Регистрация за конференцията
Част 1: Инсталиране и конфигуриране
Той отдавна е системните администратори се чувстват нуждата да означава, че, благодарение на автоматичното разполагане на софтуер за корекция на сигурността на всички компютри в мрежата, което позволява на мрежата, за да се поддържа защитата на най-високо ниво. Въпреки това, преди няколко години, Microsoft пусна програмата Windows Update, но този инструмент е предназначен само за частни потребители и малки организации, защото няма механизми за контрол при използване на честотната лента или ресурси, които предоставят изпитване и одобряване на прилагането на нови петна не е предвидено в него.
И последно, Microsoft пусна пакет от Software Update Services (SUS), един от първите продукти, произведени по програма Стратегическата програма за стратегически технологии за защита (STPP). Тук, разбира се, разработчиците трябва да отдаде почит: SUS попълнено зейналата дупка в системата на контрол и защита на Windows. В тази статия ще говорим за това как Sus, и как да се инсталира и конфигурира различни компоненти от него. Във втората част на тази статия ще се фокусира върху по-сложни конфигурации, на Sus, включващи, например, възможност за проследяване на процедури за корекция на позицията на програмата, регулаторните изисквания за трафик и счетоводни мощности за мащабиране.
Service SUS е несъвършена, тя има някои ограничения:
SUS услуга се състои от три компонента: SUS компонент изпълнява на сървъра; компонент Automatic Updates (АС), работещ на клиентски компютри; Политика настройки Група Група политиката, дава възможност на клиентите да управляват AU чрез услугата АД. SUS сървъра, всъщност, се основава на уеб-сайта на IIS. Администраторите използват уеб-страницата за управление и наблюдение на SUS услуги, о-клиенти, които използват уеб-страницата завърши зареждането модули. Microsoft е домакин на тези модули на своите сървъри за актуализиране на Windows. Една от службите на SUS, наречена Windows Update Service Синхронизация, периодично синхронизиране на SUS сървъра и сървъри за актуализиране на Microsoft Windows.
SUS сървъра може да бъде конфигуриран така, че да се изтеглят и инсталират модулите във всички тези езици. Друг вариант - съхранява актуализирани модули на сървърите за актуализиране на Windows; В този случай, изтегляне и инсталиране на тях ще се гледа и клиенти АС. Но във всеки избран конфигурация, преди да започнете изтеглянето и инсталирането на модулите, SUS пакет ще ги проверява за спазването на обществения сертификат Microsoft. Това е предпазна мярка, в случай на опити за въвеждане на разрушителен код в мрежата компютри чрез SUS канали.
В много програми, изтеглянето и инсталирането процедури модули се изпълняват като една операция; обаче SUS пакет ги третира като два отделни процеси. Представете си тази ситуация. Оставете го да се наложи да изтеглите и инсталирате модула за корекция заема клиенти АС. AU клиент периодично се консултира от сървъра на SUS, наличието на нови модули за внедряване. Намирането модул, за да се зареди, клиентът започва процеса на зареждане с връзката към съответния сървър Windows Update. Така че, в зависимост от това на администратор дефинирани настройки АС клиент може автоматично да заредите модула от сървъра на Windows Update или уведомява потребителя, че модулът е готов да бъде изтеглен. В последния случай, клиентът AU ще чака процеса на стартиране на потребителя инициализация.
Инсталационният процес започва след модула клиент натоварване на Африканския съюз в папката на временен склад. Клиентът проверява параметрите, определени от администратора, определен ден и час за инсталация модул. AU клиент може да бъде конфигуриран за автоматично инсталиране на модулите в съответствие с предварително определен график, и можете да го инструктира да уведоми потребителя за наличието на модули, за да бъде инсталирана от потребителя и да чакат за инициализация на процеса на внедряване. Когато клиент необходимостта на АС след инсталирането на модулите извършва рестартиране на компютъра. Ако в този момент потребителят е регистриран в системата, AU клиент му дава 5 минути, за да се запазят данните, затворете всички програми и излезете. След това клиентът се рестартира компютъра. В този случай, той използва инструмент Qchain, така че е необходимо да рестартирате машината само веднъж, дори ако са инсталирани някои корекция модули.
Инсталиране на Sus
Е, да разберат основните принципи на функциониране на SUS пакет, ние можем да се запознае с проста процедура инсталация Sus в АД домейн. За да инсталирате SUS сървъра се изисква, където се извършват тези услуги. Контролери АД (домейн контролери, DCS) подават и компютри, които работят под контрола на Small Business Server (SBS), не може да се използва като сървър SUS.
