A Windows frissítés forrása a rendszerleíró adatbázison keresztül. A frissítések időben történő telepítésének biztosítása a munkacsoportokban

A Windows frissítés forrása a rendszerleíró adatbázison keresztül. A frissítések időben történő telepítésének biztosítása a munkacsoportokban
A Windows frissítés forrása a rendszerleíró adatbázison keresztül. A frissítések időben történő telepítésének biztosítása a munkacsoportokban
10.05.2021

A számítógépes rendszerbiztonsági problémák megoldása során a problémák egész sorát kell figyelembe venni, amelyek közül az egyik az operációs rendszerek és szoftverek időben történő frissítése.

Bevezetés

Az operációs rendszerek és szoftverek naprakészen tartása érdekében tájékoztatási rendszer a vállalatoknak rendszeresen frissíteniük kell azokat. Ezeket a műveleteket a Microsoft Update webhelyről minden ügyfélszámítógép vagy a kiszolgáló(k) segítségével hajthatja végre. Windows Server Frissítési szolgáltatások (WSUS). Ha már arról beszélünk vállalati hálózat, az ajánlott lehetőség egy WSUS-kiszolgáló használata. A fent említett szolgáltatással való munka során jelentős internetes forgalom csökkenés érhető el, és lehetőség nyílik a Microsofttól kapott rendszer- és szoftverjavítások telepítési folyamatának központi felügyeletére.

Szeretném továbbá megjegyezni, hogy 2011. március 23-án a Microsoft bejelentette egy új termék, a „Windows Intune” megjelenését, melynek egyik funkciója azon feladatok elvégzése lesz, amelyekért korábban a WSUS volt felelős.

Az ügyfélszámítógépek frissítéséhez a következőket kell tennie:

1. Tervezze meg a megoldást

2. Telepítse a WSUS szervert/szervereket;

3. Biztosítsa a WSUS-kiszolgáló rendszeres szinkronizálását a Microsoft Update erőforrással;

4. Állítsa be a WSUS szerver/szerverek paramétereit;

5. Hozzon létre célcsoportokat, és helyezze el az ügyfélszámítógépeket a célcsoportokba a WSUS-kiszolgálón.

6. Konfigurálja az ügyfeleket WSUS-kiszolgálók használatára;

7. Gondoskodjon a WSUS-kiszolgáló/szerverek biztonságáról.

Ebben a cikkben nem vesszük figyelembe a tervezés és a telepítés, a szinkronizálás szakaszait, hanem az ügyfelek konfigurálására és a WSUS-kiszolgáló biztonságára összpontosítunk.

Frissítőkiszolgáló-ügyfelek konfigurálása csoportházirendek használata nélkül

Háromféleképpen konfigurálhatja az ügyfeleket WSUS-kiszolgáló használatára:

  1. Csoportházirend használata;
  2. Használat helyi politika számítógép;
  3. Közvetlen változások az ügyfélállomások nyilvántartásában.

A legjobb módszer a csoportházirend-objektumok használata, lásd az ábrát. 1 leképezve a kívánt AD (Windows 2003 rendszerhez) vagy AD DS (Windows 2008 rendszerhez) tárolóhoz, de ez a lehetőség csak akkor érhető el, ha a szervezetben van telepítve címtárszolgáltatás Active Directory. A felügyeleti kiszolgálóval való interakció konfigurálásához és az ügyfélfrissítési eljárások kezeléséhez szükséges csoportházirend-képességek teljes mértékben megfelelnek a rendszergazdák igényeinek. Amit az ábra megtekintésével ellenőrizhetünk. 1. Lista elérhető beállítások elég széles.

Rizs. 1. A WSUS kliens beállításai.

Ha a címtárszolgáltatás nincs telepítve a szervezetben, akkor engedélyezheti az ügyfél számára, hogy a WSUS-szal kommunikáljon a helyi szabályzaton keresztül, vagy „közvetlenül” a rendszerleíró adatbázis munkaállomás, vagy a szerver, amelynek állapotát naprakészen szeretnénk tartani. Lényegében a házirend nem más, mint egy interfész a rendszerleíró adatbázishoz.

Számos olyan körülmény létezik, amikor a munkaállomások és szerverek nem AD-kliensek, például:

Harmadik fél címtárszolgáltatásának használata, azonban az operációs rendszer alapú megoldásokat alkalmazásszerverként, fájlszerverként, kliens munkaállomásként használják. Microsoft rendszerek;

· Egy "vendég" zóna kiépítésének szükségessége, hogy "külső" felhasználók számára hozzáférést biztosítson az internethez;

· A vállalat elégtelen „érettsége”, ami miatt a központosított címtárszolgáltatás nem kerül kiépítésre, vagy a szolgáltatás iránti igény hiánya.

1. Szükséges a frissítési szolgáltatás elhelyezése az intraneten és a statisztikai szerveren, valamint a kliensek csoportokba osztása.

A rendszerleíró kulcsban

meg kell adnia annak a frissítési kiszolgálónak a címét vagy nevét, amelyhez az ügyfél csatlakozni fog, valamint a WSUS-kiszolgálóval való együttműködéshez kiválasztott portszámot. Az alapértelmezett a 80-as port.

"WUStatusServer"=http://192.168.1.100

Mivel az ügyfélszámítógépeket célcsoportokba kell helyezni, meg kell határoznunk, hogy a számítógép melyik célcsoportba kerüljön:

"TargetGroupEnabled"=dword:00000001

A mi változatunkban a célcsoport neve "WSUS-Test-WKS". Azon ügyfelek esetében, akiknek a célcsoport neve más lesz, ez a mező más értékre van állítva. A TargetGroupEnabled paraméter ebben az esetben ügyféloldali csoportelhelyezési vezérlést biztosít.

Ehhez a rendszerleíró kulcsban

"TargetGroup"="WSUS-Test-WKS"

"TargetGroupEnabled"=dword:00000001

"WUServer"="http://192.168.1.100"

"WUStatusServer"="http://192.168.1.100"

"NoAutoUpdate"=dword:00000000

"AUOptions"=dword:00000004

"ScheduledInstallDay"=dword:00000000

"ScheduledInstallTime"=dword:00000009

"UseWUServer"=dword:00000001

"RescheduleWaitTime"=dword:00000001

" NoAutoRebootWithLoggedOnUsers"=dword:00000000

A megadott fájl kézbesítésének és végrehajtásának biztosításával a csoportházirend igénybevétele nélkül konfigurálhatjuk a WSUS-kiszolgálóklienseket. A Windows Server Update Services 3.0 SP2 telepítési útmutatója tartalmazza a frissítési kiszolgálóval használható összes beállításjegyzék-változó leírását és azok lehetséges értékét.

A frissítőszerver biztonságának biztosítása érdekében érdemes követni néhány egyszerű ajánlást:

1. Ha biztonságos információcserét kell biztosítanunk az ügyfelek és a szerverek és/vagy a WSUS szerverek között, akkor lehetőség van az SSL protokoll használatára. Lásd: „WSUS biztonságossá tétele a Secure Sockets Layer segítségével” a Windows Server Update Services telepítési útmutatójában (). A szerverek közötti hálózati adatcsere hiányában az adatátvitel külső adathordozón keresztül történik. Alternatív mód védelem, amikor az SSL használata lehetetlen, az IPsec protokoll használata. Lásd: „Az IPsec-telepítés áttekintése” http://go.microsoft.com/fwlink/?LinkId=45154.

2. A Microsoft Update szolgáltatással szinkronizáló WSUS-kiszolgálót tűzfal mögé kell helyezni, és csak olyan gazdagépekre kell korlátozni, amelyeknek valóban szükségük van rá. Lásd: „A tűzfal konfigurálása” a Windows Server Update Services telepítési útmutatójában (http://go.microsoft.com/fwlink/?LinkId=79983).

3. Ami a fájlhozzáférést illeti, nem szabad megadnia redundáns engedélyek Az engedélyekkel kapcsolatos követelmények leírását tekintse meg a Windows Server Update Services telepítési útmutatójának (http://go.microsoft.com/fwlink/?LinkId=79983) „Mielőtt elkezdené” című részét.

