Înregistrarea conferinței
Partea 1. Instalarea și configurarea
De mult timp, administratorii de sistem au simțit nevoia unui instrument care, datorită implementării automate a programelor de corecție a securității pe toate computerele din rețea, ar ajuta la menținerea protecției rețelei la cel mai înalt nivel posibil. Cu toate acestea, în urmă cu câțiva ani, Microsoft a lansat programul Windows Update, dar acest instrument este destinat numai utilizatorilor privați și organizațiilor mici, deoarece nu prevede mecanisme de gestionare a utilizării lățimii de bandă sau mijloace de testare și autorizare a utilizării de noi soluții.
Și recent, Microsoft a lansat Software Update Services (SUS), unul dintre primele produse pregătite în cadrul programului strategic Strategic Technology Protection Programme (STPP). Aici, desigur, dezvoltatorii trebuie să plătească un tribut: SUS a umplut un gol în decalajul din sistemul de management și protecția familiei Windows. În acest articol voi vorbi despre cum funcționează serviciul SUS și cum sunt instalate și configurate diferitele sale componente. Cea de-a doua parte a articolului se va ocupa de configurații mai complexe ale SUS, inclusiv, de exemplu, capacitatea de a urmări procedurile de instalare a programelor de corectare, de adaptare a cerințelor privind lățimea de bandă și de luarea în considerare a potențialului de scalare.
Serviciul SUS este imperfect, are câteva limitări:
Serviciul SUS constă din trei componente: componenta SUS care rulează pe server; componenta Automatic Updates (AU) care rulează pe computerele client; Setările politicii de grup care vă permit să gestionați clienții AU prin serviciul AD. Serverul SUS, în esență, este un site Web bazat pe IIS. Administratorii folosesc pagini Web pentru a gestiona și monitoriza serviciile SUS, clienții AU folosesc paginile Web pentru a încărca module. Microsoft plasează aceste module pe serverele Windows Update. Una dintre serviciile SUS, numită Serviciul de sincronizare Windows Update, sincronizează periodic conținutul serverului SUS și serverelor Microsoft Windows Update.
Serverul SUS poate fi configurat astfel încât să încarce și să instaleze module în toate limbile specificate. O altă opțiune este să lăsați modulele actualizabile pe serverele Windows Update; în acest caz, acestea vor fi încărcate și instalate de clienții UA. Dar pentru orice configurație pe care o alegeți, înainte de a descărca și instala modulele, SUS va verifica conformitatea cu certificatul Microsoft deschis. Aceasta este o măsură de precauție în cazul încercărilor de a introduce cod distructiv în calculatoarele din rețea prin intermediul canalelor SUS.
În multe programe, procedurile de încărcare și instalare a modulelor sunt implementate ca o singură operație; Cu toate acestea, pachetul SUS le tratează ca două procese separate. Imaginați-vă această situație. Să se solicite ca clienții AU să fie implicați în încărcarea și instalarea modulelor de corecție. Clientul AU consultă periodic serverul SUS cu privire la disponibilitatea noilor module care urmează să fie implementate. După ce a găsit modulul de descărcat, clientul pornește procesul de descărcare de la conexiunea la serverul Windows Update corespunzător. Deci, în funcție de setările stabilite de administrator, clientul AU poate descărca automat modulul de pe serverul Windows Update sau poate anunța utilizatorul că modulul este pregătit pentru descărcare. În ultimul caz, clientul UA va aștepta ca utilizatorul să inițializeze procesul de boot.
Procesul de instalare începe după ce clientul AU descarcă modulul în dosarul de stocare temporară. Clientul verifică parametrii definiți de administrator care determină timpul de instalare a modulului. Clientul UA poate fi configurat pentru a instala automat modulele în conformitate cu un program prestabilit, și îl puteți instrui pentru a notifica utilizatorul prezenței modulelor care urmează să fie instalate de către utilizator și așteptați inițializarea procesului de implementare. Dacă este necesar, clientul AU va reporni computerul când modulele sunt instalate. Dacă în acel moment un utilizator este înregistrat în sistem, clientul AU îi dă 5 minute pentru a salva datele, a închide toate programele și a termina sesiunea. Clientul repornește apoi computerul. Procedând astfel, utilizează instrumentul Qchain, deci trebuie să reporniți mașina doar o singură dată, chiar dacă au fost instalate mai multe module de corecție.
Instalarea serviciului SUS
Ei bine, după înțelegerea principiilor de bază ale pachetului SUS, ne putem familiariza cu procedura simplă de instalare a SUS în domeniul AD. Pentru a instala SUS, aveți nevoie de un server pe care vor rula aceste servicii. Controlorii de domeniu (controlere de domeniu, DC) și computerele care rulează Small Business Server (SBS) nu pot fi utilizate ca servere SUS.
În timpul instalării, pachetul SUS execută instrumentul de blocare IIS, care oferă protecție IIS pe serverul SUS. Astfel, hackerul care a reușit să hackeze serverul SUS închide accesul la clienții UA. Instrumentul de blocare IIS dezactivează funcțiile care prezintă un risc de securitate pentru sistem; cu alte cuvinte, poate întrerupe executarea aplicațiilor existente pentru Web. În cazul în care alte aplicații Web sunt găzduite pe serverul SUS și aceste aplicații utilizează componente precum WebDAV distribuite, versiuni Microsoft FrontPage Server Extensions sau FTP, pot apărea probleme. Poate că va fi posibil să se stabilească o "coexistență pașnică" a serviciilor SUS cu aceste aplicații, dar este posibil ca, după instalarea SUS, să fie necesară reactivarea unor funcții. O descriere completă a modificărilor efectuate de SUS în IIS poate fi găsită în Anexa A a "Cărții albe", care implementează Microsoft Software Update Services.
