Källa till Windows Update via registret. Säkerställa snabb installation av uppdateringar i arbetsgrupper

Källa till Windows Update via registret. Säkerställa snabb installation av uppdateringar i arbetsgrupper
Källa till Windows Update via registret. Säkerställa snabb installation av uppdateringar i arbetsgrupper
10.05.2021

När man löser problem med datorsystemsäkerhet måste man ta hänsyn till en hel rad problem, varav ett är snabb uppdatering av operativsystem och programvara.

Introduktion

För att hålla operativsystem och programvara uppdaterade informationssystem företag bör uppdatera dem regelbundet. Dessa åtgärder kan utföras från Microsoft Update-webbplatsen av varje klientdator eller genom att använda servern/servrarna. Windows Server Uppdateringstjänster (WSUS). Om vi ​​pratar om företagsnätverk, är det rekommenderade alternativet att använda en WSUS-server. När man arbetar med den tidigare nämnda tjänsten uppnås en betydande minskning av internettrafiken och det är möjligt att centralt hantera processen för att distribuera system- och mjukvarukorrigeringar som tas emot från Microsoft.

Jag vill dessutom notera att den 23 mars 2011 tillkännagav Microsoft lanseringen av en ny produkt "Windows Intune", en av funktionerna som kommer att vara utförandet av de uppgifter som WSUS brukade vara ansvarigt för.

För att kunna uppgradera klientdatorer måste du:

1. Designa lösningen

2. Distribuera WSUS-servern/servrarna;

3. Säkerställ regelbunden synkronisering av WSUS-servern med Microsoft Update-resursen;

4. Konfigurera parametrarna för WSUS-servern/servrarna;

5. Skapa målgrupper och placera klientdatorer i målgrupper på WSUS-servern.

6. Konfigurera klienter för att använda WSUS-servrar;

7. Säkerställ säkerheten för WSUS-servern/servrarna.

I den här artikeln tar vi inte hänsyn till stadierna av design och distribution, synkronisering, vi kommer att fokusera på att konfigurera klienter och säkra WSUS-servern.

Konfigurera uppdateringsserverklienter utan att använda grupppolicyer

Det finns tre sätt att konfigurera klienter för att använda en WSUS-server:

  1. Använda gruppolicy;
  2. Användande lokal politik dator;
  3. Direkta ändringar i registret över klientstationer.

Det bästa sättet är att använda GPO, se fig. 1 mappas till önskad AD (för Windows 2003) eller AD DS (för Windows 2008), men det här alternativet är endast tillgängligt om din organisation har en katalogtjänst distribuerad Active Directory. Grupprincipfunktioner för att konfigurera interaktion med hanteringsservern och för att hantera klientuppdateringsprocedurer uppfyller helt och hållet behoven hos en administratör. Vad vi kan verifiera genom att titta på fig. 1. Lista tillgängliga inställningar tillräckligt bred.

Ris. 1. WSUS-klientinställningar.

Om katalogtjänsten inte är distribuerad i organisationen kan du göra det möjligt för klienten att kommunicera med WSUS antingen genom lokal policy eller genom att "direkt" göra ändringar i systemregistret arbetsstation, eller servern vars tillstånd vi vill hålla uppdaterade. I huvudsak är policyn inget annat än ett gränssnitt till registret.

Det finns ett antal omständigheter där arbetsstationer och servrar inte är AD-klienter, till exempel:

Användning av en tredje parts katalogtjänst, men operativsystembaserade lösningar används som applikationsservrar, filservrar, klientarbetsstationer. Microsoft system;

· Behovet av att bygga en "gäst"-zon för att ge tillgång till "externa" användare till Internet;

· Otillräcklig "mognad" för företaget, på grund av vilken den centraliserade katalogtjänsten inte distribueras, eller avsaknaden av ett behov av denna tjänst.

1. Det är nödvändigt att placera uppdateringstjänsten på intranätet och statistikservern, och även att fördela klienterna i grupper.

I registernyckeln

du måste ange adressen eller namnet på uppdateringsservern som klienten ska ansluta till och portnumret som har valts för att fungera med WSUS-servern. Standard är port 80.

"WUStatusServer"=http://192.168.1.100

Eftersom det krävs att klientdatorer placeras i målgrupper måste vi specificera vilken av målgrupperna datorn ska placeras i:

"TargetGroupEnabled"=dword:00000001

I vår version heter målgruppen "WSUS-Test-WKS". För klienter vars målgruppsnamn kommer att vara annorlunda är detta fält inställt på ett annat värde. Parametern TargetGroupEnabled i det här fallet ger gruppplaceringskontroll på klientsidan.

