ръчно.

Параметрите се избират в компонента Център за актуализиране.

Методи за изключване

Настройки всеки Windowsсъхранявани в неговия регистър. Можете да получите достъп до ключа, отговорен за настройките на центъра за актуализиране, по няколко прости и няколко по-сложни начина. Нека ги разгледаме всички.

Промяна на настройките на центъра за актуализиране

Нека започнем, като настроим услугата за себе си. За достъп до интерфейса за конфигурация трябва да отворите „Център за актуализиране“ по един от следните начини.

Система

  1. През контекстно менюМоят компютър, наречете го „Свойства“.
  1. В ляво вертикално менющракнете върху съответната връзка в долната част на прозореца.

  1. Отиваме в "Контролен панел".
  2. Отворете секцията "Система, сигурност".
  1. Наричаме елемента със същото име.

Ако елементите на контролния панел се визуализират като икони вместо категории, връзката към елемента ще се показва вече в главния прозорец.

  1. Така че, след като натиснете желания прозорец, щракнете върху „Настройки“.
  1. Преминаваме към секцията „Важни актуализации“ и избираме подходящата опция от падащия списък.

Само спирането на услугата ще помогне напълно да изключи получаването на актуализации на компютър с Windows 7.

Деактивирайте услугата

Управлението на услугите в "седемте" става чрез:

  • директно редактиране на ключове в системния регистър, което е много неудобно;
  • програми на трети страни за настройка на ОС (ще пропуснем тази опция);
  • щракам MMC конзоли;
  • системна конфигурация;
  • командна линия;
  • Редактор на групови правила (присъства в Windows 7 Ultimate, Corporate).

Премахване на услуга от стартиране

Деактивирането на актуализациите става най-бързо чрез системния конфигуратор.

  1. Изпълняваме "msconfig" в прозореца на командния интерпретатор, който ще се отвори след натискане на клавишите Win + R или щракване върху бутона "Изпълни" в началото.
  1. Отидете в раздела "Услуги".
  2. Намерете „Windows Update“ (може би актуализация на windows) и премахнете флага до него.
  1. Запазваме новите настройки.

До края на текущата сесия услугата ще работи, изпълнявайки правилно възложените й задачи. За нанасяне нова конфигурация Windows 7 трябва да се рестартира.

Нека използваме модула за MMC конзола

Едноименният модул на системната конзола осигурява достъп до управлението на всички услуги на компютър. Стартира се така.

  1. Отворете контекстното меню на директорията "Моят компютър".
  2. Извикваме командата "Контрол".
  1. В лявото вертикално меню разгънете елемента „Услуги и приложения“. След това щракнете върху връзката „Услуги“.

По-проста опция за извикване на същия прозорец би била да изпълните командата "services.msc" през диалоговия прозорец "Изпълнение".

  1. Превъртаме списъка с услуги до самия край и отваряме „Свойства“ на услугата Windows Update.
  1. В падащия списък „Тип стартиране“ изберете „Деактивирано“ вместо „Автоматично“, за да кажете сбогом на автоматична актуализациязавинаги. Ако трябва да деактивирате услугата сега, не забравяйте да щракнете върху „Стоп“. Запазете новите настройки с бутона "Приложи" и затворете всички прозорци.

Не е необходимо компютърът да се рестартира, за да се приложат настройките.

Редактор на групови правила

Друг MMC модул, наречен Group Local Policy Editor, ще ви помогне да конфигурирате всяка системна настройка.

В домашното издание на "седемте" го няма!

  1. Инструментът се стартира чрез стартиране на командата "gpedit.msc" през прозореца "Run".
  1. В подраздела „Конфигурация на компютър“ разгънете клона „Административни шаблони“.
  1. Ние отваряме " Компоненти на Windows"и търси център за актуализиране.
  2. В дясната част на прозореца намираме параметъра, чието име започва с „Настройка на автоматично актуализиране“.
  3. Наричаме неговите настройки.
  1. Преместете квадратчето за отметка на позиция „Деактивиране“ и щракнете върху „OK“, за да затворите прозореца и да запазите промените.

Нека използваме командния ред

Чрез командния ред се извършват всички същите операции като при използване на графичния интерфейс и дори повече, но в текстов режим. Основното нещо е да знаете техния синтаксис и параметри.

Командата "cmd" отговаря за извикването на командния ред.

  1. Отворете команден интерпретатор и го изпълнете.


Здравейте всички днес, една бележка повече за мен, а именно списъка със сървъри за Windows Update. Защо това може да бъде полезно, например, ако сте получили грешка Update not found при инсталиране на WSUS ролята или обратното, по някаква причина искате да ги забраните, за да спестите трафик, ако нямате WSUS, тъй като не всички актуализации прозорците са добрии особено в съвременните му версии, мисля, че няма смисъл да напомням за грешката, въпреки че този списък може да бъде продължен много дълго време. Причината не е важна, основното е да знаете какво е и как да работите с нея. По-долу ще ви покажа методи за забрана на сървърни адреси. актуализации на microsoft, както универсални, подходящи за един компютър, така и за централизирано управление в рамките на предприятие.

Защо актуализациите на Windows не се инсталират?

Ето екранна снимка на грешката, ако нямате наличен адрес на сървъра за актуализиране на Microsoft. Както можете да видите, грешката не е много информативна. Получавам го на сървъра, носещ WSUS ролята, който не помни какво е, тогава това местен центърактуализации за предприятия, за да спестят трафик и това е мястото, където актуализациите на Windows не се инсталират поради недостъпността на сървърите на Microsoft.

Какво да направите, ако актуализациите на Windows не са инсталирани

  • Първо, трябва да проверите дали имате интернет, тъй като е задължително за повечето хора, освен ако разбира се нямате домейн на Active Directory и ги изтегляте от вашия WSUS
  • Освен това, ако има интернет, разглеждаме кода на грешката, тъй като именно в него трябва да търсим информация за решаването на проблема (от скорошни проблеми мога да дам пример за това как се решава грешка 0x80070422 или грешка c1900101) , но списъкът може да се съхранява и много дълго време.
  • Проверяваме на нашия прокси сървър дали има забрана за такива адреси на сървъра за актуализиране на Microsoft.

Списък със сървъри за актуализиране на Microsoft

  1. http://windowsupdate.microsoft.com
  2. http://*.windowsupdate.microsoft.com
  3. https://*.windowsupdate.microsoft.com
  4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
  5. http://*.update.microsoft.com
  6. https://*.update.microsoft.com
  7. http://*.windowsupdate.com
  8. https://activation.sls.microsoft.com/
  9. http://download.windowsupdate.com
  10. http://download.microsoft.com
  11. http://*.download.windowsupdate.com
  12. http://wustat.windows.com
  13. http://ntservicepack.microsoft.com
  14. https://go.microsoft.com/
  15. http://go.microsoft.com/
  16. https://login.live.com
  17. https://validation.sls.microsoft.com/
  18. https://activation-v2.sls.microsoft.com/
  19. https://validation-v2.sls.microsoft.com/
  20. https://displaycatalog.mp.microsoft.com/
  21. https://licensing.mp.microsoft.com/
  22. https://purchase.mp.microsoft.com/
  23. https://displaycatalog.md.mp.microsoft.com/
  24. https://licensing.md.mp.microsoft.com/
  25. https://purchase.md.mp.microsoft.com/