По време на инсталационния пакет задейства SUS означава IIS Lockdown инструмент, който осигурява защита на SUS IIS сървър. По този начин на хакера, който успя да се справи с SUS сървъра, за да откаже достъп до клиенти АС. IIS Lockdown Инструмент деактивира функции, които представляват заплаха за сигурността на системата; с други думи, тя може да се прекъсне изпълнението на съществуващите приложения за интернет. Ако SUS сървъра хоства и други уеб-базирани приложения, както и тези приложения се използва от компонентите, като WWW Разпределени Authoring и Версиите (WebDAV), Microsoft FrontPage сървър разширения или FTP, не може да има проблеми. То може да бъде възможно да се установи "мирно съвместно съществуване" на SUS услуги за тези приложения, но това е възможно, че след инсталирането на SUS ще трябва отново да активирате някои функции. Пълното описание на промените, въведени от службите за SUS в IIS, вие може да се намери в Приложение А на "Бяла книга» «Внедряването на Microsoft Software Update Services».
И накрая, съветникът се показва при отваряне Finish и представя URL уеб-страница администрация пакет SUS. Трябва да се запише и показалеца. В бъдеще, то ще трябва да се управлява SUS сървъра.
Настройване на SUS сървъра
Следващата стъпка - създаването на SUS сървъра. Въведете подходящите настройки, администраторът определя колко и кога сървър SUS да се синхронизира с Windows Update сървъри и кои модули получи разрешение за разполагането на мрежата.
конфигурация SUS сървъра може да се направи от всеки компютър в мрежата, на която браузъра е IE 5.5 или по-късно. Вие би трябвало да работи на браузъра IE и да влезе в URL или името на интранет LAN (например // сървър / SUSAdmin) или име DNS (например server.acme.com/SUSAdmin). На началната страница ще се появи, показан на фигура 1. На левия панел на тази страница, има няколко важни връзки, включително връзки Задаване на опции, Синхронизиране на сървъра и одобрява актуализации.
Изберете подходящите настройки за тези пет секции от страницата, трябва да ги запишете като кликнете върху Прилагане. Сега е възможно да се насрочи SUS синхронизация и одобрява списък на модули, които ще бъдат разположени в мрежата.
Екран 2. Създаване на график.
В нашия пример, ние трябва да предложим SUS синхронизирате до 1.00 часа сутринта всеки ден и натиснете ОК. Сега страница Синхронизиране на сървъра показва датата и часа на следващото насрочено заседание синхронизация. Кликнете Синхронизиране сега. SUS показва името на системата, с която се извършва синхронизация, както и за хода на процеса на синхронизация.
За да се разреши разпространението на един или повече модули, трябва да зададете в квадратчето до всеки избран модул и кликнете върху Одобряване. На екрана ще се появи подкана да потвърдите диалоговия прозорец; натиснете Да. Тогава SUS показва диалогов прозорец със списък на получените "добрите" модули с и са подканени да приемете лицензионното споразумение (EULA) за тези програми. За някои стойности на разделителната способност на екрана и настройките на браузъра бутона Приемам и Дон? Т Accept не може да се побере в диалоговия прозорец, ако тя е твърде малка, за да се покаже на всички модули. не е предвидено Възможност за промяна на размера на този прозорец. Но вие можете да настроите курсора на мишката в полето със списъка и кликнете върху раздела ключът, а след това бутона и Дон приема? T Accept се появи на екрана. Вие трябва да кликнете върху бутона Приеми и избраните модули ще получат разрешение да разпространява сред клиентите на АС.
монтаж AU
За компютри в мрежата, могат да получават от сървъра за SUS актуална информация, ще трябва да ги инсталирате на Automatic Updates компонент. AU инсталация може да се направи по два начина:
Конфигуриране на клиенти AU
Варианти 2 и 3 позволява на администратора на локалната машина настроите времето за изтегляне и корекция на позиция модули. Когато администраторът е влязъл и са на разположение за изтегляне или инсталиране на модули, AU клиент уведоми администратора за това. Ако администраторът кликне върху този доклад, AU клиент се отваря диалогов прозорец, в който потребителят може да кликнете на едно от следните неща: Напомняне по-късно или Install.
Вариант 4 Избор, това ще бъде възможно, за да изберете AU клиент за автоматично инсталиране на нови модули в определено време всеки ден или веднъж седмично. клиенти АС често се обръщат към сървъра на SUS за да се провери, че не сме получили никакви нови одобрени за разпределение корекция модули. Когато клиентът AU находки наскоро получи разрешение модул е подходящ за инсталация на машината, тя се зарежда в временна папка за съхранение, която се попълва или с сървъра SUS, или от сървъра на Windows Update. AU клиент настройва параметрите започва (т. Е. Ширината на пропусканата лента, предвиден за него), така, че този процес не пречи на работата на мрежата. АС Клиентите могат да извършват зареждане на модули в периодичен режим (който може да бъде свързано, например, с reinitialization на системата). След като модулите са поставени на място за временно съхранение, AU клиент влиза в режим готовност и при настъпване на времето, определено за инсталиране на модули изпълнява тази операция. След конфигуриране правила Конфигуриране за автоматични актуализации, натиснете OK.
secedit / refreshpolicy machine_policy
Компютърът трябва да започне да се изтегля всички корекция на софтуер, който даде "добра". На Windows XP машина, за да доведе до същия резултат Gpupdate трябва да изпълни командата без параметри.
Екран 4. Конфигурирайте Automatic Updates политика.
Свързани статии