Решаването на проблема със сигурността на компютърната система, е необходимо да се вземе предвид цялата гама от проблеми, един от които - своевременното актуализиране на операционни системи и софтуер.
За да се поддържа текущото състояние на операционните системи и софтуерни компании информационната система трябва да се извършват от техните редовни актуализации. Тези действия могат да се извършват от Актуализация на сайта на Microsoft всеки клиентски компютър, или чрез използване на сървър / Windows Server Update Services сървър (WSUS). Ако ние говорим за корпоративна мрежа, препоръчителен избор - използвайте WSUS сървъра. Когато се работи с посоченото по-горе услугата се постига значително намаляване на трафика в интернет и позволява централизирано управление на процеса на внедряване и софтуерни пачове, получени от Microsoft.
За да може да актуализира клиентските компютри трябва да бъде:
1. Извършване на дизайнерски решения
2. За да се извърши със сървърите на сървъра разгръщане / WSUS;
3. Осигуряване на редовен WSUS сървър, за да се синхронизира с Microsoft Update ресурси;
4. Настройте параметрите на сървърите на сървър / WSUS;
5. Създаване на целева група и поставете клиентските компютри в целевата група на сървъра на WSUS.
6. клиенти конфигурирате да използват сървърите WSUS;
7. Осигуряване на сигурността на сървъра на сървър / WSUS.
В тази статия ние не смятаме, че етапите на проектиране и внедряване, синхронизация, ние ще се съсредоточи върху създаването на клиенти и осигуряване на безопасността на сървъра на WSUS.
Конфигуриране на сървър за актуализиране на клиентите, без да използвате Group Policy
Конфигуриране на клиентите да използват WSUS сървър е възможно по три начина:
- Използване на груповите правила;
- Използвайте местната политика компютър;
- Незабавни промени в регистъра на клиентски станции.
Фиг. 1. настройки за клиенти WSUS.
Ако директорията на обслужване в организацията не се разгръща, възможност за изпълнение на взаимодействие с клиентите с WSUS, можете или чрез местната политика или чрез "Директно" промени в работната станция на системния регистър или сървъра, който е състоянието на спешност ние искаме да предоставим. В действителност, политиката не е нищо друго, подобно на интерфейса в системния регистър.
Обстоятелствата, при които работни станции и сървъри не са АД клиентите могат да възникнат в редица случаи, например:
· Използването на справочна услуга на трета страна, обаче, тъй като сървъри за приложения, файлови сървъри, работни станции клиенти използват решения, базирани на операционните системи на Microsoft;
· Необходимостта от изграждане на зона "гост", за да получите достъп до "външни" потребителите на интернет;
· Не е достатъчно "зрялост" на дружеството, в резултат на което е разположена липсата на централизирана услуга директория, или липса на необходимост от посочената услуга.
· Наличие на DMZ [Ь]. , в която са разположени сървърите, клиентите не са реклама или рекламна DS и. т. г.
По този начин, има ситуация, в която, от една страна на администратора е да се осигури редовно актуализирана система, а от друга невъзможността за използване обекта на груповите правила води до очевидни трудности. Как може да се реши този проблем?
Това би било желателно да се отърве от такива проблеми. Това може да се постигне чрез използване на скрипт за конфигурация. В този случай, е необходимо да се осигури механизъм за автоматично централизирана доставка на този сценарий на работните станции на служителите и сървъри. Тези средства са сами по себе си на ОС на Microsoft, в допълнение могат да се използват възможностите на съвременните антивирусни системи се управляват централизирано. Поради това, на базата на този сценарий, системата за доставка, които имаме, за разглеждане на делото на сървъра, за да изберете WSUS клиенти.
Трябва да се отбележи, че от администратора, преди да актуализирате клиентски компютри изискват голям брой предварителни действия:
· Необходимо е да се подготвят предварително всички целеви групи, т.е.. Д. Колекция от компютърни акаунти на сървъра на WSUS, които ще бъдат инсталирани актуализации.
· Необходимо е да се осигури присъствието на тестовата група, към която инсталацията ще се извършва на първо място, за да се гарантира, тестове за съвместимост с хардуера и софтуера.
· Извършва разгръщане на тест и анализ на резултатите.
Актуализациите Разгръщане на предприятието среда се извършва след приключване на успешната тестване. Последното твърдение е, разбира се, е препоръка за да инсталирате актуализацията, без тестване е възможно, обаче, да се игнорира това не е необходимо, тъй като несъвместимост не се изключва от актуализациите на приложен софтуер, получени от Microsoft.
