Aktualizace a zabezpečení systémů Windows pomocí služby Microsoft Windows Server Update Services 3.0

Aktualizace a zabezpečení systémů Windows pomocí služby Microsoft Windows Server Update Services 3.0 Autoři: František Hůlka, duben 2006 (popis služby WSUS 2.0) Jan Krontorád, červen 2008, (úprava textu - popis služby WSUS 3.0) 2008, Microsoft Corporation Česká republika

Aktualizace a zabezpečení systémů Windows pomocí služby Microsoft Windows Server Update Services V současném světě počítačových sítí, zejména v globálním prostředí sítě Internet, je jednou z nejdůležitějších činností běžné praxe správců počítačových sítí péče o spolehlivost provozu a zabezpečení všech provozovaných systémů (serverů i klientských stanic). Neuvažujeme-li v tuto chvíli základní zabezpečení celé sítě například pomocí tzv. firewallu, rozumíme zajištěním spolehlivého provozu a bezpečnosti serverů i stanic zejména instalaci a provoz kvalitního antivirového softwaru, pravidelnou instalaci bezpečnostních oprav a aktualizací vlastních operačních systémů. Pro zjednodušení a usnadnění instalace bezpečnostních oprav a ostatních aktualizací přináší společnost Microsoft všem správcům počítačových sítí bezplatně novou verzi služby Windows Update, která je v současnosti dostupná pod názvem Microsoft Windows Server Update Services (WSUS). Microsoft Windows Server Update Services (WSUS) je službou, která významným způsobem zvyšuje bezpečnost a spolehlivost provozu počítačové sítě se servery a klientskými stanicemi používajícími operační systémy Microsoft Windows. Zavedením služby WSUS v prostředí školní počítačové sítě získává správce úplné řešení pro správu aktualizací v rámci lokální sítě, služba správcům počítačových sítí přináší jednoduchou a přehlednou formou úplnou kontrolu stahování, testování a nasazení aktualizací a oprav operačních systému společnosti Microsoft. Tento dokument seznamuje s podrobnostmi služby WSUS, instalací, základní konfigurací, konfigurací klientských stanic a s potřebnými kroky běžné rutinní správy instalací aktualizací v lokální počítačové síti. Strana 2 Windows Server Update Services (WSUS) 3.0

Obsah: Microsoft Windows Server Update Services... 4 Seznámení se službou Microsoft Windows Server Update Services (WSUS)... 5 Příprava instalace služby WSUS, instalace... 6 Instalace webové služby (IIS 6.0) na serveru Windows Server 2003... 7 Instalace služby Microsoft Windows Server Update Services (WSUS)... 9 Průvodce počátečního nastavení WSUS 3.0...14 Konzola pro správu, konfigurace...19 Konfigurace služby...22 Konfigurace klientů...27 Běžná správa služby WSUS...30 Výchozí pohled do konzole...30 Panel Aktualizace...31 Panel Počítače...33 Panel Synchronizace...34 Panel Sestavy...34 Shrnutí...37 Strana 3 Windows Server Update Services (WSUS) 3.0

Microsoft Windows Server Update Services Služba Microsoft Windows Server Update Services (WSUS, aktuálně verze 3.0 SP1) je službou, která významným způsobem zvyšuje bezpečnost a spolehlivost provozu počítačové sítě se servery a klientskými stanicemi používajícími operační systémy a ostatní produkty Microsoft. Služba WSUS poskytuje úplné řešení pro správu aktualizací v rámci lokální sítě, správcům počítačových sítí přináší jednoduchou a přehlednou formou úplnou kontrolu stahování, testování a nasazení aktualizací a oprav operačních systému společnosti Microsoft (společnost Microsoft vydává aktualizace a opravy svých produktů pravidelně každé 2. úterý v měsíci, výjimečně v případě mimořádně důležitých aktualizací zabezpečení i v mimořádných termínech). Tento dokument seznamuje s podrobnostmi služby WSUS, instalací, základní konfigurací, konfigurací klientských stanic a s potřebnými kroky běžné rutinní správy instalací aktualizací v lokální počítačové síti: - seznámení se službou Microsoft Windows Server Update Services (WSUS) - příprava instalace služby WSUS - instalace služby WSUS - základní konfigurace služby WSUS - konfigurace klientských počítačů pro aktualizace lokální službou WSUS - rutinní kroky při používání služby WSUS Strana 4 Windows Server Update Services (WSUS) 3.0

Seznámení se službou Microsoft Windows Server Update Services (WSUS) Služba Microsoft Windows Server Update Services (WSUS) výrazně zjednodušuje a sjednocuje proces instalace aktualizací na libovolném počtu serverů a klientských operačních systémů v lokální počítačové síti. Služba WSUS vytvoří v lokální síti pro všechny své klienty (servery i stanice) místní aktualizační server, který pro všechny konfigurované klienty v podstatě nahrazuje server www.windowsupdate.com společnosti Microsoft. Toto řešení přináší několik základních výhod procesu aktualizace klientů: jednoduchou možnost společné konfigurace instalace aktualizací na libovolném počtu systémů Windows přehled o instalovaných aktualizacích na jednotlivých stanicích (serverech) možnost výrazné úspory přenosové kapacity připojení LAN do sítě Internet (schválené aktualizace ze serveru Windows Update společnosti Microsoft jsou stahovány pouze 1x pro potřebu všech klientů služby WSUS) Na zvoleném lokálním serveru je prostřednictvím webové služby (IIS 6.0) provozován lokální server WindowsUpdate, který se dle konfigurace stará o zjišťování dostupných aktualizací (s možností výběru aktualizací pouze pro určité operační systémy a jejich jazykové varianty) a případné automatické stahování zvolených aktualizací do vybraného lokálního úložiště. Současná služba Microsoft Update společnosti Microsoft (vyšší verze služby Windows Update, která slučuje zdroj aktualizací nejen pro operační systémy, ale i pro další produkty do jednoho aktualizačního centra) je i služba WSUS schopna stahovat a distribuovat na klientské stanice aktualizace dalších produktů - např. pro Microsoft Office, Windows Defender, Microsoft Exchange, SQL Server a další. Základní princip a výhody fungování služby WSUS v lokální počítačové síti vysvětluje obrázek: server Microsoft Update - zatížení linky + stažení aktualizací pouze 1x aktualizace klientů v lokální síti bez služby WSUS aktualizace klientů v lokální síti se službou WSUS lokální server WSUS (Windows Server 2003) klienti klienti Strana 5 Windows Server Update Services (WSUS) 3.0

Příprava instalace služby WSUS, instalace Služba WSUS 3.0 může být provozována na serverových operačních systémech Windows Server 2003 a novějších. Služba WSUS 3.0 lze nainstalovat na následující operační systémy, které musejí splňovat uvedené požadavky: - operační systém Windows Server 2003 SP1 o Webová služba (Internetová informační služba) IIS 6.0 součást operačního systému (základní popis instalace je uveden dále v textu) o Služba Background Intelligent Transfer Service (BITS) 2.0 služba BITS je inteligentní služba pro stahování (přenos) souborů v prostředí internetu, tato služba využívá pouze nevyužitou kapacitu přenosové linky (připojení k internetu), stahování aktualizačních souborů díky tomu nezpomaluje jinou činnost a přenos souborů. Služba zároveň podporuje pokračování přenosu souborů po přerušení stahování. (službu lze stáhnout a nainstalovat z webu Windows Update http://go.microsoft.com/fwlink/?linkid=47251) o Microsoft.NET Framework 2.0 (lze stáhnout a nainstalovat z webu Windows update http://go.microsoft.com/fwlink/?linkid=68935) o Microsoft Report Viewer Redistributable 2005 slouží k práci se zprávami (sestavami), generovanými službou WSUS. (lze stáhnout a nainstalovat z webu Windows Update http://go.microsoft.com/fwlink/?linkid=70410) o Microsoft Management Console 3.0 služba WSUS je spravovaná z doplňku (plug-in) MMC konzole 3.0. (je součástí balíku Service Pack 2 pro Windows Server 2003. Samostatně lze stáhnout a nainstalovat z webu Windows Update http://go.microsoft.com/fwlink/?linkid=70412) - operační systém Windows Server 2008 o webová služba IIS 7.0 s povolenými komponentami: Windows autentizace ASP.NET 6.0 Management Compatibility IIS Metabase Compatibility o Microsoft Report Viewer Redistributable 2005 (http://go.microsoft.com/fwlink/?linkid=70410) Pro úspěšnou instalaci je potřeba mít systémový diskový oddíl, a oddíl, kam se instaluje služba WSUS, formátovaný souborovým systémem NTFS: Na systémovém oddíle je doporučeno minimálně 1GB volného prostoru a minimálně 20GB volného prostoru je doporučeno na diskovém oddíle, kde je umístěno úložiště služby WSUS. Strana 6 Windows Server Update Services (WSUS) 3.0