În cele din urmă, expertul afișează pagina Finalizare și prezintă adresa URL a paginii Web pentru administrarea pachetului SUS. Este necesar să notați și acest indicator. În viitor, va fi necesar să gestionați serverul SUS.
Configurarea serverului SUS
Următorul pas este să configurați serverul SUS. Introducând parametrii corespunzători, administratorul determină cum și când serverul SUS se va sincroniza cu serverele Windows Update și care module vor fi autorizate să se implementeze în rețea.
Puteți configura serverul SUS de la orice computer din rețeaua care are instalat browserul IE 5.5 sau o versiune ulterioară. Ar trebui să porniți browserul IE și să introduceți ca adresă URL un nume de pe intranetul local (de exemplu, // server / SUSAdmin) sau un nume DNS (de exemplu, server.acme.com/SUSAdmin). Se va afișa pagina de întâmpinare afișată pe ecranul 1. În panoul din stânga al acestei pagini, există câteva linkuri importante, printre care opțiunile Setare, Sincronizare server și Aprobați legăturile actualizări.
După ce ați selectat setările corespunzătoare pentru cele cinci secțiuni menționate ale paginii, ar trebui să le salvați făcând clic pe Aplicați. Acum puteți crea un program de sincronizare pentru SUS și puteți aproba lista de module pe care intenționați să le implementați în rețea.
Ecranul 2. Configurați programul.
În cadrul exemplului nostru, SUS ar trebui să fie oferit să se sincronizeze zilnic la ora 1.00 și să apese OK. Acum, pagina Server sincronizare afișează data și ora ultimei sesiuni de sincronizare programate. Faceți clic pe butonul Sincronizare acum. SUS afișează numele sistemului care este sincronizat și progresul procesului de sincronizare.
Pentru a autoriza distribuirea unuia sau a mai multor module, trebuie să bifați caseta de lângă fiecare modul selectat și să faceți clic pe Aprobați. Apare o casetă de dialog care solicită confirmarea; faceți clic pe Da. Apoi SUS va afișa o casetă de dialog cu o listă de module "bune" și va oferi să accepte EULA pentru aceste programe. La unele setări de rezoluție a ecranului și setări ale browserului, butoanele Accept și Don? T Accept pot să nu se încadreze în caseta de dialog dacă sunt prea mici pentru a afișa toate modulele. Nu este posibilă modificarea dimensiunii acestei ferestre. Dar puteți seta cursorul mouse-ului în caseta listă și apăsați tasta tab, apoi pe ecran vor apărea butoanele Accept și Don? T Accept. Este necesar să faceți clic pe butonul Acceptare, iar modulele selectate vor primi aprobarea pentru distribuție în rândul clienților AU.
Setarea AU
Pentru ca calculatoarele din rețea să primească informații actualizate de pe serverul SUS, va trebui să instalați componenta Actualizări automate pe ele. Setarea AU poate fi efectuată în două moduri:
Configurarea clienților AU
Variantele 2 și 3 permit administratorului mașinii locale să specifice timpul de încărcare și instalare a modulelor de corecție. Când administratorul este înregistrat în sistem și există module disponibile pentru descărcare sau instalare, clientul AU notifică administratorul despre acesta. Dacă administratorul dă clic pe acest mesaj, clientul AU deschide o casetă de dialog în care utilizatorul poate face clic pe una din următoarele comenzi: Amintește-mi mai târziu sau instalez.
Selectând opțiunea 4, puteți configura clientul AU să instaleze automat noi module la ora specificată zilnic sau o dată pe săptămână. Utilizatorii AU se referă adesea la serverul SUS pentru a verifica dacă au sosit noi module de distribuție aprobate. Atunci când clientul UA detectează un modul recent sancționat, potrivit pentru instalare pe această mașină, îl încarcă într-un folder de stocare temporară care este completat fie de la serverul SUS, fie de la serverul Windows Update. Clientul AU reglează parametrii procesului de încărcare (adică lățimea de bandă alocată acestuia) astfel încât acest proces să nu încetinească rețeaua. Clienții AU pot încărca module într-un mod cu întreruperi (care pot fi conectate, de exemplu, cu o re-inițializare a sistemului). După ce modulele au fost plasate într-un folder de stocare temporară, clientul AU intră în modul de așteptare și când este setat timpul pentru module, acesta efectuează această operație. După ce terminați configurarea regulii Configurați actualizările automate, faceți clic pe OK.
secedit / refreshpolicy machine_policy
După aceea, calculatorul ar trebui să înceapă să descarce toate programele de corecție care au fost date "bune". Pe o mașină Windows XP, trebuie să executați comanda Gpupdate fără a specifica parametrii pentru a obține același rezultat.
Ecranul 4: Configurarea politicii Actualizări automate.
Articole similare
Trimiteți-le prietenilor: