После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение? |
Межсетевые экраны
Лабораторная работа 13. Автоматическое обновление операционной системы с использованием службы WSUS
В данной лабораторной работе мы рассмотрим пример организации автоматического обновления программного обеспечения в сети предприятия. Речь будет идти об обновлении ПО разработки Microsoft и использовании программного средства Window Server Update Services (WSUS). Этот продукт доступен для бесплатного получения с сайта Microsoft (дополнительную информацию можно получить на странице WSUS, http://technet.microsoft.com/ru-ru/wsus/default(en-us).aspx).
Часть 1. Установка сервера обновлений
Как уже отмечалось в теоретической части курса и лабораторной работе № 5 (по Microsoft Security Assessment Tool), задача организации своевременной установки обновлений и исправлений является очень важной с точки зрения обеспечения информационной безопасности.
Для отдельно стоящего компьютера с операционной системой Windows она может быть решена путем настройки службы автоматического обновления - Пуск —> Панель управления —> Автоматическое обновление ( рис. 13.1).
В сети предприятия (начиная уже с сетей в несколько десятков компьютеров), использование такого подхода имеет ряд недостатков:
- неэффективное использование трафика, т.к. каждый компьютер будет скачивать одни и те же обновления;
- сложно контролировать распространение обновлений;
- нет возможности определить для отдельных узлов специальный порядок установки обновлений (это может потребоваться, если используются приложения, несовместимые с отдельными обновлениями).
Перечисленные задачи можно решить внедрением WSUS. В этом случае, служба автоматического обновления рабочей станции будет получать обновления с корпоративного сервера WSUS в соответствии с определенной администратором политикой (предполагается, что компьютеры организованы в домен Windows).
Текущая версия программы на момент подготовки описания лабораторной работы - WSUS 3.0 SP1. Для ее успешного развертывания нужно учитывать следующие требования и ограничения:
- продукт устанавливается на ОС Windows Server 2008 или Windows Server 2003 Service Pack 1 и выше;
- WSUS 3.0 SP1 не будет работать на серверах, где запущена служба Terminal Services;
- для работы продукта потребуется web-сервер Internet Information Services (IIS); при этом, если на том же сервере размещаются еще какие-то web-сайты, то кроме сайта WSUS допускается не более 1 сайта, использующего TCP-порт 80;
- WSUS 3.0 SP1не может быть установлен на сжатые диски (т.е. туда, где для экономии места используется компрессия средствами NTFS);
- для установки WSUS потребуется минимум 1 Гб дискового пространства на системном разделе, 2 Гб - на разделе, где будет храниться база данных и не менее 20 Гб для хранения самих обновлений (конкретный объем зависит от списка обновляемых продуктов и может превышать 40 Гб). Прим.: в ходе установки WSUS для учебных целей выполнение последнего требования необязательно - см. ниже;
- для обслуживания базы данных WSUS может использоваться уже установленный в сети Microsoft SQL Server 2005, а при его отсутствии - будет установлена урезанная версия, называемая Windows Internal Database.
Рассмотрим теперь установку продукта на Windows Server 2008. Предположим, что ранее служба IIS не была установлена. Поэтому с помощью оснастки Server Manager надо добавить эту роль ( рис. 13.2).
При этом, надо учитывать, что входящий в состав Windows Server 2008 IIS 7.0 имеет модульную структуру и по умолчанию не все требуемые для WSUS модули будут установлены. Стоит проверить, чтобы были отмечены для установки следующие модули ( рис. 13.3):
- Common HTTP Features (включая Static Content);
- ASP.NET, ISAPI Extensions и ISAPI Features (в разделе Application Development);
- Windows Authentication (в разделе Security);
- IIS Metabase Compatibility (в разделе Management Tools, подраздел IIS 6 Management Compatibility).
Для просмотра отчетов понадобится установить компонент Microsoft Report Viewer Redistributable 2005, который доступен на сайте Microsoft по ссылке http://go.microsoft.com/fwlink/?LinkId=70410.
Когда все подготовительные действия выполнены, перейдем к рассмотрению самого процесса установки WSUS.
После запуска мастер установки уточнит, что будет устанавливаться - полностью сервер или только консоль управления. Нам нужна полная установка.
Далее, после подтверждения, что мы принимаем лицензионное соглашение, появится окно выбора каталога для установки ( рис. 13.4). Если установка выполняется исключительно в учебных целях, лучше сбросить флажок "Store updates locally", тогда сами обновления не будут скачиваться с сайта Microsoft на ваш сервер (синхронизироваться будет только информация о вышедших обновлениях).
Как уже отмечалось выше, информацию об обновлениях WSUS хранит в базе данных СУБД Microsoft SQL Server. На рис. 13.5 представлено окно, позволяющее определить, будет ли устанавливаться Windows Internal Database или для хранения данных будет использоваться уже установленный Microsoft SQL Server.
Следующее окно мастера позволяет сделать выбор между использованием для нужд службы WSUS сайта IIS по умолчанию и созданием нового сайта. Если оставить настройки по умолчанию, сайт WSUS будет доступен по ссылке вида http://<имя сервера> (т.к. используется 80-й TCP-порт его в ссылке указывать не надо).
После окончания работы мастера установки (Windows Server Update Services 3.0 SP1 Setup Wizard) запустится мастер конфигурирования.
Главное, что здесь надо решить - организуем мы отдельно стоящий сервер обновлений или сервер, включенный в иерархию. В первом случае, обновления берутся напрямую с сайта Microsoft, во втором - вышестоящие по иерархии серверы раздают обновления подчиненным ( рис. 13.7).
Дальнейшие окна мастера позволяют сделать настройки для работы через прокси-сервер (если такая схема используется); провести первую синхронизацию с сервером Microsoft (для этого должно быть установлено подключение к Интернет); выбрать языковые версии, для которых будут получаться обновления ( рис. 13.8).
Следующие окна позволяют указать обновляемые продукты и типы обновлений ( рис. 13.10). Список достаточно обширен и лучше выбрать только то ПО, которое используется в сети, и те типы обновлений, в которых есть потребность (тогда не придется хранить гигабайты ненужных обновлений и упростится задача администрирования).
Дальше можно указать расписание синхронизации с сервером Microsoft и нужно ли проводить начальную синхронизацию сразу после настройки (этот флажок можно снять).
Задание
Подготовьте сервер с Windows Server 2008 к установке сервера обновлений