Обзор механизмов управления обновлениями

Компания Microsoft периодически выпускает обновления к операционным системам и другим продуктам. Согласно терминологии компании Microsoft все эти обновления можно подразделить на (см. КВ824684):

• «Заплатка» (hotfix) — пакет, включающий в себя один или несколько обновленных файлов. Установка «заплатки» призвана решить конкретную проблему с продуктом, возникшую у легального клиента Microsoft. Для получения «заплаток» требуется обращаться в службу поддержки Microsoft.
• Критическое обновление (critical update) — широко доступное и свободно распространяемое обновление продукта, призванное решить критическую проблему в продукте, не связанную с безопасностью.
• Обновление безопасности (security update) — широко доступное и свободно распространяемое обновление продукта, призванное решить проблему в продукте, связанную с безопасностью. Обновления безопасности ранжируются по уровню — низкий (low), средний (medium), важный (important) и критический (critical).
• Обновление (update) — широко доступное и свободно распространяемое обновление продукта, призванное решить некритическую не связанную с безопасностью проблему в продукте.
• Пакет обновлений (service pack) — тщательно протестированный набор «заплаток», критических обновлений, обновлений безопасности и обновлений.

Для уведомления о вышедших обновлениях безопасности компания Microsoft использует бюллетени безопасности (security bulletins). Для получения уведомлений о новых бюллетенях можно воспользоваться сервисом уведомлений Microsoft. Бюллетени безопасности содержат описание проблемы, продукты, в которых найдена уязвимость, часто задаваемые вопросы и ссылки за загрузку соответствующего обновления. Просмотреть бюллетени можно на сайте Microsoft.
Для проверки не установленных обновлений можно использовать бесплатную утилиту Microsoft Baseline Security Analyzer Текущая версия на момент написания курса — 2.1. При запуске эта утилита загружает XML-файл с сайта Microsoft и проверяет установленные на компьютере обновления согласно этому файлу. После анализа выдается HTML-отчет.
Установить обновления на компьютер можно, используя несколько механизмов:

• Windows Update. После открытия сайта Windows Update (ссылка на него есть в меню Start) загружается специальный управляющий элемент ActiveX, с помощью которого проводится анализ компьютера и предлагаются обновления для загрузки (как связанные, так и не связанные с безопасностью). Этот инструмент предназначен для конечных пользователей и требует наличия административных прав.
• Automatic Updates (AU). AU —это специальная служба, проверяющая наличие новых критических обновлений (как связанных так и не связанных с безопасностью) на сайте Windows Update или на сервере WSUS в локальной сети предприятия. Эта служба входит в состав Windows 2000 SP4 и выше. Можно настроить эту службу на автоматическую загрузку и установку обновлений. При выборе варианта автоматической загрузки и установки по расписанию административных прав не требуется.
• Windows Software Update Service (WSUS) — локальная копия базы обновлений Windows Update. Применение WSUS совместно с AU в локальной сети дает возможность администратору контролировать устанавливаемые на компьютеры обновления и снизить объем трафика.

Применение WSUS и AU для централизованного развертывания обновлений

Windows Software Update Service (WSUS) — это новая версия службы управления обновлениями, известная ранее под именем Software Update Service (SUS). WSUS не входит в состав Windows Server 2003, а загружается отдельно с сайта Microsoft. Основными компонентами этой службы являются сервер WSUS и встроенный клиент автоматических обновлений (Automatic Updates client), работающий на каждом клиентском компьютере под управлением Windows 2000 SP3 и выше. По умолчанию клиент Automatic Updates настроен на работу с сайтом Windows Update, но с помощью Групповой политики есть возможность перенастроить клиента на работу с сервером WSUS.
После установки на компьютер с Windows Server 2003 службы WSUS с сайта Windows Update загружается список доступных обновлений, и администратор может выбрать, какие именно обновления следует загрузить на локальный сервер WSUS. После выбора нужных обновлений на сервер WSUS загружаются сами файлы обновлений, которые в свою очередь «скачиваются» и устанавливаются на клиентские компьютеры службой Аи.Таким образом, администратор имеет полный контроль за устанавливаемыми в сети обновлениями.
Для загрузки сервером WSUS с сайта Windows Update списка обновлений и самих обновлений используются протоколы HTTP и HTTPS (при необходимости потребуется открыть порты 80 и 443 на межсетевом экране). Для загрузки обновлений клиентскими компьютерами -е WSUS-сервера также используется протокол HTTP, но в данном случае администратор может изменить TCP-порт на любой по собственному выбору.

Для направленного назначения обновления определенным компьютерам WSUS использует концепцию компьютерных групп (computer groups). Эти группы создаются администратором на сервере WSUS и позволяют применять выбранные обновления не ко всем компьютерам, а только к тем, которые входят в соответствующую группу. Такой подход позволяет, например, организовать предварительное тестирование обновлений перед их развертыванием в масштабах всей сети.
Допускается также каскадирование серверов WSUS таким образом, чтобы подчиненный (downstream) сервер загружал обновления с главного (upstream) сервера.
Для развертывания WSUS следует выполнить следующие шаги:

•   Перед установкой сервера WSUS обеспечить выполнение предварительных требований (требования приведены для ОС Windows Server 2003).

• • Установленная служба IIS 6.0
  • Установленный компонент Background Intelligent Transfer Service (BITS) 2.0 (загружается с сайта Microsoft, не требуется, если установлен SP1 для Windows Server 2003).
  • Установленный компонент Microsoft .NET Framework 1.1 Service Pack 1 (загружается с сайта
  • Microsoft, не требуется, если установлен SP1 для Windows Server 2003). о   Не менее 6 Gb свободного места на диске для хранения обновлений.

• • Установить WSUS.
  • С помощью административной консоли (http:/7WSUSServerName[":ponnumber|/WSUS Admin/') выбрать продукты, для которых требуется загрузка обновлений и нужные типы обновлений.
  • Настроить дополнительные опции, например отложенные обновления (deferred updates) или языковые версии обновлений.
  • Синхронизовать сервер WSUS с сайтом Windows Update.
  • Создать компьютерные группы (этот шаг является опциональным, так как возможно использование встроенной группы All Computers).
  • Подтвердить (approve) нужные обновления и указать соответствующие компьютерные группы.
  • Настроить клиентские компьютеры (точнее, службу Automatic Updates) на использование сервера WSUS с помощью Групповой политики. При этом служба Automatic Updates автоматически произведет собственное обновление до версии, совместимой с WSUS. Для задания настроек AU необходимо выполнить импорт в GPO административного шаблона WUAU.ADM, который входит в состав Windows ХР SP2.