A Windows frissítés forrása a rendszerleíró adatbázison keresztül. A frissítések időben történő telepítésének biztosítása a munkacsoportokban
Olvassa el is
A számítógépes rendszerbiztonsági problémák megoldása során a problémák egész sorát kell figyelembe venni, amelyek közül az egyik az operációs rendszerek és szoftverek időben történő frissítése.
Bevezetés
Az operációs rendszerek és szoftverek naprakészen tartása érdekében tájékoztatási rendszer a vállalatoknak rendszeresen frissíteniük kell azokat. Ezeket a műveleteket a Microsoft Update webhelyről minden ügyfélszámítógép vagy a kiszolgáló(k) segítségével hajthatja végre. Windows Server Frissítési szolgáltatások (WSUS). Ha már arról beszélünk vállalati hálózat, az ajánlott lehetőség egy WSUS-kiszolgáló használata. A fent említett szolgáltatással való munka során jelentős internetes forgalom csökkenés érhető el, és lehetőség nyílik a Microsofttól kapott rendszer- és szoftverjavítások telepítési folyamatának központi felügyeletére.
Szeretném továbbá megjegyezni, hogy 2011. március 23-án a Microsoft bejelentette egy új termék, a „Windows Intune” megjelenését, melynek egyik funkciója azon feladatok elvégzése lesz, amelyekért korábban a WSUS volt felelős.
Az ügyfélszámítógépek frissítéséhez a következőket kell tennie:
1. Tervezze meg a megoldást
2. Telepítse a WSUS szervert/szervereket;
3. Biztosítsa a WSUS-kiszolgáló rendszeres szinkronizálását a Microsoft Update erőforrással;
4. Állítsa be a WSUS szerver/szerverek paramétereit;
5. Hozzon létre célcsoportokat, és helyezze el az ügyfélszámítógépeket a célcsoportokba a WSUS-kiszolgálón.
6. Konfigurálja az ügyfeleket WSUS-kiszolgálók használatára;
7. Gondoskodjon a WSUS-kiszolgáló/szerverek biztonságáról.
Ebben a cikkben nem vesszük figyelembe a tervezés és a telepítés, a szinkronizálás szakaszait, hanem az ügyfelek konfigurálására és a WSUS-kiszolgáló biztonságára összpontosítunk.
Frissítőkiszolgáló-ügyfelek konfigurálása csoportházirendek használata nélkül
Háromféleképpen konfigurálhatja az ügyfeleket WSUS-kiszolgáló használatára:
- Csoportházirend használata;
- Használat helyi politika számítógép;
- Közvetlen változások az ügyfélállomások nyilvántartásában.
A legjobb módszer a csoportházirend-objektumok használata, lásd az ábrát. 1 leképezve a kívánt AD (Windows 2003 rendszerhez) vagy AD DS (Windows 2008 rendszerhez) tárolóhoz, de ez a lehetőség csak akkor érhető el, ha a szervezetben van telepítve címtárszolgáltatás Active Directory. A felügyeleti kiszolgálóval való interakció konfigurálásához és az ügyfélfrissítési eljárások kezeléséhez szükséges csoportházirend-képességek teljes mértékben megfelelnek a rendszergazdák igényeinek. Amit az ábra megtekintésével ellenőrizhetünk. 1. Lista elérhető beállítások elég széles.
Rizs. 1. A WSUS kliens beállításai.
Ha a címtárszolgáltatás nincs telepítve a szervezetben, akkor engedélyezheti az ügyfél számára, hogy a WSUS-szal kommunikáljon a helyi szabályzaton keresztül, vagy „közvetlenül” a rendszerleíró adatbázis munkaállomás, vagy a szerver, amelynek állapotát naprakészen szeretnénk tartani. Lényegében a házirend nem más, mint egy interfész a rendszerleíró adatbázishoz.
