Kellő időben történő frissítések telepítését a munkacsoportokban
Megoldása a biztonsági probléma a számítógépes rendszer, szükséges, hogy figyelembe vegyék egy egész sor problémát, amelyek közül az egyik - a időszerűsítését operációs rendszerek és szoftverek.
Ahhoz, hogy a jelenlegi állapot az operációs rendszerek és szoftverek cégek az információs rendszert kell végezni a rendszeres frissítéseket. Ezek az intézkedések végezhetők a Microsoft Update webhely minden kliens számítógép segítségével vagy Server / Windows Server Update Services kiszolgáló (WSUS). Ha beszélünk egy vállalati hálózat, az ajánlott lehetőség - használja a WSUS-kiszolgáló. Munka közben a fent említett szolgáltatás érhető el jelentős csökkenését internetes forgalmat, és lehetővé teszi a központi irányítás a folyamat kiépítésére és szoftverjavításokat kapott a Microsoft.
Ahhoz, hogy az ügyfél frissítésére számítógépnek kell:
1. Végezze tervezési megoldások
2. Ahhoz, hogy végezze el a telepítési kiszolgáló / WSUS szerver;
3. Rendszeres WSUS szerver szinkronizálni a Microsoft Update erőforrás;
4. Állítsa be a paramétereket a szerver / WSUS szerver;
5. Hozzon létre egy célcsoport, és helyezze az ügyfél számítógépek a célcsoport a WSUS-kiszolgálón.
6. Állítsa be az ügyfelek, hogy használja a WSUS-kiszolgáló;
7. Ellenőrizze, hogy a biztonság a szerver / WSUS-kiszolgáló.
Ebben a cikkben nem tartjuk a szakaszában a tervezési és telepítési, a szinkronizálás, fogunk összpontosítani létrehozásáról ügyfelek és biztonságának biztosítása a WSUS-kiszolgálón.
Konfigurálása frissítési szerver nem rendelkező ügyfelek csoportházirend segítségével
Ügyfelek beállítása a WSUS-kiszolgáló lehetséges három módja van:
- Csoportházirend segítségével;
- A helyi számítógépet politikát;
- Azonnali változtatásokat a nyilvántartást kliensek számára.
Ábra. 1. Ügyfél beállítások WSUS.
Ha a szolgáltatás könyvtár, a szervezet nem alkalmazzák, a lehetőséget, hogy végre az ügyfél interakció WSUS, akkor akár a helyi politika vagy a „közvetlen” változik a rendszerleíró adatbázis munkaállomás vagy szerver, amely a sürgősségi helyzet szeretnénk nyújtani. Tény, hogy a politika nem más, mint a felület a registry.
A körülmények, amelyek között a munkaállomások és a szerverek nem AD ügyfelek felmerülő számos esetben, például:
· A használat harmadik fél címtárszolgáltatáson azonban, mint alkalmazás szerverek, fájl szerverek, kliens munkaállomások alapuló megoldások Microsoft operációs rendszerek
· Ki kell építeni egy „vendég” területen kell elérni a „külső” felhasználók számára, hogy az interneten;
· Nem elég „érettség” a cég, ami miatt nincs központosított könyvtár szolgáltatás telepítve, vagy nem a szükségességét, hogy a megadott szolgáltatást.
· Foglalható DMZ [i]. ahol szervereket telepített, az ügyfelek nem az AD vagy AD DS és. t. d.
Így van olyan helyzet, amelyben egyrészt az adminisztrátornak, hogy egy rendszeresen frissített rendszer, másrészt az, hogy nem használja a csoportházirend-objektum vezet nyilvánvaló nehézségeket. Hogyan lehet megoldani ezt a problémát?
Ez nagyon kívánatos lenne, hogy megszabaduljon az ilyen problémákat. Ez úgy érhető el, egy konfigurációs szkript. Ebben az esetben szükség van egy olyan mechanizmus automatikus központosított szállítási ezt a forgatókönyvet dolgozói munkaállomások és szerverek. Az ilyen alapok önmagukban az operációs rendszer Microsoft mellett használhatja a képességeit a modern anti-virus rendszereket központilag irányított. Ezért alapuló forgatókönyv, a szállítási rendszer van, azt az esetet, a WSUS-kiszolgáló konfigurálásához ügyfelek.
Meg kell jegyezni, hogy a rendszergazda frissítése előtt kliens számítógépek esetében számos előzetes intézkedések:
· Meg kell készülni előre minden célcsoport, azaz a. E. A gyűjtemény számítógépfiókokhoz A WSUS-kiszolgálón, a frissítések telepítése.
· Meg kell jelenlétét biztosítani a vizsgálati csoportot, amelyhez a létesítmény kerül sor az első helyen, annak érdekében, kompatibilitási vizsgálatok hardverrel és szoftverrel.
· Végezzen vizsgálatot kiépítési és elemzik az eredményeket.
