Автоматизация управления патчами в Windows, часть 1.

В этой статье, состоящей из трех частей, я подробно расскажу о Microsoft Software Update Services (SUS), включая установку, администрирование и обслуживание. Также я расскажу о бесплатных и коммерческих альтернативах управления патчами и почему определенные решения могут подойти, а могут и не подойти для вашей организации.

Jonathan Hassell, перевод Михаил Разумов

Управление патчами можно назвать проклятием каждого системного администратора, уязвимым местом управления системой и непрекращающейся головной болью IT менеджера.

Я уверенно использую термин «управление». На момент написания этой статьи, более 40 обновлений необходимо было применить к новому компьютеру, на котором запущена Windows XP. Более 20 обновлений нужно было применить для систем с Windows 2000 Service Pack 3 до того, как Microsoft выпустила четвертый сервиспак летом 2003 г. Учитывая это постоянно растущее множество обновлений безопасности, исправлений ошибок, критических обновлений и патчей, может быть проще отсоединить все компьютеры от Internet, чем внедрять новые системы?

Конечно, это нереально. На данный момент существует несколько способов распространения и установки обновлений:

• установка вручную
• использование механизмов, предоставленных Microsoft
• инвестирование средств в системы распространения и установки обновлений третьих компаний

В этой статье, состоящей из трех частей, я подробно расскажу о Microsoft Software Update Services (SUS), включая установку, администрирование и обслуживание. Также я расскажу о бесплатных и коммерческих альтернативах управления патчами и почему определенные решения могут подойти, а могут и не подойти для вашей организации.

Software Update Services

Технология Microsoft Windows Update – программное обеспечение, которое представляет собой универсальный сайт обновлений для всех версий Windows, кроме самых старых – реализована в SUS. На данный момент SUS ограничен только критическими обновлениями и сервис паками, позволяя администраторам упростить установку этих патчей на серверы Windows 2000 или Windows Server 2003, а также на рабочие станции Windows 2000 Professional или Windows XP Professional. Он лучше всего работает в сетях, где реализована Active Directory, но может функционировать и без нее. Как вы увидите здесь, в целом Software Update Services – не идеальный инструмент, с ограниченной функциональностью, недостаточно гибкий, но он имеет два больших плюса: он своевременен и работает достаточно хорошо.

Для использования SUS, требуется по крайней мере один сервер, подключенный к Интернет, выполняющий серверную часть SUS. Этот компьютер работает как локальная версия публичного сайта Windows Update, содержащая критические обновления и сервис паки для всех поддерживаемых операционных систем. Этот сервер синхронизируется с публичным сайтом Windows Update по расписанию, которое вы, как администратор, выбираете, и затем вы утверждаете (approve) или отвергаете доступность определенных обновлений на сервере SUS.

Automatic Updates – возможность, доступная в Windows 2000 Service Pack 3 и выше или Windows XP Professional SP1, является клиентской частью SUS. Направляемые модификацией ключа реестра или применением групповой политики, клиентские компьютеры, на которых запущена служба Automatic Updates, соединяются по установленному расписанию с локальным сервером SUS для загрузки обновлений, подходящих для них. Сервер SUS анализирует операционную систему, сервис пак и установленные в данный момент обновления и предлагает только те обновления, которые нужны и предварительно утверждены администратором.

Есть несколько стадий установки SUS, хорошо описанных в документе Microsoft под названием «Software Update Services Deployment White Paper». Поскольку установка и начальная конфигурация довольно просты, я коротко пройдусь по инструкции, местами упрощая ее язык, и укажу на некоторые проблемы, с которыми мне пришлось столкнуться.

Синхронизация и утверждение содержимого

Когда вы запустите процесс синхронизации содержимого, сервер SUS обращается либо к публичным серверам Windows Update, либо к другому локальному серверу SUS (в зависимости от того, как задано в секции Set Options) и скачивает весь набор имеющихся критических обновлений и сервис паков для всех языков, которые вы выбрали. В процессе этой синхронизация обычно скачивается около 150 Mb данных для английских версий обновлений и около 600 Mb обновлений для каждой локализованной версии.

Для синхронизации содержимого, зайдите на сайт управления SUS, и затем:

1. В левой навигационной панели нажмите Synchronize server.
2. Нажмите кнопку Synchronize now в правой панели, чтобы начать синхронизацию.

Вы можете также решить запланировать автоматические синхронизации, тогда вам не придется помнить о ре-синхронизации каждый раз, когда выйдет новое обновление, а это происходит довольно часто. На странице Synchronize нажмите Synchronization schedule, установите параметры по своему усмотрению и нажмите ОК. Знайте, что если сервер SUS не сможет соединиться с соответствующим источником обновлений, он повторит попытки четыре раза через каждые полчаса.

