Настройка компьютера на обновление через WSUS

Windows Server Update Services (WSUS) — сервер обновлений ОС и продуктов Microsoft. Программа бесплатно может быть скачана с сайта Microsoft и установлена на серверную ОС семейства Windows Server. Сервер обновлений синхронизируется с сайтом Microsoft, скачивая обновления, которые могут быть распространены внутри локальной сети. Это экономит внешний трафик компании и позволяет быстрее устанавливать исправления ошибок и уязвимостей в операционных системах Windows на рабочих местах, а также позволяет централизованно управлять обновлениями серверов и рабочих станций.

Для настройки компьютера на обновление через WSUS: нажать WIN+R ввести gpedit.msc, откроется консоль управления групповыми политиками.

Перейти: Computer Configuration (Конфигурация компьютера) — Administrative Templates (Административные шаблоны) — Windows Update (Обновления Windows) — Specify intranet Microsoft update services location (Специфическое месторасположение сервисов обновления Microsoft).
Переставляем шар на Enable (Включено) и вписываем ip адрес вашего wsus сервера или его доменное имя, такое как указано в файле «c:\WINDOWS\system32\drivers\etc\hosts» либо назначено в DNS.
Альтернативным способом является правка ключей в реестре, например можно использовать готовый файл реестра с содержимым и расширением .reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
«WUServer»=»http://*.*.*.*»
«WUStatusServer»=»http://*.*.*.*»

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
«NoAutoUpdate»=dword:00000000
«AUOptions»=dword:00000004
«ScheduledInstallDay»=dword:00000000
«ScheduledInstallTime»=dword:0000000c
«UseWUServer»=dword:00000001
«RescheduleWaitTime»=dword:0000000a

Для скорейшего отображения нового добавленного клиента в оснастке wsus необходимо запустить команду на данном клиенте:

Настройка обновлений Windows с использованием реестра в Windows Server

Когда вы находитесь в сети, вы хотите иметь полный контроль над другими компьютерами Windows в сети и, следовательно, хотите настроить Обновления Windows таким образом, чтобы только вы могли получить доступ к настройкам. Люди могут отключить или задержать обновления Windows, которые могут быть против вашего желания. Если вы являетесь администратором, эта статья может помочь вам настроить системы Windows Server без использования редактора групповой политики, а скорее путем его настройки с помощью редактора реестра Windows.

Как настроить Центр обновления Windows на Windows Server

Основные ключи, относящиеся к Центру обновления Windows на Server 2003 и 2008 R2:

• HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ WindowsUpdate
• HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer,
• HKEY_LOCAL_MACHINE \ SYSTEM \ Управление интернет-коммуникациями \ Интернет-коммуникация
• HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ WindowsUpdate
• HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU

Вы должны использовать ключи в этих путях, чтобы настроить обновления Windows так, как вам нужно, чтобы пользователи могли или не могли иметь доступ к обновлениям Windows. В большинстве случаев вы хотели бы иметь единоличный контроль и захотели бы удалить доступ пользователей к обновлениям Windows. Ниже приведено несколько примеров того, как настроить обновление Windows на сервере.

Под следующим ключом вы можете найти запись DisableWindowsUpdateAccess , которая касается того, предоставлять ли пользователям доступ к обновлениям Windows в панели управления:

HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ WindowsUpdate

Значение 1 отключит доступ или, если вы хотите, чтобы пользователи получали доступ к функции обновления Windows, используйте 0 . Если вы используете 0, возможно, вы захотите повысить уровень пользователей, чтобы они могли устанавливать обновления на машину. В этом случае вам нужно изменить значение ElevateNonAdmins на 1.

Отключить ссылки Центра обновления Windows в Internet Explorer на Windows Server

Используя тот же метод реестра, вы можете отключить Internet Explorer от открытия функции Центра обновления Windows. Перейти к следующей клавише:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer,

Здесь найдите NoWindowsUpdate Dword .

Чтобы отключить доступ к обновлениям Windows для людей в Internet Explorer, измените значение DWORD на 1 . Это предотвратит доступ пользователей даже к веб-сайту Центра обновления Windows.

Отключить доступ к интернет-коммуникациям служб Windows Server Update Services

Вы также можете использовать редактор реестра для управления WSUS. Чтобы отключить доступ к Центру обновления Windows в системах Windows Server, перейдите к следующему ключу:

HKEY_LOCAL_MACHINE \ SYSTEM \ Управление интернет-коммуникациями \ Интернет-коммуникация

Здесь найдите DisableWindowsUpdateAccess DWORD. Установите значение 1 , чтобы отключить доступ к Центру обновления Windows. Это отключит весь доступ к функциям Центра обновления Windows на компьютерах пользователей. Даже сайт Центра обновления Windows заблокирован, поэтому браузеры, включая Internet Explorer, не могут использовать его для обновления отдельных компьютеров, пока вы не захотите.

Ошибки при работе с реестром Windows могут привести к сбою системы. Пожалуйста, сделайте резервную копию реестра, прежде чем вносить изменения в систему.

Для получения дополнительной информации об использовании редактора реестра для настройки Центра обновления Windows на Windows Server посетите эту страницу Technet.

Настройка автоматического обновления компьютеров в рабочих группах

Для обеспечения безопасности и поддержания актуального состояния операционной системы очень важно регулярно загружать и устанавливать последние обновления. Обновление может выполняться как каждым клиентским компьютером с сайта Microsoft Update, так и централизованно, посредством использования сервера Windows Server Update Services (WSUS).

В корпоративной сети рекомендуется использование сервера WSUS, так как при этом достигается значительное снижение Интернет трафика и обеспечивается возможность централизованного управления процессом развертывания обновлений.

Наилучшим способом настройки автоматического обновления является использование групповых политик, однако это возможно только в случае, если в организации есть служба каталогов Active Directory. Если же AD в организации не развернута и компьютеры находятся в рабочих группах, то доменные групповые политики отпадают и настроить клиента на использование WSUS можно либо посредством локальной групповой политики, либо путем прямого внесения изменений в системный реестр компьютера.

Предварительная настройка

Сначала нам необходимо произвести некоторые настройки на сервере WSUS. Открываем консоль управления WSUS и в разделе «Computers» создаем новую группу, в которую будут входить наши компьютеры. Назовем ее Workgroup.

Создав группу идем на вкладку «Options» и там, в разделе «Computers» указываем серверу WSUS размещать компьютеры в группах согласно групповым политикам или настройкам реестра. В противном случае все новые компьютеры автоматически попадают в группу Unassigned Computers.

Групповая политика

Теперь можно приступать к настройке клиента. Заходим на клиентский компьютер, нажимаем Win+R и набираем команду gpedit.msc. Открывается редактор локальной политики компьютера. За настройку обновлений отвечает раздел Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Центр обновления Windows.

Нам надо настроить следующие политики:

Указать размещение службы обновлений Microsoft в интрасети — задаем адрес или имя сервера обновлений, к которому будет выполняться подключение клиента, а также адрес сервера статистики. Можно указать один и тот же адрес для обеих задач.

Разрешить клиенту присоединение к целевой группе — указываем имя группы на сервере WSUS, к которой должен быть присоединен данный компьютер. В нашем случае это Workgroup.

Настройка автоматического обновления — здесь мы задаем режим загрузки и установки обновлений и расписание, по которому обновления будут устанавливаться. Если расписание не задано, то по умолчанию обновления будут устанавливаться ежедневно в 3 часа ночи.

Частота поиска автоматических обновлений — указываем частоту обращений к серверу для проверки на наличие обновлений. Теперь обращения к серверу WSUS будут происходить через заданный промежуток времени со случайным отклонением для проверки наличия разрешенных для установки обновлений.

Перенос запланированных автоматических установок обновлений — задаем время ожидания перед установкой обновлений в том случае, если плановая установка была пропущена по каким либо причинам.

Не выполнять автоматическую перезагрузку, если в системе работают пользователи — даем пользователю возможность выбора времени перезагрузки после установки обновлений. Если этот параметр не задан или отключен, то пользователю выдается уведомление и компьютер автоматически перезагружается через 5 минут.

Реестр

Теперь те же настройки произведем с помощью правки реестра.

Идем в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate. Если раздела нет — создаем его. В разделе создаем следующие ключи:

″WUServer″=http://192.168.0.1 — адрес сервера обновлений;
″WUStatusServer″=http://192.168.0.1 — адрес сервера статистики;
″TargetGroupEnabled″=dword:00000001 — размещать компьютер в целевой группе;
″TargetGroup″=″Workgroup″ — имя целевой группы для компьютера.

Далее в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU создаем ключи:

″NoAutoUpdate″=dword:00000000 — автоматическое обновление включено;
″AUOptions″=dword:00000004 — загружать и устанавливать обновления по расписанию;
″ScheduledInstallDay″=dword:00000001 — устанавливать обновления в 1-й день недели (воскресенье). Для ежедневного обновления нужно задать нулевое значение;
″ScheduledInstallTime″=dword:00000003 — устанавливать обновления в 03:00 часа;
″UseWUServer″=dword:00000001 — использовать для обновлений сервер WSUS. Если задано нулевое значение, то обновление производится с Microsoft Update;
″DetectionFrequencyEnabled″=dword:00000001 — частота проверки обновлений включена;
″DetectionFrequency″=dword:00000012 — проверять наличие обновлений на сервере каждые 12 часов;
″RescheduleWaitTimeEnabled″=dword:00000001 — переносить пропущенную установку обновлений;
″RescheduleWaitTime″=dword:00000010 — запускать пропущенную установку обновлений через 10 минут после включения компьютера;
″NoAutoRebootWithLoggedOnUsers″=dword:00000001 — не перезагружать компьютер автоматически, если на нем работают пользователи.

Автоматизация настройки

Если настраивать предстоит не один компьютер, то процесс можно автоматизировать. Для этого открываем Блокнот, создаем reg-файл и добавляем в необходимые ключи реестра. В нашем случае получился вот такой файл:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
″WUServer″=″http://192.168.0.1″
″WUStatusServer″=″http://192.168.0.1″
″TargetGroupEnabled″=dword:00000001
″TargetGroup″=″Workgroup″

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
″NoAutoUpdate″=dword:00000000
″AUOptions″=dword:00000004
″ScheduledInstallDay″=dword:00000001
″ScheduledInstallTime″=dword:00000003
″UseWUServer″=dword:00000001
″DetectionFrequencyEnabled″=dword:00000001
″DetectionFrequency″=dword:00000012
″RescheduleWaitTimeEnabled″=dword:00000001
″RescheduleWaitTime″=dword:00000010
″NoAutoRebootWithLoggedOnUsers″=dword:00000001

Теперь для настройки автоматического обновления будет достаточно перенести этот файл на целевой компьютер и выполнить его.

Возможные проблемы

Если после настройки компьютеры не появляются в консоли WSUS, это может быть связано с тем, что рабочие станции подготовлены с использованием неправильно подготовленных образов, т.е. без использования утилиты sysprep или аналогичных программ. В этом случае машина может иметь дублирующие значения SusClientID в реестре.

Для решения проблемы необходимо произвести на клиенте следующие действия: