Mélyvíz Software Update Services SUS 1.0 SP1 Fischer Péter terméktámogatási tanácsadó Microsoft Magyarország

Napirend Mi is a SUS Mi is a SUS Működési finomságok Működési finomságok Tervezési finomságok Tervezési finomságok Hibakeresési finomságok Hibakeresési finomságok

Mi is a SUS Automatikus telepítési rendszer Automatikus telepítési rendszer  Biztonsági javítások operációs rendszerhez  W2K SP4 és WinXP SP1 telepítés  MSDE (W2K3-hoz!) biztonsági javítás telepítés NEM … NEM …  telepít fel más javításokat  segít Windows 9X-nél  szabad felügyelet nélkül hagyni  Ellenőrzés  Pl. Microsoft Baseline Security Analyzer  old meg mindent

Irány a mélyvíz

Működési finomságok Microsoft Microsoft  Központilag karbantartott adatbázis (XML) SUS Kiszolgáló SUS Kiszolgáló  Katalógus letöltése  Fájlok letöltése a SUS-ra  Jóváhagyás SUS Kliens SUS Kliens  Kliensek letöltik a katalógust  Fájlok letöltése kliensre  Fixek telepítése  Naplózás (minden ponton)

Registry a kliensgépen WUAUSERV szolgáltatás a „tulajdonosa” WUAUSERV szolgáltatás a „tulajdonosa” HKLM\Software\Microsoft\Windows\ CurrentVersion\WindowsUpdate\Auto Update HKLM\Software\Microsoft\Windows\ CurrentVersion\WindowsUpdate\Auto Update AUState AUState  0 - Az Internet kapcsolat utáni legelső 24 órában nem fut (WU)  1 - Felhasználóra vár, az AU varázsló futtatására (WU)  2 - Analizálásra várunk  2 - Analizálásra várunk  3 - Letöltésre várunk (Felhasználónak a letöltést el kell fogadni)  3 - Letöltésre várunk (Felhasználónak a letöltést el kell fogadni)  4 - Letöltés folyamatban  4 - Letöltés folyamatban  5 - Településre várunk  5 - Településre várunk  6 - Telepítés kész  6 - Telepítés kész  7 - Letiltva (WU)  7 - Letiltva (WU)  8 - Újraindításra várunk (szükséges az újraindítás, de megszakítottuk). Az újraindításig az AU nem fog csinálni semmit, amikor is ez az érték törlődik.

Fixek letöltési technikája (BITS)

BITSADMIN.EXE Windows 2003 Support Tools része (1.5) Windows 2003 Support Tools része (1.5) Windows 2000-hez és Windows XP-hez is használható Windows 2000-hez és Windows XP-hez is használható Használata Használata  BITSADMIN /CREATE /DOWNLOAD letolt1  BITSADMIN /ADDFILE letolt1 c:\temp\ezlesz.exe  BITSADMIN /RESUME letolt1  BITSADMIN /COMPLETE letolt1 Monitorozás Monitorozás  BITSADMIN /MONITOR /ALLUSERS /REFRESH 5  BITSADMIN /GETERROR letolt1  BITSADMIN /GETBYTESTRANSFERRED HEAD utasítást használ (URLSCAN!!!!) HEAD utasítást használ (URLSCAN!!!!)

Tervezési finomságok Windows Update Internet Intranet SUS / Distribution Server SUS Sync Content & & List of Approved Updates Sync Content AutoUpdate clients Win2k & WinXP Site in City B HTTP AutoUpdate clients Win2k & WinXP Site in City A Client can be directed to auto download and install updates Proxy Client can be directed to pull approved updates from Microsoft.com Firewall SUS

Tervezési finomságok Ügyfélgépeknél automatikusan telepítsünk Ügyfélgépeknél automatikusan telepítsünk  Az ok: Local System nevében fog települni Kiszolgálóknál kézzel telepítsünk Kiszolgálóknál kézzel telepítsünk  Az ok: ne induljon újra Csoportos házirenddel választhatjuk szét Csoportos házirenddel választhatjuk szét

Tervezési finomságok Hordozhatóság (Internettől elzárt helyre) Hordozhatóság (Internettől elzárt helyre) WLBS farmok WLBS farmok MEGOLDÁS: Disztribúciós szerver MEGOLDÁS: Disztribúciós szerver  IIS kiszolgáló (akár Windows XP)  CD/DVD adathordozón vihető fájlok  Erről veszi a helyi SUS kiszolgáló a fixeket

Hogyan érjünk el azonnali frissülést SUS kiszolgálóval? Szerveren letöltés kézi szinkronizálás Szerveren letöltés kézi szinkronizálás Kliensen XML letöltése Kliensen XML letöltése  net stop wuauserv  REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Win dowsUpdate\Auto Update" /v LastWaitTimeout /f  REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Win dowsUpdate\Auto Update" /v AUState /t REG_DWORD /d 2 /f  net start wuauserv  Hatására kb perc múlva elindul a letöltés Fájlletöltés BITS-szel, nem befolyásolható Fájlletöltés BITS-szel, nem befolyásolható Telepítés Telepítés  Local Admin joggal bejelentkezni  Órát átállítani közvetlenül a programozott idő elé

Hibakeresési finomságok Szerveren vannak gondjaink? Szerveren vannak gondjaink? A szerver működésének naplózása növelhető A szerver működésének naplózása növelhető  HKLM\SOFTWARE\Microsoft\Windows\Curre ntVersion\WindowsUpdate\FastDO\LogLevel (REGDWORD).  0 – nincs naplózás  1 – csak hibák  2 – hibák és figyelmeztetések  3 – minden  Az eseménynaplóba kerül

Hibakeresési finomságok Ha egy kliens „gyanús” Ha egy kliens „gyanús”  Mintha nem lenne fenn egy patch  Már rég nem jött buborék AUState –nek mi az értéke? AUState –nek mi az értéke?  Ha 6 vagy 8, indítsuk újra a gépet  Ha 5, akkor telepítésre vár  Local Admin vagyunk? Eljött már az „idő”?  Ha 4, letöltés folyik  Monitorozhatjuk BITSADMIN.EXE-vel  Ha 3, a letöltés engedélyezésére vár  Local Admin vagyunk?  Ha 2, akkor alaphelyzetben vagyunk  Nézzük meg a „Windows Update.log” –ot  minden jó, akkor telepítési logot megnézni

Hibakeresési finomságok Összességében együtt kéne látni a logot Összességében együtt kéne látni a logot IIS logba kerül be IIS logba kerül be  „dummy” wutrack.bin  Egy statisztikai szerver több SUS esetén is Javasolt feldolgozás: SQL Javasolt feldolgozás: SQL  SQL-be importálni a logot  Sztring manipuláció Ellenőrzés Ellenőrzés  Microsoft Baseline Security Analyzer

Linkek Jegyzetek: Patchek kezelési stratégiája ment.asp Jegyzetek: Patchek kezelési stratégiája ment.asp ment.asp ment.asp Biztonsági stratégiák a Microsoft szemszögéből m.asp Biztonsági stratégiák a Microsoft szemszögéből m.asp m.asp m.asp A patchek mérnöki szemszögből TEX.asp A patchek mérnöki szemszögből TEX.asp TEX.asp TEX.asp Iránymutatások a patchek kezeléséhez Iránymutatások a patchek kezeléséhez A legfrissebb Microsoft Guide a biztonsági fixek kezeléséhez A legfrissebb Microsoft Guide a biztonsági fixek kezeléséhez chnet/security/topics/patch/secpatch/Default.asp chnet/security/topics/patch/secpatch/Default.asp chnet/security/topics/patch/secpatch/Default.asp chnet/security/topics/patch/secpatch/Default.asp Microsoft Solutions for Management (Nagyvállat-központú segédlet és szolgáltatás) Microsoft Solutions for Management (Nagyvállat-központú segédlet és szolgáltatás) Patch-kezelés SMS segítségével chnet/itsolutions/msm/swdist/pmsms/pmsmsog.asp Patch-kezelés SMS segítségével chnet/itsolutions/msm/swdist/pmsms/pmsmsog.asp chnet/itsolutions/msm/swdist/pmsms/pmsmsog.asp chnet/itsolutions/msm/swdist/pmsms/pmsmsog.asp

Linkek Patch-kezelés SUS segítségével sp?url=/technet/itsolutions/msm/swdist/pmsus/pms usog.asp Patch-kezelés SUS segítségével sp?url=/technet/itsolutions/msm/swdist/pmsus/pms usog.asp sp?url=/technet/itsolutions/msm/swdist/pmsus/pms usog.asp sp?url=/technet/itsolutions/msm/swdist/pmsus/pms usog.asp Az összes MSM segédlet sp?url=/technet/itsolutions/msm/Default.asp Az összes MSM segédlet sp?url=/technet/itsolutions/msm/Default.asp sp?url=/technet/itsolutions/msm/Default.asp sp?url=/technet/itsolutions/msm/Default.asp Itt tölthetők le a SUS és SMS alapú rendszerek telepítéséhez, üzemeltetéshez kapcsolódó segédletek: amilyId=7D8999AF-7E88-416C F886E8D&displaylang=en Itt tölthetők le a SUS és SMS alapú rendszerek telepítéséhez, üzemeltetéshez kapcsolódó segédletek: amilyId=7D8999AF-7E88-416C F886E8D&displaylang=en amilyId=7D8999AF-7E88-416C F886E8D&displaylang=en amilyId=7D8999AF-7E88-416C F886E8D&displaylang=en A SUS és az SMS viszonya: A SUS és az SMS viszonya: Melyik biztonsági menedzsment modellt válasszuk: date/sus/suschoosing.asp Melyik biztonsági menedzsment modellt válasszuk: date/sus/suschoosing.asp date/sus/suschoosing.asp date/sus/suschoosing.asp

Linkek Patch kezelő szoftverek, eszközök, egyéb források Patch kezelő szoftverek, eszközök, egyéb források SMS SMS SUS SUS MBSA MBSA WU WU Office Update Office Update Notifications for Security Bulletins Szakmabelieknek Notifications for Security Bulletins Szakmabelieknek y.asp Nem szakmabelieknek y.asp Nem szakmabelieknek y.asp y.asp A fontossági kategóriákról olicy/rating.asp A fontossági kategóriákról olicy/rating.asp olicy/rating.asp olicy/rating.asp Patch Skill Assessment Patch Skill Assessment CNF esettanulmány D=13580 CNF esettanulmány D= D= D=13580

Linkek BITS jegyzet, programozási segédlet BITS jegyzet, programozási segédlet 03/techinfo/overview/bits.mspx 03/techinfo/overview/bits.mspx 03/techinfo/overview/bits.mspx 03/techinfo/overview/bits.mspx brary/en- us/bits/bits/bitsadmin_examples.asp?frame=true brary/en- us/bits/bits/bitsadmin_examples.asp?frame=true brary/en- us/bits/bits/bitsadmin_examples.asp?frame=true brary/en- us/bits/bits/bitsadmin_examples.asp?frame=true SUS dokumentáció SUS dokumentáció date/sus/default.asp date/sus/default.asp date/sus/default.asp date/sus/default.asp date/sus/susoverview.asp date/sus/susoverview.asp date/sus/susoverview.asp date/sus/susoverview.asp date/sus/susdeployment.asp date/sus/susdeployment.asp date/sus/susdeployment.asp date/sus/susdeployment.asp

Linkek dowsupdate/sus/default.asp dowsupdate/sus/default.asp dowsupdate/sus/default.asp dowsupdate/sus/default.asp dowsupdate/sus/susoverview.asp dowsupdate/sus/susoverview.asp dowsupdate/sus/susoverview.asp dowsupdate/sus/susoverview.asp dowsupdate/sus/susdeployment.asp dowsupdate/sus/susdeployment.asp dowsupdate/sus/susdeployment.asp dowsupdate/sus/susdeployment.asp dowsupdate/sus/redir-sp1.asp dowsupdate/sus/redir-sp1.asp dowsupdate/sus/redir-sp1.asp dowsupdate/sus/redir-sp1.asp p?url=/library/en- us/bits/bits/bitsadmin_examples.asp?frame= true p?url=/library/en- us/bits/bits/bitsadmin_examples.asp?frame= true p?url=/library/en- us/bits/bits/bitsadmin_examples.asp?frame= true p?url=/library/en- us/bits/bits/bitsadmin_examples.asp?frame= true

Linkek etails.aspx?FamilyId=A7AA96E4-6E41- 4F54-972C- AE66A4E4BF6C&displaylang=en etails.aspx?FamilyId=A7AA96E4-6E41- 4F54-972C- AE66A4E4BF6C&displaylang=en etails.aspx?FamilyId=A7AA96E4-6E41- 4F54-972C- AE66A4E4BF6C&displaylang=en etails.aspx?FamilyId=A7AA96E4-6E41- 4F54-972C- AE66A4E4BF6C&displaylang=en 0/downloads/recommended/susclient/d efault.asp 0/downloads/recommended/susclient/d efault.asp 0/downloads/recommended/susclient/d efault.asp 0/downloads/recommended/susclient/d efault.asp etails.aspx?FamilyId=D26A0AEA-D E C667B4C94E9&displaylang=en etails.aspx?FamilyId=D26A0AEA-D E C667B4C94E9&displaylang=en etails.aspx?FamilyId=D26A0AEA-D E C667B4C94E9&displaylang=en etails.aspx?FamilyId=D26A0AEA-D E C667B4C94E9&displaylang=en

DEMO