För att göra detta, i registernyckeln

"TargetGroup"="WSUS-Test-WKS"

"TargetGroupEnabled"=dword:00000001

"WUServer"="http://192.168.1.100"

"WUStatusServer"="http://192.168.1.100"

"NoAutoUpdate"=dword:00000000

"AUOptions"=dword:00000004

"ScheduledInstallDay"=dword:00000000

"ScheduledInstallTime"=dword:00000009

"UseWUServer"=dword:00000001

"RescheduleWaitTime"=dword:00000001

" NoAutoRebootWithLoggedOnUsers"=dword:00000000

Genom att se till att den angivna filen levereras och körs kan vi konfigurera WSUS-serverklienter utan att tillgripa gruppolicy. En beskrivning av alla registervariabler som kan användas för att arbeta med uppdateringsservern och deras möjliga värden finns i Windows Server Update Services 3.0 SP2 Deployment Guide.

För att säkerställa säkerheten för själva uppdateringsservern är det vettigt att följa ett antal enkla rekommendationer:

1. Om vi ​​behöver tillhandahålla ett säkert informationsutbyte mellan klienter och servrar och/eller mellan WSUS-servrar, är det möjligt att använda SSL-protokollet. Se "Säkra WSUS med Secure Sockets Layer" i Windows Server Update Services Deployment Guide (). I avsaknad av nätverksutbyte mellan servrar sker dataöverföring med hjälp av ett externt medium. Alternativt sätt skydd, när det är omöjligt att använda SSL, är användningen av IPsec-protokollet. Se "Översikt över IPsec-distribution" http://go.microsoft.com/fwlink/?LinkId=45154.

2. WSUS-servern som synkroniserar med Microsoft Update bör placeras bakom en brandvägg och begränsas till värdar som verkligen behöver det. Se "Konfigurera brandväggen" i Windows Server Update Services Deployment Guide (http://go.microsoft.com/fwlink/?LinkId=79983).

3. När det gäller filåtkomst bör du inte ge redundanta behörigheter resurser, se avsnittet "Innan du börjar" i Windows Server Update Services Deployment Guide (http://go.microsoft.com/fwlink/?LinkId=79983) för en beskrivning av behörighetskraven.

4. Om uppdateringsservern har tillgång till Internet (i vissa fall kanske det inte är fallet, till exempel utförs synkronisering med en annan WSUS-server som har denna förmåga), så rekommenderas att du placerar dess databas på en annan dator, som inte kan nås utifrån. Se "Bilaga B: Konfigurera fjärr-SQL" på fönstren Server Update Services Deployment Guide (http://go.microsoft.com/fwlink/?LinkId=79983).

5. För att hantera WSUS-servern är det klokt att använda den inbyggda WSUS-administratörsgruppen som kommer att skapas under driftsättningen.

Leonid Shapiro.

Bibliografi.

Anita Taylor Installationsguide för Windows Server Update Services 3.0 SP2.

Anita Taylor Windows Server Update Services 3.0 SP2 Driftguide

[i]DMZ- demilitariseradezon

Allt täcks inte här, utan bara grundläggande WSUS-klientkonfigurationsalternativ.

Du kan ange sökvägen till de önskade servrarna antingen genom att använda adressen, vilket gjordes i exemplet ovan, eller med hjälp av servernamnet, samtidigt som du ger möjligheten att lösa servernamnet till sin IP-adress.

Detta är det abstrakta namnet på testgruppen.

Automatisk uppdatering är en viktig funktion för alla operativ system. Tack vare det får datorn viktiga uppdateringar i tid, vilket gör systemet mer stabilt och säkert. I Windows 7 är funktionen aktiverad som standard. Det betyder att om det finns en anslutning till Microsofts servrar så söker uppdateringstjänsten efter nya paket, laddar ner dem och installerar dem. Vanligtvis fortsätter alla processer praktiskt taget obemärkt av användaren, men när det finns ständiga erbjudanden om att uppgradera till 10 är detta redan för mycket.

