Aktualizace a zabezpečení systémů Windows

Aktualizace a zabezpečení systémů Windows Microsoft Windows Server Update Services

© 2006, Microsoft Corporation

Česká republika

Aktualizace a zabezpečení systémů Windows pomocí služby Microsoft Windows Server Update Services V současném světě počítačových sítí, zejména v globálním prostředí sítě Internet, je jednou z nejdůležitějších činností běžné praxe správců počítačových sítí péče o spolehlivost provozu a zabezpečení všech provozovaných systémů (serverů i klientských stanic). Neuvažujeme-li v tuto chvíli základní zabezpečení celé sítě například pomocí tzv. firewallu, rozumíme zajištěním spolehlivého provozu a bezpečnosti serverů i stanic zejména instalaci a provoz kvalitního antivirového softwaru, pravidelnou instalaci bezpečnostních oprav a aktualizací vlastních operačních systémů. Pro zjednodušení a usnadnění instalace bezpečnostních oprav a ostatních aktualizací přináší společnost Microsoft všem správcům počítačových sítí bezplatně novou verzi služby Windows Update, která je v současnosti dostupná pod názvem Microsoft Windows Server Update Services (WSUS). Microsoft Windows Server Update Services (WSUS) je službou, která významným způsobem zvyšuje bezpečnost a spolehlivost provozu počítačové sítě se servery a klientskými stanicemi používajícími operační systémy Microsoft Windows. Zavedením služby WSUS v prostředí školní počítačové sítě získává správce úplné řešení pro správu aktualizací v rámci lokální sítě, služba správcům počítačových sítí přináší jednoduchou a přehlednou formou úplnou kontrolu stahování, testování a nasazení aktualizací a oprav operačních systému společnosti Microsoft. Tento dokument seznamuje s podrobnostmi služby WSUS, instalací, základní konfigurací, konfigurací klientských stanic a s potřebnými kroky běžné rutinní správy instalací aktualizací v lokální počítačové síti.

Strana 2

Název příručky

Microsoft Windows Server Update Services Služba Microsoft Windows Server Update Services (WSUS) je službou, která významným způsobem zvyšuje bezpečnost a spolehlivost provozu počítačové sítě se servery a klientskými stanicemi používajícími operační systémy Microsoft Windows. Služba WSUS poskytuje úplné řešení pro správu aktualizací v rámci lokální sítě, správcům počítačových sítí přináší jednoduchou a přehlednou formou úplnou kontrolu stahování, testování a nasazení aktualizací a oprav operačních systému společnosti Microsoft (společnost Microsoft vydává aktualizace a opravy svých produktů pravidelně každé 2. úterý v měsíci, výjimečně v případě mimořádně důležitých aktualizací zabezpečení i mimořádných termínech). Tento dokument seznamuje s podrobnostmi služby WSUS, instalací, základní konfigurací, konfigurací klientských stanic a s potřebnými kroky běžné rutinní správy instalací aktualizací v lokální počítačové síti:

- seznámení se službou Microsoft Windows Server Update Services (WSUS) - příprava instalace služby WSUS - instalace služby WSUS - základní konfigurace služby WSUS - konfigurace klientských počítačů pro aktualizace lokální službou WSUS - rutinní kroky při používání služby WSUS

Seznámení se službou Microsoft Windows Server Update Services (WSUS) Služba Microsoft Windows Server Update Services (WSUS) výrazně zjednodušuje a sjednocuje proces instalace aktualizací na libovolném počtu serverů a klientských operačních systémů v lokální počítačové síti. Služba WSUS vytvoří v lokální síti pro všechny své klienty (servery i stanice) místní aktualizační server, který pro všechny konfigurované klienty v podstatě nahrazuje server www.windowsupdate.com společnosti Microsoft. Toto řešení (zprovoznění lokálního serveru WindowsUpdate) přináší několik základních výhod procesu aktualizace klientů:

- jednoduchou

možnost společné libovolném počtu systémů Windows

konfigurace

instalace

aktualizací

na

- přehled o instalovaných aktualizacích na jednotlivých stanicích (serverech) - možnost výrazné úspory přenosové kapacity připojení LAN do sítě Internet (schválené aktualizace ze serveru Windows Update společnosti Microsoft jsou stahovány pouze 1x pro potřebu všech klientů služby WSUS) Na zvoleném lokálním serveru je prostřednictvím webové služby (IIS 6.0) provozován lokální server WindowsUpdate, který se dle konfigurace stará o zjišťování dostupných aktualizací (s možností výběru aktualizací pouze pro určité operační systémy a jejich jazykové varianty) a případné automatické stahování zvolených aktualizací do vybraného lokálního úložiště.

