|
Марсин Полич (Marcin Policht)
До сих пор наша серия
«Управления заплатами в ОС Windows» была сфокусирована на ряде
бесплатных решений от Microsoft, обладающих возможностями по
развертыванию заплат и инвентаризации. Эта, и следующая за ней статья, завершат
общую картину, давая описание службы Software Update Services (SUS) – другого механизма
развертывания заплат от Microsoft.
SUS
была впервые выпущена
в июне 2002 года и в настоящее время имеет версию 1.0, Service Pack 1. В отличии от других
инструментов той же категории, описанных мною ранее (таких как Critical Update Notification и Windows Update) и предназначенных, главным
образом, для неуправляемых сред и ограниченные в их способности быть
управляемыми централизованно, SUS был разработан для того, чтобы разрешить более
высокий уровень настройки для развертывания инфраструктуры и избирательности в
установке заплат.
В традиционных сценариях Windows Update, клиентские компьютеры, на
которых запущена служба Automatic Update, загружают список применимых
обновлений напрямую с серверов Microsoft. SUS также полагается на службу Automatic Update, запущенную на клиентских
компьютерах (что ограничивает ее область применения компьютерами под
управлением ОС Windows 2000 и более поздними ОС), но она также добавляет
некоторый уровень обработки. Этот уровень состоит из, по-крайней мере, одного
компьютера, находящегося в сети компании и работающего под управлением Windows 2000 SP2 или более поздних версий, или Windows 2003 Server, на котором установлено
программное обеспечение службы SUS.
Файлы Windows update сначала загружаются на один или
более этих серверов с расположенных в Интернете серверов Microsoft. Этот уровень может иметь
подуровни дополнительных серверов SUS, упрощающих координирование
развертывания заплат в больших средах: серверы SUS настроены на синхронизацию
содержания с другими серверами SUS (но не с Интернет-серверами Microsoft Update), расположенными выше в этой
иерархии. Должным образом сконфигурированные клиентские компьютеры получают
обновления (используя механизм Automatic Update). Системный администратор
предписывает, какие обновления одобрены для распределения в масштабах предприятия.
Этот подход демонстрирует
ряд явных преимуществ, среди которых:
- Контроль над тем, какие обновления будут
применяться к компьютерам
- Снижение нагрузки на соединение с Интернетом
- Возможность управлять течением загрузки заплат
(это может оказаться важным в среде с несколькими сайтами, разделенными
медленными соединениями WAN)
- Возможность развертывания заплат на
компьютерах без прямого доступа к Интернету
- Решение для сред, в которых прокси-серверы
требуют аутентификации для защищенного доступа в Интернет (что является
проблемой для клиентов Automatic Update).
Service
Pack 1 расширяет
набор основных функций, предоставляемых SUS 1.0. С точки зрения SMB, одним из наиболее значимых
изменений является возможность установки программного обеспечения SUS на контроллеры домена. Отсутствие
этой возможности в предыдущей редакции не позволяло развертывать SUS в средах, использующих редакции Windows 2000 и 2003 Small Business Server, если они действовали в качестве
контроллеров домена. Текущее воплощение SUS также поддерживает развертывание пакетов
обновления (service pack) Windows (начиная с Windows 2000 SP4 и Windows XP SP1) в дополнение к заплатам в
системе безопасности. Однако он не позволяет обновлять каких-либо других
продуктов Microsoft, таких как Office, Exchange 2000 или SQL 2000 Servers.
SUS-клиенты могут
быть настроены на посылку информации об обработке заплаты на сервер статистики SUS. Это должен быть Windows-сервер, на котором запущен IIS (Internet Information Server) и он может быть тем, на котором
установлен компонент SUS. Если используется другой сервер, скопируйте файл WUtrack.bin из корневой папки Web-сайта SUS в корневую папку Web-сайта сервера статистики.
Статистика по загрузке и установке заплат, посылаемая клиентом, записывается в
журналы IIS.
Дополнительную информацию
об анализе содержания журналов можно найти в Приложении С "SUS SP1 Deployment Guide", которое можно загрузить здесь.
В качестве альтернативы,
вы можете также применить Microsoft Baseline Security Analyzer (запустив его из командной
строки, используя синтаксис MBSACLI /hf /sus "http://SUSServer") для выполнения сравнения
обновлений безопасности со списком локально установленных обновлений, а не с
полным списком всех обновлений, содержащихся в файле mssecure.xml на серверах Microsoft Internet Update.
