Sumber pembaruan Windows melalui registri. Memastikan instalasi pembaruan tepat waktu di kelompok kerja

Sumber pembaruan Windows melalui registri. Memastikan instalasi pembaruan tepat waktu di kelompok kerja
Sumber pembaruan Windows melalui registri. Memastikan instalasi pembaruan tepat waktu di kelompok kerja
10.05.2021

Saat memecahkan masalah keamanan sistem komputer, kita harus memperhitungkan berbagai macam masalah, salah satunya adalah pembaruan sistem operasi dan perangkat lunak secara tepat waktu.

Perkenalan

Untuk selalu memperbarui sistem operasi dan perangkat lunak sistem informasi perusahaan harus memperbaruinya secara teratur. Tindakan ini dapat dilakukan dari situs Pembaruan Microsoft oleh setiap komputer klien atau melalui penggunaan server/server Server Windows Layanan Pembaruan (WSUS). Jika kita berbicara tentang jaringan perusahaan, maka opsi yang disarankan adalah menggunakan server WSUS. Saat bekerja dengan layanan yang disebutkan di atas, pengurangan lalu lintas Internet yang signifikan tercapai dan kemampuan untuk mengelola proses penerapan patch sistem dan perangkat lunak yang diterima dari Microsoft secara terpusat disediakan.

Saya juga ingin mencatat bahwa pada tanggal 23 Maret 2011, Microsoft mengumumkan peluncuran produk baru "Windows Intune", salah satu fungsinya adalah untuk melakukan tugas-tugas yang sebelumnya menjadi tanggung jawab WSUS.

Untuk memastikan bahwa komputer klien dapat diperbarui, Anda harus:

1. Rancang solusinya

2. Menyebarkan server/server WSUS;

3. Pastikan sinkronisasi reguler server WSUS dengan sumber daya Pembaruan Microsoft;

4. Konfigurasikan parameter operasi server/server WSUS;

5. Buat grup target dan tempatkan komputer klien dalam grup target di server WSUS.

6. Konfigurasikan klien untuk menggunakan server WSUS;

7. Pastikan keamanan server/server WSUS.

Pada artikel ini, kami tidak membahas tahapan desain dan penerapan, sinkronisasi; kami akan membahas tentang pengaturan klien dan memastikan keamanan server WSUS.

Mengonfigurasi klien server pembaruan tanpa menggunakan kebijakan kelompok

Ada tiga cara untuk mengonfigurasi klien agar menggunakan server WSUS:

  1. Menggunakan Kebijakan Grup;
  2. Penggunaan politik lokal komputer;
  3. Perubahan langsung pada daftar stasiun klien.

Cara terbaik adalah dengan menggunakan Objek Kebijakan Grup, lihat gambar. 1 terkait dengan kontainer AD (Windows 2003) atau AD DS (Windows 2008) yang diperlukan, namun opsi ini hanya tersedia jika organisasi Anda memiliki layanan direktori yang disebarkan Direktori Aktif. Kemampuan Kebijakan Grup untuk mengatur interaksi dengan server manajemen dan mengelola prosedur pembaruan klien sepenuhnya memenuhi kebutuhan administrator. Apa yang dapat kita verifikasi dengan melihat Gambar. 1. Daftar pengaturan yang tersedia cukup luas.

Beras. 1. Pengaturan klien WSUS.

Jika layanan direktori tidak diterapkan dalam organisasi, maka kemampuan klien untuk berinteraksi dengan WSUS dapat dicapai baik melalui kebijakan lokal atau dengan membuat perubahan “langsung” pada registri sistem stasiun kerja, atau server yang statusnya ingin kami pastikan mutakhir. Intinya, kebijakan tidak lebih dari sebuah antarmuka ke registri.

Keadaan di mana stasiun kerja dan server bukan klien AD dapat muncul dalam berbagai kasus, misalnya:

· Penggunaan layanan direktori pihak ketiga, namun solusi berdasarkan sistem operasi digunakan sebagai server aplikasi, server file, stasiun kerja klien sistem Microsoft;

· Kebutuhan untuk membangun zona “tamu” untuk memberikan akses kepada pengguna “eksternal” ke Internet;

· Kurangnya kematangan perusahaan, karena layanan direktori terpusat belum diterapkan, atau kurangnya kebutuhan akan layanan ini.

