Aktualizace a zabezpečení systémů Windows pomocí služby...

© 2008, Microsoft Corporation

Česká republika

Aktualizace a zabezpečení systémů Windows

pomocí služby Microsoft Windows Server

Update Services 3.0

Autoři:

František Hůlka, duben 2006 (popis služby WSUS 2.0)

Jan Krontorád, červen 2008, (úprava textu - popis služby WSUS 3.0)

Strana 2 Windows Server Update Services (WSUS) 3.0

Aktualizace a zabezpečení systémů Windows

pomocí služby Microsoft Windows Server

Update Services V současném světě počítačových sítí, zejména v globálním prostředí sítě Internet, je

jednou z nejdůležitějších činností běžné praxe správců počítačových sítí péče o

spolehlivost provozu a zabezpečení všech provozovaných systémů (serverů i

klientských stanic). Neuvažujeme-li v tuto chvíli základní zabezpečení celé sítě

například pomocí tzv. firewallu, rozumíme zajištěním spolehlivého provozu a

bezpečnosti serverů i stanic zejména instalaci a provoz kvalitního antivirového

softwaru, pravidelnou instalaci bezpečnostních oprav a aktualizací vlastních

operačních systémů.

Pro zjednodušení a usnadnění instalace bezpečnostních oprav a ostatních

aktualizací přináší společnost Microsoft všem správcům počítačových sítí bezplatně

novou verzi služby Windows Update, která je v současnosti dostupná pod názvem

Microsoft Windows Server Update Services (WSUS).

Microsoft Windows Server Update Services (WSUS) je službou, která významným

způsobem zvyšuje bezpečnost a spolehlivost provozu počítačové sítě se servery a

klientskými stanicemi používajícími operační systémy Microsoft Windows.

Zavedením služby WSUS v prostředí školní počítačové sítě získává správce úplné

řešení pro správu aktualizací v rámci lokální sítě, služba správcům počítačových sítí

přináší jednoduchou a přehlednou formou úplnou kontrolu stahování, testování a

nasazení aktualizací a oprav operačních systému společnosti Microsoft.

Tento dokument seznamuje s podrobnostmi služby WSUS, instalací, základní

konfigurací, konfigurací klientských stanic a s potřebnými kroky běžné rutinní správy

instalací aktualizací v lokální počítačové síti.


Obsah: Microsoft Windows Server Update Services .......................................................................... 4

Seznámení se službou Microsoft Windows Server Update Services (WSUS) ....................... 5

Příprava instalace služby WSUS, instalace ........................................................................... 6

Instalace webové služby (IIS 6.0) na serveru Windows Server 2003 ................................. 7

Instalace služby Microsoft Windows Server Update Services (WSUS) .............................. 9

Průvodce počátečního nastavení WSUS 3.0 ........................................................................14

Konzola pro správu, konfigurace .......................................................................................19

Konfigurace služby ...........................................................................................................22

Konfigurace klientů ...........................................................................................................27

Běžná správa služby WSUS .................................................................................................30

Výchozí pohled do konzole ...............................................................................................30

Panel Aktualizace .............................................................................................................31

Panel Počítače..................................................................................................................33

Panel Synchronizace ........................................................................................................34

Panel Sestavy ...................................................................................................................34

Shrnutí .................................................................................................................................37


Microsoft Windows Server Update Services Služba Microsoft Windows Server Update Services (WSUS, aktuálně verze 3.0 SP1) je

službou, která významným způsobem zvyšuje bezpečnost a spolehlivost provozu

počítačové sítě se servery a klientskými stanicemi používajícími operační systémy a

ostatní produkty Microsoft.

Služba WSUS poskytuje úplné řešení pro správu aktualizací v rámci lokální sítě,

správcům počítačových sítí přináší jednoduchou a přehlednou formou úplnou

kontrolu stahování, testování a nasazení aktualizací a oprav operačních systému

společnosti Microsoft (společnost Microsoft vydává aktualizace a opravy svých

produktů pravidelně každé 2. úterý v měsíci, výjimečně v případě mimořádně

důležitých aktualizací zabezpečení i v mimořádných termínech).

Tento dokument seznamuje s podrobnostmi služby WSUS, instalací, základní

konfigurací, konfigurací klientských stanic a s potřebnými kroky běžné rutinní správy

instalací aktualizací v lokální počítačové síti:

- seznámení se službou Microsoft Windows Server Update Services (WSUS)

- příprava instalace služby WSUS

- instalace služby WSUS

- základní konfigurace služby WSUS

- konfigurace klientských počítačů pro aktualizace lokální službou WSUS

- rutinní kroky při používání služby WSUS


Seznámení se službou Microsoft Windows

Server Update Services (WSUS) Služba Microsoft Windows Server Update Services (WSUS) výrazně zjednodušuje a

sjednocuje proces instalace aktualizací na libovolném počtu serverů a klientských

operačních systémů v lokální počítačové síti.

Služba WSUS vytvoří v lokální síti pro všechny své klienty (servery i stanice) místní

aktualizační server, který pro všechny konfigurované klienty v podstatě nahrazuje

server www.windowsupdate.com společnosti Microsoft. Toto řešení přináší několik

základních výhod procesu aktualizace klientů:

jednoduchou možnost společné konfigurace instalace aktualizací na libovolném

počtu systémů Windows

přehled o instalovaných aktualizacích na jednotlivých stanicích (serverech)

možnost výrazné úspory přenosové kapacity připojení LAN do sítě Internet

(schválené aktualizace ze serveru Windows Update společnosti Microsoft jsou

stahovány pouze 1x pro potřebu všech klientů služby WSUS)

Na zvoleném lokálním serveru je prostřednictvím webové služby (IIS 6.0) provozován

lokální server WindowsUpdate, který se dle konfigurace stará o zjišťování dostupných

aktualizací (s možností výběru aktualizací pouze pro určité operační systémy a jejich

jazykové varianty) a případné automatické stahování zvolených aktualizací do

vybraného lokálního úložiště.

Současná služba „Microsoft Update“ společnosti Microsoft (vyšší verze služby

Windows Update, která slučuje zdroj aktualizací nejen pro operační systémy, ale i pro

další produkty do jednoho aktualizačního centra) je i služba WSUS schopna stahovat

a distribuovat na klientské stanice aktualizace dalších produktů - např. pro Microsoft

Office, Windows Defender, Microsoft Exchange, SQL Server a další.

Základní princip a výhody fungování služby WSUS v lokální počítačové síti vysvětluje

obrázek:

klienti klienti

server Microsoft Update

aktualizace klientů

v lokální síti

bez služby WSUS

aktualizace klientů

v lokální síti

se službou WSUS

lokální

server WSUS (Windows Server 2003)

- zatížení linky +

stažení

aktualizací

pouze 1x

http://www.windowsupdate.com/


Příprava instalace služby WSUS, instalace Služba WSUS 3.0 může být provozována na serverových operačních systémech

Windows Server 2003 a novějších.

Služba WSUS 3.0 lze nainstalovat na následující operační systémy, které musejí

splňovat uvedené požadavky:

- operační systém Windows Server 2003 SP1

o Webová služba (Internetová informační služba) IIS 6.0 – součást

operačního systému

(základní popis instalace je uveden dále v textu)

o Služba Background Intelligent Transfer Service (BITS) 2.0

služba BITS je inteligentní služba pro stahování (přenos) souborů

v prostředí internetu, tato služba využívá pouze nevyužitou kapacitu

přenosové linky (připojení k internetu), stahování aktualizačních

souborů díky tomu nezpomaluje jinou činnost a přenos souborů. Služba

zároveň podporuje pokračování přenosu souborů po přerušení

stahování.

(službu lze stáhnout a nainstalovat z webu Windows Update

http://go.microsoft.com/fwlink/?LinkID=47251)

o Microsoft .NET Framework 2.0

(lze stáhnout a nainstalovat z webu Windows update


o Microsoft Report Viewer Redistributable 2005

slouží k práci se zprávami (sestavami), generovanými službou WSUS.

(lze stáhnout a nainstalovat z webu Windows Update


o Microsoft Management Console 3.0

služba WSUS je spravovaná z doplňku (plug-in) MMC konzole 3.0.