Установка SUS
Как упоминалось ранее, SUS 1.0 SP1 (доступный для загрузки здесь)
должен быть установлен на систему, работающую под управлением операционной
системы Windows 2000 или 2003 Server с Internet Information Services (и Internet Explorer 5.5 или более поздней версией).
Программа установки использует Web-сайт, связанный с портом 80 или, если таковой не
существует, создает его и связывает с портом 80. (Порт 80 требуется для
правильной связи между сервером SUS, его клиентами и другими серверами, включая
серверы Microsoft Windows Update).
Программа установки также
создает папку, в которой хранятся файлы Web-сайта и Windows update, загружаемые с сайтов Microsoft (или другого SUS-сервера, находящегося выше в этой
иерархии). В случае обновления файлов, у вас есть опция, позволяющая не
загружать их и разрешить клиентам установить выборочно проверенные обновления
непосредственно с серверов Microsoft Update. Эта опция может иметь значение
для клиентов, расположенных на удаленном конце медленной линии WAN, без наличия на сайте локального SUS, но, возможно, с более быстрым
прямым подключением к Интернету.
Далее, у вас попросят
выбрать языковую версию заплат, в которых вы заинтересованы. Выбирайте только
те, что важны для вашей среды, поскольку этот выбор влияет на дисковое
пространство, занимаемое SUS. И в заключение, решите, будут ли новые обновления
проверяться автоматически или вручную. Первая опция имеет смысл, если
единственной задачей организации является оптимизация использования полосы
пропускания ее Интернет-соединения; вторая – предпочтительна в том случае, если
организация хочет контролировать, какие обновления должны быть установлены в
среде.
По завершению установки мастер
предоставит клиентским компьютерам путь URL Web-сайта SUS для доступа при загрузке заплат
(обычно, этот путь – http://SUSServerName – где SUSServerName является разрешимым именем
хостинга сервера на Web-сайте). При установке на платформу Windows 2000 Server, программа установки также
инсталлирует утилиты IIS Lockdown 2.0 и URL Scanner 2.5 (при условии, что они еще не
установлены на целевой системе). Эти утилиты затем используются для отключения
или удаления ряда потенциально уязвимых функций (например, анонимного доступа, WebDAV и Sample Web site). После того как установка будет
завершена, автоматически запускается Internet Explorer, который подключается к Web-странице SUS Administration, расположенной по адресу http://SUSServerName/SUSAdmin.
Настройка и администрирование
SUS
С Web-станицы SUS Administration администратор может
конфигурировать компоненты SUS и выполнять две главные административные задачи –
синхронизацию и проверку содержания. Конфигурирование включает настройку
следующих параметров (некоторые из которых настраиваются в ходе установки):
- Настройки, доступные в компоненте "Set options" на левой панели Web-страницы
SUS Administration:
- Proxy Server Settings (Настройки прокси-сервера) – для доступа к серверам Microsoft Internet Windows Update
- SUS Server Name (Имя сервера SUS)
– имя, которое
клиентские компьютеры используют для определения расположения этого сервера;
это может быть NetBIOS-имя, имя узла, полностью
определенное DNS-имя или IP-адрес
- Synchronization Source (Источник синхронизации) является сервером Microsoft Windows Update или другим SUS-сервером
- Approval Setting for Updates of Previously Approved Updates (Настройка обновления ранее одобренных обновлений) – может быть автоматической
или ручной
- Storage Information (Хранимая информация) сохраняется как обновление в локальной папке или
полагается на информацию, хранимую на серверах Microsoft Windows Update
- Locale Selection (Выбор локализации) – локализация версий или обновлений в зависимости
от языка, используемого в организации.
- Настройки, доступные в компоненте "Synchronize server" на левой панели Web-страницы
SUS Administration:
- Synchronization Mechanism (Механизм синхронизации) – может быть автоматическим или ручным
- Synchronization Schedul (Расписание синхронизации) – активируется, если выбрана опция «scheduled synchronization».
С административной
странички вы можете синхронизовать SUS-сервер с его источником (щелкнув
кнопку Synchronize Now, отображаемую после выбора опции "Synchronize server"), проверить обновления (при
условии, если выбран ручной метод проверки и выбрав опцию "Approve updates" и окно метки в списке Available Updates, приведенном на правой стороне Web-страницы), просмотреть журналы
проверки и синхронизации и получить информацию о числе обновлений, загруженных
в кэш памяти сервера, что также ускоряет доступ к ним.
Следующая статья
продолжит рассмотрение решения SUS и обсуждение дополнительных конфигурационных
опций, а также краткосрочные планы Microsoft относительно этой технологии.
|
