és a javítás kezelés alapfokon WSUS és a javítás kezelés alapfokon Csató Endre Vezető konzulens

Miért? Mert a sérülékenység kihasználásával Üzleti vagy fontos adatokhoz lehet jutni Email címek kerülhetnek rossz kezekbe Bosszúságot jelent egy féreg vagy reklám eltávolítása Banki információk megszerzésének lehetősége Felhasználók korlátozásának kijátszása Belső vagy külső feltörések lehetősége A javítások ellenőrzött és gyors telepítése véd a felsoroltak ellen

Hogyan? 1. A javítandó környezet feltérképezése 2. Hiányzó javítások keresése 1. Környezet 2. Azonosítás 3. Tervezés, kiértékelés 4. Telepítés 4. A javítócsomag telepítése 3. A javítócsomag-telepítés tervezése, tesztelése és kiértékelése

Windows Server Update Services Mivel? Felhasz-náló Környezet, igény Megoldás Nagy- és közepes vállalatok Központosított, rugalmas patch management megoldás, részletes, széleskörű szoftver (és patch management) telepítés és frissítés Windows 98-tól, bármilyen szoftver esetén, plusz távmenedzsment, szoftver-, hardverleltár, mobil eszközök támogatása... SMS 2003 Csak Microsoft szoftverek és alkalmazások (eleinte Windows (2000+), Office (2003, XP), Exchange 2003, SQL Server 2000, MSDE) biztonsági javításainak telepítése Windows Server Update Services Kis-vállalatok Legalább 1 Windows Server és 1 rendszergazda rendelkezésre áll Minden más esetben Microsoft Update* Otthoni Minden

Windows Server Update Services Mivel? (2) Képesség Microsoft Update Windows Server Update Services SMS 2003 Támogatott szoftver és tartalom Támogatott operációs rendszer ua. mint a Windows Update Services + WinXP Home Win2K, WS2003, WinXP Pro, Office 2003, Office XP, Exchange 2003, SQL Server 2000, MSDE, … ua. mint a Windows Update Services + NT 4.0 & Win98* + bármilyen Windows alapú szoftver Támogatott tartalomtípus Szoftverfrissítések, kritikus eszközmeghajtó frissítések, javítócsomagok (SP) és Feature Pack-ek (FP) Szoftverfrissítések, kritikus eszközmeghajtó frissítések, javítócsomagok (SP) és Feature Pack-ek (FP) + bármilyen Windows alapú szoftver Rendszerfelügyeleti szolgáltatások Célcsoportok kialakítása N/A Egyszerű (kézi, GPO; 1/gép) Részletes Sávszélesség-kímélő megoldás Igen (BITS: kliens-szerver) Igen (BITS: szerver-szerver, kliens-szerver) Felügyelt telepítés Egyszerű (státuszriportok) Időzített és testreszabott telepítés Kézi; felhasználó által Egyszerű Telepítési státuszok, riportok Telepítési hibák / hiányzó javítások megjelenítése a felhasználó számára Tervezés Szoftver-, hardverleltár Nincs Van Megfelelési állapot Nincs – csak státuszriportok

Microsoft Update A Windows Update-nél többet tud Telepítéséhez valódi licenszű Windows kell Még 28.8-as modemmel rendelkezők is használják Nem elegendő: a víruskereső! (És az is frissíteni szokott, általában nem BITS-el) a tűzfal bekapcsolása NEM küldi el a nevünket a Microsoftnak, ne aggódjunk.

Microsoft Update

WSUS bevezetés Kiszolgáló előfeltételek megteremtése Adatbázis kezelő telepítése WSUS Kiszolgáló telepítése, konfigurálása Tűzfal konfigurálása Kliens telepítés megtervezése, beállítása Csoportos házirend Gépek csoportosítása, teszt kijelölése Üzemeltetés

Telepítés - kiszolgáló Előfeltételek: Windows 2000 SP4, Windows 2003 32 bit Min. 512 MB memória Kb. 20-50GB+ (SQL DB + fájlok) Microsoft .NET Framework 1.1 SP1 (W2k3 SP1-ben benne van) IIS 5+ Microsoft Background Intelligent Transfer Services (BITS) 2.0 IE6 SP1 SQL server 2000 SP3a, MSDE SP3a

Kiszolgáló konfigurálás http://server/wsusadmin

Szinkronizálás beállítása (1)