Számos olyan körülmény létezik, amikor a munkaállomások és szerverek nem AD-kliensek, például:
Harmadik fél címtárszolgáltatásának használata, azonban az operációs rendszer alapú megoldásokat alkalmazásszerverként, fájlszerverként, kliens munkaállomásként használják. Microsoft rendszerek;
· Egy "vendég" zóna kiépítésének szükségessége, hogy "külső" felhasználók számára hozzáférést biztosítson az internethez;
· A vállalat elégtelen „érettsége”, ami miatt a központosított címtárszolgáltatás nem kerül kiépítésre, vagy a szolgáltatás iránti igény hiánya.
1. Szükséges a frissítési szolgáltatás elhelyezése az intraneten és a statisztikai szerveren, valamint a kliensek csoportokba osztása.
A rendszerleíró kulcsban
meg kell adnia annak a frissítési kiszolgálónak a címét vagy nevét, amelyhez az ügyfél csatlakozni fog, valamint a WSUS-kiszolgálóval való együttműködéshez kiválasztott portszámot. Az alapértelmezett a 80-as port.
"WUStatusServer"=http://192.168.1.100
Mivel az ügyfélszámítógépeket célcsoportokba kell helyezni, meg kell határoznunk, hogy a számítógép melyik célcsoportba kerüljön:
"TargetGroupEnabled"=dword:00000001
A mi változatunkban a célcsoport neve "WSUS-Test-WKS". Azon ügyfelek esetében, akiknek a célcsoport neve más lesz, ez a mező más értékre van állítva. A TargetGroupEnabled paraméter ebben az esetben ügyféloldali csoportelhelyezési vezérlést biztosít.
Ehhez a rendszerleíró kulcsban
"TargetGroup"="WSUS-Test-WKS"
"TargetGroupEnabled"=dword:00000001
"WUServer"="http://192.168.1.100"
"WUStatusServer"="http://192.168.1.100"
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000009
"UseWUServer"=dword:00000001
"RescheduleWaitTime"=dword:00000001
" NoAutoRebootWithLoggedOnUsers"=dword:00000000
A megadott fájl kézbesítésének és végrehajtásának biztosításával a csoportházirend igénybevétele nélkül konfigurálhatjuk a WSUS-kiszolgálóklienseket. A Windows Server Update Services 3.0 SP2 telepítési útmutatója tartalmazza a frissítési kiszolgálóval használható összes beállításjegyzék-változó leírását és azok lehetséges értékét.
A frissítőszerver biztonságának biztosítása érdekében érdemes követni néhány egyszerű ajánlást:
1. Ha biztonságos információcserét kell biztosítanunk az ügyfelek és a szerverek és/vagy a WSUS szerverek között, akkor lehetőség van az SSL protokoll használatára. Lásd: „WSUS biztonságossá tétele a Secure Sockets Layer segítségével” a Windows Server Update Services telepítési útmutatójában (). A szerverek közötti hálózati adatcsere hiányában az adatátvitel külső adathordozón keresztül történik. Alternatív mód védelem, amikor az SSL használata lehetetlen, az IPsec protokoll használata. Lásd: „Az IPsec-telepítés áttekintése” http://go.microsoft.com/fwlink/?LinkId=45154.
2. A Microsoft Update szolgáltatással szinkronizáló WSUS-kiszolgálót tűzfal mögé kell helyezni, és csak olyan gazdagépekre kell korlátozni, amelyeknek valóban szükségük van rá. Lásd: „A tűzfal konfigurálása” a Windows Server Update Services telepítési útmutatójában (http://go.microsoft.com/fwlink/?LinkId=79983).
3. Ami a fájlhozzáférést illeti, nem szabad megadnia redundáns engedélyek Az engedélyekkel kapcsolatos követelmények leírását tekintse meg a Windows Server Update Services telepítési útmutatójának (http://go.microsoft.com/fwlink/?LinkId=79983) „Mielőtt elkezdené” című részét.