Теперь, когда у вас есть актуальный набор обновлений на сервере SUS, вы можете утвердить каждое обновление отдельно для установки на клиентские машины в вашей сети. Чтобы начать процедуру утверждения обновлений, в навигационной панели нажмите Approve updates, а затем в правой панели выберите обновления, которые вы хотите утвердить, и нажмите Approve, когда закончите.

Установка клиента Automatic Updates

Вы можете установить обновленного клиента Automatic Updates на клиентские компьютеры, установив его из соответствующего MSI пакета, обновив с помощью старой утилиты Critical Update Notification (CUN), установив Windows 2000 Service Pack 3 или 4, установив Windows XP Service Pack 1, или установив Windows Server 2003.

Поскольку программа установки клиента представлена в формате MSI, вы можете легко установить клиентскую часть с помощью групповой политики. Для этого создайте новый GPO, назначьте его своим компьютерам, и позвольте клиентам установиться автоматически. Программа установится в контексте локального компьютера, так что убедитесь, что authenticated users имеют право на чтение пакета установки. Вы можете также установить клиентский MSI с помощью логон-скрипта, вызывая MSIEXEC с именем файла клиентской программы и аргументами.

Есть четыре варианта конфигурирования с использованием Group Policy:

• Configure Automatic Updates (Конфигурировать Автоматические Обновления): Эта опция определяет, будет ли этот компьютер получать обновления безопасности и исправления ошибок. Первая опция позволяет уведомлять текущего пользователя перед загрузкой обновлений и вновь уведомлять перед установкой загруженных обновлений. Вторая опция позволяет автоматически загружать обновления, но не устанавливать их, пока текущий пользователь не разрешит установку. Третья опция позволяет автоматически загружать и устанавливать обновления по расписанию, которое вы можете установить в соответствующих полях.
• SpecifyintranetMicrosoftupdateservicelocation (Задать внутренний адрес сервисаMicrosoftupdate): Эта опция указывает на сервер SUS, с которого загружать обновления. Чтобы использовать эту опцию, вы должны задать значения имени сервера (которые могут быть одинаковы): сервер, на котором клиент Automatic Updates проверяет и с которого загружает обновления, и сервер, на который обновленные рабочие станции записывают статистику.
• RescheduleAutomaticUpdatesscheduledinstallations (Перепланировать запланированную установкуAutomaticUpdates): Эта опция определяет время после загрузки системы, по истечении которого продолжается запланированная установка, пропущенная ранее. Если статус установлен в Enabled, пропущенная установка начнется через заданное количество минут после загрузки компьютера. Если статус Disabled или Not Configured, пропущенная установка будет просто отложена до следующей установки по расписанию.
• Noauto-restartforscheduledAutomaticUpdatesinstallations (Выключить автоматическую перезагрузку после запланированной установки Automatic Updates): Эта опция определяет, должны ли клиентские компьютеры автоматически перезагружаться, когда только что установленное обновление требует перезагрузки системы. Если статус установлен в Enabled, Automatic Updates не будет автоматически перезагружать компьютер после запланированной установки, если на компьютере работает пользователь, вместо этого пользователю будет предложено перезагрузить компьютер для завершения установки. Если статус установлен в Disabled или Not Configured, Automatic Updates предупредит пользователя, что компьютер автоматически перезагрузится через 5 минут для завершения установки.

Чтобы изменить некоторые из этих настроек через реестр, используйте следующее руководство:

• Чтобы включить или отключить Automatic Updates: создайте параметр NoAutoUpdate в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU. Значение типа DWORD с возможными значениями 0 (включено) и 1 (отключено).
• Чтобы сконфигурировать загрузку обновлений и уведомление: создайте параметр AUOptions в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU. Его значение типа DWORD может быть одним из значений 2 (уведомить о загрузке и уведомить перед установкой), 3 (автоматически загружать и уведомить перед установкой), 4 (автоматически загружать и запланировать установку)
• Чтобы запланировать автоматическую установку: создайте параметры ScheduledInstallDay и ScheduledInstallTime в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU. Типа значений для каждого – DWORD. Для ScheduledInstallDay диапазон значений от 0 до 7, где 0 означает каждый день, а 1-7 соответствуют дню недели с воскресенья по субботу соответственно. Для ScheduledInstallTime диапазон значений 0-23, в соответствии с номером часа в сутках.
• Чтобы задать определенный серверSUS для использования клиентом Automatic Updates: создайте значение UseWUServer в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU. Значение типа DWORD; установите его в 1 для задания своего имени сервера SUS. Затем, создайте в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate параметры WUServer и WUStatusServer типа Reg_SZ, и задайте имена (с http://) в качестве значений.
• Чтобы задать, сколько ждать перед завершением пропущенной установки: создайте значение RescheduleWaitTime в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU. Значение типа DWORD от 1 до 60, измеряется в минутах.
• Чтобы задать, перезагружать ли компьютер после запланированной установки при работающем в данный момент пользователе с неадминистративными правами: создайте параметр NoAutoRebootWithLoggedOnUsers в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU. Значение типа DWORD, которое может быть нулевым, что означает, что перезагрузка обязательна, и единицей, что означает, что перезагрузка будет отложена до тех пор, пока пользователь не выйдет из системы.