1. Penting untuk meng-host layanan pembaruan di intranet dan server statistik, serta mendistribusikan klien ke dalam kelompok.

Di bagian registri

Anda perlu menentukan alamat atau nama server pembaruan yang akan dihubungkan dengan klien dan nomor port yang dipilih untuk bekerja dengan server WSUS. Secara default, port 80 diasumsikan.

"WUSstatusServer"=http://192.168.1.100

Karena diperlukan untuk menempatkan komputer klien ke dalam kelompok sasaran, kita harus menunjukkan di kelompok sasaran mana komputer tersebut harus ditempatkan:

"TargetGroupEnabled"=kata sandi:00000001

Dalam versi kami, kelompok sasaran disebut “WSUS-Test-WKS”. Untuk klien yang nama grup targetnya berbeda, bidang ini akan memiliki nilai berbeda. Parameter TargetGroupEnabled dalam hal ini memberikan kontrol penempatan dalam grup dari sisi klien.

Untuk melakukan ini, di bagian registri

"TargetGroup"="WSUS-Uji-WKS"

"TargetGroupEnabled"=kata sandi:00000001

"WUServer"="http://192.168.1.100"

"WUSstatusServer"="http://192.168.1.100"

"Tanpa Pembaruan Otomatis"=kata sandi:00000000

"Pilihan AU"=kata sandi:00000004

"Hari Pemasangan Terjadwal"=kata:00000000

"Waktu Pemasangan Terjadwal"=kata kunci:00000009

"GunakanWUServer"=kata sandi:00000001

"Jadwalkan UlangWaktu Tunggu"=kata sandi:00000001

" NoAutoRebootWithLoggedOnUsers"=kata sandi:00000000

Dengan memastikan bahwa file yang ditentukan dikirimkan dan dijalankan, kami dapat mengonfigurasi klien server WSUS tanpa menggunakan kebijakan grup. Deskripsi semua variabel registri yang dapat digunakan untuk bekerja dengan server pembaruan dan kemungkinan nilainya disediakan dalam Panduan Penerapan Layanan Pembaruan Windows Server 3.0 SP2.

Untuk memastikan keamanan server pembaruan itu sendiri, sebaiknya ikuti sejumlah rekomendasi sederhana:

1. Jika kita perlu memastikan pertukaran informasi yang aman antara klien dan server dan/atau antara server WSUS, maka protokol SSL dapat digunakan. Lihat "Mengamankan WSUS dengan Lapisan Soket Aman" di Panduan Penerapan Layanan Pembaruan Server Windows (). Dengan tidak adanya pertukaran jaringan antar server, transfer data dipastikan menggunakan media eksternal. Cara alternatif perlindungan jika tidak memungkinkan menggunakan SSL adalah dengan menggunakan protokol IPSec. Lihat "Ikhtisar Penerapan IPsec" http://go.microsoft.com/fwlink/?LinkId=45154.

2. Server WSUS yang melakukan sinkronisasi dengan Pembaruan Microsoft harus ditempatkan di belakang firewall dan hanya dapat diakses oleh host yang benar-benar membutuhkannya. Lihat "Konfigurasi Firewall" di Panduan Penerapan Layanan Pembaruan Server Windows (http://go.microsoft.com/fwlink/?LinkId=79983).

3. Sedangkan untuk akses file, sebaiknya tidak disediakan izin berlebihan sumber daya, lihat bagian “Sebelum Anda Mulai” di Panduan Penerapan Layanan Pembaruan Server Windows (http://go.microsoft.com/fwlink/?LinkId=79983) untuk deskripsi persyaratan hak akses.