Szinkronizálás beállítása (2)

Jóváhagyások

Tűzfal konfiguráció Engedjük át a tűzfalon a szolgáltatást vagy a megnevezett felhasználót: http://windowsupdate.microsoft.com http://*.windowsupdate.microsoft.com https://*.windowsupdate.microsoft.com http://*.update.microsoft.com https://*.update.microsoft.com http://*.windowsupdate.com http://download.windowsupdate.com http://download.microsoft.com http://*.download.windowsupdate.com http://wustat.windows.com http://ntservicepack.microsoft.com

Kliens telepítés Előfeltételek: Windows XP SP2 tartalmazza a klienst Windows 2000 SP3+ Windows XP SP0+ Windows Server 2003 SP0+ Windows XP SP2 tartalmazza a klienst SUS-ról WSUS-ra frissítéskor a kliens is frissül Csoportos házirend vagy kézi telepítés lehetséges a többi gépre

Kliens telepítés (2) Klónozott gépek esetén nem fognak megjelenni a gépek a konzolon Először is legyen minden gép SID-je más: Sysprep –reseal használata a klónozás előtt (http://support.microsoft.com/?id=314828) Nem támogatott a NewSid és egyéb eszköz! Törölni kell a HKLM\Software\Microsoft\Windows\CurrentVersion\Windowsupdate alatt a következő kulcsokat: AccountDomainSID SusClientID PingID

Csoportos házirend Számítógép házirend Regisztrációs adatbázis: Felügyeleti sablonok Windows összetevők Windows Update Regisztrációs adatbázis: HKLM\Software\Policies\ Microsoft\Windows\WindowsUpdate AU Szolgáltatások Automatikus indítású legyen az „Automatikus frissítések”

6. Csoportos házirend (2)

6. Csoportos házirend (3) Ügyféloldali célcsoport meghatározás Pl: Magyar XP SP2 Automatikus frissítések átütemezése Pl.: rendszerindítás után 15 perc múlva Automatikus újraindítás tiltása Frissítések keresési gyakorisága 22 óra Újraindítás késleltetése Pl. 5 perc Újraindítás rákérdezése Pl. 45 percenként Ne csak rendszergazdák kapjanak értesítést

Kliens működés Bekapcsoláskor vagy a csoportos házirendben megadott érték után kezdi el feltérképezni a gépet Többszöri újraindítás után nem fog azonnal elindulni a detektálás, csak a megadott időintervallum letelik Kényszer: Wuauclt /detectnow Szkriptelve support.microsoft.com/?kbid=555453

Üzemeltetés - Kezdőlap http://server/wsusadmin

Frissítések állapota (1)

Frissítések állapota (2)

Frissítési feladatok (1)

Frissítési feladatok (2)

Számítógép feladatok (1)

Számítógép feladatok (2)

Egyéb frissítési faladatok

Jelentések

Szinkronizálás eredményei

Gyakori kérdések Áthelyezhető-e az SQL adatbázis? Igen: sql detach + attach Áthelyezhető-e a WSUSContent mappa? Igen: wsusutil movecontent Javítócsomagokat érdemes? Windows Office (odafigyelést igényel: MSOcache beállítása: http://support.microsoft.com/?id=903776)

Legjobb példa (1) Ne az alapértelmezett webhelyre telepítsünk Telepítsünk tanúsítványt és https-en adminisztráljunk Gépek csoportosítása csoportos házirendben adjuk meg OU-nként az admin felületen kézzel

Legjobb példa (2) Minden hónap második keddjén jönnek ki általában a frissítések Hetente ellenőrizzük a felületet Megtalálhatjuk a már nem használt gépeket vagy az új gépeket A problémás telepítésekkel foglalkozhatunk Alapvető leltározást végezhetünk eseménynaplót diszk területet Proxy jelszót internet forgalmat

Hivatkozások WSUS http://www.microsoft.com/windowsserversystem/updateservices/default.mspx (Regisztrálni szükséges) BITS 2.0 for Windows Server 2003 http://www.microsoft.com/downloads/details.aspx?FamilyID=3fd31f05-d091-49b3-8a80-bf9b83261372&DisplayLang=en SBS-re így tegyük fel: http://www.microsoft.com/downloads/details.aspx?FamilyID=28c43d57-2e15-47b2-9a6f-1514aa3ed05f&displaylang=en

WSUS © 2002 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

© 2002 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.