4. Ha a frissítőszerver rendelkezik internet-hozzáféréssel (egyes esetekben nem biztos, hogy ez a helyzet, például a szinkronizálás egy másik WSUS-kiszolgálóval történik, amely rendelkezik ezzel a lehetőséggel), akkor ajánlatos az adatbázisát egy másik számítógépre helyezni, amely nem kívülről elérhető. Lásd: "B. függelék: Távoli SQL konfigurálása". az ablakok Kiszolgálófrissítési szolgáltatások telepítési útmutatója (http://go.microsoft.com/fwlink/?LinkId=79983).
5. A WSUS-kiszolgáló kezeléséhez célszerű a beépített WSUS-rendszergazdák csoportot használni, amely a telepítés során jön létre.
Leonyid Shapiro.
Bibliográfia.
Anita Taylor Windows Server Update Services 3.0 SP2 telepítési útmutató.
Anita Taylor Windows Server Update Services 3.0 SP2 Műveleti útmutató
[i]DMZ- demilitarizáltzóna
Itt nem mindenről van szó, csak az alapvető WSUS-kliens konfigurációs lehetőségekről.
Megadhatja a kívánt szerverek elérési útját vagy a cím használatával, amit a fenti példában tettünk, vagy a szervernév használatával, miközben lehetőséget biztosít a kiszolgálónév IP-címre való feloldására.
Ez a tesztcsoport absztrakt neve.
Az automatikus frissítés bármelyik fontos jellemzője operációs rendszer. Ennek köszönhetően a számítógép időben megkapja a fontos frissítéseket, ami stabilabbá és biztonságosabbá teszi a rendszert. A Windows 7 rendszerben ez a funkció alapértelmezés szerint engedélyezve van. Ez azt jelenti, hogy ha van kapcsolat a Microsoft szerverekkel, a frissítési szolgáltatás ellenőrzi, hogy vannak-e friss csomagok, letölti és telepíti. Általában az összes folyamat gyakorlatilag észrevétlenül megy végbe a felhasználó számára, de ha folyamatosan érkeznek ajánlatok a 10-re való frissítésre, az már túl sok.
Elméletileg letiltva automatikus letöltés nem érdemes frissíteni. Hasznos, mert bezárja a biztonsági réseket, optimalizálja az OS működését, új funkciókkal egészíti ki (a „tízesek” tekintetében). Van egy lista az okokról is, amelyek miatt le kell tiltani az automatikus frissítési szolgáltatást:
- A felhasználónak nem tetszik, hogy a frissítés során az internet sebessége csökken, és/vagy a számítógépet nem lehet hosszú ideig kikapcsolni.
- Drága vagy korlátozott vezeték nélküli internet a számítógépen.
- Problémák a frissített operációs rendszer futtatása után.
- Hibák a frissítőcsomagok telepítése során.
- Nincs elég hely a rendszerköteten ahhoz, hogy a Windows 7 minden frissítéssel növekedjen.
Fajták
Mindazonáltal a Windows 7 frissítés letiltása előtt gondolja át, hogy valóban szükséges-e. A szolgáltatás kikapcsolása mellett az alábbi üzemmódokra kapcsolható.
- Teljesen automatikus - a műveletek felhasználói beavatkozás nélkül mennek végbe, csak az utóbbit értesítik a csomagok telepítésének befejezéséről.
- A friss javítások ütemezett keresése és letöltése, a csomagok telepítését pedig a felhasználó végzi.
- Automatikus ellenőrzés, hogy értesítse a felhasználót, ha frissítések állnak rendelkezésre.
- Az önfrissítés le van tiltva. Minden kézzel történik.
A paraméterek kiválasztása a Frissítési központ összetevőben történik.
Leállítási módszerek
Beállítások bármilyen Windows a rendszerleíró adatbázisában tárolják. A frissítési központ beállításaiért felelős kulcshoz több egyszerű és néhány bonyolultabb módon is hozzáférhet. Tekintsük mindegyiket.
Frissítési központ beállításainak módosítása
Kezdjük azzal, hogy beállítjuk magunknak a szolgáltatást. A konfigurációs felület eléréséhez meg kell nyitnia a "Frissítési központot" a következő módok egyikén.
Rendszer
- Keresztül helyi menü A számítógépem, hívja "Tulajdonságok"-nak.
- Balra függőleges menü kattintson a megfelelő hivatkozásra az ablak alján.
- Lépünk a "Vezérlőpultra".
- Nyissa meg a „Rendszer, biztonság” részt.
- Az azonos nevű elemet hívjuk.
Ha a vezérlőpanel elemei kategóriák helyett ikonokként jelennek meg, akkor az elemre mutató hivatkozás már a főablakban megjelenik.
- Tehát, miután megütötte a kívánt ablakot, kattintson a "Beállítások" gombra.
- Lépjünk a „Fontos frissítések” részre, és válasszuk ki a megfelelő lehetőséget a legördülő listából.
Csak a szolgáltatás leállítása segít teljesen kikapcsolni a frissítések fogadását Windows 7 rendszerű számítógépen.
Kapcsolja ki a szolgáltatást
A "hét" szolgáltatásainak kezelése a következő módon történik:
- a rendszerleíró kulcsok közvetlen szerkesztése, ami nagyon kényelmetlen;
- harmadik féltől származó programok az operációs rendszer beállításához (ezt az opciót kihagyjuk);
- csattan MMC konzolok;
- rendszerbeállítások;
- parancs sor;
- Csoportházirend-szerkesztő (jelen van a Windows 7 Ultimate, Corporate rendszerben).
Szolgáltatás eltávolítása az indításból
A frissítések letiltása leggyorsabban a rendszerkonfigurátoron keresztül történik.
- A parancsértelmező ablakban végrehajtjuk az "msconfig" parancsot, amely a Win + R billentyűk lenyomása vagy a "Futtatás" gombra való kattintás után nyílik meg.
- Lépjen a "Szolgáltatások" fülre.
- Keresse meg a "Windows Update" elemet (talán Windows Update), és távolítsa el a mellette lévő zászlót.
- Mentjük az új beállításokat.
Az aktuális munkamenet végéig a szolgáltatás működik, megfelelően ellátja a hozzá rendelt feladatokat. Alkalmazáshoz új konfiguráció A Windows 7-et újra kell indítani.
Használjuk az MMC konzol beépülő modulját
Az azonos nevű rendszerkonzol beépülő modul hozzáférést biztosít a számítógépen található összes szolgáltatás kezeléséhez. Így indul.
- Nyissa meg a "Sajátgép" könyvtár helyi menüjét.
- A "Control" parancsot hívjuk.
- A bal oldali függőleges menüben bontsa ki a „Szolgáltatások és alkalmazások” elemet. Ezután kattintson a "Szolgáltatások" linkre.
Ugyanazon ablak meghívásának egyszerűbb módja a „services.msc” parancs futtatása a „Futtatás” párbeszédpanelen keresztül.
- Végiggörgetjük a szolgáltatások listáját, és megnyitjuk a Windows Update szolgáltatás "Tulajdonságait".
- Az „Indítási típus” legördülő listában válassza a „Letiltva” lehetőséget az „Automatikus” helyett, hogy elköszönjön automatikus frissítésörökké. Ha most le kell tiltania a szolgáltatást, feltétlenül kattintson a "Leállítás" gombra. Mentse el az új beállításokat az "Alkalmaz" gombbal, és zárja be az összes ablakot.
A beállítások alkalmazásához nem kell újraindítani a számítógépet.
Csoportházirend-szerkesztő
Egy másik MMC beépülő modul, a Csoportos Helyi házirend-szerkesztő segít a rendszerbeállítások konfigurálásában.
A "hét" hazai kiadásában nem kapható!
- Az eszköz a "gpedit.msc" parancs futtatásával indítható el a "Futtatás" ablakban.
- A "PC konfiguráció" alszakaszban bontsa ki a "Felügyeleti sablonok" ágat.
- Nyitunk " Windows-összetevők"és frissítési központot keresek.
- Az ablak jobb oldalán találjuk a paramétert, melynek neve "Automatikus frissítés beállítása"-val kezdődik.
- A beállításokat hívjuk.
- Mozgassa a jelölőnégyzetet a "Letiltás" pozícióba, majd kattintson az "OK" gombra az ablak bezárásához és a módosítások mentéséhez.
Használjuk a parancssort
A parancssoron keresztül ugyanazokat a műveleteket hajtják végre, mint a grafikus felületen, és még többet is, de szöveges módban. A lényeg az, hogy ismerjük a szintaxisukat és a paramétereiket.
A "cmd" parancs felelős a parancssor meghívásáért.
- Nyisson meg egy parancsértelmezőt, és futtassa.
Üdvözlök mindenkit, még egy megjegyzés magamnak, nevezetesen a Windows Update szerverek listája. Miért lehet ez hasznos például akkor, ha hibaüzenetet kapott a Frissítés nem található a WSUS szerepkör telepítésekor, vagy fordítva, valamilyen okból ki akarja tiltani őket, hogy megmentse a forgalmat, ha nincs WSUS, mivel nem minden frissítés az ablakok jókés főleg a modern változataiban szerintem nincs értelme emlékeztetni a hibára, bár ez a lista nagyon sokáig folytatható. Az ok nem fontos, a lényeg az, hogy tudjuk, mi ez, és hogyan kell vele dolgozni. Az alábbiakban bemutatom a szervercímek kitiltásának módszereit. Microsoft frissítések, univerzális, alkalmas egyetlen számítógépre és a vállalaton belüli központosított kezelésre.
Miért nem települnek a Windows frissítések?
Itt van egy képernyőkép a hibáról, ha nem áll rendelkezésére a Microsoft frissítési kiszolgálójának címe. Mint látható, a hiba nem túl informatív. A WSUS szerepkört viselő szerveren kapom meg, aki nem emlékszik, mi az, akkor ez helyi központ frissítéseket a vállalatoknak, a forgalom megtakarítása érdekében, és itt nem telepítik a Windows frissítéseket a Microsoft szerverek elérhetetlensége miatt.
Mi a teendő, ha a Windows frissítések nincsenek telepítve
- Mindenekelőtt ellenőriznie kell, hogy van-e internetje, mivel ez a legtöbb ember számára kötelező, kivéve természetesen, ha van Active Directory tartománya, és letölti azokat a WSUS-ról.
- Továbbá, ha elérhető az internet, megnézzük a hibakódot, mivel azon kell információkat keresnünk a probléma megoldásáról (a közelmúltbeli problémákból tudok példát mondani a 0x80070422 vagy a c1900101 hiba megoldására) , de a lista is nagyon sokáig megőrizhető.
- Proxyszerverünkön ellenőrizzük, hogy van-e tiltva a Microsoft frissítési szerverének ilyen címe.
A Microsoft frissítési kiszolgálóinak listája
- http://windowsupdate.microsoft.com
- http://*.windowsupdate.microsoft.com
- https://*.windowsupdate.microsoft.com
- http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
- http://*.update.microsoft.com
- https://*.update.microsoft.com
- http://*.windowsupdate.com
- https://activation.sls.microsoft.com/
- http://download.windowsupdate.com
- http://download.microsoft.com
- http://*.download.windowsupdate.com
- http://wustat.windows.com
- http://ntservicepack.microsoft.com
- https://go.microsoft.com/
- http://go.microsoft.com/
- https://login.live.com
- https://validation.sls.microsoft.com/
- https://activation-v2.sls.microsoft.com/
- https://validation-v2.sls.microsoft.com/
- https://displaycatalog.mp.microsoft.com/
- https://licensing.mp.microsoft.com/
- https://purchase.mp.microsoft.com/
- https://displaycatalog.md.mp.microsoft.com/
- https://licensing.md.mp.microsoft.com/
- https://purchase.md.mp.microsoft.com/