Strana 3

Název příručky

Současně se zprovozněním nové služby „Microsoft Update“ (vyšší verze služby Windows Update, která slučuje zdroj aktualizací nejen pro operační systémy, ale i pro další produkty společnosti Microsoft do jednoho aktualizačního centra) je i služba WSUS schopna stahovat a distribuovat na klientské stanice aktualizace dalších produktů společnosti Microsoft, např. pro Microsoft Office, Microsoft Exchange, SQL Server a další. Základní princip a výhody fungování služby WSUS v lokální počítačové síti vysvětluje obrázek:

server Microsoft Update

-

zatížení linky

+

aktualizace klientů v lokální síti bez služby WSUS

stažení aktualizací pouze 1x

aktualizace klientů v lokální síti se službou WSUS

lokální server WSUS (Windows Server 2003)

klienti

Strana 4

klienti

Název příručky

Příprava instalace služby WSUS, instalace Služba WSUS může být provozována na serverových operačních systémech Windows 2000 Server SP4 (a novější), resp. Windows Server 2003. Pro úspěšnou instalaci služby WSUS jsou nutné následující předpoklady:

- operační systém Windows 2000 Server SP4 (a novější) nebo Windows Server 2003 - požadované součásti pro službu WSUS v prostředí Windows Server 2003: o Webová služba (Internetová informační služba) IIS 6.0

(základní popis instalace je uveden dále v textu) o Služba Background Intelligent Transfer Service (BITS) 2.0

(služba BITS je inteligentní služba pro stahování (přenos) souborů v prostředí internetu, tato služba využívá pouze nevyužitou kapacitu přenosové linky (připojení k internetu), stahování aktualizačních souborů díky tomu nezpomaluje jinou činnost a přenos souborů. Služba zároveň podporuje pokračování přenosu souborů po přerušení stahování.) (službu lze stáhnout a nainstalovat z webu Windows Update) o Microsoft .NET Framework 1.1 Service Pack pro Windows Server 2003

(lze stáhnout a nainstalovat z webu Windows update) o Databázový software, který je plně kompatibilní se serverem SQL Server

(pokud není na serveru instalován, dojde při instalaci služby WSUS k automatické instalaci databázového software Windows SQL Server™ 2000 Desktop Engine (WMSDE))

- požadované součásti pro službu WSUS v prostředí Windows 2000 Server: o IIS 5.0 o Služba Background Intelligent Transfer Service (BITS) 2.0

(lze stáhnout a nainstalovat z webu Windows update) o Databázový software, který je plně kompatibilní se serverem SQL Server

(pokud není na serveru instalován, dojde při instalaci služby WSUS k automatické instalaci databázového software Windows SQL Server™ 2000 Desktop Engine (WMSDE)) o Microsoft Internet Explorer 6.0 SP1

(lze stáhnout a nainstalovat z webu Windows update) o .NET Framework 1.1 Redistributable Package (US)

(lze stáhnout a nainstalovat z webu Windows update) o .NET Framework 1.1 SP1

(lze stáhnout a nainstalovat z webu Windows update) Pro úspěšnou instalaci je potřeba mít k dispozici minimálně 2GB volného místa na systémovém svazku a minimálně 3GB volného místa na svazku s úložištěm systémové databáze služby WSUS a pro lokální úložiště aktualizací (požadovaná velikost volného místa závisí na konfigurace služby WSUS, v případě lokálního ukládání aktualizací pro více OS a více jazykových verzí vzrůstají požadavky na volné místo na svazku s úložištěm až na 30GB).

Strana 5

Název příručky

Oddíl pro instalaci systémové databáze služby WSUS a pro lokální úložiště aktualizací musí být formátován souborovým systémem NTFS. Doporučujeme použít diskový oddíl s volným místem o velikosti minimálně 20GB (NE systémový oddíl), formátovaný souborovým systémem NTFS.

Instalace webové služby (IIS 6.0) na serveru Windows Server 2003 Pokud není na serveru určeném pro službu WSUS instalována a provozovaná webová služba IIS, je potřeba ji nainstalovat pomocí volby z Nabídky Start: o

Start -> Nastavení -> Ovládací panely -> Přidat nebo odebrat programy

V zobrazeném dialogovém okně zvolíme v levé části ikonu „Přidat nebo odebrat součásti systému“. V následujícím dialogovém okně zvolíme „Aplikační server“ a stiskneme tlačítko „Podrobnosti“:

V dalším dialogu je nutno zvolit k instalaci položku „Služba IIS (Internet Information Services)“ a potvrdit tlačítkem „OK“.