Вы можете использовать файл реестра, аналогичный приведенному ниже, чтобы автоматизировать изменения реестра. Вы можете модифицировать этот файл согласно приведенной выше инструкции.

Windows Registry Editor Version 5.00

Вы можете даже создать MSI пакет для распространения настроек реестра SUS. Вы можете распространить изменения через .exe или .msi на компьютеры вне домена. К тому же, вы можете использовать апплет Add/Remove Programs в Control Panel для удаления настроек. В конце концов, их легко создать, используя бесплатную WinInstall LE, которая доступна с CD Windows 2000 Server. Также существуют инструменты третьих фирм для создания установочных пакетов.

Далее

Как я упоминал в начале статьи, SUS хорош отчасти своей ценой (он бесплатен), но ему не хватает нескольких возможностей, которые имеют другие продукты управления патчами, таких как:

• Поддержки для легкого и удобного анализа логов
• Мультиплатформенное покрытие
• Обновление приложений и серверных программ совместно с самой операционной системой.

Есть пути обхода, по крайней мере, первого ограничения, и во второй части статьи я расскажу о паре способов и их недостатках для анализа информации из лог-файлов. Я также опишу несколько общих проблем и как их обойти, а также как контролировать статус клиентских загрузок и установок.

Развертывание служб Windows Server Update Services Deploy Windows Server Update Services

Область применения. Windows Server (Semi-Annual Channel), Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies To: Windows Server (Semi-Annual Channel), Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Службы Windows Server Update Services (WSUS) позволяют ИТ-администраторам развертывать новейшие обновления продуктов Майкрософт. Windows Server Update Services (WSUS) enables information technology administrators to deploy the latest Microsoft product updates. WSUS — это роль сервера Windows Server, которую можно установить для распространения обновлений и управления ими. WSUS is a Windows Server server role that can be installed to manage and distribute updates. Сервер служб WSUS может быть источником обновлений для других серверов WSUS в организации. A WSUS server can be the update source for other WSUS servers within the organization. Сервер WSUS, действующий как источник обновлений, называется вышестоящим сервером. The WSUS server that acts as an update source is called an upstream server.

При реализации служб WSUS хотя бы один сервер служб WSUS в сети должен быть подключен к Центру обновления Майкрософт для получения информации о доступных обновлениях. In a WSUS implementation, at least one WSUS server in the network must connect to Microsoft Update to get available update information. В зависимости от безопасности сети и ее конфигурации вы можете определить, сколько других серверов напрямую подключено к Центру обновления Майкрософт. You can determine, based on network security and configuration, how many other servers connect directly to Microsoft Update.

Это руководство содержит базовые сведения о планировании развертывания службы Windows Server Update Service. This guide provides conceptual information for planning and deploying Windows Server Update Service.

Обновление агента Обновления Windows до последней версии

В этой статье описывается обновление агента Обновления Windows до последней версии.

Исходная версия продукта: Windows 10 — все выпуски, Windows Server 2012
Исходный номер КБ: 949104

Аннотация

Если автоматическое обновление включено, последняя версия агента Обновления Windows загружается и устанавливается автоматически на компьютере. Вы также можете вручную скачать и установить агент Обновления Windows.

Автоматическое скачивание агента Обновления Windows

Чтобы автоматически скачать агент Обновления Windows, выполните следующие действия.

Включит автоматическое обновление. Выполните следующие действия для версии Windows, которую вы работаете.

