Aktualizace a zabezpečení systémů Windows Microsoft Windows Server Update Services 2006, Microsoft Corporation Česká republika
Aktualizace a zabezpečení systémů Windows pomocí služby Microsoft Windows Server Update Services V současném světě počítačových sítí, zejména v globálním prostředí sítě Internet, je jednou z nejdůležitějších činností běžné praxe správců počítačových sítí péče o spolehlivost provozu a zabezpečení všech provozovaných systémů (serverů i klientských stanic). Neuvažujeme-li v tuto chvíli základní zabezpečení celé sítě například pomocí tzv. firewallu, rozumíme zajištěním spolehlivého provozu a bezpečnosti serverů i stanic zejména instalaci a provoz kvalitního antivirového softwaru, pravidelnou instalaci bezpečnostních oprav a aktualizací vlastních operačních systémů. Pro zjednodušení a usnadnění instalace bezpečnostních oprav a ostatních aktualizací přináší společnost Microsoft všem správcům počítačových sítí bezplatně novou verzi služby Windows Update, která je v současnosti dostupná pod názvem Microsoft Windows Server Update Services (WSUS). Microsoft Windows Server Update Services (WSUS) je službou, která významným způsobem zvyšuje bezpečnost a spolehlivost provozu počítačové sítě se servery a klientskými stanicemi používajícími operační systémy Microsoft Windows. Zavedením služby WSUS v prostředí školní počítačové sítě získává správce úplné řešení pro správu aktualizací v rámci lokální sítě, služba správcům počítačových sítí přináší jednoduchou a přehlednou formou úplnou kontrolu stahování, testování a nasazení aktualizací a oprav operačních systému společnosti Microsoft. Tento dokument seznamuje s podrobnostmi služby WSUS, instalací, základní konfigurací, konfigurací klientských stanic a s potřebnými kroky běžné rutinní správy instalací aktualizací v lokální počítačové síti. Strana 2
Microsoft Windows Server Update Services Služba Microsoft Windows Server Update Services (WSUS) je službou, která významným způsobem zvyšuje bezpečnost a spolehlivost provozu počítačové sítě se servery a klientskými stanicemi používajícími operační systémy Microsoft Windows. Služba WSUS poskytuje úplné řešení pro správu aktualizací v rámci lokální sítě, správcům počítačových sítí přináší jednoduchou a přehlednou formou úplnou kontrolu stahování, testování a nasazení aktualizací a oprav operačních systému společnosti Microsoft (společnost Microsoft vydává aktualizace a opravy svých produktů pravidelně každé 2. úterý v měsíci, výjimečně v případě mimořádně důležitých aktualizací zabezpečení i mimořádných termínech). Tento dokument seznamuje s podrobnostmi služby WSUS, instalací, základní konfigurací, konfigurací klientských stanic a s potřebnými kroky běžné rutinní správy instalací aktualizací v lokální počítačové síti: - seznámení se službou Microsoft Windows Server Update Services (WSUS) - příprava instalace služby WSUS - instalace služby WSUS - základní konfigurace služby WSUS - konfigurace klientských počítačů pro aktualizace lokální službou WSUS - rutinní kroky při používání služby WSUS Seznámení se službou Microsoft Windows Server Update Services (WSUS) Služba Microsoft Windows Server Update Services (WSUS) výrazně zjednodušuje a sjednocuje proces instalace aktualizací na libovolném počtu serverů a klientských operačních systémů v lokální počítačové síti. Služba WSUS vytvoří v lokální síti pro všechny své klienty (servery i stanice) místní aktualizační server, který pro všechny konfigurované klienty v podstatě nahrazuje server www.windowsupdate.com společnosti Microsoft. Toto řešení (zprovoznění lokálního serveru WindowsUpdate) přináší několik základních výhod procesu aktualizace klientů: - jednoduchou možnost společné konfigurace instalace aktualizací na libovolném počtu systémů Windows - přehled o instalovaných aktualizacích na jednotlivých stanicích (serverech) - možnost výrazné úspory přenosové kapacity připojení LAN do sítě Internet (schválené aktualizace ze serveru Windows Update společnosti Microsoft jsou stahovány pouze 1x pro potřebu všech klientů služby WSUS) Na zvoleném lokálním serveru je prostřednictvím webové služby (IIS 6.0) provozován lokální server WindowsUpdate, který se dle konfigurace stará o zjišťování dostupných aktualizací (s možností výběru aktualizací pouze pro určité operační systémy a jejich jazykové varianty) a případné automatické stahování zvolených aktualizací do vybraného lokálního úložiště. Strana 3
Současně se zprovozněním nové služby Microsoft Update (vyšší verze služby Windows Update, která slučuje zdroj aktualizací nejen pro operační systémy, ale i pro další produkty společnosti Microsoft do jednoho aktualizačního centra) je i služba WSUS schopna stahovat a distribuovat na klientské stanice aktualizace dalších produktů společnosti Microsoft, např. pro Microsoft Office, Microsoft Exchange, SQL Server a další. Základní princip a výhody fungování služby WSUS v lokální počítačové síti vysvětluje obrázek: server Microsoft Update - zatížení linky + stažení aktualizací pouze 1x aktualizace klientů v lokální síti bez služby WSUS aktualizace klientů v lokální síti se službou WSUS lokální server WSUS (Windows Server 2003) klienti klienti Strana 4
Příprava instalace služby WSUS, instalace Služba WSUS může být provozována na serverových operačních systémech Windows 2000 Server SP4 (a novější), resp. Windows Server 2003. Pro úspěšnou instalaci služby WSUS jsou nutné následující předpoklady: - operační systém Windows 2000 Server SP4 (a novější) nebo Windows Server 2003 - požadované součásti pro službu WSUS v prostředí Windows Server 2003: o Webová služba (Internetová informační služba) IIS 6.0 (základní popis instalace je uveden dále v textu) o Služba Background Intelligent Transfer Service (BITS) 2.0 (služba BITS je inteligentní služba pro stahování (přenos) souborů v prostředí internetu, tato služba využívá pouze nevyužitou kapacitu přenosové linky (připojení k internetu), stahování aktualizačních souborů díky tomu nezpomaluje jinou činnost a přenos souborů. Služba zároveň podporuje pokračování přenosu souborů po přerušení stahování.) (službu lze stáhnout a nainstalovat z webu Windows Update) o Microsoft.NET Framework 1.1 Service Pack pro Windows Server 2003 (lze stáhnout a nainstalovat z webu Windows update) o Databázový software, který je plně kompatibilní se serverem SQL Server (pokud není na serveru instalován, dojde při instalaci služby WSUS k automatické instalaci databázového software Windows SQL Server 2000 Desktop Engine (WMSDE)) - požadované součásti pro službu WSUS v prostředí Windows 2000 Server: o IIS 5.0 o Služba Background Intelligent Transfer Service (BITS) 2.0 (lze stáhnout a nainstalovat z webu Windows update) o Databázový software, který je plně kompatibilní se serverem SQL Server (pokud není na serveru instalován, dojde při instalaci služby WSUS k automatické instalaci databázového software Windows SQL Server 2000 Desktop Engine (WMSDE)) o Microsoft Internet Explorer 6.0 SP1 (lze stáhnout a nainstalovat z webu Windows update) o.net Framework 1.1 Redistributable Package (US) (lze stáhnout a nainstalovat z webu Windows update) o.net Framework 1.1 SP1 (lze stáhnout a nainstalovat z webu Windows update) Pro úspěšnou instalaci je potřeba mít k dispozici minimálně 2GB volného místa na systémovém svazku a minimálně 3GB volného místa na svazku s úložištěm systémové databáze služby WSUS a pro lokální úložiště aktualizací (požadovaná velikost volného místa závisí na konfigurace služby WSUS, v případě lokálního ukládání aktualizací pro více OS a více jazykových verzí vzrůstají požadavky na volné místo na svazku s úložištěm až na 30GB). Strana 5
Oddíl pro instalaci systémové databáze služby WSUS a pro lokální úložiště aktualizací musí být formátován souborovým systémem NTFS. Doporučujeme použít diskový oddíl s volným místem o velikosti minimálně 20GB (NE systémový oddíl), formátovaný souborovým systémem NTFS. Instalace webové služby (IIS 6.0) na serveru Windows Server 2003 Pokud není na serveru určeném pro službu WSUS instalována a provozovaná webová služba IIS, je potřeba ji nainstalovat pomocí volby z Nabídky Start: o Start -> Nastavení -> Ovládací panely -> Přidat nebo odebrat programy V zobrazeném dialogovém okně zvolíme v levé části ikonu Přidat nebo odebrat součásti systému. V následujícím dialogovém okně zvolíme Aplikační server a stiskneme tlačítko Podrobnosti : V dalším dialogu je nutno zvolit k instalaci položku Služba IIS (Internet Information Services) a potvrdit tlačítkem OK. Strana 6