Teoretiskt inaktivera automatisk nedladdning inte värt att uppdatera. Det är användbart eftersom det stänger säkerhetsluckor, optimerar driften av operativsystemet, lägger till nya funktioner till det (när det gäller "tiotalet"). Det finns också en lista med anledningar till att tjänsten för automatisk uppdatering bör inaktiveras:

  1. Användaren gillar inte att internethastigheten sjunker under uppdateringen och/eller att datorn inte kan stängas av under en längre tid.
  2. Dyrt eller begränsat trådlöst internet på datorn.
  3. Problem efter att ha kört det uppdaterade operativsystemet.
  4. Fel under installationen av uppdateringspaket.
  5. Det finns inte tillräckligt med utrymme på systemvolymen för att Windows 7 ska växa med varje uppdatering.

Typer

Ändå, innan du inaktiverar Windows 7-uppdateringen, överväg om det verkligen är nödvändigt. Förutom att avaktivera tjänsten kan den växlas till följande driftlägen.

  1. Helt automatisk - operationer fortsätter utan användaringripande, endast meddelar den senare om slutförandet av installationen av paket.
  2. Sök och ladda ner nya korrigeringar enligt ett schema, och installationen av paket utförs av användaren.
  3. Automatisk kontroll för att meddela användaren när uppdateringar är tillgängliga.
  4. Självuppdatering är inaktiverad. Allt görs manuellt.

Parametrar väljs i Update Center-komponenten.

Avstängningsmetoder

inställningar alla Windows lagras i dess register. Du kan få tillgång till nyckeln som ansvarar för uppdateringscenterinställningarna på flera enkla och ett par mer komplexa sätt. Låt oss överväga dem alla.

Ändra inställningar för uppdateringscenter

Låt oss börja med att sätta upp tjänsten för oss själva. För att komma åt konfigurationsgränssnittet måste du öppna "Update Center" på något av följande sätt.

Systemet

  1. Genom innehållsmeny Min dator, kalla den "Egenskaper".
  1. Till vänster vertikal meny klicka på lämplig länk längst ner i fönstret.

  1. Vi går till "Kontrollpanelen".
  2. Öppna avsnittet "System, säkerhet".
  1. Vi kallar elementet med samma namn.

Om kontrollpanelens element renderas som ikoner istället för kategorier, kommer länken till elementet att visas redan i huvudfönstret.

  1. Så, efter att ha träffat önskat fönster, klicka på "Inställningar".
  1. Vi flyttar till avsnittet "Viktiga uppdateringar" och väljer lämpligt alternativ från rullgardinsmenyn.

Bara att stoppa tjänsten kommer att hjälpa till att helt stänga av att ta emot uppdateringar på en Windows 7-dator.

Inaktivera tjänsten

Hantering av tjänster i "sjuan" sker genom:

  • direkt redigering av registernycklar, vilket är mycket obekvämt;
  • tredjepartsprogram för att ställa in operativsystemet (vi hoppar över det här alternativet);
  • knäppa MMC-konsoler;
  • systemkonfiguration;
  • kommandorad;
  • Group Policy Editor (finns i Windows 7 Ultimate, Corporate).

Ta bort en tjänst från start

Inaktivering av uppdateringar görs snabbast via systemkonfiguratorn.

  1. Vi kör "msconfig" i kommandotolkfönstret, som öppnas efter att ha tryckt på Win + R-tangenterna eller klickat på "Kör"-knappen i början.
  1. Gå till fliken "Tjänster".
  2. Hitta "Windows Update" (kanske Windows uppdatering) och ta bort flaggan bredvid den.
  1. Vi sparar de nya inställningarna.

Till slutet av den aktuella sessionen kommer tjänsten att fungera och utföra de uppgifter som tilldelats den korrekt. För ansökan ny konfiguration Windows 7 måste startas om.

Låt oss använda MMC-konsolens snap-in

Systemkonsolens snap-in med samma namn ger tillgång till hanteringen av alla tjänster på en PC. Den startar så här.

  1. Öppna snabbmenyn i katalogen "Den här datorn".
  2. Vi kallar kommandot "Control".
  1. Expandera "Tjänster och applikationer" i den vertikala menyn till vänster. Klicka sedan på länken "Tjänster".

Ett enklare alternativ för att anropa samma fönster skulle vara att köra kommandot "services.msc" genom dialogrutan "Kör".

  1. Vi bläddrar igenom listan över tjänster till slutet och öppnar "Egenskaper" för Windows Update-tjänsten.
  1. I rullgardinsmenyn "Starttyp" välj "Inaktiverad" istället för "Automatisk" för att säga adjö till automatisk uppdatering evigt. Om du behöver inaktivera tjänsten nu, se till att klicka på "Stopp". Spara de nya inställningarna med knappen "Apply" och stäng alla fönster.