4. Jika server pembaruan memiliki akses ke Internet (dalam beberapa kasus hal ini mungkin tidak terjadi, misalnya sinkronisasi dilakukan dengan server WSUS lain yang memiliki kemampuan ini), maka disarankan untuk menempatkan databasenya di komputer lain , yang tidak dapat diakses dari luar. Lihat "Lampiran B: Konfigurasikan SQL Jarak Jauh" di jendela Panduan Penerapan Layanan Pembaruan Server (http://go.microsoft.com/fwlink/?LinkId=79983).

5. Untuk mengelola server WSUS, sebaiknya gunakan grup Administrator WSUS bawaan, yang akan dibuat selama penerapan.

Leonid Shapiro.

Referensi.

Panduan Penerapan Layanan Pembaruan Server Windows Anita Taylor 3.0 SP2.

Panduan Operasi Layanan Pembaruan Windows Server Anita Taylor 3.0 SP2

[i]DMZ - demiliterisasidaerah

Tidak semuanya tercakup di sini, tetapi hanya pengaturan dasar untuk mengkonfigurasi klien WSUS.

Anda dapat menentukan jalur ke server yang diperlukan baik menggunakan alamat, seperti yang dilakukan pada contoh di atas, atau menggunakan nama server, sambil memberikan kemungkinan untuk menyelesaikan nama server ke alamat IP-nya.

Ini adalah nama abstrak dari kelompok uji.

Pembaruan otomatis adalah fitur fungsional yang penting sistem operasi. Berkat itu, komputer menerima pembaruan penting tepat waktu, menjadikan sistem lebih stabil dan aman. Di Windows 7, fungsi ini diaktifkan terlebih dahulu. Artinya, jika ada koneksi dengan server Microsoft, layanan pembaruan akan memeriksa ketersediaan paket baru, mengunduhnya, dan menginstalnya. Biasanya, semua proses berjalan hampir tanpa disadari oleh pengguna, tetapi ketika tawaran terus-menerus untuk meningkatkan ke 10 muncul, ini sudah berlebihan.

Secara teoritis menonaktifkan pengunduhan otomatis tidak layak diperbarui. Ini berguna karena menutup celah keamanan, mengoptimalkan pengoperasian OS, dan menambahkan fitur-fitur baru ke dalamnya (mengenai “puluhan”). Ada juga daftar alasan mengapa layanan pembaruan otomatis harus dinonaktifkan:

  1. Pengguna tidak suka saat pembaruan, kecepatan Internet turun dan/atau PC tidak dapat dimatikan dalam waktu lama.
  2. Komputer memiliki Internet nirkabel yang mahal atau terbatas.
  3. Masalah setelah meluncurkan OS yang diperbarui.
  4. Kegagalan selama instalasi paket pembaruan.
  5. Tidak ada cukup ruang pada volume sistem untuk mengakomodasi peningkatan volume Windows 7, yang bertambah seiring dengan setiap pembaruan.

Jenis

Namun, sebelum Anda menonaktifkan pembaruan Windows 7, pikirkan apakah itu benar-benar diperlukan. Selain menonaktifkan layanan, dapat dialihkan ke mode operasi berikut.

  1. Sepenuhnya otomatis - operasi dilanjutkan tanpa campur tangan pengguna, hanya memberitahukan pengguna bahwa instalasi paket telah selesai.
  2. Mencari dan mengunduh perbaikan terbaru sesuai jadwal, dan instalasi paket dilakukan oleh pengguna.
  3. Memeriksa secara otomatis dan memberi tahu pengguna tentang ketersediaan pembaruan.
  4. Pembaruan mandiri dinonaktifkan. Semuanya dilakukan secara manual.

Opsi dipilih di komponen Pusat Pembaruan.

Metode pemutusan

Pengaturan jendela apa pun disimpan dalam registernya. Anda dapat mengakses kunci yang bertanggung jawab atas pengaturan Pusat Pembaruan dengan beberapa cara sederhana dan beberapa cara yang lebih rumit. Mari kita lihat semuanya.

Ubah pengaturan Pusat Pembaruan

Mari kita mulai dengan menyiapkan layanan untuk diri kita sendiri. Untuk mengakses antarmuka konfigurasi, Anda perlu membuka “Pusat Pembaruan” menggunakan salah satu metode berikut.

