|
SUS была впервые выпущена в июне 2002 года и в настоящее время имеет версию 1.0, Service Pack 1. В отличии от других инструментов той же категории, описанных мною ранее (таких как Critical Update Notification и Windows Update) и предназначенных, главнымобразом, для неуправляемых сред и ограниченные в их способности бытьуправляемыми централизованно, SUS был разработан для того, чтобы разрешить болеевысокий уровень настройки для развертывания инфраструктуры и избирательности вустановке заплат.
Марсин Полич (Marcin Policht)
До сих пор наша серия«Управления заплатами в ОС Windows» была сфокусирована на рядебесплатных решений от Microsoft, обладающих возможностями поразвертыванию заплат и инвентаризации. Эта, и следующая за ней статья, завершатобщую картину, давая описание службы Software Update Services (SUS) – другого механизмаразвертывания заплат от Microsoft.
SUSбыла впервые выпущенав июне 2002 года и в настоящее время имеет версию 1.0, Service Pack 1. В отличии от другихинструментов той же категории, описанных мною ранее (таких как Critical Update Notification и Windows Update) и предназначенных, главнымобразом, для неуправляемых сред и ограниченные в их способности бытьуправляемыми централизованно, SUS был разработан для того, чтобы разрешить болеевысокий уровень настройки для развертывания инфраструктуры и избирательности вустановке заплат.
В традиционных сценариях Windows Update, клиентские компьютеры, накоторых запущена служба Automatic Update, загружают список применимыхобновлений напрямую с серверов Microsoft. SUS также полагается на службу Automatic Update, запущенную на клиентскихкомпьютерах (что ограничивает ее область применения компьютерами подуправлением ОС Windows 2000 и более поздними ОС), но она также добавляетнекоторый уровень обработки. Этот уровень состоит из, по-крайней мере, одногокомпьютера, находящегося в сети компании и работающего под управлением Windows 2000 SP2 или более поздних версий, или Windows 2003 Server, на котором установленопрограммное обеспечение службы SUS.
Файлы Windows update сначала загружаются на один илиболее этих серверов с расположенных в Интернете серверов Microsoft. Этот уровень может иметьподуровни дополнительных серверов SUS, упрощающих координированиеразвертывания заплат в больших средах: серверы SUS настроены на синхронизациюсодержания с другими серверами SUS (но не с Интернет-серверами Microsoft Update), расположенными выше в этойиерархии. Должным образом сконфигурированные клиентские компьютеры получаютобновления (используя механизм Automatic Update). Системный администраторпредписывает, какие обновления одобрены для распределения в масштабах предприятия.
Этот подход демонстрируетряд явных преимуществ, среди которых:
- Контроль над тем, какие обновления будут применяться к компьютерам
- Снижение нагрузки на соединение с Интернетом
- Возможность управлять течением загрузки заплат (это может оказаться важным в среде с несколькими сайтами, разделенными медленными соединениями WAN)
- Возможность развертывания заплат на компьютерах без прямого доступа к Интернету
- Решение для сред, в которых прокси-серверы требуют аутентификации для защищенного доступа в Интернет (что является проблемой для клиентов Automatic Update).
ServicePack 1 расширяетнабор основных функций, предоставляемых SUS 1.0. С точки зрения SMB, одним из наиболее значимыхизменений является возможность установки программного обеспечения SUS на контроллеры домена. Отсутствиеэтой возможности в предыдущей редакции не позволяло развертывать SUS в средах, использующих редакции Windows 2000 и 2003 Small Business Server, если они действовали в качествеконтроллеров домена. Текущее воплощение SUS также поддерживает развертывание пакетовобновления (service pack) Windows (начиная с Windows 2000 SP4 и Windows XP SP1) в дополнение к заплатам всистеме безопасности. Однако он не позволяет обновлять каких-либо другихпродуктов Microsoft, таких как Office, Exchange 2000 или SQL 2000 Servers.
SUS-клиенты могутбыть настроены на посылку информации об обработке заплаты на сервер статистики SUS. Это должен быть Windows-сервер, на котором запущен IIS (Internet Information Server) и он может быть тем, на которомустановлен компонент SUS. Если используется другой сервер, скопируйте файл WUtrack.bin из корневой папки Web-сайта SUS в корневую папку Web-сайта сервера статистики.Статистика по загрузке и установке заплат, посылаемая клиентом, записывается вжурналы IIS.
Дополнительную информациюоб анализе содержания журналов можно найти в Приложении С "SUS SP1 Deployment Guide", которое можно загрузить здесь.
В качестве альтернативы,вы можете также применить Microsoft Baseline Security Analyzer (запустив его из команднойстроки, используя синтаксис MBSACLI /hf /sus "http://SUSServer") для выполнения сравненияобновлений безопасности со списком локально установленных обновлений, а не сполным списком всех обновлений, содержащихся в файле mssecure.xml на серверах Microsoft Internet Update.