Datorn behöver inte startas om för att tillämpa inställningarna.

Grupppolicyredigerare

En annan MMC-snap-in som kallas Group Local Policy Editor hjälper dig att konfigurera alla systeminställningar.

I hemupplagan av "sjuan" finns den inte!

  1. Verktyget startas genom att köra kommandot "gpedit.msc" genom fönstret "Kör".
  1. I underavsnittet "PC Configuration" expanderar du grenen "Administrativa mallar".
  1. Vi öppnar " Windows-komponenter"och letar efter ett uppdateringscenter.
  2. I den högra delen av fönstret hittar vi parametern, vars namn börjar med "Ställa in automatisk uppdatering".
  3. Vi kallar dess inställningar.
  1. Flytta kryssrutan till läget "Inaktivera" och klicka på "OK" för att stänga fönstret och spara ändringarna.

Låt oss använda kommandoraden

Genom kommandoraden utförs alla samma operationer som att använda det grafiska gränssnittet, och ännu mer, men i textläge. Det viktigaste är att känna till deras syntax och parametrar.

Kommandot "cmd" är ansvarigt för att anropa kommandoraden.

  1. Öppna en kommandotolk och kör den.


Hej alla idag, en anteckning mer för mig själv, nämligen listan över Windows Update-servrar. Varför detta kan vara användbart, till exempel om du fick ett felmeddelande Uppdatering hittades inte när du installerade WSUS-rollen, eller vice versa, av någon anledning vill du förbjuda dem, för att spara trafik om du inte har WSUS, eftersom inte alla uppdateringar fönster är bra och speciellt i dess moderna versioner tycker jag att det inte är meningsfullt att påminna om felet, även om denna lista kan fortsätta under mycket lång tid. Anledningen är inte viktig, det viktigaste är att veta vad det är och hur man arbetar med det. Nedan kommer jag att visa dig metoder för att förbjuda serveradresser. microsoft uppdateringar, både universell, lämplig för en enda dator och för centraliserad hantering inom ett företag.

Varför installeras inte Windows-uppdateringar?

Här är en skärmdump av felet om du inte har Microsoft Update Server-adressen tillgänglig. Som du kan se är felet inte särskilt informativt. Jag får det på servern som bär WSUS-rollen, som inte kommer ihåg vad det är, då detta lokalt centrum uppdateringar för företag, för att spara trafik, och det är här Windows-uppdateringar inte installeras på grund av att Microsofts servrar inte är tillgängliga.

Vad du ska göra om Windows-uppdateringar inte är installerade

  • Först och främst bör du kontrollera om du har internet, eftersom det är obligatoriskt för de flesta, såvida du inte har en Active Directory-domän och du laddar ner dem från din WSUS
  • Vidare, om internet är tillgängligt, tittar vi på felkoden, eftersom det är på den vi behöver leta efter information om att lösa problemet (från de senaste problemen kan jag ge ett exempel på hur fel 0x80070422 eller fel c1900101 löses) , men listan kan också hållas väldigt länge.
  • Vi kontrollerar på vår proxyserver om det finns ett förbud mot sådana adresser till Microsofts uppdateringsserver.

Listan över Microsofts uppdateringsservrar

  1. http://windowsupdate.microsoft.com
  2. http://*.windowsupdate.microsoft.com
  3. https://*.windowsupdate.microsoft.com
  4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
  5. http://*.update.microsoft.com
  6. https://*.update.microsoft.com
  7. http://*.windowsupdate.com
  8. https://activation.sls.microsoft.com/
  9. http://download.windowsupdate.com
  10. http://download.microsoft.com
  11. http://*.download.windowsupdate.com
  12. http://wustat.windows.com
  13. http://ntservicepack.microsoft.com
  14. https://go.microsoft.com/
  15. http://go.microsoft.com/
  16. https://login.live.com
  17. https://validation.sls.microsoft.com/
  18. https://activation-v2.sls.microsoft.com/
  19. https://validation-v2.sls.microsoft.com/
  20. https://displaycatalog.mp.microsoft.com/
  21. https://licensing.mp.microsoft.com/
  22. https://purchase.mp.microsoft.com/
  23. https://displaycatalog.md.mp.microsoft.com/
  24. https://licensing.md.mp.microsoft.com/
  25. https://purchase.md.mp.microsoft.com/