Глава 9
Рис. 9.7.
Центр обновлений Windows (Windows Server 2016)
Рис. 9.8.
Установка обновлений (Windows Server 2016)
Безопасность
457
Обновление Windows-систем на предприятии
Обновление Windows-систем на предприятии имеет несколько особенностей:
во-первых, обновления от Microsoft часто весьма объемны по размеру, и их
одновременная загрузка на несколько систем может негативно сказаться на дос-
тупе в Интернет даже на безлимитных тарифах, не говоря уже про экономию для
тарифов с оплатой за трафик;
во-вторых, установка обновлений должна быть контролируемой: обновления
должны авторизоваться (получать разрешение от администратора на установку,
лучше всего — после тестирования), операции нужно проводить по графику,
с учетом типа компьютеров (отбор по группам, площадкам и т. п.), весь процесс
должен протоколироваться с возможностью легкого составления отчетов по ре-
зультатам.
В этих целях целесообразно использовать
службу
автоматического
обновления
—
Windows Software Update Services (WSUS). Она распространяется бесплатно и
предназначена для установки как обновлений операционной системы Windows, так
и ряда других продуктов Microsoft.
Сама служба представляет собой приложение, работающее на веб-сервере IIS. По-
этому для ее установки необходимо выполнить ряд условий (установить компонен-
ты). Для установки службы воспользуйтесь мастером добавления ролей и компо-
нентов в Windows Server 2008/2012/2016 (рис. 9.9).
Архитектуру обновления можно построить по нуждам предприятия: служба допус-
кает виртуализацию, каскадирование (загрузка обновления с другого сервера
WSUS), балансировку нагрузки (обслуживание инфраструктуры несколькими сер-
верами) и т. п.
Основные настройки службы (параметры прокси-сервера, выбор продуктов, для
которых закачиваются обновления, настройка языков, графика синхронизации
и пр.) выполняются во время установки продукта, но их можно уточнить и в консо-
ли службы. После установки компьютеры необходимо разбить по группам (в зави-
симости от требований к установке обновлений) и настроить режимы (например,
автоматическое согласие на установку определенной категории обновлений и т. п.).
Чтобы клиенты выполняли установку обновлений с сервера WSUS, надо в группо-
вой политике явно указать имя сервера, с которого будет осуществляться обнов-
ление.
Для индивидуальной настройки системы на локальный сервер WSUS (если компь-
ютер не использует групповые политики) следует добавить в ветвь
HKLM\Software\
Policies\Microsoft\Windows\WindowsUpdate
реестра клиентской системы два ключа:
WUServer
(тип
Reg_SZ
) и
WUStatusServer
(тип
Reg_SZ
). Оба они должны указывать на
внутренний WSUS-сервер (например,
http://wsus
).
458
Do'stlaringiz bilan baham: |