Rezolvând problemele de securitate ale sistemului informatic, trebuie să ținem seama de o gamă largă de probleme, dintre care una este actualizarea la timp a sistemelor de operare și a software-ului.
Pentru a menține starea actuală a sistemelor de operare și a software-ului sistemului informatic, companiile ar trebui să le actualizeze periodic. Aceste acțiuni pot fi efectuate de pe site-ul Microsoft Update de către fiecare calculator client sau utilizând serverul / serverele Windows Server Update Services (WSUS). Dacă vorbim despre o rețea corporativă, opțiunea recomandată este să utilizați serverul WSUS. Când lucrați cu serviciul de mai sus, se realizează o reducere semnificativă a traficului pe Internet și este posibilă gestionarea centralizată a implementării patch-urilor de sistem și a software-ului primite de la Microsoft.
Pentru a permite actualizarea calculatoarelor client, trebuie să:
1. Proiectați soluția
2. Implementați implementarea serverelor server / WSUS;
3. Asigurați sincronizarea regulată a serverului WSUS cu resursa Microsoft Update;
4. Configurați setările serverului / serverului WSUS;
5. Creați grupuri țintă și plasați computerele client în grupurile țintă de pe serverul WSUS.
6. Configurați clienții să utilizeze serverele WSUS;
7. Asigurați serverele server / WSUS.
În acest articol, nu luăm în considerare etapele de proiectare și implementare, de sincronizare, se va concentra pe configurarea clienților și securizarea serverului WSUS.
Configurarea clienților serverului de actualizare fără a utiliza politici de grup
Există trei moduri de a configura clienții să utilizeze serverul WSUS:
- Utilizarea politicii de grup;
- Utilizarea politicii privind computerul local;
- Introducerea imediată a modificărilor în registrul stațiilor client.
Fig. 1. Setările pentru configurarea clientului WSUS.
În cazul în care directorul de serviciu în organizație nu este implementat, posibilitatea de a pune în aplicare interacțiunea cu clienții cu WSUS, puteți fie prin politica locală, fie prin modificări „directe“ la stația de lucru de registru de sistem sau de server, care este starea de urgență dorim să oferim. În esență, politica nu este altceva decât o interfață cu registrul.
Circumstanțele în care stațiile de lucru și serverele nu sunt clienți AD pot apărea într-o serie de cazuri, de exemplu:
· Cu toate acestea, prin utilizarea serviciului de directori terță parte, soluțiile bazate pe sistemele de operare Microsoft sunt utilizate ca servere de aplicații, servere de fișiere, stații de lucru client;
· Necesitatea de a construi o zonă "vizitator" pentru a oferi acces la utilizatorii "externi", la Internet;
· "Maturitatea" insuficientă a companiei, datorită căreia serviciul de directoare centralizat nu este implementat sau lipsa necesității serviciului specificat.
· Disponibilitatea DMZ [i]. în care sunt instalate servere care nu sunt clienți AD și AD DS și. și așa mai departe.
Astfel, există o situație în care, pe de o parte, administratorul trebuie să furnizeze o actualizare periodică a sistemelor, iar pe de altă parte, incapacitatea de a folosi obiectele politicii de grup conduce la dificultăți destul de ușor de înțeles. Cum poți rezolva o astfel de problemă?
Ar fi foarte de dorit să scăpăm de astfel de probleme. Puteți obține acest lucru utilizând scriptul de configurare. În același timp, este necesar să se ofere un mecanism pentru livrarea automată centralizată a acestui scenariu către stațiile de lucru și serverele angajaților. Astfel de instrumente există în sistemul de operare al Microsoft, în plus, este permisă utilizarea capabilităților sistemelor moderne antivirus, gestionate centralizat. Prin urmare, pe baza faptului că avem instrumentul de livrare a scriptului, luați în considerare opțiunea de a configura clienții serverului WSUS.
Trebuie remarcat faptul că un număr de acțiuni preliminare sunt necesare de la administratori înainte de actualizarea computerelor client:
· Trebuie să pregătiți în prealabil toate grupurile țintă, adică colecții de conturi de pe serverul WSUS la care vor fi instalate actualizările.
· Este util să se prevadă disponibilitatea unui grup de testare, la care să se realizeze în primul rând instalarea, pentru a se asigura testarea compatibilității cu hardware-ul și software-ul.
· Efectuați o desfășurare a procesului și analizați rezultatele.
Implementarea actualizărilor în mediul de producție al întreprinderii se efectuează la terminarea testelor de succes. Acesta din urmă declarație este, desigur, este o recomandare pentru a instala actualizarea fără testare este posibil, cu toate acestea, să ignore acest lucru nu este necesar, având în vedere faptul că incompatibilitatea nu este exclus din actualizările de aplicații software, derivate de la Microsoft.