Strana 6

Název příručky

Po výběru požadovaných součástí systému dojde k jejich instalaci:

Podrobnější popis instalace webové služby IIS naleznete například v Nápovědě a odborné pomoci v systému Windows Server 2003 Po dokončení instalace webové služby IIS lze přistoupit k vlastní instalaci služby WSUS.

Strana 7

Název příručky

Instalace služby Services (WSUS)

Microsoft

Windows

Server

Update

Instalační balíček služby WSUS je společností Microsoft distribuován formou spustitelného souboru WSUSSetup.exe (instalační soubor obsahuje více jazykových verzí služby WSUS vč. české jazykové verze). Instalační balíček je k dispozici ke stažení na webových stránkách společnosti Microsoft. (Při problémech s nalezením stránky s instalačním balíčkem služby WSUS zadejte do vyhledávání fráze jako „wsussetup.exe“, „wsus download“, „wsussetup download“ apod.) Instalační balíček je distribuován ve formě jediného spustitelného souboru „WSUSSetup.exe“ o velikosti cca 130MB(!). Vlastní instalace je provedena pomocí průvodce, který správce provede základními volbami instalace služby:

Prvním krokem instalace je vyjádření souhlasu s licenčním ujednáním společnosti Microsoft:

Strana 8

Název příručky

Po přečtení a odsouhlasení licenčního ujednání požaduje instalační průvodce určení složky pro lokální ukládání stažených aktualizací.

V nastavení služby WSUS lze nyní při instalaci i následně v administrátorském rozhraní služby zrušit automatické stahování aktualizací a tuto službu používat pouze jako zdroj informací o aktualizacích pro klientské počítače a centrální místo pro rozhodování o nasazení potřebných aktualizací (proces schvalování aktualizací – viz další text). Pokud neukládáte aktualizace místně, připojují se klientské počítače k serveru Microsoft Update, kde získávají schválené aktualizace. Tímto postupem však služba WSUS nevyužije jednu ze základních výhod, kterou je úspora kapacity připojení k Internetu vytvořením lokálních kopií potřebných aktualizací. Z tohoto důvodu v prostředí školních sítí (mnoho počítačů a relativně pomalé připojení školní sítě k internetu) doporučujeme ponechat zatrženu volbu „Ukládat aktualizace místně“. V dalším kroku instalačního průvodce je zobrazen požadavek na databázový software kompatibilní se serverem Microsoft SQL Server. Pokud není požadovaný software na serveru instalován, je při instalaci nabídnuta možnost instalace databázového software Windows SQL Server™ Desktop Engine (WMSDE).

Strana 9

Název příručky

Zároveň lze v tomto kroku určit místo uložení databáze služby WSUS.

Další krok instalačního průvodce nabízí volbu pro vytvoření webového serveru IIS pro správu aktualizací a distribuci aktualizací klientským počítačům.

V případě, že na serveru, na který je instalována služba WSUS není provozován jiný webový server, lze ponechat první doporučenou variantu.

Strana 10

Název příručky

Pokud již je na serveru webový server provozován, lze zvolit druhou variantu, průvodce vytvoří nový webový server služby WSUS, který bude po instalaci dostupný na portu 8530. Další informace o spuštění služby WSUS na jiném portu jsou obsaženy v dokumentu Deploying Microsoft Windows Server Update Services (Nasazení služby Microsoft Windows Server Update Services) na stránkách společnosti Microsoft. Závěrečný krok průvodce je shrnutím voleb pro instalaci a výchozích parametrů služby WSUS po instalaci. Z těchto parametrů je podstatná zejména adresa lokálního webového serveru pro správu služby WSUS ve tvaru: http:///WSUSAdmin .

Po stisknutí tlačítka další dojde k vlastní instalaci služby WSUS.

Strana 11

Název příručky

První spuštění administračního rozhraní, konfigurace Po dokončení instalace lze prvně spustit administrační rozhraní (pro kompletní správu služby WSUS je k dispozici lokální webový server zprovozněný na adrese http:///WSUSAdmin). Po prvním spuštění se zobrazí domovská stránka administračního rozhraní, ze které je patrný výchozí stav služby WSUS:

- neprovedená synchronizace (zjišťování aktualizací na serveru společnosti Microsoft)

- žádné stažené aktualizace - žádné počítače lokální školní sítě službu WSUS zatím nevyužívají

Je zřejmé, že pro správnou funkci služby WSUS je nutné provést několik základních kroků konfigurace.

Strana 12

Název příručky

Nastavení základní konfigurace služby WSUS se provádí na stránce Možnosti a zahrnuje zejména nastavení:

- možností synchronizace - možností automatického schvalování aktualizací

Nejdůležitější je kontrola a správné nastavení Možností synchronizace (zjišťování nových aktualizací na serveru WindowsUpdate společnosti Microsoft).

Strana 13

Název příručky

Zde je nutné vhodně nastavit zejména:

- plán synchronizace Nejvhodnějším nastavením je samozřejmě pravidelná automatická synchronizace denně v nastavenou hodinu, vhodným časem jsou zejména noční hodiny, kdy případné stahování nových aktualizací nesníží přenosovou kapacitu připojení školní sítě k internetu (nastavte např. 03:00).

Strana 14

Název příručky

Upozornění: Výchozí nastavení je „Synchronizovat ručně“, tzn. že služba WSUS automaticky nezjišťuje nové aktualizace !

- produkty a klasifikace V této části stránky lze změnit, pro které Produkty se mají zjišťovat aktualizace, na výběr jsou operační systémy a produkty, ke kterým jsou vydávány aktualizace. V tomto dialogu je potřeba vybrat všechny používané systémy a produkty, je však samozřejmě zbytečné zvolit vše:

- Dále je ještě vhodné zkontrolovat a případně změnit Klasifikaci (typ) aktualizací, které se mají zjišťovat na serveru WindowsUpdate:

Strana 15

Název příručky

- server proxy Připojení serveru se službou WSUS k internetu (pokud je používán nějaký další proxy server)

- zdroj aktualizace (pro jediný server služby WSUS ve školní síti (běžná konfigurace) ponechte výchozí nastavení „Synchronizace ze serveru Microsoft Update“)

- a zejména jazyky a soubory aktualizací (!) Tímto nastavením lze ovlivnit způsob zjišťování a (ne)stahování aktualizací a zvolit jazykové verze aktualizací, které budou zjišťovány a stahovány.

- Pro snížení zátěže připojení k internetu je rozhodně vhodné zvolit: o ukládat soubory aktualizací místně v tomto serveru o a zejména vybrat (pouze) potřebné jazykové varianty aktualizací (!)

Na stránce Možnosti automatického schvalování aktualizací sekce Možnosti je vhodné nastavit požadované chování služby WSUS vůči klientským počítačům po zjištění a stažení nových aktualizací. Služba WSUS je z důvodu možnosti otestování aktualizací a důsledků jejich instalace v podstatě „dvoustupňová“. Každá nově vydaná aktualizace je službou WSUS nejprve zjištěna a při zvolené konfiguraci místního ukládání aktualizací je i stažena a uložena na lokální disk serveru WSUS. K uvolnění aktualizace pro klientské počítače (a případné instalaci) však dochází až po schválení.

Strana 16

Název příručky

Proces schvalování aktualizací dává správcům počítačových sítí (zejména v prostředí kritických systémů (důležité kritické servery a stanice) – banky, databázové servery apod.) možnost otestovat chování aktualizací na klientských počítačích a serverech dříve, než dojde k jejich hromadné instalaci na desítkách počítačů. V méně kritickém prostředí školních počítačových sítí lze určitě doporučit využití funkce Automatického schvalování aktualizací, kde lze pro zvolené skupiny počítačů (například „běžné“ počítače v učebnách a kabinetech pedagogů) aktivovat automatické schválení zejména Aktualizací zabezpečení a Důležité aktualizace:

Volba Klasifikace aktualizací a Skupin počítačů k detekci, respektive instalaci aktualizací se provádí v přehledných dialogových oknech:

Strana 17

Název příručky

Strana 18

Název příručky

Konfigurace klientů služby WSUS Nejvhodnější způsob konfigurace automatických aktualizací závisí na konkrétním síťovém prostředí. V prostředí služby Active Directory (školní síť s řadičem domény Windows 2000 Server, popř. Windows Server 2003) je možné (a nejvhodnější) použít objekt zásad skupiny (GPO) založený na službě Active Directory. (V prostředí jiném než Active Directory - bez serveru (řadiče domény) je nutné konfigurovat objekt zásad místní skupiny. Editor zásad místní skupiny lze spustit např. pomocí příkazu Start -> Spustit -> gpedit.msc). V obou případech je potřeba směrovat klientské počítače na server WSUS a potom konfigurovat automatické aktualizace. Konfigurace se v objektu GPO i v „Zásadách místní skupiny“ provádí v sekci „Konfigurace počítače -> Šablony pro správu -> Součásti systému Windows -> Windows Update“.

Zde je potřeba nastavit minimálně vlastnosti:

- Umístění místního intranetového serveru (nastavit adresu vytvořeného serveru WSUS)

Strana 19

Název příručky

-

Konfigurace automatických aktualizací (např. „automaticky stahovat a plánovat instalaci“)

Zároveň je vhodné zkontrolovat, případně nastavit další vlastnosti pro chování klientů, např. chování s ohledem na přihlášeného uživatele, chování v případě vypnutého počítače v čase automatické aktualizace, chování v případě nutnosti restartu PC a další).

Strana 20

Název příručky

Běžná správa služby WSUS Pro kompletní správu služby WSUS je k dispozici lokální webový server, zprovozněný (při výchozí volbě při instalaci) na adrese http:///WSUSAdmin. Tento webový server poskytuje několik základních funkcí služby WSUS:

Domovská stránky služby WSUS Domovská stránka obsahuje základní statistické údaje o provozované službě WSUS:

Na domovské stránce služby WSUS pravidelně sledujeme zejména základní statistické informace:

- stav aktualizací Podstatnou informací je údaj o neschválených, popř. odmítnutých aktualizacích a zejména Aktualizace s chybami počítačů – počet aktualizací, které se na některých počítačích nepodařilo nainstalovat. Takové aktualizace je potřeba dohledat, vyhodnotit závažnost aktualizace a případně zkontrolovat konkrétní počítač a důvod neúspěšné instalace.

Strana 21

Název příručky

- stav počítačů Podstatnou informací je údaj o Počítačích celkem (počítače, které se přihlásily službě WSUS a využívají ji k získávání aktualizací), Počítačích s chybami aktualizace (počítače, kde se alespoň 1 aktualizace nepodařila nainstalovat) a údaj o Počítačích vyžadujících aktualizace (počítače, které z nějakého důvodu nemají nainstalovány všechna aktualizace)

- stav synchronizace informace o poslední synchronizaci

Stránka Aktualizace Stránka Aktualizace obsahuje kompletní výpis a podrobný popis všech dostupných aktualizací:

Strana 22

Název příručky

Pro každou aktualizaci ze seznamu je možné zobrazit detailní údaje:

- popis aktualizace

- a stav aktualizace – statistika instalace na klientských počítačích

Stránka Sestavy Stránka Sestavy slouží pro zobrazení a tisk libovolných přehledů o dostupných aktualizacích, statistiku jejich instalací na klientských počítačích apod.

Strana 23

Název příručky

- Sestavy - > Stav aktualizací V levé části stránky lze přehled filtrovat např. pro Nainstalované aktualizace, Neúspěšně nainstalované aktualizace apod. … Pro libovolnou aktualizaci ze seznamu lze kliknutím na název opět zobrazit její Podrobnosti, Stav instalací, …

Strana 24

Název příručky

Strana 25

Název příručky

- Sestavy - > Stav počítačů V levé části stránky lze přehled filtrovat např. pro Nainstalované aktualizace, Neúspěšně nainstalované aktualizace apod. … Pro libovolný počítač ze seznamu lze kliknutím na název zobrazit Podrobnosti, Stav instalací, …

Strana 26

Název příručky

Stránka Počítače Stránka Počítače je určena k zobrazení přehledu klientských počítačů využívajících službu WSUS a jejich členění do skupin. Pokud jsou skupiny počítačů používány, lze následně proces schvalování a instalace aktualizací na klientské počítače přizpůsobit různým skupinám počítačů.

Stránka Možnosti Stránka Možnosti je určena k nastavení základních vlastností služby WSUS:

(podrobný popis – viz První spuštění administračního rozhraní, základní konfigurace)

Strana 27

Název příručky

Shrnutí Nasazení služby WSUS v prostředí školní počítačové sítě osobně považuji za obrovský přínos ke zvýšení bezpečnosti a spolehlivosti provozu sítě a jednotlivých klientských stanic. Správce školní sítě zároveň získává úplný přehled o stavu jednotlivých klientských PC a úspěšnosti instalace každé aktualizace. Vlastní instalaci služby WSUS a její základní konfiguraci lze s běžnými zkušenostmi správce školní sítě úspěšně realizovat v průběhu několika hodin (2-3 hodiny). Po stažení aktualizací („přes víkend“) a snadné společné konfiguraci klientů pro příjem aktualizací (pomocí GPO) již pak pouze stačí (s vědomím spousty ušetřené práce) sledovat úspěšnost aktualizací a občas řešit drobné problémy na jednotlivých stanicích. Ve školní síti, v jejímž prostředí vzniká tento dokument, je pro použití služby WSUS z lokálního serveru konfigurováno více než 80 PC, služba funguje bez sebemenších problémů. Praha, duben 2006

Strana 28

ing. František Hůlka administrátor školní LAN

Název příručky