2GB volného diskového prostoru jsou doporučeny pro oddíl, kam instalátor WSUS umístí doplňkovou službu Windows Internal Database. Jako datové úložiště doporučujeme použít diskový oddíl s volným místem o velikosti minimálně 30GB (NE systémový oddíl), formátovaný souborovým systémem NTFS. Pro použití služby WSUS 3.0 v síti do 500 počítačů je doporučeno nainstalovat tuto službu na server s procesorem alespoň 1GHz a s operační pamětí alespoň 1GB. Instalace webové služby (IIS 6.0) na serveru Windows Server 2003 Pokud není na serveru určeném pro službu WSUS 3.0 instalována a provozovaná webová služba IIS, je potřeba ji nainstalovat pomocí volby z Nabídky Start: Start -> Nastavení -> Ovládací panely -> Přidat nebo odebrat programy V zobrazeném dialogovém okně zvolíme v levé části ikonu Přidat nebo odebrat součásti systému. V následujícím dialogovém okně zvolíme Aplikační server a stiskneme tlačítko Podrobnosti: V dalším dialogu je nutno zvolit k instalaci položku Služba IIS (Internet Information Services) a potvrdit tlačítkem OK. Strana 7 Windows Server Update Services (WSUS) 3.0

Po výběru požadovaných součástí systému dojde k jejich instalaci: Je pravděpodobné, že budete požádáni o vložení instalačního média operačního systému (Windows Server 2003), odkud bude třeba zkopírovat soubory instalované služby IIS. Strana 8 Windows Server Update Services (WSUS) 3.0

Podrobnější popis instalace webové služby IIS naleznete například v Nápovědě a odborné pomoci v systému Windows Server 2003 Po dokončení instalace webové služby IIS lze přistoupit k vlastní instalaci služby WSUS. Instalace služby Microsoft Windows Server Update Services (WSUS) Instalační balíček služby WSUS je společností Microsoft distribuován formou spustitelného souboru WSUSSetup_30SP1_x86.exe. Instalační balíček služby WSUS 3.0 je možné stáhnout z webového serveru Microsoft - http://technet.microsoft.com/cscz/wsus. Tamtéž je i instalační balíček pro 64-bitové operační systémy. Instalační balíček je distribuován ve formě jediného spustitelného souboru WSUSSetup_30SP1_x86.exe o velikosti cca 80MB. Vlastní instalace je provedena pomocí průvodce, který Vás provede základními volbami instalace služby: Na následující stránce průvodce můžete zvolit, zda instalovat službu WSUS 3.0, nebo pouze konzolu pro správu služby WSUS. Konzolu správy služby WSUS můžete nainstalovat na svojí pracovní stanici a spravovat tak službu vzdáleně. Strana 9 Windows Server Update Services (WSUS) 3.0

Vyberte možnost Úplná instalace na serveru včetně konzoly pro správu a pokračujte dalším krokem instalace. Tím je licenční smlouva k použití produktu WSUS 3.0. Pokud s licenční smlouvou souhlasíte, potvrďte ji a pokračujte dalším krokem instalace. Strana 10 Windows Server Update Services (WSUS) 3.0

V nastavení služby WSUS lze nyní (případně později v administrátorské konzole) ovlivnit zásadní chování služby WSUS 3.0. Ve výchozím nastavení stahuje služba z webu Microsoft Update balíčky s aktualizacemi a ukládá je na místní disk. Odtud jsou dále distribuovány klientům v interní síti. Pokud nemáte možnost (nebo nechcete ukládat aktualizační balíčky místně), slouží služba WSUS jen jako správce aktualizací klientů a pouze rozhoduje, které aktualizace si který klient může stáhnout a nainstalovat. Pokud neukládáte aktualizace místně, připojují se klientské počítače k serveru Microsoft Update, kde získávají aktualizace, které jim správce WSUS služby umožnil nainstalovat. Tímto postupem však služba WSUS nevyužije jednu ze základních výhod, kterou je úspora kapacity připojení k Internetu vytvořením lokálních kopií potřebných aktualizací. Z tohoto důvodu v prostředí školních sítí (mnoho počítačů a relativně pomalé připojení školní sítě k internetu) doporučujeme ponechat zatrženu volbu Ukládat aktualizace místně. V dalším kroku instalačního průvodce je zobrazen požadavek na databázový software kompatibilní se serverem Microsoft SQL Server. Pokud není požadovaný software na serveru instalován, je při instalaci nabídnuta možnost instalace Interní Databáze Windows Microsoft SQL Server 2005 Embedded Edition (SSEE). Při použiti interního databázového serveru zvolte umístění souborů databáze pro službu WSUS. Strana 11 Windows Server Update Services (WSUS) 3.0

Další krok instalačního průvodce nabízí volbu pro vytvoření webového serveru IIS pro správu aktualizací a distribuci aktualizací klientským počítačům. Strana 12 Windows Server Update Services (WSUS) 3.0

V případě, že na serveru, na který je instalována služba WSUS není provozován jiný webový server, lze ponechat první doporučenou variantu. Pokud již je na serveru webový server provozován, lze zvolit druhou variantu, průvodce vytvoří nový webový server služby WSUS, který bude po instalaci dostupný na jiném portu (8530). Další informace o spuštění služby WSUS na jiném portu jsou obsaženy v dokumentu Deploying Microsoft Windows Server Update Services (Nasazení služby Microsoft Windows Server Update Services) na stránkách společnosti Microsoft. Závěrečný krok průvodce je shrnutím voleb pro instalaci a výchozích parametrů služby WSUS po instalaci. Po stisknutí tlačítka další dojde k vlastní instalaci služby WSUS. Jakmile je instalace úspěšně dokončena, spustí se průvodce, který Vám pomůže s počátečním nastavením služby WSUS 3.0. Strana 13 Windows Server Update Services (WSUS) 3.0

Průvodce počátečního nastavení WSUS 3.0 První co můžete nastavit je zapojení do programu zlepšování softwaru. Služba WSUS pak může odesílat informace o způsobu jejího používání a o chybách, které pomohou při vývoji další generace služby. Na další stránce průvodce nastavíte, odkud bude služba WSUS získávat informace o aktualizacích a stahovat opravné balíčky. Ve většině případů ponechte možnost Synchronizace z webu Microsoft Update. Pokud máte k dispozici nadřízený server WSUS, můžete jej použít zadáním názvu serveru a čísla portu, ne kterém nadřízená služba WSUS pracuje. Strana 14 Windows Server Update Services (WSUS) 3.0

V další části průvodce nastavte, jak se bude lokální služba WSUS připojovat k serveru Microsoft Update. Jestliže pro přístup k internetu používáte proxy server (např. MS ISA server), zadejte název proxy serveru a číslo portu, na kterém proxy služba pracuje. Pokud Váš proxy server vyžaduje autentizaci přístupu, můžete ještě nastavit přihlašovací údaje pro připojení k proxy serveru. Většinou postačuje nechat toto nastavení prázdné, nebo zadat adresu serveru se službou MS ISA server (např. ISA1.domena.local, port 8080). Podrobnější informaci byste získali od Vašeho správce ISA (proxy) serveru. Následuje část průvodce, která se pokusí spojit se službou Microsoft Update a získat informace o produktech (a jazykových variantách), jejichž aktualizační balíčky jsou dostupné pomocí WSUS služby. Strana 15 Windows Server Update Services (WSUS) 3.0

Pokud předchozí krok skončí úspěšně, zobrazí se Vám aktuální seznamy jazyků, produktů a typů balíčků, které lze z Microsoft Update stahovat a ukládat na server se službou WSUS. Pokud stažení informací selhalo (např. nemáte momentálně k dispozici připojení k internetu), nemusí být zmíněné seznamy aktuální (kompletní). Tento krok lze provést ručně i později, případně se toto děje i automaticky v pravidelných intervalech. Vyberte jazykové verze, které používáte, dále vyberte produkty, pro které chcete distribuovat aktualizace a zvolte typy balíčků, které chcete stahovat. Neuváženým stahováním zbytečných aktualizací pro velké množství produktů a velké množství jazykových verzí může vést k značné zátěži diskového prostoru serveru. Strana 16 Windows Server Update Services (WSUS) 3.0

Strana 17 Windows Server Update Services (WSUS) 3.0

Následuje nastavení synchronizace služby WSUS. Synchronizace spočívá v kontaktování serveru Microsoft Update a zjištění informací o nově dostupných aktualizacích pro Vámi zvolené produkty. Synchronizovat lze ručně, nebo automaticky jednou nebo i vícekrát denně. Doporučujeme nastavit automatickou synchronizaci. Na předposlední stránce průvodce máte možnost spustit konzolu pro správu WSUS služby a zahájit počáteční synchronizaci serveru. V závislosti na počtu zvolených produktů, jazyků a typů balíčků může synchronizace trvat delší dobu. Strana 18 Windows Server Update Services (WSUS) 3.0

Dokončete průvodce nastavením služby WSUS 3.0. Na poslední stránce můžete vidět odkazy do nápovědy na další typické kroky při konfiguraci služby. Konzola pro správu, konfigurace Po dokončení instalace a průvodce s nastavením se na základě Vašeho přání může spustit konzole pro správu WSUS 3.0 služby a počáteční synchronizace se servery Microsoft Update. Konzolu též můžete spustit z Nástrojů pro správu nabídky Start nebo Ovládacích panelů. Pokud používáte vlastní MMC konzolu s často spravovanými možnostmi, můžete si přidat do MMC konzole doplněk (snap-in) Update Services. Oproti předchozí verzi služby (WSUS 2.0), která byla spravována z webového rozhraní pomocí prohlížeče internetu, je služba WSUS 3.0 spravována ze standardního prostředí MMC konzole. Strana 19 Windows Server Update Services (WSUS) 3.0

Konzola pro správu WSUS 3.0 (jakkoliv spuštěná), se pokusí automaticky připojit ke službě WSUS lokálního počítače. Pokud konzolu spustíte z pravotní stanice, máte možnost ji připojit k zvolenému serveru samozřejmě za předpokladu, že máte oprávnění tuto službu spravovat. Strana 20 Windows Server Update Services (WSUS) 3.0

Strana 21 Windows Server Update Services (WSUS) 3.0

Konfigurace služby Nastavení základní konfigurace služby WSUS se provádí z panelu Možnosti. Tady máte možnost nastavit chování služby WSUS nebo spustit znovu průvodce počátečním nastavením. Zdroj aktualizací a proxy server Tato část konfigurace umožňuje nastavit, odkud se bude služba WSUS synchronizovat a stahovat aktualizace. Výchozí možností je server Microsoft Update. Alternativou je použít vlastní (nadřízený) WSUS server. Dále zde můžete nastavit, jestli bude služba WSUS používat proxy server. Příkladem může být interní síť, která používá MS ISA server jako router/firewall/proxy server. Pak nastavte adresu proxy serveru a číslo portu podle instrukcí správce ISA serveru. Produkty a klasifikace a Jazyky a soubory aktualizací Tuto část nastavení již také máte zkonfigurovánu pomocí počátečního průvodce. V případě jakéhokoliv požadavku na změnu produktů, jazyků nebo typů aktualizací, které chcete nabízet pomocí služby WSUS, můžete zde provést příslušné úpravy. Strana 22 Windows Server Update Services (WSUS) 3.0

Nové produkty, které je možno nabízet službou WSUS, se zjišťují v rámci synchronizace serveru a jste na ně upozorněni např. na hlavní stránce konzole pro správu v seznamu úkolů. Máte zde k dispozici širokou nabídku operačních systému Microsoft (pro pracovní stanice i servery), aktualizace pro kancelářské aplikace, pro Windows Defender, serverové služby (např. Exchange, SQL, ISA) a mnoho dalšího. Na dalším obrázku můžete vidět upozornění na nový produkt, jehož aktualizace můžete pomocí WSUS služby řídit. Výběr produktů, jazykových verzí a typů balíčků je obdobný, jako v průvodci počáteční konfiguraci (viz. Předchozí kapitoly). V okně Jazyky a soubory aktualizací můžete také nastavit, jak bude služba WSUS stahovat aktualizace. Doporučenou možností je ukládat aktualizační balíčky lokálně na serveru (ušetření kapacity internetové linky) a tyto balíčky stahovat poté, co je administrátor WSUS služby schválí k instalaci na nějakou skupinu počítačů. Strana 23 Windows Server Update Services (WSUS) 3.0

Plán synchronizace Synchronizace zjišťování nově dostupných balíčků může probíhat ručně, nebo automaticky. Ruční synchronizaci lze spustit z panelu Synchronizace WSUS konzole. Automatická synchronizace probíhá každý den a můžete nastavit čas synchronizace a kolikrát denně má být synchronizace provedena. Doporučuje se naplánovat automatickou synchronizaci a zvolte čas, kdy není server/síť příliš vytížena (mimo pracovní dobu nebo vyučování). Upozornění: Výchozí nastavení je Synchronizovat ručně, tzn. že služba WSUS automaticky nezjišťuje nové aktualizace! Automatické schvalování Balíček s aktualizací není nabídnut klientům k instalaci (a ve výchozím nastavení ani stáhnut do lokálního úložiště), pokud není schválen administrátorem WSUS serveru. Schvalování aktualizací má význam, když potřebujeme zajistit bezproblémovou funkčnost počítačů. Může např. dojít ke konfliktu, kdy instalace aktualizace může způsobit neočekávané chování některých aplikací a značně omezit produktivitu práce. Proto je možné nové aktualizace nejdříve schválit k instalaci na několik testovacích stanic a po ověření, že aktualizace nezpůsobuje konflikty s jinými aplikacemi (účetní, výukový software) je schválit k instalaci pro ostatní počítače. Po instalaci existuje Výchozí pravidlo automatického schvalování, které však není aktivováno. Toto pravidlo je nastaveno tak, že automaticky schválí nainstalovat aktualizace zabezpečení a důležité aktualizace na všechny počítače. Tlačítkem Nové pravidlo lze například vytvořit pravidlo, které automaticky schválí instalaci všech typů aktualizací pro produkt Windows XP na počítače v učebnách. Toto pravidlo pracuje pro nově zjištěné aktualizace (po další synchronizaci). Tlačítkem Spustit pravidlo můžete ovlivnit (schválit) i dříve oznámené aktualizace. Strana 24 Windows Server Update Services (WSUS) 3.0

Na záložce Upřesnit okna Automatické schvalování lze nastavit další položky. Výchozí možnosti jsou vidět na dalším obrázku. Dochází k automatickému schvalování aktualizací pro samotný produkt (službu) WSUS a jsou automaticky schvalovány novější verze již schválených balíčků. Počítače Okno Počítače z nastavení WSUS umožňuje specifikovat, jak bude služba WSUS pracovat s nově připojenými klienty. Nově zaregistrované počítače ve službě WSUS jsou ve výchozím stavu zařazeny do skupiny počítačů Nezažazené počítače. Pokud používáte službu Active Directory a zásady skupin ke konfiguraci počítačů, můžete pomocí skupinové politiky počítačům přidělit, do jaké skupiny počítačů se mají zaregistrovat. Skupiny počítačů pak můžete využít při schvalování aktualizací pro určité počítače, nebo v pravidlech pro automatické schvalování. Strana 25 Windows Server Update Services (WSUS) 3.0