Crearea grupurilor de computere pe serverul WSUS se face utilizând consola de administrare a serverului WSUS, secțiunea "Calculatoare". Vezi Fig. 2. Elementul de meniu "Add Computer Group ..."
Fig. 2. Creați grupuri de computere pe serverul WSUS.
Efectuarea modificărilor în registrul de clienți WSUS
Deci, creați un fișier .reg, cu care veți efectua toate acțiunile necesare. În viitor, fișierul specificat va fi executat pe toate stațiile de lucru și servere, actualizarea cărora trebuie să le furnizăm cu WSUS.
Ce ar trebui să caut când configurez clienții [ii]?
1. Trebuie să instalați serviciul de actualizare pe intranet și pe serverul de statistici și să distribuiți clienții în grupuri.
În secțiunea de registru
Deoarece doriți să puneți calculatoarele client în grupuri țintă, trebuie să specificați care dintre grupurile țintă ar trebui să fie plasate în computer:
În versiunea noastră, grupul țintă este denumit "WSUS-Test-WKS". Pentru clienții al căror nume de grup țintă este diferit, acest câmp specifică o valoare diferită. Parametrul TargetGroupEnabled oferă în acest caz controlul asupra destinației de plasare din grupul clientului.
2. Apoi, trebuie să specificați parametrii pentru ca clientul să interacționeze cu serverul de actualizare.
Pentru a face acest lucru, în registru
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU vom adăuga câteva modificări.
"NoAutoUpdate" = dword: 00000000 indică faptul că actualizarea automată este activată
«AUOptions» = dword: 00000004 În acest caz, avem nevoie ca update-urile sunt descărcate automat pe computerele client, instalarea va fi efectuată în conformitate cu un program stabilit, parametrii care sunt prezentate mai jos.
Parametrul ScheduledInstallDay specifică frecvența de actualizare, ScheduledInstallTime, pentru timpul de instalare. Astfel, în exemplu, instalarea se efectuează la fiecare 3 zile din săptămână, adică marți, la ora 12.00. Pentru a configura actualizările zilnic, specificați "ScheduledInstallDay" = dword: 00000000
Apoi specificăm intervalul de timp dintre accesările serverului pentru a verifica actualizările (de exemplu, o dată la fiecare 6 ore) și pentru a activa modul de detectare. Acum apelurile către serverul WSUS vor apărea la fiecare 6 ore cu o anumită abatere aleatorie pentru a verifica disponibilitatea actualizărilor care pot fi instalate. Când acestea apar, procesul de descărcare a acestora este inițiat.
"UseWUServer" = dword: 00000001 - indică faptul că serverul WSUS va fi folosit pentru a instala actualizări, dacă variabila este setată la zero, clientul va funcționa cu Microsoft Update.
"RescheduleWaitTime" = dword: 00000015 - Determinați timpul de așteptare după repornirea sistemului înainte de începerea instalării, ratat pe ciclurile anterioare, actualizări. În acest caz, este setat la 15 minute.
"RescheduleWaitTimeEnabled" = dword: 00000001 Activarea instalării de actualizări lipsă.
"NoAutoRebootWithLoggedOnUsers" = dword: 00000000 notifică utilizatorul și repornește automat calculatorul client după 5 minute.
Acum, ia în considerare un exemplu de fișier de configurare client în întregime:
Windows Registry Editor versiunea 6.1
"NoAutoRebootWithLoggedOnUsers" = dword: 00000000
Prin livrarea și executarea fișierului specificat, vom putea configura clienții serverului WSUS fără a trebui să folosim politici de grup. O descriere a tuturor variabilelor de registry care pot fi utilizate pentru a lucra cu serverul de actualizare și valorile posibile ale acestora este furnizată în Ghidul de instalare Windows Server Update Services 3.0 SP2.
Recomandări pentru securizarea serverului de actualizare
Pentru a asigura securitatea serverului de actualizare în sine, este logic să efectuați o serie de recomandări simple:
5. Pentru a gestiona serverul WSUS, este înțelept să utilizați grupul administratorilor WSUS încorporați care va fi creat atunci când implementați.
[1] Anita Taylor Ghid de implementare Windows Server Update Services 3.0 SP2.
[2] Anita Taylor Ghidul de operare Windows Server Update Services 3.0 SP2
[ii] Aici nu sunt luate în considerare toate, ci doar setările de bază ale configurației clientului WSUS.
[iv] Iată numele abstract al grupului de testare.
Articole similare
Trimiteți-le prietenilor: