Отличный бесплатный инструмент для централизованного администрирования и развертывания критически важных исправлений.
О выходе бюллетеня безопасности Microsoft Security Bulletin MS03-026 (Buffer Overrun In RPC Interface Could Allow Code Execution) вы, возможно, слышали задолго до атаки «червя» Blaster, имевшей место 11 августа 2003 года. Но успех этого вируса показал, что большинство из нас делали слишком мало, чтобы защитить свои системы. Обычно IT-отделы компаний укомплектованы минимально, и усилий на установку исправлений на каждую систему Windows требуется больше, чем эти отделы в состоянии приложить.
Однако пока воспоминания о Blaster еще свежи в памяти вашего руководства, вы можете выполнить подготовительную работу, чтобы упростить применение исправлений к ошибкам, которые будут обнаружены в дальнейшем. Microsoft Software Update Services (SUS) - это бесплатный инструмент, позволяющий централизованно управлять исправлениями и прочими программами коррекции для операционной системы на клиентских компьютерах и серверах Windows. Для тех, кто отвечает в компании за поддержку стабильности и безопасности клиентских систем Windows, SUS предоставляет, по крайней мере, два преимущества. Во-первых, больше не придется проверять Web-сайт Microsoft Security & Privacy и вручную загружать исправления, чтобы потом установить их на свои системы. Во-вторых, вместо нерегулярного и выборочного развертывания исправлений индивидуальными пользователями с сайта Windows Update, можно выполнить одну загрузку и следить за тем, когда и на каких машинах установлены исправления.
Обзор SUS
Microsoft позиционирует SUS как средство для организаций среднего размера, т.е. для компаний, имеющих не более 1000 настольных систем. Сочетание простоты и функциональности как раз подходит для организаций такого размера. Для более крупных компаний с более сложными требованиями к менеджменту изменений и конфигурации Microsoft рекомендует Systems Management Server (SMS) и недавно выпущенный SMS Software Update Services Feature Pack, который можно загрузить по адресу http://www.microsoft.com/smserver/ downloads/20/featurepacks/suspack.
Серверная часть SUS использует ту же технологию, которая много лет применялась Microsoft на общедоступном сайте Windows Update. Клиент SUS задействует технологию Automatic Updates - тот же механизм, что используется Windows XP для загрузки исправлений. Клиентская и серверная части, работая вместе, предоставляют администраторам простой способ получить, оценить и распределить подходящие исправления на клиентских машинах локальной внутренней сети без вмешательства пользователей. Выпуск SUS Server с пакетом обновлений Service Pack 1 (SP1) обеспечивает дополнительную гибкость для реализации SUS в конкретной среде. По моему мнению, самое значительное усовершенствование в SP1 - это возможность запускать SUS на контроллерах доменов Windows Server 2003 и Windows 2000 Server, а также на Small Business Server 2000 SP1 и более поздних версиях. Возможность задействовать контроллеры доменов (DC) в качестве серверов SUS важна потому, что она позволяет более продуктивно использовать установленные контроллеры доменов за счет улучшения иерархии распределения исправлений SUS Server.
SP1 совершенствует и Automatic Updates, обеспечивая больший контроль установки исправлений и снижая количество перезагрузок. SUS Server с пакетом обновлений SP1 доступен как бесплатное приложение на домашней странице Microsoft Software Update Services по адресу http://www.microsoft.com/windows2000/ windowsupdate/sus.
Настраиваем серверы SUS
После загрузки программы SUS Server следует установить ее на систему, которая будет действовать как первичный сервер SUS в локальной среде. Чтобы гарантировать, что компьютер, с которого распределяются исправления для системы безопасности, сам является защищенным, в процессе установки SUS Server на нем будут установлены и запущены мастер IIS Lockdown Wizard и инструмент безопасности urlscan, если они еще не запускались.
Первичный сервер SUS будет получать исправления с общедоступного сайта Windows Update. Если размеры или топология конкретной среды позволяют иметь дополнительные серверы SUS, можно сконфигурировать их в расчете на получение обновлений с сайта Windows Update, с другого сервера SUS или с настроенной вручную точки распределения обновлений. Более подробно о возможностях настройки серверной части можно узнать, обратившись к документу "Software Update Services Deployment White Paper". Для того чтобы серверы SUS непрерывно получали все необходимые новые исправления безопасности, настройте их так, чтобы они в отношении самих себя действовали как клиенты.
Чтобы открыть страницу администрирования сервера Software Update Services (см. Рисунок 1) после того как установка завершена, нужно открыть Web-браузер и вызвать страницу http://yourSUSserver/SUSAdmin. Две главные задачи, которые выполняются через этот интерфейс - синхронизация содержимого и выбор нужных исправлений. Поскольку первоначальная загрузка исправлений может занять продолжительное время, я рекомендую сразу инициировать синхронизацию, а затем, пока она выполняется, перейти к другим задачам, таким как настройка клиентов или групповой политики. Чтобы не тратить зря память и полосу пропускания, загружайте только локализованные исправления (т.е. исправления, соответствующие локализованным версиям операционных систем - German, French), которые вам необходимы.
Клиентская часть
Чтобы получать исправления через систему SUS, клиентские машины должны иметь на поддерживаемой платформе последнюю версию клиента Automatic Updates. Поддерживаемые платформы включают: семейство Windows 2003; XP Professional и XP Home Edition; Windows 2000 Professional, Windows 2000 Server и Windows 2000 Advanced Server (все с пакетом обновлений SP2 или более поздних версий). Системы, работающие на Windows 2003, XP SP1 или Windows 2000 SP3 уже имеют самую последнюю версию Automatic Updates, для других систем ее можно загрузить по адресу http://www.microsoft.com/windows2000/ downloads/recommended/susclient/default.asp.
Важное преимущество клиента Automatic Updates состоит в том, что загрузка обновлений выполняется с помощью службы Background Intelligent Transfer Service (BITS) и возможна последовательная установка нескольких исправлений. BITS задействует только свободную часть полосы пропускания и ограничивает полосу пропускания, которую занимает процесс загрузки, когда в сети выполняются другие действия. Последовательная установка обновлений отменяет требование перезагрузки до тех пор, пока не установлен заданный набор исправлений, а затем выполняется единственная перезагрузка.
Поведение клиента
После установки подходящих клиентов Automatic Updates у вас появляется несколько вариантов выполнения настроек, определяющих их поведение. Использование Group Policy - наиболее предпочтительный подход для настройки клиентов, но можно и напрямую редактировать параметры реестра или использовать системную политику Windows NT 4.0.
Для того чтобы воспользоваться Group Policy при настройке клиентов, необходимо загрузить административный шаблон Software Update Services 1.0 ADM File for Service Pack 1 Group Policy. Ссылку на этот шаблон вы найдете, щелкнув Software Update Services with Service Pack 1 Now Available на домашней странице SUS. Новый шаблон следует скопировать в каталог %windir%\inf на контроллере домена Active Directory (AD). Чтобы установить шаблон, нужно запустить Microsoft Management Console (MMC), добавить оснастку Group Policy, щелкнуть правой кнопкой Administrative Templates в разделе Computer Settings и выбрать Add/Remove Templates. Затем выберите wuau.adm и щелкните Add.
После добавления шаблона перейдите к Computer Configuration\Administrative Templates\Windows Update. Должны быть видны четыре политики, показанные на Рисунке 2. Политика Configure Automatic Updates позволяет контролировать поведение процесса установки исправлений. Политика содержит варианты от Notify for download and notify for install (вариант 2) до Auto download and schedule the install (вариант 4). Если вы выбираете вариант 4, следует задать расписание для установки исправлений. Политика Specify intranet Microsoft update service location позволяет определить серверы, с которых клиенты копируют исправления, и серверы, на которые клиенты отправляют отчеты со статистикой о процессе установки. Обе настройки могут указывать на один и тот же сервер. Политика Reschedule Automatic Updates scheduled installations позволяет задать расписание для повторной установки пропущенных исправлений. Например, если установить значение 30, то установка любых запланированных исправлений, пропущенных ранее, начнется через 30 минут после следующей загрузки системы.
Последняя политика, No auto-restart for scheduled Automatic Updates installations, дает возможность управлять процессами перезагрузки, когда исправления требуют перезагрузки, после того как были установлены. Включение этой настройки позволяет пользователю выбрать, когда перезагружать систему. Если настройка отключена или не выполнена, Automatic Updates предупреждает подключенного пользователя, что система будет перезагружена в течение 5 минут. Если вы не можете воспользоваться Group Policy для настройки клиента, найдите в документе "Software Update Services Deployment White Paper" информацию о применении записей реестра для конфигурирования клиентов.
Загрузка, подтверждение выбора и развертывание обновлений
Как только закончится первоначальная синхронизация содержимого сервера SUS, страница администратора будет отображать список загруженных исправлений. Чтобы подтвердить выбор исправлений для дальнейшей установки, нужно просто поставить флажок рядом с каждым выбираемым исправлением и щелкнуть Approve. Microsoft часто выпускает новые версии ранее вышедших исправлений. Чтобы автоматизировать дальнейшее управление новыми версиями, щелкните Set options в левой панели страницы администратора, затем выберите настройку Automatically approve new versions of previously approved updates («Автоматически подтверждать новые версии ранее выбранных обновлений»). Предварительное тестирование исправлений в тестовой среде, конечно, является важным шагом, однако вопросы выбора критериев для отбора и методы тестирования выходят за рамки настоящей статьи.
Следите за выпуском
Как уже упоминалось, клиенты Automatic Updates могут отправлять отчеты об установленных исправлениях на один из внутренних серверов. Это достигается с помощью журналов Microsoft IIS, которые хранятся в подкаталогах с именами W3SVCx в каталоге %windir%\system32\logfiles. Меняя варианты формирования журналов IIS, можно фильтровать журналы во избежание избытка данных, так чтобы концентрироваться только на данных SUS.
Для этого следует открыть оснастку MMC Computer Management и перейти к Services and Applications, Internet Information Services. В правой панели щелкните правой кнопкой Default Web Site и выберите Properties. Щелкните вкладку Home Directory, снимите флажок Log visits, затем нажмите OK. В левой панели щелкните значок Default Web Site, затем щелкните правой кнопкой на файле wutrack.bin в правой панели. Выберите Properties, щелкните вкладку File и поставьте флажок Log visits. Сконфигурированные таким образом файлы журналов IIS будут записывать только сообщения, сгенерированные клиентами Automatic Updates.
Просто автоматизированный менеджмент
SUS полностью соответствует той цели, для которой он разрабатывался - обеспечить простой автоматизированный менеджмент исправлений для операционной системы. Но исправления драйверов устройств, пакеты обновлений (service packs), исправления для приложений и других серверов в настоящее время не поддерживаются.
Эд Рот - Старший обозреватель в тестовой лаборатории Windows & .NET Magazine. С ним можно связаться по адресу: eroth@win2000mag.com.