Sistem

  1. Melalui menu konteks Komputer saya, sebut saja "Properti".
  1. Di sebelah kiri menu vertikal Klik tautan yang sesuai yang terletak di bagian bawah jendela.

  1. Buka "Panel Kontrol".
  2. Buka bagian "Sistem, Keamanan".
  1. Panggil elemen dengan nama yang sama.

Jika item panel kontrol ditampilkan sebagai ikon dan bukan kategori, link ke item tersebut akan muncul di jendela utama.

  1. Jadi, setelah masuk ke jendela yang diinginkan, klik "Pengaturan parameter".
  1. Pindah ke bagian “Pembaruan penting” dan pilih opsi yang sesuai dari daftar drop-down.

Satu-satunya cara untuk sepenuhnya menonaktifkan penerimaan pembaruan pada komputer dengan Windows 7 adalah dengan menghentikan layanan.

Menonaktifkan layanan

Pengelolaan pelayanan pada “tujuh” terjadi melalui:

  • pengeditan langsung kunci registri, yang sangat merepotkan;
  • program pihak ketiga untuk mengkonfigurasi OS (kami akan melewatkan opsi ini);
  • laberang Konsol MMC;
  • konfigurasi sistem;
  • baris perintah;
  • Editor Kebijakan Grup (ada di Windows 7 Ultimate, Enterprise).

Menghapus layanan dari autostart

Cara tercepat untuk menonaktifkan pembaruan adalah melalui konfigurator sistem.

  1. Jalankan “msconfig” di jendela penerjemah perintah, yang akan terbuka setelah menahan tombol Win + R atau mengklik tombol “Run” di Start.
  1. Buka tab "Layanan".
  2. Temukan "Pembaruan Windows" (mungkin Pembaruan Windows) dan hapus kotak centang di sebelahnya.
  1. Simpan pengaturan baru.

Hingga akhir sesi saat ini, layanan akan berfungsi, menjalankan tugas yang diberikan padanya dengan benar. Untuk digunakan konfigurasi baru Windows 7 perlu di-reboot.

Mari gunakan snap-in konsol MMC

Snap-in konsol sistem dengan nama yang sama menyediakan akses untuk mengelola semua layanan di PC. Ini dimulai seperti ini.

  1. Buka menu konteks direktori "Komputer Saya".
  2. Panggil perintah "Kelola".
  1. Di menu vertikal kiri, perluas item “Layanan dan Aplikasi”. Selanjutnya, klik tautan “Layanan”.

Pilihan yang lebih sederhana untuk memanggil jendela yang sama adalah dengan menjalankan perintah “services.msc” melalui dialog “Run”.

  1. Gulir ke bagian paling akhir daftar layanan dan buka “Properti” layanan Pembaruan Windows.
  1. Di daftar drop-down “Startup Type”, pilih “Disabled” dan bukan “Automatic” untuk mengucapkan selamat tinggal pada pembaruan otomatis selamanya. Jika Anda perlu menonaktifkan layanan sekarang, pastikan untuk mengklik “Stop”. Simpan pengaturan baru dengan tombol “Terapkan” dan tutup semua jendela.

PC tidak perlu di-boot ulang untuk menerapkan pengaturan.

Editor Kebijakan Grup

Snap-in MMC lain yang disebut Editor Kebijakan Grup Lokal akan membantu Anda mengonfigurasi parameter sistem apa pun.

Ini tidak tersedia di Seven edisi rumahan!

  1. Alat ini diluncurkan dengan menjalankan perintah “gpedit.msc” melalui jendela “Run”.
  1. Di subbagian “Konfigurasi PC”, perluas cabang “Templat Administratif”.
  1. Membuka " Komponen Windows"dan cari pusat pembaruan.
  2. Di sisi kanan jendela kita menemukan parameter yang namanya dimulai dengan "Pengaturan pembaruan otomatis".
  3. Panggil pengaturannya.
  1. Pindahkan kotak centang ke posisi “Nonaktifkan” dan klik “OK” untuk menutup jendela dan menyimpan perubahan.

