Опубликован: 03.08.2009 | Уровень: специалист | Доступ: платный | ВУЗ: Санкт-Петербургский государственный политехнический университет
Самостоятельная работа 1:

Межсетевые экраны

< Лекция 5 || Самостоятельная работа 1: 12345

Лабораторная работа 13. Автоматическое обновление операционной системы с использованием службы WSUS

В данной лабораторной работе мы рассмотрим пример организации автоматического обновления программного обеспечения в сети предприятия. Речь будет идти об обновлении ПО разработки Microsoft и использовании программного средства Window Server Update Services (WSUS). Этот продукт доступен для бесплатного получения с сайта Microsoft (дополнительную информацию можно получить на странице WSUS, http://technet.microsoft.com/ru-ru/wsus/default(en-us).aspx).

Часть 1. Установка сервера обновлений

Как уже отмечалось в теоретической части курса и лабораторной работе № 5 (по Microsoft Security Assessment Tool), задача организации своевременной установки обновлений и исправлений является очень важной с точки зрения обеспечения информационной безопасности.

Для отдельно стоящего компьютера с операционной системой Windows она может быть решена путем настройки службы автоматического обновления - Пуск —> Панель управления —> Автоматическое обновление ( рис. 13.1).

Настройка службы автоматического обновления

Рис. 13.1. Настройка службы автоматического обновления

В сети предприятия (начиная уже с сетей в несколько десятков компьютеров), использование такого подхода имеет ряд недостатков:

  • неэффективное использование трафика, т.к. каждый компьютер будет скачивать одни и те же обновления;
  • сложно контролировать распространение обновлений;
  • нет возможности определить для отдельных узлов специальный порядок установки обновлений (это может потребоваться, если используются приложения, несовместимые с отдельными обновлениями).

Перечисленные задачи можно решить внедрением WSUS. В этом случае, служба автоматического обновления рабочей станции будет получать обновления с корпоративного сервера WSUS в соответствии с определенной администратором политикой (предполагается, что компьютеры организованы в домен Windows).

Текущая версия программы на момент подготовки описания лабораторной работы - WSUS 3.0 SP1. Для ее успешного развертывания нужно учитывать следующие требования и ограничения:

  • продукт устанавливается на ОС Windows Server 2008 или Windows Server 2003 Service Pack 1 и выше;
  • WSUS 3.0 SP1 не будет работать на серверах, где запущена служба Terminal Services;
  • для работы продукта потребуется web-сервер Internet Information Services (IIS); при этом, если на том же сервере размещаются еще какие-то web-сайты, то кроме сайта WSUS допускается не более 1 сайта, использующего TCP-порт 80;
  • WSUS 3.0 SP1не может быть установлен на сжатые диски (т.е. туда, где для экономии места используется компрессия средствами NTFS);
  • для установки WSUS потребуется минимум 1 Гб дискового пространства на системном разделе, 2 Гб - на разделе, где будет храниться база данных и не менее 20 Гб для хранения самих обновлений (конкретный объем зависит от списка обновляемых продуктов и может превышать 40 Гб). Прим.: в ходе установки WSUS для учебных целей выполнение последнего требования необязательно - см. ниже;
  • для обслуживания базы данных WSUS может использоваться уже установленный в сети Microsoft SQL Server 2005, а при его отсутствии - будет установлена урезанная версия, называемая Windows Internal Database.

Рассмотрим теперь установку продукта на Windows Server 2008. Предположим, что ранее служба IIS не была установлена. Поэтому с помощью оснастки Server Manager надо добавить эту роль ( рис. 13.2).

Добавление роли IIS

увеличить изображение
Рис. 13.2. Добавление роли IIS

При этом, надо учитывать, что входящий в состав Windows Server 2008 IIS 7.0 имеет модульную структуру и по умолчанию не все требуемые для WSUS модули будут установлены. Стоит проверить, чтобы были отмечены для установки следующие модули ( рис. 13.3):

  • Common HTTP Features (включая Static Content);
  • ASP.NET, ISAPI Extensions и ISAPI Features (в разделе Application Development);
  • Windows Authentication (в разделе Security);
  • IIS Metabase Compatibility (в разделе Management Tools, подраздел IIS 6 Management Compatibility).
Выбор устанавливаемых модулей IIS

увеличить изображение
Рис. 13.3. Выбор устанавливаемых модулей IIS

Для просмотра отчетов понадобится установить компонент Microsoft Report Viewer Redistributable 2005, который доступен на сайте Microsoft по ссылке http://go.microsoft.com/fwlink/?LinkId=70410.

Когда все подготовительные действия выполнены, перейдем к рассмотрению самого процесса установки WSUS.

После запуска мастер установки уточнит, что будет устанавливаться - полностью сервер или только консоль управления. Нам нужна полная установка.

Выбор каталога для установки

Рис. 13.4. Выбор каталога для установки

Далее, после подтверждения, что мы принимаем лицензионное соглашение, появится окно выбора каталога для установки ( рис. 13.4). Если установка выполняется исключительно в учебных целях, лучше сбросить флажок "Store updates locally", тогда сами обновления не будут скачиваться с сайта Microsoft на ваш сервер (синхронизироваться будет только информация о вышедших обновлениях).

Как уже отмечалось выше, информацию об обновлениях WSUS хранит в базе данных СУБД Microsoft SQL Server. На рис. 13.5 представлено окно, позволяющее определить, будет ли устанавливаться Windows Internal Database или для хранения данных будет использоваться уже установленный Microsoft SQL Server.

Настройки базы данных

Рис. 13.5. Настройки базы данных

Следующее окно мастера позволяет сделать выбор между использованием для нужд службы WSUS сайта IIS по умолчанию и созданием нового сайта. Если оставить настройки по умолчанию, сайт WSUS будет доступен по ссылке вида http://<имя сервера> (т.к. используется 80-й TCP-порт его в ссылке указывать не надо).

Выбор сайта

Рис. 13.6. Выбор сайта

После окончания работы мастера установки (Windows Server Update Services 3.0 SP1 Setup Wizard) запустится мастер конфигурирования.

Главное, что здесь надо решить - организуем мы отдельно стоящий сервер обновлений или сервер, включенный в иерархию. В первом случае, обновления берутся напрямую с сайта Microsoft, во втором - вышестоящие по иерархии серверы раздают обновления подчиненным ( рис. 13.7).

Дальнейшие окна мастера позволяют сделать настройки для работы через прокси-сервер (если такая схема используется); провести первую синхронизацию с сервером Microsoft (для этого должно быть установлено подключение к Интернет); выбрать языковые версии, для которых будут получаться обновления ( рис. 13.8).

Следующие окна позволяют указать обновляемые продукты и типы обновлений ( рис. 13.10). Список достаточно обширен и лучше выбрать только то ПО, которое используется в сети, и те типы обновлений, в которых есть потребность (тогда не придется хранить гигабайты ненужных обновлений и упростится задача администрирования).

Выбор типа конфигурации - простая или иерархическая

увеличить изображение
Рис. 13.7. Выбор типа конфигурации - простая или иерархическая
Выбор языковых версий

увеличить изображение
Рис. 13.8. Выбор языковых версий
Выбор обновляемых продуктов

увеличить изображение
Рис. 13.9. Выбор обновляемых продуктов
Выбор "классов" обновлений

увеличить изображение
Рис. 13.10. Выбор "классов" обновлений

Дальше можно указать расписание синхронизации с сервером Microsoft и нужно ли проводить начальную синхронизацию сразу после настройки (этот флажок можно снять).

Задание

Подготовьте сервер с Windows Server 2008 к установке сервера обновлений

Выполните установку и начальное конфигурирование WSUS.

< Лекция 5 || Самостоятельная работа 1: 12345
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Татьяна Гусельникова
Татьяна Гусельникова