Windows 8.1 или Windows 8

1. Откройте Windows Update, протернув его с правого края экрана (или, если вы используете мышь, указав на правый нижний угол экрана и подъехав вверх по указателю мыши), коснувшись или щелкнув пункт «Параметры», нажав или щелкнув панель управления, а затем коснувшись или щелкнув Пункт обновления Windows.
2. Коснитесь или щелкните «Изменить параметры».
3. В области «Важные обновления» выберите «Установить обновления автоматически».
4. В окне «Рекомендуемые обновления» выберите рекомендуемые обновления так же, как и для важных обновлений, а затем выберите «ОК».

Windows 7, Windows Vista или Windows XP

Чтобы включить автоматическое обновление автоматически, выберите кнопку «Исправить» или ссылку, а затем выберите «Выполнить» в диалоговом окне «Загрузка просмотра». Затем выполните действия в мастере устранения ошибок.

Перезапустите службу Обновления Windows. Для этого выполните следующие действия:

1. Нажмите клавиши Windows с логотипом Key+R, чтобы открыть окно «Выполнить».
2. Введите services.msc в поле «Выполнить» и нажмите ввод.
3. Щелкните правой кнопкой мыши Windows Update в консоли управления «Службы» и выберите «Остановить». Если вы работаете под управлением Windows XP, щелкните правой кнопкой мыши «Автоматическое обновление» и выберите «Остановить».
4. После остановки Обновления Windows щелкните правой кнопкой мыши Windows Update и выберите «Начните». Если вы работаете под управлением Windows XP, щелкните правой кнопкой мыши «Автоматические обновления» и выберите «Начните».

Дождись запуска Обновления Windows, а затем убедитесь, что агент Обновления Windows обновлен.

Загрузка агента Центра обновления Windows вручную из Центра загрузки Майкрософт

Щелкните ссылку для скачивания своей версии Windows, чтобы получить последний агент Обновления Windows.

Автономные пакеты для Windows 8 и Windows Server 2012

Следующие файлы можно скачать в Центре загрузки Майкрософт.

Операционная система	Update
Все поддерживаемые версии Windows 8 x86 (KB2937636)	Скачайте пакет сейчас.
Все поддерживаемые версии Windows 8 x64 (KB2937636)	Скачайте пакет сейчас.
Все поддерживаемые версии Windows Server 2012 на основе x64 (KB2937636)	Скачайте пакет сейчас.

Автономные пакеты для Windows 7 с пакетом обновления 1 (SP1) Windows Server 2008 R2 с пакетом обновления 1 (SP1)

Следующие файлы доступны для скачивания из Обновления Windows.

Операционная система	Update
Все поддерживаемые версии Windows 7 с sp1 на основе x86	Скачайте пакет сейчас.
Все поддерживаемые версии Windows 7 с sp1 на основе x64	Скачайте пакет сейчас.
Все поддерживаемые версии Windows Server 2008 R2 версии Windows Server 2008 R2 SP1	Скачайте пакет сейчас.
Все поддерживаемые версии 64-Windows Server 2008 R2 SP1	Скачайте пакет сейчас.
Все поддерживаемые версии Windows Server 2008 R2 Itanium с	Скачайте пакет.

Windows 8.1, Windows RT 8.1 и Windows Server 2012 R2 с обновлением 2919355 уже содержат последнюю версию агента Обновления Windows.

Дополнительные сведения

Если вы получили сообщение об ошибке в Обновлении Windows, попробуйте найти распространенные ошибки в Обновлении Windows.

Дополнительные сведения о том, как проверить, какая версия агента Обновления Windows установлена, выполните следующие действия.

1. Откройте %systemroot%\system32 папку. %systemroot% — это папка, в которой установлена Ос Windows. Например, это %systemroot% C:\Windows папка.
2. Щелкните правой кнопкой мыши Wuaueng.dll выберите «Свойства».
3. Выберите вкладку «Сведения» и найдите номер версии файла.

Последняя версия агента Обновления Windows для Windows 8.1 — 7.9.9600.16422. Последняя версия агента Обновления Windows для Windows 8 7.8.9200.16693. Последняя версия агента Обновления Windows для Windows 7, Windows Vista и Windows XP — 7.6.7600.256.

Улучшения в версии 7.6.7600.256 агента Обновления Windows

Укрепленная инфраструктура, поэтому клиент Windows Update будет доверять только тем файлам, которые подписаны новым сертификатом. Сертификат используется исключительно для защиты обновлений клиента Windows Update.

Более безопасный канал связи для клиента Windows Update

Улучшения в версии 7.4.7600.226 агента Обновления Windows

• Улучшено время сканирования обновлений Windows.
• Улучшенный пользовательский интерфейс Обновления Windows для компьютеров под управлением Windows Vista или Windows Server 2008.
• Более видимые и подробные описания обновлений.
• Усовершенствования в уведомлении пользователей о пакетах обновления.

Проблемы, исправленные в версии 7.2.6001.788 агента Обновления Windows

Версия 7.2.6001.788 агента Обновления Windows устраняет следующую проблему. Эта проблема ранее не была задокументирована в статье базы знаний Майкрософт:

• При попытке одновременной установки 80 или более обновлений из Обновления Windows или Обновления Майкрософт вы получаете код ошибки «0x80070057».

Улучшения агента Обновления Windows версии 7.2.6001.784

• Улучшенное время сканирования для Обновления Windows
• Улучшенная скорость доставки обновлений подписей
• Поддержка переустановки установщика Windows
• Улучшенная система обмена сообщениями об ошибках

Проблемы, исправленные агентом Обновления Windows версии 7.0.6000.381

Версия 7.0.6000.381 агента Обновления Windows устраняет следующие проблемы. Эти проблемы не были задокументированы ранее в статье базы знаний Майкрософт:

• Сбой Background Intelligent Transfer Service (BITS) на компьютере с Windows Vista. Дополнительные сведения см. в обновлении, доступном для исправления Background Intelligent Transfer Service сбоя BITSна компьютере с Windows Vista.
• Включено исправление, которое сокращает количество перезапусков, необходимых для отдельного установщика при установке файлов многоядерного пакета пользовательского интерфейса (MUI).
• Элементы пользовательского интерфейса на корейском, упрощенном китайском и традиционном китайском языках исправлены.
• Улучшена установка Windows Vista.

Обновление Windows помогает поддерживать компьютер в обновленном состоянии и обеспечивать безопасность путем скачивания и установки последних обновлений для системы безопасности и других обновлений от Майкрософт. Обновление Windows определяет, какие обновления применяются к компьютеру.

Корпорация Майкрософт периодически делает обновления программного обеспечения доступными для пользователей Windows и других программ Майкрософт. К ним относятся обновления, которые улучшают надежность и производительность, обновления, которые обеспечивают новую защиту от вредоносных программ и других потенциально нежелательных программ, а также обновления до компонентов Windows. Для повышения производительности или надежности аппаратных компонентов на компьютере корпорация Майкрософт также может предоставлять обновления драйверов устройств, предоставленных изготовителем компьютера.

Если вы включите Обновление Windows, компоненты программного обеспечения, напрямую связанные с Обновлением Windows, будут периодически обновляться на компьютере. Эти обновления необходимо выполнить до того, как в Обновлении Windows можно будет проверить необходимые обновления или перед установкой других обновлений. Эти необходимые обновления устраняют ошибки, обеспечивают постоянные улучшения и обеспечивают совместимость с серверами Майкрософт, которые поддерживают Обновление Windows. Если вы отключите Windows Update, вы не будете получать эти обновления.

Обновление Windows настраивается для автоматической установки обновлений при выборе рекомендуемого параметра во время установки windows Out Of Box Experience (OOBE). Вы также можете включить Обновление Windows, выбрав один из следующих параметров в элементе «Автоматическое обновление» на панели управления:

• Автоматически (рекомендуется).
• Скачайте обновления для меня, но позвольте мне выбрать, когда их установить.
• Уведомите меня, но не скачайте и не устанавливайте их автоматически.

После того как вы включите Обновление Windows, необходимые обновления для компонентов Обновления Windows будут загружаться и устанавливаться автоматически, не уведомляя вас. Это происходит независимо от того, какой параметр вы используете для включаемого Обновления Windows. Если вы не хотите получать необходимые обновления, вы можете отключить автоматические обновления на панели управления.

Обновления самого Обновления Windows обычно делают следующее: адресуют отзывы клиентов, улучшают совместимость, производительность и надежность служб, а также обеспечивают новые возможности обслуживания. При обновлении сервера Обновления Windows обычно требуется соответствующее обновление клиента. Во время операции самостоятельного обновления агентов файлы агента Обновления Windows могут быть добавлены, изменены или заменены. Например, файлы агента Обновления Windows, которые помогают отобразить пользовательский интерфейс или определяют, применяются ли обновления к определенной системе, могут быть добавлены. Это происходит, когда система настроена на автоматическое проверку доступных обновлений. Это не происходит, если автоматическое обновление отключено. Например, такое поведение не происходит, если вы выбираете «Никогда не проверять обновления» в Windows Vista и Windows 7 или отключите автоматическое обновление в Windows XP.

Администраторы получат последнюю версию агента Обновления Windows для развертывания через cлужбы Windows Server Update Services (WSUS).