Включение служб Microsoft Software Update Services в вашу стратегию управления исправлениями

В связи с тем, что все думают о безопасности, а число угроз, связанных с различными эксплойтами, ежедневно увеличивается, управление исправлениями сегодня представляет собой серьезную проблему для администраторов. Microsoft хорошо реагирует на недавно обнаруженные эксплойты, выпуская исправления для исправления брешей в безопасности, но ручное применение всех исправлений к каждой машине в крупной или даже средней организации — непосильная задача.

Чтобы упростить эту задачу, Microsoft предоставляет SUS, основанную на технологии Центра обновления Windows и позволяющую предоставлять обновления на компьютеры в вашей локальной сети из локального источника, а не использовать пропускную способность Интернета для каждой машины для загрузки одних и тех же обновлений. В этой статье мы опишем, как работает SUS, и дадим вам несколько советов по развертыванию SUS в вашей организации.

Что SUS делает и чего не делает

SUS автоматизирует процесс доставки обновлений программного обеспечения на ваши компьютеры с Windows 2000 (как Professional, так и Server), XP (как Home, так и Professional) и Server 2003. Он не предоставляет обновления ни для других операционных систем Windows, ни для компьютеров, работающих на платформах, отличных от Microsoft.

SUS не является заменой Systems Management Server (SMS). Действительно, SMS — это более полнофункциональный метод распространения программного обеспечения, и если вы используете его, вы, вероятно, захотите продолжать это делать. SUS предназначен для тех администраторов, которые в настоящее время вручную проверяют сайт Центра обновления Windows или веб-сайт безопасности, а затем вручную распространяют исправления. SUS также не заменяет установку программного обеспечения групповой политики, которое также можно использовать для автоматического распространения приложений.

На самом деле SUS — это версия сервера Центра обновления Windows, которую вы можете установить и запустить в своей локальной сети. Он устанавливается на сервер Windows 2000 или 2003 и синхронизируется с веб-сервером Microsoft Windows Update либо через заданные промежутки времени, либо вручную. Уведомление по электронной почте отправляется администратору всякий раз, когда становятся доступными новые обновления, и они загружаются на внутренний сервер SUS. Затем администратор решает, какие обновления опубликовать, и они будут установлены на клиентских компьютерах.

Поскольку важно тестировать исправления перед их развертыванием в производственной сети, SUS можно использовать в многоуровневой конфигурации для поэтапного развертывания, при котором один сервер SUS публикует обновления для тестовых лабораторных компьютеров, а другие серверы SUS публикуют обновления для клиентов в локальной сети. производственной сети, только после того, как они были протестированы. Сервер SUS может загружать обновления с серверов Microsoft Update или с других внутренних серверов SUS. Один сервер SUS может поддерживать около 15 000 клиентов.

Как развернуть SUS

Первым шагом в развертывании SUS является его установка на сервер Windows 2000 (с пакетом обновления 2 или более поздней версии) или сервер Window Server 2003.

Затем необходимо установить клиентский компонент автоматического обновления на компьютеры с Windows 2000, XP и 2003, которые будут использовать SUS для обновлений. Если у вас есть несколько серверов SUS, вам необходимо настроить клиент для подключения к соответствующему серверу SUS. Клиентское программное обеспечение представляет собой расширенную версию клиента автоматических обновлений, который поставляется с Windows XP и включает:

• Сервер 2003
• Пакет обновления 1 для Windows XP
• Пакет обновления 3 для Windows 2000

Он также доступен в виде установочного пакета Windows Installer (.msi).

Установка серверного программного обеспечения SUS

Сервер SUS должен соответствовать следующим минимальным требованиям к оборудованию:

• Процессор PIII не менее 700 МГц
• 512 МБ ОЗУ
• 6 ГБ свободного места на диске

На сервере SUS должен быть запущен IIS 5.0 или более поздней версии, а также требуется Internet Explorer 5.5 или более поздней версии.

Сервер SUS должен использовать NTFS для системного раздела, а само программное обеспечение SUS должно быть установлено в разделе NTFS. Если вы хотите установить SUS на контроллере домена или на компьютере с Small Business Server (SBS) 2000, вам потребуется SP1 для SUS. Однако Microsoft рекомендует (и мы тоже) запускать SUS на специально предназначенном для этой цели компьютере. Некоторые приложения несовместимы с настройками IIS, настроенными SUS.

Программное обеспечение SUS (с пакетом обновления 1) можно загрузить с веб-сайта Microsoft SUS по адресу http://www.microsoft.com/windowsserversystem/sus/default.mspx. Клиентское программное обеспечение также доступно на этом сайте. Подробная инструкция по установке также доступна там. Для установки SUS с настройками по умолчанию достаточно простой операции:

1. Запустите установку, дважды щелкнув загруженный файл Sus10sp1.exe.
2. Нажмите «Далее» на экране приветствия мастера, чтобы начать процесс.
3. Нажмите кнопку выбора, чтобы принять лицензионное соглашение, и нажмите «Далее».
4. Установите флажок «Обычный» и нажмите «Далее».
5. Во время установки программа установки сообщит вам URL-адрес, который клиентские машины будут использовать для подключения к серверу SUS. Запишите это, прежде чем нажать «Установить».
6. Инструмент блокировки IIS будет работать, если вы устанавливаете Windows 2000 или SBS 2000.
7. Нажмите Готово, чтобы завершить работу мастера.

Утилита SUS будет добавлена в папку «Инструменты администрирования».

После установки вам потребуется настроить сервер SUS. Для этого вы используете веб-интерфейс. В браузере (IE 5.5 или выше) перейдите по адресу http:///SUSAdmin или воспользуйтесь ссылкой «Инструмент администрирования».

Веб-сайт SUS также позволяет синхронизировать сервер вручную и настроить автоматическую синхронизацию по заданному расписанию. Вы можете указать, что вы должны одобрять любые обновления, прежде чем они будут опубликованы на клиентских компьютерах. Журналы ведутся SUS для отслеживания синхронизаций и утверждений контента.

Точка распространения контента автоматически создается на сервере SUS при его установке. Вы также можете сохранить содержимое на Microsoft.com или вручную создать точку распространения на любом сервере с IIS 5.0 или более поздней версии.

Установка и настройка клиентского программного обеспечения

Если клиентский компьютер работает под управлением Windows 2000 с пакетом обновления 2 (но не с пакетом обновления 3 или более поздней версии) или Windows XP без пакета обновления 1 или более поздней версии, вам потребуется загрузить и установить клиентское программное обеспечение на компьютеры, которые вы хотите обновлять через сервер SUS.

После установки клиентского программного обеспечения настройте его, выполнив следующие действия:

1. Щелкните Пуск | Настройки | Панель управления
2. В XP выберите системный апплет и вкладку «Автоматические обновления». В Windows 2000 выберите апплет Automatic Updates.
3. Установите флажок Обновлять мой компьютер.
4. Задайте настройки для уведомления и планирования установки.

Резюме

Службы обновления программного обеспечения (SUS) — полезный инструмент для автоматического развертывания исправлений (критических обновлений) на компьютерах под управлением Windows 2000 или более поздней операционной системы. В этой статье мы представили обзор того, как работает SUS и как установить сервер SUS и клиентское программное обеспечение. Для получения более подробной информации посетите веб-узел Microsoft и загрузите 95-страничный информационный документ по развертыванию служб обновления программного обеспечения по адресу http://www.microsoft.com/windowsserversystem/sus/susdeployment.mspx.