Frissítés telepítése vállalati környezetben végezzük befejezése után sikeres tesztelés. Az utóbbi állítás természetesen egy ajánlást a frissítés telepítésére vizsgálat nélkül is lehetséges azonban, hogy figyelmen kívül hagyja ezt nem szükséges, tekintettel arra, hogy az összeférhetetlenséget nem kizárt a szoftver frissítések, a Microsoftnak.
Hozza létre a WSUS-kiszolgáló számítógép-csoportokat a Server Management konzol WSUS, «Számítógép» részén. Lásd. Ábra. 2. bekezdés «Add Computer Group ...» menü
Ábra. 2. létre csoportokat számítógépeket a WSUS-kiszolgáló.
Változások az ügyfél regisztrációs WSUS
Tehát hozz létre egy .reg fájlt, amely révén hajtják végre a szükséges intézkedéseket. A jövőben a megadott fájlt fogja végrehajtani az összes munkaállomások és szerverek, amelyek frissítés WSUS fogunk nyújtani.
Mit kell figyelni, hogy amikor beállítja az ügyfelek [ii]?
1. annak szükségességét, hogy elférjen intranet frissítési szolgáltatás és szerver statisztikákat, valamint terjesztésére fogyasztói csoportok.
A regisztrációs kulcs
Mert tart egy szoba kliens számítógépek a célcsoport, meg kell határoznia, hogy a célcsoportok kell helyezni a számítógép:
Ebben a kiviteli alakban, a célcsoport az úgynevezett «WSUS-Test-WKS». Az ügyfelek, a célcsoport, akinek a neve más lesz ezen a területen azt jelzi, hogy mást jelent. Paraméter TargetGroupEnabled ebben az esetben biztosítja a helyét irányító csoport az ügyfél.
2. Ezután be kell állítani a paramétereket a kliens kölcsönhatás a frissítési szervert.
Ehhez a regisztrációs kulcs
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU hozzá némi változás.
«NoAutoUpdate» = dword: 00000000 jelzi, hogy az automatikus frissítés be van kapcsolva
«AUOptions» = dword: 00000004 Ebben az esetben azt követeli meg, hogy frissítések automatikusan letölti a kliens számítógépek, a telepítés szerint kell elvégezni meghatározott ütemezés, amelynek paraméterei az alábbiakban mutatjuk be.
ScheduledInstallDay paraméter jelzi a frissítések gyakoriságát, ScheduledInstallTime a telepítés során. Így a példában telepítése 3 minden nap a héten, azaz a. E. Kedden 12 órakor. Napi frissítések telepítési beállításokat kell megadnia „ScheduledInstallDay” = dword: 00000000
Aztán adja meg az időintervallumot a ciklusok között a szerverrel való, hogy a frissítéseket (például 1 alkalommal 6 óránként), és egy olyan érzékelési módot. Most nézze meg a WSUS-kiszolgáló fog bekövetkezni 6 óránként néhány véletlen eltérés megengedett, hogy ellenőrizze, hogy a frissítések telepítését. Ha az utóbbi kezdeményezte a rakodás.
«UseWUServer» = dword: 00000001 - azt mondja, hogy a frissítéseket kell használni a WSUS-kiszolgáló, ha be van állítva, hogy a nulla érték a változó, az ügyfél együtt fog működni a Microsoft Update.
«RescheduleWaitTime» = dword: 00000015 - meghatározza a várakozási idő után a rendszer újraindítása telepítés indításához kimaradt az előző ciklusban frissítéseket. Ebben az esetben, ez adott 15 perc alatt.
«RescheduleWaitTimeEnabled» = dword: 00000001 befogadás telepítse a hiányzó frissítéseket.
«NoAutoRebootWithLoggedOnUsers» = dword: 00000000 értesíti a felhasználót és automatikusan újraindítja a kliens számítógép 5 perc után.
Most tekintsük a példa egy kliens konfigurációs fájl teljes:
Windows Registry Editor Version 6.1
"NoAutoRebootWithLoggedOnUsers" = dword: 00000000
Biztosítja a szállítási és végrehajtása a fájlt, akkor képes beállítani a WSUS-kiszolgáló az ügyfelek, anélkül, hogy a csoportházirend. A leírás minden registry változó, hogy lehet használni, hogy működjön együtt a frissítési szervereket és azok lehetséges értékeit adják a Windows Server Update Services 3.0 SP2 telepítési útmutatót.
Biztonsági ajánlások a frissítési szervert
Annak érdekében, hogy a biztonság a frissítési szervert érdemes elvégezni egy sor egyszerű iránymutatás:
5. Ha szabályozni WSUS kiszolgáló ésszerű a beépített csoport WSUS rendszergazdák, amely létrehozta a telepítés során.
[1] Anita Taylor Windows Server Update Services 3.0 SP2 telepítési útmutatót.
[2] Anita Taylor Windows Server Update Services 3.0 SP2 használati útmutató
[Ii] Nem tekinthető, és csak az alapvető paramétereket a WSUS kliens konfigurációs.
[Iv] Itt az absztrakt neve a kísérleti csoport.