4. Ha a frissítőszerver rendelkezik internet-hozzáféréssel (egyes esetekben nem biztos, hogy ez a helyzet, például a szinkronizálás egy másik WSUS-kiszolgálóval történik, amely rendelkezik ezzel a lehetőséggel), akkor ajánlatos az adatbázisát egy másik számítógépre helyezni, amely nem kívülről elérhető. Lásd: "B. függelék: Távoli SQL konfigurálása". az ablakok Kiszolgálófrissítési szolgáltatások telepítési útmutatója (http://go.microsoft.com/fwlink/?LinkId=79983).

5. A WSUS-kiszolgáló kezeléséhez célszerű a beépített WSUS-rendszergazdák csoportot használni, amely a telepítés során jön létre.

Leonyid Shapiro.

Bibliográfia.

Anita Taylor Windows Server Update Services 3.0 SP2 telepítési útmutató.

Anita Taylor Windows Server Update Services 3.0 SP2 Műveleti útmutató

[i]DMZ- demilitarizáltzóna

Itt nem mindenről van szó, csak az alapvető WSUS-kliens konfigurációs lehetőségekről.

Megadhatja a kívánt szerverek elérési útját vagy a cím használatával, amit a fenti példában tettünk, vagy a szervernév használatával, miközben lehetőséget biztosít a kiszolgálónév IP-címre való feloldására.

Ez a tesztcsoport absztrakt neve.

Az automatikus frissítés bármelyik fontos jellemzője operációs rendszer. Ennek köszönhetően a számítógép időben megkapja a fontos frissítéseket, ami stabilabbá és biztonságosabbá teszi a rendszert. A Windows 7 rendszerben ez a funkció alapértelmezés szerint engedélyezve van. Ez azt jelenti, hogy ha van kapcsolat a Microsoft szerverekkel, a frissítési szolgáltatás ellenőrzi, hogy vannak-e friss csomagok, letölti és telepíti. Általában az összes folyamat gyakorlatilag észrevétlenül megy végbe a felhasználó számára, de ha folyamatosan érkeznek ajánlatok a 10-re való frissítésre, az már túl sok.

Elméletileg letiltva automatikus letöltés nem érdemes frissíteni. Hasznos, mert bezárja a biztonsági réseket, optimalizálja az OS működését, új funkciókkal egészíti ki (a „tízesek” tekintetében). Van egy lista az okokról is, amelyek miatt le kell tiltani az automatikus frissítési szolgáltatást:

  1. A felhasználónak nem tetszik, hogy a frissítés során az internet sebessége csökken, és/vagy a számítógépet nem lehet hosszú ideig kikapcsolni.
  2. Drága vagy korlátozott vezeték nélküli internet a számítógépen.
  3. Problémák a frissített operációs rendszer futtatása után.
  4. Hibák a frissítőcsomagok telepítése során.
  5. Nincs elég hely a rendszerköteten ahhoz, hogy a Windows 7 minden frissítéssel növekedjen.

Fajták

Mindazonáltal a Windows 7 frissítés letiltása előtt gondolja át, hogy valóban szükséges-e. A szolgáltatás kikapcsolása mellett az alábbi üzemmódokra kapcsolható.

  1. Teljesen automatikus - a műveletek felhasználói beavatkozás nélkül mennek végbe, csak az utóbbit értesítik a csomagok telepítésének befejezéséről.
  2. A friss javítások ütemezett keresése és letöltése, a csomagok telepítését pedig a felhasználó végzi.
  3. Automatikus ellenőrzés, hogy értesítse a felhasználót, ha frissítések állnak rendelkezésre.
  4. Az önfrissítés le van tiltva. Minden kézzel történik.

A paraméterek kiválasztása a Frissítési központ összetevőben történik.

Leállítási módszerek

Beállítások bármilyen Windows a rendszerleíró adatbázisában tárolják. A frissítési központ beállításaiért felelős kulcshoz több egyszerű és néhány bonyolultabb módon is hozzáférhet. Tekintsük mindegyiket.

Frissítési központ beállításainak módosítása

Kezdjük azzal, hogy beállítjuk magunknak a szolgáltatást. A konfigurációs felület eléréséhez meg kell nyitnia a "Frissítési központot" a következő módok egyikén.

Rendszer

  1. Keresztül helyi menü A számítógépem, hívja "Tulajdonságok"-nak.
  1. Balra függőleges menü kattintson a megfelelő hivatkozásra az ablak alján.

  1. Lépünk a "Vezérlőpultra".
  2. Nyissa meg a „Rendszer, biztonság” részt.
  1. Az azonos nevű elemet hívjuk.

Ha a vezérlőpanel elemei kategóriák helyett ikonokként jelennek meg, akkor az elemre mutató hivatkozás már a főablakban megjelenik.

  1. Tehát, miután megütötte a kívánt ablakot, kattintson a "Beállítások" gombra.
  1. Lépjünk a „Fontos frissítések” részre, és válasszuk ki a megfelelő lehetőséget a legördülő listából.

Csak a szolgáltatás leállítása segít teljesen kikapcsolni a frissítések fogadását Windows 7 rendszerű számítógépen.

Kapcsolja ki a szolgáltatást

A "hét" szolgáltatásainak kezelése a következő módon történik:

  • a rendszerleíró kulcsok közvetlen szerkesztése, ami nagyon kényelmetlen;
  • harmadik féltől származó programok az operációs rendszer beállításához (ezt az opciót kihagyjuk);
  • csattan MMC konzolok;
  • rendszerbeállítások;
  • parancs sor;
  • Csoportházirend-szerkesztő (jelen van a Windows 7 Ultimate, Corporate rendszerben).

Szolgáltatás eltávolítása az indításból

A frissítések letiltása leggyorsabban a rendszerkonfigurátoron keresztül történik.

  1. A parancsértelmező ablakban végrehajtjuk az "msconfig" parancsot, amely a Win + R billentyűk lenyomása vagy a "Futtatás" gombra való kattintás után nyílik meg.
  1. Lépjen a "Szolgáltatások" fülre.
  2. Keresse meg a "Windows Update" elemet (talán Windows Update), és távolítsa el a mellette lévő zászlót.
  1. Mentjük az új beállításokat.

Az aktuális munkamenet végéig a szolgáltatás működik, megfelelően ellátja a hozzá rendelt feladatokat. Alkalmazáshoz új konfiguráció A Windows 7-et újra kell indítani.

Használjuk az MMC konzol beépülő modulját

Az azonos nevű rendszerkonzol beépülő modul hozzáférést biztosít a számítógépen található összes szolgáltatás kezeléséhez. Így indul.

  1. Nyissa meg a "Sajátgép" könyvtár helyi menüjét.
  2. A "Control" parancsot hívjuk.
  1. A bal oldali függőleges menüben bontsa ki a „Szolgáltatások és alkalmazások” elemet. Ezután kattintson a "Szolgáltatások" linkre.

Ugyanazon ablak meghívásának egyszerűbb módja a „services.msc” parancs futtatása a „Futtatás” párbeszédpanelen keresztül.

  1. Végiggörgetjük a szolgáltatások listáját, és megnyitjuk a Windows Update szolgáltatás "Tulajdonságait".
  1. Az „Indítási típus” legördülő listában válassza a „Letiltva” lehetőséget az „Automatikus” helyett, hogy elköszönjön automatikus frissítésörökké. Ha most le kell tiltania a szolgáltatást, feltétlenül kattintson a "Leállítás" gombra. Mentse el az új beállításokat az "Alkalmaz" gombbal, és zárja be az összes ablakot.

A beállítások alkalmazásához nem kell újraindítani a számítógépet.

Csoportházirend-szerkesztő

Egy másik MMC beépülő modul, a Csoportos Helyi házirend-szerkesztő segít a rendszerbeállítások konfigurálásában.

A "hét" hazai kiadásában nem kapható!