Průvodce vyčištěním serveru Pomocí vyčištění serveru WSUS můžete redukovat velikost obsazeného diskového prostoru odstraněním starých, nepotřebných balíčků a vyčistit databázi s informacemi o počítačích, které již služby WSUS nepoužívají. Souhrn hlášení Lze použít pro sběr informací z ostatních WSUS serverů. Tímto se zde nebudeme zabývat. E-mailová hlášení Pokud budou v rámci synchronizace zjištěny nové aktualizace, může Vás o tomto WSUS služba informovat zasláním e-mialové zprávy. Je nutné nastavit e-mailové adresy adresátů upozornění a konfiguraci SMTP serveru pro odchozí poštu. Program zlepšování služby Microsoft Update Zde se můžete zapojit do programu zlepšování software. Přizpůsobení Zde si můžete nastavit, jaké informace se mají zobrazovat na úvodní stránce konzole v seznamu úkolů. Zobrazují se např. nové produkty a jazykové verze balíčků, kritické aktualizace čekající na schválení, neaktivní klienti atd. Průvodce konfigurací služby serveru WSUS Poslední možností z nastavení je nové spuštění průvodce pro počáteční konfiguraci. Strana 26 Windows Server Update Services (WSUS) 3.0

Konfigurace klientů Nejvhodnější způsob konfigurace automatických aktualizací závisí na konkrétním síťovém prostředí. V prostředí služby Active Directory (školní síť s řadičem domény Windows 2000 Server, popř. Windows Server 2003) je vhodné použít objekt zásad skupiny (GPO) založený na službě Active Directory a připojit jej k organizační jednotce, která spravuje počítačové účty. V prostředí jiném než Active Directory - bez serveru (řadiče domény) je nutné konfigurovat objekt zásad místní skupiny. Editor zásad místní skupiny lze spustit např. pomocí příkazu Start -> Spustit -> gpedit.msc. Bez Active Directory, nebo pro počítače, které nejsou členy domény, musíte nastavit lokální zásady skupin na všech klientech. V obou případech je potřeba směrovat klientské počítače na server WSUS a potom konfigurovat automatické aktualizace. Konfigurace se v objektu GPO i v Zásadách místní skupiny provádí v sekci Konfigurace počítače -> Šablony pro správu -> Součásti systému Windows -> Windows Update. Strana 27 Windows Server Update Services (WSUS) 3.0

Zde je potřeba nastavit minimálně vlastnosti: - Umístění místního intranetového serveru nastavit adresu vytvořeného serveru WSUS např. http://srv01.domena.local - Konfigurace automatických aktualizací nastavit např. na možnost Automaticky stahovat a plánovat instalaci Strana 28 Windows Server Update Services (WSUS) 3.0

Zároveň je vhodné zkontrolovat, případně nastavit další vlastnosti pro chování klientů, např. chování s ohledem na přihlášeného uživatele, chování v případě vypnutého počítače v čase automatické aktualizace, chování v případě nutnosti restartu PC a další). Dále je možné (dle nastavení WSUS služby) směřovat klientské počítače do zvolených skupin počítačů na WSUS serveru (politika Povolit cílení na klientské straně). Strana 29 Windows Server Update Services (WSUS) 3.0

Běžná správa služby WSUS Výchozí pohled do konzole Po spuštění konzole pro správu WSUS 3.0 služby se zobrazí následující okno: Zde je seznam úkolů, na které byste měli reagovat a přehled stavu služby WSUS. V seznamu úkolů se pravidelně objevují informace, kolik balíčku aktualizací čeká na schválení k instalaci. V přehledu se nacházejí následující údaje s kruhovými grafy: - stav počítače informace o počtu plně aktualizovaných a neaktualizovaných počítačů. - stav aktualizace informace o počtu nainstalovaných aktualizací, nebo o počtu aktualizací, které počítače žádají, ale nejsou zatím nainstalované - stav synchronizace informace o poslední synchronizaci - stav stahování informace o počtu balíčků a jejich velikosti, které jsou schváleny k instalaci a zatím čekají na stažení ze serveru Microsoft Update nejsou zatím uloženy lokálně Strana 30 Windows Server Update Services (WSUS) 3.0

Panel Aktualizace Stránka Aktualizace obsahuje různé pohledy na všechny dostupné balíčky: Vyhledávat jednotlivé aktualizace můžete výběrem parametrů v záhlaví panelu. Na následujícím obrázku jsou zobrazeny potřebné, neschválené aktualizace. Kliknutím na danou aktualizaci lze zobrazit podrobnější informace ve spodní části okna. Kliknutím pravého tlačítka myši na záhlaví sloupců tabulky aktualizací lze do tabulky přidat další užitečné sloupce. Strana 31 Windows Server Update Services (WSUS) 3.0

Dvojklikem na zvolenou aktualizaci lze vygenerovat podrobné (až několikastránkové) hlášení o stavu konkrétní aktualizace. Důležitou činností při správě WSUS serveru je schvalovat aktualizace k instalaci na vybrané skupiny počítačů (nebo na všechny počítače). Schválení můžete provést tak, že si zobrazíte dosud neschválené aktualizace. Zvolené aktualizace označte myší a z kontextové nabídky (pravé tlačítko myši) zvolte možnost schválit. Následně se zobrazí seznam skupin počítačů, kterým můžete schválit instalaci aktualizace, případně schválit instalaci na všechny počítače. Po provedení schvalovacího procesu dostanete informaci o výsledku. Strana 32 Windows Server Update Services (WSUS) 3.0

Panel Počítače Panel Počítače je určena k zobrazení přehledu klientských počítačů využívajících službu WSUS a jejich členění do skupin. Pokud jsou skupiny počítačů používány, lze následně proces schvalování a instalace aktualizací na klientské počítače přizpůsobit různým skupinám počítačů. Strana 33 Windows Server Update Services (WSUS) 3.0

Nabídkou možností z panelu Akce v pravé části konzole můžete vytvořit novou skupinu počítačů a z kontextové nabídky jednotlivých počítačů můžete volbou Změnit členství zvolený počítač zařadit do některé skupiny. Panel Synchronizace Na panelu Synchronizace můžete vidět různé informace o provedených synchronizacích. Dvojklikem na vybranou synchronizaci, nebo tlačítkem Hlášení o synchronizaci si můžete zobrazit podrobné informace k jednotlivým synchronizacím. Panel Sestavy Stránka Sestavy slouží pro generování a tisk libovolných přehledů o dostupných aktualizacích, statistiku jejich instalací na klientských počítačích apod. Tyto přehledy (hlášení) lze generovat i přímo z jednotlivých panelů konzole pomocí tlačítka Strana 34 Windows Server Update Services (WSUS) 3.0

v panelu akcí na pravé straně konzole (Hlášení o stavu). Jednotlivá hlášení lze vytisknout nebo uložit do souboru Excel nebo PDF: Na dalším obrázku je ukázka sestavy o stavu aktualizací v tabulkovém výpisu. Nabídkou Možnosti hlášení otevřete záhlaví s parametry o generované sestavě. Nastavte, co Vás zajímá a následně v nabídce v horní části zvolte Spustit hlášení. Zobrazí se seznam aktualizací a jejich instalace na počítačích jako na následujícím obrázku. Pokud zmodifikujete kritéria pro generování hlášení, můžete volbou Spustit hlášení vygenerovat nové hlášení. V nabídce Úkoly na horní liště můžete vybrané aktualizace schválit k instalaci na vybrané skupiny počítačů. Strana 35 Windows Server Update Services (WSUS) 3.0

Na dalším obrázku je hlášení o stavu počítačů a podrobnosti o počítači xp-4. Strana 36 Windows Server Update Services (WSUS) 3.0

Shrnutí Nasazení služby WSUS v prostředí školní počítačové sítě osobně považuji za obrovský přínos ke zvýšení bezpečnosti a spolehlivosti provozu sítě a jednotlivých klientských stanic. Správce školní sítě zároveň získává úplný přehled o stavu jednotlivých klientských PC a úspěšnosti instalace každé aktualizace. Vlastní instalaci služby WSUS a její základní konfiguraci lze s běžnými zkušenostmi správce školní sítě úspěšně realizovat v průběhu několika hodin (2-3 hodiny). Po stažení aktualizací ( přes víkend ) a snadné společné konfiguraci klientů pro příjem aktualizací (pomocí GPO) již pak pouze stačí (s vědomím spousty ušetřené práce) sledovat úspěšnost aktualizací a občas řešit drobné problémy na jednotlivých stanicích. Ve školní síti, v jejímž prostředí vzniká tento dokument, je pro použití služby WSUS z lokálního serveru konfigurováno více než 60 PC, služba funguje bez sebemenších problémů. Praha, duben 2006 František Hůlka úprava: Brno, červen 2008 Jan Krontorád Strana 37 Windows Server Update Services (WSUS) 3.0