Po výběru požadovaných součástí systému dojde k jejich instalaci: Podrobnější popis instalace webové služby IIS naleznete například v Nápovědě a odborné pomoci v systému Windows Server 2003 Po dokončení instalace webové služby IIS lze přistoupit k vlastní instalaci služby WSUS. Strana 7
Instalace služby Microsoft Windows Server Update Services (WSUS) Instalační balíček služby WSUS je společností Microsoft distribuován formou spustitelného souboru WSUSSetup.exe (instalační soubor obsahuje více jazykových verzí služby WSUS vč. české jazykové verze). Instalační balíček je k dispozici ke stažení na webových stránkách společnosti Microsoft. (Při problémech s nalezením stránky s instalačním balíčkem služby WSUS zadejte do vyhledávání fráze jako wsussetup.exe, wsus download, wsussetup download apod.) Instalační balíček je distribuován ve formě jediného spustitelného souboru WSUSSetup.exe o velikosti cca 130MB(!). Vlastní instalace je provedena pomocí průvodce, který správce provede základními volbami instalace služby: Prvním krokem instalace je vyjádření souhlasu s licenčním ujednáním společnosti Microsoft: Strana 8
Po přečtení a odsouhlasení licenčního ujednání požaduje instalační průvodce určení složky pro lokální ukládání stažených aktualizací. V nastavení služby WSUS lze nyní při instalaci i následně v administrátorském rozhraní služby zrušit automatické stahování aktualizací a tuto službu používat pouze jako zdroj informací o aktualizacích pro klientské počítače a centrální místo pro rozhodování o nasazení potřebných aktualizací (proces schvalování aktualizací viz další text). Pokud neukládáte aktualizace místně, připojují se klientské počítače k serveru Microsoft Update, kde získávají schválené aktualizace. Tímto postupem však služba WSUS nevyužije jednu ze základních výhod, kterou je úspora kapacity připojení k Internetu vytvořením lokálních kopií potřebných aktualizací. Z tohoto důvodu v prostředí školních sítí (mnoho počítačů a relativně pomalé připojení školní sítě k internetu) doporučujeme ponechat zatrženu volbu Ukládat aktualizace místně. V dalším kroku instalačního průvodce je zobrazen požadavek na databázový software kompatibilní se serverem Microsoft SQL Server. Pokud není požadovaný software na serveru instalován, je při instalaci nabídnuta možnost instalace databázového software Windows SQL Server Desktop Engine (WMSDE). Strana 9
Zároveň lze v tomto kroku určit místo uložení databáze služby WSUS. Další krok instalačního průvodce nabízí volbu pro vytvoření webového serveru IIS pro správu aktualizací a distribuci aktualizací klientským počítačům. V případě, že na serveru, na který je instalována služba WSUS není provozován jiný webový server, lze ponechat první doporučenou variantu. Strana 10
Pokud již je na serveru webový server provozován, lze zvolit druhou variantu, průvodce vytvoří nový webový server služby WSUS, který bude po instalaci dostupný na portu 8530. Další informace o spuštění služby WSUS na jiném portu jsou obsaženy v dokumentu Deploying Microsoft Windows Server Update Services (Nasazení služby Microsoft Windows Server Update Services) na stránkách společnosti Microsoft. Závěrečný krok průvodce je shrnutím voleb pro instalaci a výchozích parametrů služby WSUS po instalaci. Z těchto parametrů je podstatná zejména adresa lokálního webového serveru pro správu služby WSUS ve tvaru: http://<název_serveru>/wsusadmin. Po stisknutí tlačítka další dojde k vlastní instalaci služby WSUS. Strana 11
První spuštění administračního rozhraní, konfigurace Po dokončení instalace lze prvně spustit administrační rozhraní (pro kompletní správu služby WSUS je k dispozici lokální webový server zprovozněný na adrese http://<název_serveru>/wsusadmin). Po prvním spuštění se zobrazí domovská stránka administračního rozhraní, ze které je patrný výchozí stav služby WSUS: - neprovedená synchronizace (zjišťování aktualizací na serveru společnosti Microsoft) - žádné stažené aktualizace - žádné počítače lokální školní sítě službu WSUS zatím nevyužívají Je zřejmé, že pro správnou funkci služby WSUS je nutné provést několik základních kroků konfigurace. Strana 12
Nastavení základní konfigurace služby WSUS se provádí na stránce Možnosti a zahrnuje zejména nastavení: - možností synchronizace - možností automatického schvalování aktualizací Nejdůležitější je kontrola a správné nastavení Možností synchronizace (zjišťování nových aktualizací na serveru WindowsUpdate společnosti Microsoft). Strana 13
Zde je nutné vhodně nastavit zejména: - plán synchronizace Nejvhodnějším nastavením je samozřejmě pravidelná automatická synchronizace denně v nastavenou hodinu, vhodným časem jsou zejména noční hodiny, kdy případné stahování nových aktualizací nesníží přenosovou kapacitu připojení školní sítě k internetu (nastavte např. 03:00). Strana 14
Upozornění: Výchozí nastavení je Synchronizovat ručně, tzn. že služba WSUS automaticky nezjišťuje nové aktualizace! - produkty a klasifikace V této části stránky lze změnit, pro které Produkty se mají zjišťovat aktualizace, na výběr jsou operační systémy a produkty, ke kterým jsou vydávány aktualizace. V tomto dialogu je potřeba vybrat všechny používané systémy a produkty, je však samozřejmě zbytečné zvolit vše: - Dále je ještě vhodné zkontrolovat a případně změnit Klasifikaci (typ) aktualizací, které se mají zjišťovat na serveru WindowsUpdate: Strana 15
- server proxy Připojení serveru se službou WSUS k internetu (pokud je používán nějaký další proxy server) - zdroj aktualizace (pro jediný server služby WSUS ve školní síti (běžná konfigurace) ponechte výchozí nastavení Synchronizace ze serveru Microsoft Update ) - a zejména jazyky a soubory aktualizací (!) Tímto nastavením lze ovlivnit způsob zjišťování a (ne)stahování aktualizací a zvolit jazykové verze aktualizací, které budou zjišťovány a stahovány. - Pro snížení zátěže připojení k internetu je rozhodně vhodné zvolit: o ukládat soubory aktualizací místně v tomto serveru o a zejména vybrat (pouze) potřebné jazykové varianty aktualizací (!) Na stránce Možnosti automatického schvalování aktualizací sekce Možnosti je vhodné nastavit požadované chování služby WSUS vůči klientským počítačům po zjištění a stažení nových aktualizací. Služba WSUS je z důvodu možnosti otestování aktualizací a důsledků jejich instalace v podstatě dvoustupňová. Každá nově vydaná aktualizace je službou WSUS nejprve zjištěna a při zvolené konfiguraci místního ukládání aktualizací je i stažena a uložena na lokální disk serveru WSUS. K uvolnění aktualizace pro klientské počítače (a případné instalaci) však dochází až po schválení. Strana 16
Proces schvalování aktualizací dává správcům počítačových sítí (zejména v prostředí kritických systémů (důležité kritické servery a stanice) banky, databázové servery apod.) možnost otestovat chování aktualizací na klientských počítačích a serverech dříve, než dojde k jejich hromadné instalaci na desítkách počítačů. V méně kritickém prostředí školních počítačových sítí lze určitě doporučit využití funkce Automatického schvalování aktualizací, kde lze pro zvolené skupiny počítačů (například běžné počítače v učebnách a kabinetech pedagogů) aktivovat automatické schválení zejména Aktualizací zabezpečení a Důležité aktualizace: Volba Klasifikace aktualizací a Skupin počítačů k detekci, respektive instalaci aktualizací se provádí v přehledných dialogových oknech: Strana 17
Strana 18
Konfigurace klientů služby WSUS Nejvhodnější způsob konfigurace automatických aktualizací závisí na konkrétním síťovém prostředí. V prostředí služby Active Directory (školní síť s řadičem domény Windows 2000 Server, popř. Windows Server 2003) je možné (a nejvhodnější) použít objekt zásad skupiny (GPO) založený na službě Active Directory. (V prostředí jiném než Active Directory - bez serveru (řadiče domény) je nutné konfigurovat objekt zásad místní skupiny. Editor zásad místní skupiny lze spustit např. pomocí příkazu Start -> Spustit -> gpedit.msc). V obou případech je potřeba směrovat klientské počítače na server WSUS a potom konfigurovat automatické aktualizace. Konfigurace se v objektu GPO i v Zásadách místní skupiny provádí v sekci Konfigurace počítače -> Šablony pro správu -> Součásti systému Windows -> Windows Update. Zde je potřeba nastavit minimálně vlastnosti: - Umístění místního intranetového serveru (nastavit adresu vytvořeného serveru WSUS) Strana 19
- Konfigurace automatických aktualizací (např. automaticky stahovat a plánovat instalaci ) Zároveň je vhodné zkontrolovat, případně nastavit další vlastnosti pro chování klientů, např. chování s ohledem na přihlášeného uživatele, chování v případě vypnutého počítače v čase automatické aktualizace, chování v případě nutnosti restartu PC a další). Strana 20
Běžná správa služby WSUS Pro kompletní správu služby WSUS je k dispozici lokální webový server, zprovozněný (při výchozí volbě při instalaci) na adrese http://<název_serveru>/wsusadmin. Tento webový server poskytuje několik základních funkcí služby WSUS: Domovská stránky služby WSUS Domovská stránka obsahuje základní statistické údaje o provozované službě WSUS: Na domovské stránce služby WSUS pravidelně sledujeme zejména základní statistické informace: - stav aktualizací Podstatnou informací je údaj o neschválených, popř. odmítnutých aktualizacích a zejména Aktualizace s chybami počítačů počet aktualizací, které se na některých počítačích nepodařilo nainstalovat. Takové aktualizace je potřeba dohledat, vyhodnotit závažnost aktualizace a případně zkontrolovat konkrétní počítač a důvod neúspěšné instalace. Strana 21
- stav počítačů Podstatnou informací je údaj o Počítačích celkem (počítače, které se přihlásily službě WSUS a využívají ji k získávání aktualizací), Počítačích s chybami aktualizace (počítače, kde se alespoň 1 aktualizace nepodařila nainstalovat) a údaj o Počítačích vyžadujících aktualizace (počítače, které z nějakého důvodu nemají nainstalovány všechna aktualizace) - stav synchronizace informace o poslední synchronizaci Stránka Aktualizace Stránka Aktualizace obsahuje kompletní výpis a podrobný popis všech dostupných aktualizací: Strana 22
Pro každou aktualizaci ze seznamu je možné zobrazit detailní údaje: - popis aktualizace - a stav aktualizace statistika instalace na klientských počítačích Stránka Sestavy Stránka Sestavy slouží pro zobrazení a tisk libovolných přehledů o dostupných aktualizacích, statistiku jejich instalací na klientských počítačích apod. Strana 23
- Sestavy - > Stav aktualizací V levé části stránky lze přehled filtrovat např. pro Nainstalované aktualizace, Neúspěšně nainstalované aktualizace apod. Pro libovolnou aktualizaci ze seznamu lze kliknutím na název opět zobrazit její Podrobnosti, Stav instalací, Strana 24
Strana 25
- Sestavy - > Stav počítačů V levé části stránky lze přehled filtrovat např. pro Nainstalované aktualizace, Neúspěšně nainstalované aktualizace apod. Pro libovolný počítač ze seznamu lze kliknutím na název zobrazit Podrobnosti, Stav instalací, Strana 26
Stránka Počítače Stránka Počítače je určena k zobrazení přehledu klientských počítačů využívajících službu WSUS a jejich členění do skupin. Pokud jsou skupiny počítačů používány, lze následně proces schvalování a instalace aktualizací na klientské počítače přizpůsobit různým skupinám počítačů. Stránka Možnosti Stránka Možnosti je určena k nastavení základních vlastností služby WSUS: (podrobný popis viz První spuštění administračního rozhraní, základní konfigurace) Strana 27
Shrnutí Nasazení služby WSUS v prostředí školní počítačové sítě osobně považuji za obrovský přínos ke zvýšení bezpečnosti a spolehlivosti provozu sítě a jednotlivých klientských stanic. Správce školní sítě zároveň získává úplný přehled o stavu jednotlivých klientských PC a úspěšnosti instalace každé aktualizace. Vlastní instalaci služby WSUS a její základní konfiguraci lze s běžnými zkušenostmi správce školní sítě úspěšně realizovat v průběhu několika hodin (2-3 hodiny). Po stažení aktualizací ( přes víkend ) a snadné společné konfiguraci klientů pro příjem aktualizací (pomocí GPO) již pak pouze stačí (s vědomím spousty ušetřené práce) sledovat úspěšnost aktualizací a občas řešit drobné problémy na jednotlivých stanicích. Ve školní síti, v jejímž prostředí vzniká tento dokument, je pro použití služby WSUS z lokálního serveru konfigurováno více než 80 PC, služba funguje bez sebemenších problémů. Praha, duben 2006 ing. František Hůlka administrátor školní LAN Strana 28