  1. Az eszköz a "gpedit.msc" parancs futtatásával indítható el a "Futtatás" ablakban.
  1. A "PC konfiguráció" alszakaszban bontsa ki a "Felügyeleti sablonok" ágat.
  1. Nyitunk " Windows-összetevők"és frissítési központot keresek.
  2. Az ablak jobb oldalán találjuk a paramétert, melynek neve "Automatikus frissítés beállítása"-val kezdődik.
  3. A beállításokat hívjuk.
  1. Mozgassa a jelölőnégyzetet a "Letiltás" pozícióba, majd kattintson az "OK" gombra az ablak bezárásához és a módosítások mentéséhez.

Használjuk a parancssort

A parancssoron keresztül ugyanazokat a műveleteket hajtják végre, mint a grafikus felületen, és még többet is, de szöveges módban. A lényeg az, hogy ismerjük a szintaxisukat és a paramétereiket.

A "cmd" parancs felelős a parancssor meghívásáért.

  1. Nyisson meg egy parancsértelmezőt, és futtassa.


Üdvözlök mindenkit, még egy megjegyzés magamnak, nevezetesen a Windows Update szerverek listája. Miért lehet ez hasznos például akkor, ha hibaüzenetet kapott a Frissítés nem található a WSUS szerepkör telepítésekor, vagy fordítva, valamilyen okból ki akarja tiltani őket, hogy megmentse a forgalmat, ha nincs WSUS, mivel nem minden frissítés az ablakok jókés főleg a modern változataiban szerintem nincs értelme emlékeztetni a hibára, bár ez a lista nagyon sokáig folytatható. Az ok nem fontos, a lényeg az, hogy tudjuk, mi ez, és hogyan kell vele dolgozni. Az alábbiakban bemutatom a szervercímek kitiltásának módszereit. Microsoft frissítések, univerzális, alkalmas egyetlen számítógépre és a vállalaton belüli központosított kezelésre.

Miért nem települnek a Windows frissítések?

Itt van egy képernyőkép a hibáról, ha nem áll rendelkezésére a Microsoft frissítési kiszolgálójának címe. Mint látható, a hiba nem túl informatív. A WSUS szerepkört viselő szerveren kapom meg, aki nem emlékszik, mi az, akkor ez helyi központ frissítéseket a vállalatoknak, a forgalom megtakarítása érdekében, és itt nem telepítik a Windows frissítéseket a Microsoft szerverek elérhetetlensége miatt.

Mi a teendő, ha a Windows frissítések nincsenek telepítve

  • Mindenekelőtt ellenőriznie kell, hogy van-e internetje, mivel ez a legtöbb ember számára kötelező, kivéve természetesen, ha van Active Directory tartománya, és letölti azokat a WSUS-ról.
  • Továbbá, ha elérhető az internet, megnézzük a hibakódot, mivel azon kell információkat keresnünk a probléma megoldásáról (a közelmúltbeli problémákból tudok példát mondani a 0x80070422 vagy a c1900101 hiba megoldására) , de a lista is nagyon sokáig megőrizhető.
  • Proxyszerverünkön ellenőrizzük, hogy van-e tiltva a Microsoft frissítési szerverének ilyen címe.

A Microsoft frissítési kiszolgálóinak listája

  1. http://windowsupdate.microsoft.com
  2. http://*.windowsupdate.microsoft.com
  3. https://*.windowsupdate.microsoft.com
  4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
  5. http://*.update.microsoft.com
  6. https://*.update.microsoft.com
  7. http://*.windowsupdate.com
  8. https://activation.sls.microsoft.com/
  9. http://download.windowsupdate.com
  10. http://download.microsoft.com
  11. http://*.download.windowsupdate.com
  12. http://wustat.windows.com
  13. http://ntservicepack.microsoft.com
  14. https://go.microsoft.com/
  15. http://go.microsoft.com/
  16. https://login.live.com
  17. https://validation.sls.microsoft.com/
  18. https://activation-v2.sls.microsoft.com/
  19. https://validation-v2.sls.microsoft.com/
  20. https://displaycatalog.mp.microsoft.com/
  21. https://licensing.mp.microsoft.com/
  22. https://purchase.mp.microsoft.com/
  23. https://displaycatalog.md.mp.microsoft.com/
  24. https://licensing.md.mp.microsoft.com/
  25. https://purchase.md.mp.microsoft.com/