Създаване на WSUS сървърни компютърни групи чрез използване на сървър за управление на конзолата WSUS на «Компютри» раздел. Виж. Фиг. 2. Параграф «Добавяне Computer Group ...» меню
Фиг. 2. Създаване на групи от компютри към сървъра на WSUS.
Промени в WSUS на регистрации на клиенти
Така че, да създадете .reg файл, с помощта на които ще се извършват всички необходими действия. В бъдеще, даден файл ще бъде изпълнена по всички работни станции и сървъри, които обновяване посредством WSUS ние ще предоставят.
Какво трябва да се обърне внимание при конфигуриране на клиенти [II]?
1. Необходимостта да се настанят на статистическите данни за актуализация интранет услуги и сървъри, както и разпространение на клиентски групи.
Ключът от регистъра,
Защото това отнема стая на клиентски компютри в целевата група, ние трябва да се определи кои от целевите групи трябва да бъде поставен на компютъра:
В този вариант на целевата група се нарича «WSUS опити WKS». За клиенти, целевата група, чието име ще бъде различно в тази област показва различно значение. Параметър TargetGroupEnabled в този случай предвижда групата за управление на място от клиента.
2. След това трябва да зададете параметрите на взаимодействието с клиента до сървъра за актуализиране.
За да направите това в ключа на системния регистър
[HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU добавите някои промени.
«NoAutoUpdate» = DWORD: 00000000 показва, че автоматично актуализиране е включен
«AUOptions» = DWORD: 00000004 В този случай ние изискваме актуализации се изтеглят автоматично клиентските компютри, инсталацията ще се извършват в съответствие с определен график, параметрите на които са показани по-долу.
параметър ScheduledInstallDay показва честотата на актуализации, ScheduledInstallTime време на инсталацията. По този начин, в примера на инсталиране на 3 всеки ден от седмицата, т.е.. Д. Във вторник в 12 часа на обяд. За ежедневно актуализирана настройки за инсталиране трябва да уточнят "ScheduledInstallDay" = DWORD: 00000000
После посочи продължителността на интервал между циклите пътувания до сървъра, за да проверите за актуализации (например, 1 път на 6 часа) и включват режим на откриване. Сега, обърнете се към сървъра на WSUS ще се случи на всеки 6 часа с някои случайни отклонения, за да проверите позволено да инсталира актуализации. Когато последният инициира процеса на зареждане.
«UseWUServer» = DWORD: 00000001 - казва, че по отношение на актуализациите, за да се използва, е сървъра на WSUS, ако той е настроен на нулева стойност на променливата, клиентът ще работи с Microsoft Update.
«RescheduleWaitTime» = DWORD: 00000015 - определяне на времето за изчакване, след рестартиране на системата, за да започне да се инсталира пропуснати при предишни цикли актуализации. В този случай, той е даден на 15 минути.
«RescheduleWaitTimeEnabled» = DWORD: 00000001 включване инсталирате липсващите актуализации.
«NoAutoRebootWithLoggedOnUsers» = DWORD: 00000000 уведомява потребителя и автоматично рестартиране на компютъра на клиента след 5 минути.
А сега да разгледаме примера на файл с конфигурация на клиента в пълен размер:
Windows Registry Editor Version 6.1
"NoAutoRebootWithLoggedOnUsers" = DWORD: 00000000
Осигуряване на доставка и изпълнение на файла, ще бъде в състояние да изберете клиентите WSUS сървъра, без да се налага да използвате Group Policy. Описание на всички регистърни променливи, които могат да се използват за работа с сървърите за актуализиране и възможните им стойности са дадени в Ръководството за разполагане SP2 на Windows Server Update Services 3.0.
Препоръки за безопасност на сървъра за актуализиране
За да се гарантира сигурността на сървъра за актуализиране че има смисъл да извършвате редица прости правила:
5. За да се контролира WSUS сървъра разумно да се използват вградените група WSUS Администраторите, която е създадена по време на внедряване.
[1] Анита Тейлър Windows Server Update Services 3.0 Ръководство SP2 внедряване.
[2] Anita Тейлър Windows Server Update Services 3.0 SP2 операции Справочник
[Ii] Не се счита за всички, а само основните параметри на конфигурацията на WSUS клиент.
[Ив] Тук е абстрактно наименование на тестовата група.
Свързани статии