Установка SUS
Как упоминалось ранее, SUS 1.0 SP1 (доступный для загрузки здесь)
должен быть установлен на систему, работающую под управлением операционнойсистемы Windows 2000 или 2003 Server с Internet Information Services (и Internet Explorer 5.5 или более поздней версией).Программа установки использует Web-сайт, связанный с портом 80 или, если таковой несуществует, создает его и связывает с портом 80. (Порт 80 требуется дляправильной связи между сервером SUS, его клиентами и другими серверами, включаясерверы Microsoft Windows Update).
Программа установки такжесоздает папку, в которой хранятся файлы Web-сайта и Windows update, загружаемые с сайтов Microsoft (или другого SUS-сервера, находящегося выше в этойиерархии). В случае обновления файлов, у вас есть опция, позволяющая незагружать их и разрешить клиентам установить выборочно проверенные обновлениянепосредственно с серверов Microsoft Update. Эта опция может иметь значениедля клиентов, расположенных на удаленном конце медленной линии WAN, без наличия на сайте локального SUS, но, возможно, с более быстрымпрямым подключением к Интернету.
Далее, у вас попросятвыбрать языковую версию заплат, в которых вы заинтересованы. Выбирайте толькоте, что важны для вашей среды, поскольку этот выбор влияет на дисковоепространство, занимаемое SUS. И в заключение, решите, будут ли новые обновленияпроверяться автоматически или вручную. Первая опция имеет смысл, еслиединственной задачей организации является оптимизация использования полосыпропускания ее Интернет-соединения; вторая – предпочтительна в том случае, еслиорганизация хочет контролировать, какие обновления должны быть установлены всреде.
По завершению установки мастерпредоставит клиентским компьютерам путь URL Web-сайта SUS для доступа при загрузке заплат(обычно, этот путь – http://SUSServerName – где SUSServerName является разрешимым именемхостинга сервера на Web-сайте). При установке на платформу Windows 2000 Server, программа установки такжеинсталлирует утилиты IIS Lockdown 2.0 и URL Scanner 2.5 (при условии, что они еще неустановлены на целевой системе). Эти утилиты затем используются для отключенияили удаления ряда потенциально уязвимых функций (например, анонимного доступа, WebDAV и Sample Web site). После того как установка будетзавершена, автоматически запускается Internet Explorer, который подключается к Web-странице SUS Administration, расположенной по адресу http://SUSServerName/SUSAdmin.
Настройка и администрированиеSUS
С Web-станицы SUS Administration администратор можетконфигурировать компоненты SUS и выполнять две главные административные задачи –синхронизацию и проверку содержания. Конфигурирование включает настройкуследующих параметров (некоторые из которых настраиваются в ходе установки):
- Настройки, доступные в компоненте "Set options" на левой панели Web-страницы SUS Administration:
- Proxy Server Settings (Настройки прокси-сервера) – для доступа к серверам Microsoft Internet Windows Update
- SUS Server Name (Имя сервера SUS) – имя, которое клиентские компьютеры используют для определения расположения этого сервера; это может быть NetBIOS-имя, имя узла, полностью определенное DNS-имя или IP-адрес
- Synchronization Source (Источник синхронизации) является сервером Microsoft Windows Update или другим SUS-сервером
- Approval Setting for Updates of Previously Approved Updates (Настройка обновления ранее одобренных обновлений) – может быть автоматической или ручной
- Storage Information (Хранимая информация) сохраняется как обновление в локальной папке или полагается на информацию, хранимую на серверах Microsoft Windows Update
- Locale Selection (Выбор локализации) – локализация версий или обновлений в зависимости от языка, используемого в организации.
- Настройки, доступные в компоненте "Synchronize server" на левой панели Web-страницы SUS Administration:
- Synchronization Mechanism (Механизм синхронизации) – может быть автоматическим или ручным
- Synchronization Schedul (Расписание синхронизации) – активируется, если выбрана опция «scheduled synchronization».
С административнойстранички вы можете синхронизовать SUS-сервер с его источником (щелкнувкнопку Synchronize Now, отображаемую после выбора опции "Synchronize server"), проверить обновления (приусловии, если выбран ручной метод проверки и выбрав опцию "Approve updates" и окно метки в списке Available Updates, приведенном на правой стороне Web-страницы), просмотреть журналыпроверки и синхронизации и получить информацию о числе обновлений, загруженныхв кэш памяти сервера, что также ускоряет доступ к ним.
Следующая статьяпродолжит рассмотрение решения SUS и обсуждение дополнительных конфигурационныхопций, а также краткосрочные планы Microsoft относительно этой технологии.
|
_3963_3919_little.png)
_1079_1080_1078_little.png)
Навигация
ISRAland - РЕКЛАМА