(je součástí balíku Service Pack 2 pro Windows Server 2003. Samostatně

lze stáhnout a nainstalovat z webu Windows Update


- operační systém Windows Server 2008

o webová služba IIS 7.0 s povolenými komponentami:

Windows autentizace

ASP.NET

6.0 Management Compatibility

IIS Metabase Compatibility

o Microsoft Report Viewer Redistributable 2005

(http://go.microsoft.com/fwlink/?LinkID=70410)

Pro úspěšnou instalaci je potřeba mít systémový diskový oddíl, a oddíl, kam se

instaluje služba WSUS, formátovaný souborovým systémem NTFS: Na systémovém

oddíle je doporučeno minimálně 1GB volného prostoru a minimálně 20GB volného

prostoru je doporučeno na diskovém oddíle, kde je umístěno úložiště služby WSUS.

http://go.microsoft.com/fwlink/?LinkID=47251






2GB volného diskového prostoru jsou doporučeny pro oddíl, kam instalátor WSUS

umístí doplňkovou službu Windows® Internal Database.

Jako datové úložiště doporučujeme použít diskový oddíl s volným místem o velikosti

minimálně 30GB (NE systémový oddíl), formátovaný souborovým systémem NTFS.

Pro použití služby WSUS 3.0 v síti do 500 počítačů je doporučeno nainstalovat tuto

službu na server s procesorem alespoň 1GHz a s operační pamětí alespoň 1GB.

Instalace webové služby (IIS 6.0) na serveru Windows

Server 2003

Pokud není na serveru určeném pro službu WSUS 3.0 instalována a provozovaná

webová služba IIS, je potřeba ji nainstalovat pomocí volby z Nabídky Start:

Start -> Nastavení -> Ovládací panely -> Přidat nebo odebrat programy

V zobrazeném dialogovém okně zvolíme v levé části ikonu Přidat nebo odebrat

součásti systému. V následujícím dialogovém okně zvolíme Aplikační server a

stiskneme tlačítko Podrobnosti:

V dalším dialogu je nutno zvolit k instalaci položku Služba IIS (Internet Information

Services) a potvrdit tlačítkem OK.


Po výběru požadovaných součástí systému dojde k jejich instalaci: Je

pravděpodobné, že budete požádáni o vložení instalačního média operačního

systému (Windows Server 2003), odkud bude třeba zkopírovat soubory instalované

služby IIS.


Podrobnější popis instalace webové služby IIS naleznete například v Nápovědě a

odborné pomoci v systému Windows Server 2003

Po dokončení instalace webové služby IIS lze přistoupit k vlastní instalaci služby WSUS.

Instalace služby Microsoft Windows Server Update

Services (WSUS)

Instalační balíček služby WSUS je společností Microsoft distribuován formou

spustitelného souboru WSUSSetup_30SP1_x86.exe. Instalační balíček služby WSUS 3.0

je možné stáhnout z webového serveru Microsoft - http://technet.microsoft.com/cs-

cz/wsus. Tamtéž je i instalační balíček pro 64-bitové operační systémy.

Instalační balíček je distribuován ve formě jediného spustitelného souboru

WSUSSetup_30SP1_x86.exe o velikosti cca 80MB.

Vlastní instalace je provedena pomocí průvodce, který Vás provede základními

volbami instalace služby:

Na následující stránce průvodce můžete zvolit, zda instalovat službu WSUS 3.0, nebo

pouze konzolu pro správu služby WSUS. Konzolu správy služby WSUS můžete

nainstalovat na svojí pracovní stanici a spravovat tak službu vzdáleně.

http://go.microsoft.com/fwlink/?linkid=93750




http://technet.microsoft.com/cs-cz/wsus

http://technet.microsoft.com/cs-cz/wsus


Vyberte možnost Úplná instalace na serveru včetně konzoly pro správu a pokračujte

dalším krokem instalace. Tím je licenční smlouva k použití produktu WSUS 3.0.

Pokud s licenční smlouvou souhlasíte, potvrďte ji a pokračujte dalším krokem

instalace.


V nastavení služby WSUS lze nyní (případně později v administrátorské konzole)

ovlivnit zásadní chování služby WSUS 3.0. Ve výchozím nastavení stahuje služba

z webu Microsoft Update balíčky s aktualizacemi a ukládá je na místní disk. Odtud

jsou dále distribuovány klientům v interní síti. Pokud nemáte možnost (nebo nechcete

ukládat aktualizační balíčky místně), slouží služba WSUS jen jako správce aktualizací

klientů a pouze rozhoduje, které aktualizace si který klient může stáhnout a

nainstalovat.

Pokud neukládáte aktualizace místně, připojují se klientské počítače k serveru

Microsoft Update, kde získávají aktualizace, které jim správce WSUS služby umožnil

nainstalovat. Tímto postupem však služba WSUS nevyužije jednu ze základních

výhod, kterou je úspora kapacity připojení k Internetu vytvořením lokálních kopií

potřebných aktualizací.

Z tohoto důvodu v prostředí školních sítí (mnoho počítačů a relativně pomalé

připojení školní sítě k internetu) doporučujeme ponechat zatrženu volbu „Ukládat

aktualizace místně“.

V dalším kroku instalačního průvodce je zobrazen požadavek na databázový

software kompatibilní se serverem Microsoft SQL Server. Pokud není požadovaný

software na serveru instalován, je při instalaci nabídnuta možnost instalace Interní

Databáze Windows – Microsoft SQL Server 2005 Embedded Edition (SSEE).

Při použiti interního databázového serveru zvolte umístění souborů databáze pro

službu WSUS.

http://en.wikipedia.org/wiki/Microsoft_SQL_Server


Další krok instalačního průvodce nabízí volbu pro vytvoření webového serveru IIS pro

správu aktualizací a distribuci aktualizací klientským počítačům.


V případě, že na serveru, na který je instalována služba WSUS není provozován jiný

webový server, lze ponechat první doporučenou variantu.

Pokud již je na serveru webový server provozován, lze zvolit druhou variantu,

průvodce vytvoří nový webový server služby WSUS, který bude po instalaci dostupný

na jiném portu (8530). Další informace o spuštění služby WSUS na jiném portu jsou

obsaženy v dokumentu Deploying Microsoft Windows Server Update Services

(Nasazení služby Microsoft Windows Server Update Services) na stránkách společnosti

Microsoft.

Závěrečný krok průvodce je shrnutím voleb pro instalaci a výchozích parametrů

služby WSUS po instalaci.

Po stisknutí tlačítka další dojde k vlastní instalaci služby WSUS. Jakmile je instalace

úspěšně dokončena, spustí se průvodce, který Vám pomůže s počátečním

nastavením služby WSUS 3.0.


Průvodce počátečního nastavení WSUS 3.0

První co můžete nastavit je zapojení do programu zlepšování softwaru. Služba WSUS

pak může odesílat informace o způsobu jejího používání a o chybách, které

pomohou při vývoji další generace služby.

Na další stránce průvodce nastavíte, odkud bude služba WSUS získávat informace o

aktualizacích a stahovat opravné balíčky. Ve většině případů ponechte možnost

Synchronizace z webu Microsoft Update. Pokud máte k dispozici nadřízený server

WSUS, můžete jej použít zadáním názvu serveru a čísla portu, ne kterém nadřízená

služba WSUS pracuje.


V další části průvodce nastavte, jak se bude lokální služba WSUS připojovat k serveru

Microsoft Update. Jestliže pro přístup k internetu používáte proxy server (např. MS ISA

server), zadejte název proxy serveru a číslo portu, na kterém proxy služba pracuje.

Pokud Váš proxy server vyžaduje autentizaci přístupu, můžete ještě nastavit

přihlašovací údaje pro připojení k proxy serveru.

Většinou postačuje nechat toto nastavení prázdné, nebo zadat adresu serveru se

službou MS ISA server (např. ISA1.domena.local, port 8080). Podrobnější informaci

byste získali od Vašeho správce ISA (proxy) serveru.

Následuje část průvodce, která se pokusí spojit se službou Microsoft Update a získat

informace o produktech (a jazykových variantách), jejichž aktualizační balíčky jsou

dostupné pomocí WSUS služby.


Pokud předchozí krok skončí úspěšně, zobrazí se Vám aktuální seznamy jazyků,

produktů a typů balíčků, které lze z Microsoft Update stahovat a ukládat na server se

službou WSUS. Pokud stažení informací selhalo (např. nemáte momentálně k dispozici

připojení k internetu), nemusí být zmíněné seznamy aktuální (kompletní). Tento krok

lze provést ručně i později, případně se toto děje i automaticky v pravidelných

intervalech.

Vyberte jazykové verze, které používáte, dále vyberte produkty, pro které chcete

distribuovat aktualizace a zvolte typy balíčků, které chcete stahovat.

Neuváženým stahováním zbytečných aktualizací pro velké množství produktů a

velké množství jazykových verzí může vést k značné zátěži diskového prostoru serveru.



Následuje nastavení synchronizace služby WSUS. Synchronizace spočívá

v kontaktování serveru Microsoft Update a zjištění informací o nově dostupných

aktualizacích pro Vámi zvolené produkty. Synchronizovat lze ručně, nebo

automaticky jednou nebo i vícekrát denně. Doporučujeme nastavit automatickou

synchronizaci.

Na předposlední stránce průvodce máte možnost spustit konzolu pro správu WSUS

služby a zahájit počáteční synchronizaci serveru. V závislosti na počtu zvolených

produktů, jazyků a typů balíčků může synchronizace trvat delší dobu.


Dokončete průvodce nastavením služby WSUS 3.0. Na poslední stránce můžete vidět

odkazy do nápovědy na další typické kroky při konfiguraci služby.

Konzola pro správu, konfigurace

Po dokončení instalace a průvodce s nastavením se na základě Vašeho přání může

spustit konzole pro správu WSUS 3.0 služby a počáteční synchronizace se servery

Microsoft Update.

Konzolu též můžete spustit z Nástrojů pro správu nabídky Start nebo Ovládacích

panelů. Pokud používáte vlastní MMC konzolu s často spravovanými možnostmi,

můžete si přidat do MMC konzole doplněk (snap-in) Update Services. Oproti

předchozí verzi služby (WSUS 2.0), která byla spravována z webového rozhraní

pomocí prohlížeče internetu, je služba WSUS 3.0 spravována ze standardního

prostředí MMC konzole.


Konzola pro správu WSUS 3.0 (jakkoliv spuštěná), se pokusí automaticky připojit ke

službě WSUS lokálního počítače. Pokud konzolu spustíte z pravotní stanice, máte

možnost ji připojit k zvolenému serveru – samozřejmě za předpokladu, že máte

oprávnění tuto službu spravovat.



Konfigurace služby

Nastavení základní konfigurace služby WSUS se provádí z panelu Možnosti. Tady

máte možnost nastavit chování služby WSUS nebo spustit znovu průvodce

počátečním nastavením.

Zdroj aktualizací a proxy server

Tato část konfigurace umožňuje nastavit, odkud se bude služba WSUS synchronizovat

a stahovat aktualizace. Výchozí možností je server Microsoft Update. Alternativou je

použít vlastní (nadřízený) WSUS server.

Dále zde můžete nastavit, jestli bude služba WSUS používat proxy server. Příkladem

může být interní síť, která používá MS ISA server jako router/firewall/proxy server. Pak

nastavte adresu proxy serveru a číslo portu podle instrukcí správce ISA serveru.

Produkty a klasifikace a Jazyky a soubory aktualizací

Tuto část nastavení již také máte zkonfigurovánu pomocí počátečního průvodce.

V případě jakéhokoliv požadavku na změnu produktů, jazyků nebo typů aktualizací,

které chcete nabízet pomocí služby WSUS, můžete zde provést příslušné úpravy.


Nové produkty, které je možno nabízet službou WSUS, se zjišťují v rámci synchronizace

serveru a jste na ně upozorněni např. na hlavní stránce konzole pro správu

v seznamu úkolů.

Máte zde k dispozici širokou nabídku operačních systému Microsoft (pro pracovní

stanice i servery), aktualizace pro kancelářské aplikace, pro Windows Defender,

serverové služby (např. Exchange, SQL, ISA) a mnoho dalšího. Na dalším obrázku

můžete vidět upozornění na nový produkt, jehož aktualizace můžete pomocí WSUS

služby řídit.

Výběr produktů, jazykových verzí a typů balíčků je obdobný, jako v průvodci

počáteční konfiguraci (viz. Předchozí kapitoly).

V okně Jazyky a soubory aktualizací můžete také nastavit, jak bude služba WSUS

stahovat aktualizace. Doporučenou možností je ukládat aktualizační balíčky lokálně

na serveru (ušetření kapacity internetové linky) a tyto balíčky stahovat poté, co je

administrátor WSUS služby schválí k instalaci na nějakou skupinu počítačů.


Plán synchronizace

Synchronizace – zjišťování nově dostupných balíčků – může probíhat ručně, nebo

automaticky. Ruční synchronizaci lze spustit z panelu Synchronizace WSUS konzole.

Automatická synchronizace probíhá každý den a můžete nastavit čas synchronizace

a kolikrát denně má být synchronizace provedena.

Doporučuje se naplánovat automatickou synchronizaci a zvolte čas, kdy není

server/síť příliš vytížena (mimo pracovní dobu nebo vyučování).

Upozornění: Výchozí nastavení je Synchronizovat ručně, tzn. že služba WSUS

automaticky nezjišťuje nové aktualizace!

Automatické schvalování

Balíček s aktualizací není nabídnut klientům k instalaci (a ve výchozím nastavení ani

stáhnut do lokálního úložiště), pokud není schválen administrátorem WSUS serveru.

Schvalování aktualizací má význam, když potřebujeme zajistit bezproblémovou

funkčnost počítačů. Může např. dojít ke konfliktu, kdy instalace aktualizace může

způsobit neočekávané chování některých aplikací a značně omezit produktivitu

práce. Proto je možné nové aktualizace nejdříve schválit k instalaci na několik

testovacích stanic a po ověření, že aktualizace nezpůsobuje konflikty s jinými

aplikacemi (účetní, výukový software) je schválit k instalaci pro ostatní počítače.

Po instalaci existuje Výchozí pravidlo automatického schvalování, které však není

aktivováno. Toto pravidlo je nastaveno tak, že automaticky schválí nainstalovat

aktualizace zabezpečení a důležité aktualizace na všechny počítače.

Tlačítkem Nové pravidlo lze například vytvořit pravidlo, které automaticky schválí

instalaci všech typů aktualizací pro produkt Windows XP na počítače v učebnách.

Toto pravidlo pracuje pro nově zjištěné aktualizace (po další synchronizaci).

Tlačítkem Spustit pravidlo můžete ovlivnit (schválit) i dříve oznámené aktualizace.


Na záložce Upřesnit okna Automatické schvalování lze nastavit další položky. Výchozí

možnosti jsou vidět na dalším obrázku. Dochází k automatickému schvalování

aktualizací pro samotný produkt (službu) WSUS a jsou automaticky schvalovány

novější verze již schválených balíčků.

Počítače

Okno Počítače z nastavení WSUS umožňuje specifikovat, jak bude služba WSUS

pracovat s nově připojenými klienty. Nově zaregistrované počítače ve službě WSUS

jsou ve výchozím stavu zařazeny do skupiny počítačů Nezažazené počítače. Pokud

používáte službu Active Directory a zásady skupin ke konfiguraci počítačů, můžete

pomocí skupinové politiky počítačům přidělit, do jaké skupiny počítačů se mají

zaregistrovat. Skupiny počítačů pak můžete využít při schvalování aktualizací pro

určité počítače, nebo v pravidlech pro automatické schvalování.


Průvodce vyčištěním serveru

Pomocí vyčištění serveru WSUS můžete redukovat velikost obsazeného diskového

prostoru odstraněním starých, nepotřebných balíčků a vyčistit databázi

s informacemi o počítačích, které již služby WSUS nepoužívají.

Souhrn hlášení

Lze použít pro sběr informací z ostatních WSUS serverů. Tímto se zde nebudeme

zabývat.

E-mailová hlášení

Pokud budou v rámci synchronizace zjištěny nové aktualizace, může Vás o tomto

WSUS služba informovat zasláním e-mialové zprávy. Je nutné nastavit e-mailové

adresy adresátů upozornění a konfiguraci SMTP serveru pro odchozí poštu.

Program zlepšování služby Microsoft Update

Zde se můžete zapojit do programu zlepšování software.

Přizpůsobení

Zde si můžete nastavit, jaké informace se mají zobrazovat na úvodní stránce konzole

v seznamu úkolů. Zobrazují se např. nové produkty a jazykové verze balíčků, kritické

aktualizace čekající na schválení, neaktivní klienti atd.

Průvodce konfigurací služby serveru WSUS

Poslední možností z nastavení je nové spuštění průvodce pro počáteční konfiguraci.


Konfigurace klientů

Nejvhodnější způsob konfigurace automatických aktualizací závisí na konkrétním

síťovém prostředí.

V prostředí služby Active Directory (školní síť s řadičem domény Windows 2000 Server,

popř. Windows Server 2003) je vhodné použít objekt zásad skupiny (GPO) založený

na službě Active Directory a připojit jej k organizační jednotce, která spravuje

počítačové účty.

V prostředí jiném než Active Directory - bez serveru (řadiče domény) je nutné

konfigurovat objekt zásad místní skupiny. Editor zásad místní skupiny lze spustit např.

pomocí příkazu Start -> Spustit -> gpedit.msc. Bez Active Directory, nebo pro

počítače, které nejsou členy domény, musíte nastavit lokální zásady skupin na všech

klientech.

V obou případech je potřeba směrovat klientské počítače na server WSUS a potom

konfigurovat automatické aktualizace.

Konfigurace se v objektu GPO i v „Zásadách místní skupiny“ provádí v sekci

„Konfigurace počítače -> Šablony pro správu -> Součásti systému Windows ->

Windows Update“.


Zde je potřeba nastavit minimálně vlastnosti:

- Umístění místního intranetového serveru

nastavit adresu vytvořeného serveru WSUS – např. http://srv01.domena.local

- Konfigurace automatických aktualizací

nastavit např. na možnost Automaticky stahovat a plánovat instalaci


Zároveň je vhodné zkontrolovat, případně nastavit další vlastnosti pro chování

klientů, např. chování s ohledem na přihlášeného uživatele, chování v případě

vypnutého počítače v čase automatické aktualizace, chování v případě nutnosti

restartu PC a další). Dále je možné (dle nastavení WSUS služby) směřovat klientské

počítače do zvolených skupin počítačů na WSUS serveru (politika Povolit cílení na

klientské straně).


Běžná správa služby WSUS

Výchozí pohled do konzole

Po spuštění konzole pro správu WSUS 3.0 služby se zobrazí následující okno:

Zde je seznam úkolů, na které byste měli reagovat a přehled stavu služby WSUS.

V seznamu úkolů se pravidelně objevují informace, kolik balíčku aktualizací čeká na

schválení k instalaci. V přehledu se nacházejí následující údaje s kruhovými grafy:

- stav počítače

informace o počtu plně aktualizovaných a neaktualizovaných počítačů.

- stav aktualizace

informace o počtu nainstalovaných aktualizací, nebo o počtu aktualizací,

které počítače žádají, ale nejsou zatím nainstalované

- stav synchronizace

informace o poslední synchronizaci

- stav stahování

informace o počtu balíčků a jejich velikosti, které jsou schváleny k instalaci a

zatím čekají na stažení ze serveru Microsoft Update – nejsou zatím uloženy

lokálně


Panel Aktualizace

Stránka Aktualizace obsahuje různé pohledy na všechny dostupné balíčky:

Vyhledávat jednotlivé aktualizace můžete výběrem parametrů v záhlaví panelu. Na

následujícím obrázku jsou zobrazeny potřebné, neschválené aktualizace. Kliknutím

na danou aktualizaci lze zobrazit podrobnější informace ve spodní části okna.

Kliknutím pravého tlačítka myši na záhlaví sloupců tabulky aktualizací lze do tabulky

přidat další užitečné sloupce.