Mari kita gunakan baris perintah

Melalui baris perintah, semua operasi yang sama dilakukan seperti menggunakan antarmuka grafis, dan bahkan lebih banyak lagi, tetapi dalam mode teks. Hal utama adalah mengetahui sintaks dan parameternya.

Perintah "cmd" bertanggung jawab untuk memanggil baris perintah.

  1. Buka penerjemah perintah dan jalankan.


Halo semuanya, hari ini ada catatan lagi untuk saya sendiri yaitu daftar server Pembaruan Windows. Mengapa ini berguna, misalnya, jika Anda menerima kesalahan Pembaruan tidak ditemukan saat memasang peran WSUS, atau sebaliknya karena alasan tertentu Anda ingin melarangnya, untuk menghemat lalu lintas, jika Anda tidak memiliki WSUS, karena tidak semua pembaruan Jendelanya bagus dan terutama pada versi modernnya, menurut saya tidak ada gunanya mengingatkan kesalahan tersebut, meskipun daftar ini dapat dilanjutkan untuk waktu yang sangat lama. Alasannya tidak penting, yang utama adalah mengetahui bahwa alasan itu ada dan Anda dapat mengatasinya. Di bawah ini saya akan menunjukkan kepada Anda metode untuk melarang alamat server pembaruan Microsoft, keduanya universal, cocok untuk komputer terpisah, dan untuk manajemen terpusat dalam suatu perusahaan.

Mengapa pembaruan Windows tidak dapat diinstal?

Berikut adalah tangkapan layar kesalahan jika alamat server pembaruan Microsoft Anda tidak tersedia. Seperti yang Anda lihat, kesalahannya tidak terlalu informatif. Saya mendapatkannya di server yang memiliki peran WSUS, bagi yang tidak ingat apa itu maka itu pusat lokal pembaruan untuk perusahaan, untuk menghemat lalu lintas, dan di sinilah pembaruan Windows tidak diinstal karena kurangnya ketersediaan server Microsoft.

Apa yang harus dilakukan jika pembaruan Windows tidak diinstal

  • Pertama-tama, Anda harus memeriksa apakah Anda memiliki Internet, karena kehadirannya wajib bagi kebanyakan orang, kecuali tentu saja Anda memiliki domain Direktori Aktif dan Anda mengunduhnya dari WSUS Anda
  • Selanjutnya, jika ada Internet, lihat kode kesalahannya, karena di sinilah Anda perlu mencari informasi tentang penyelesaian masalah (dari masalah baru-baru ini saya dapat memberikan contoh bagaimana Kesalahan 0x80070422 atau Kesalahan c1900101 diselesaikan), tetapi daftarnya juga dapat disimpan untuk waktu yang sangat lama.
  • Kami memeriksa di server proxy kami apakah ada larangan pada alamat server pembaruan Microsoft berikut.

Daftar server pembaruan Microsoft itu sendiri

  1. http://windowsupdate.microsoft.com
  2. http://*.windowsupdate.microsoft.com
  3. https://*.windowsupdate.microsoft.com
  4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
  5. http://*.update.microsoft.com
  6. https://*.update.microsoft.com
  7. http://*.windowsupdate.com
  8. https://activation.sls.microsoft.com/
  9. http://download.windowsupdate.com
  10. http://download.microsoft.com
  11. http://*.download.windowsupdate.com
  12. http://wustat.windows.com
  13. http://ntservicepack.microsoft.com
  14. https://go.microsoft.com/
  15. http://go.microsoft.com/
  16. https://login.live.com
  17. https://validasi.sls.microsoft.com/
  18. https://activation-v2.sls.microsoft.com/
  19. https://validasi-v2.sls.microsoft.com/
  20. https://displaycatalog.mp.microsoft.com/
  21. https://licensing.mp.microsoft.com/
  22. https://purchase.mp.microsoft.com/
  23. https://displaycatalog.md.mp.microsoft.com/
  24. https://licensing.md.mp.microsoft.com/
  25. https://purchase.md.mp.microsoft.com/