Dvojklikem na zvolenou aktualizaci lze vygenerovat podrobné (až několikastránkové)

hlášení o stavu konkrétní aktualizace.

Důležitou činností při správě WSUS serveru je schvalovat aktualizace k instalaci na

vybrané skupiny počítačů (nebo na všechny počítače).

Schválení můžete provést tak, že si zobrazíte dosud neschválené aktualizace.

Zvolené aktualizace označte myší a z kontextové nabídky (pravé tlačítko myši) zvolte

možnost schválit.

Následně se zobrazí seznam skupin počítačů, kterým můžete schválit instalaci

aktualizace, případně schválit instalaci na všechny počítače. Po provedení

schvalovacího procesu dostanete informaci o výsledku.


Panel Počítače

Panel Počítače je určena k zobrazení přehledu klientských počítačů využívajících

službu WSUS a jejich členění do skupin. Pokud jsou skupiny počítačů používány, lze

následně proces schvalování a instalace aktualizací na klientské počítače

přizpůsobit různým skupinám počítačů.


Nabídkou možností z panelu Akce v pravé části konzole můžete vytvořit novou

skupinu počítačů a z kontextové nabídky jednotlivých počítačů můžete volbou

Změnit členství zvolený počítač zařadit do některé skupiny.

Panel Synchronizace

Na panelu Synchronizace můžete vidět různé informace o provedených

synchronizacích. Dvojklikem na vybranou synchronizaci, nebo tlačítkem Hlášení o

synchronizaci si můžete zobrazit podrobné informace k jednotlivým synchronizacím.

Panel Sestavy

Stránka Sestavy slouží pro generování a tisk libovolných přehledů o dostupných

aktualizacích, statistiku jejich instalací na klientských počítačích apod. Tyto přehledy

(hlášení) lze generovat i přímo z jednotlivých panelů konzole pomocí tlačítka


v panelu akcí na pravé straně konzole (Hlášení o stavu). Jednotlivá hlášení lze

vytisknout nebo uložit do souboru Excel nebo PDF:

Na dalším obrázku je ukázka sestavy o stavu aktualizací v tabulkovém výpisu.

Nabídkou Možnosti hlášení otevřete záhlaví s parametry o generované sestavě.

Nastavte, co Vás zajímá a následně v nabídce v horní části zvolte Spustit hlášení.

Zobrazí se seznam aktualizací a jejich instalace na počítačích jako na následujícím

obrázku. Pokud zmodifikujete kritéria pro generování hlášení, můžete volbou Spustit

hlášení vygenerovat nové hlášení. V nabídce Úkoly na horní liště můžete vybrané

aktualizace schválit k instalaci na vybrané skupiny počítačů.


Na dalším obrázku je hlášení o stavu počítačů a podrobnosti o počítači xp-4.


Shrnutí Nasazení služby WSUS v prostředí školní počítačové sítě osobně považuji za obrovský

přínos ke zvýšení bezpečnosti a spolehlivosti provozu sítě a jednotlivých klientských

stanic. Správce školní sítě zároveň získává úplný přehled o stavu jednotlivých

klientských PC a úspěšnosti instalace každé aktualizace.

Vlastní instalaci služby WSUS a její základní konfiguraci lze s běžnými zkušenostmi

správce školní sítě úspěšně realizovat v průběhu několika hodin (2-3 hodiny).

Po stažení aktualizací („přes víkend“) a snadné společné konfiguraci klientů pro

příjem aktualizací (pomocí GPO) již pak pouze stačí (s vědomím spousty ušetřené

práce) sledovat úspěšnost aktualizací a občas řešit drobné problémy na

jednotlivých stanicích.

Ve školní síti, v jejímž prostředí vzniká tento dokument, je pro použití služby WSUS

z lokálního serveru konfigurováno více než 60 PC, služba funguje bez sebemenších

problémů.

Praha, duben 2006 František Hůlka

úprava: Brno, červen 2008 Jan Krontorád

Date post:	16-Oct-2020
Category:	Documents
Upload:	others
View:	4 times
Download:	0 times

Aktualizace a zabezpečení systémů Windows pomocí služby...

Documents