Вирішуючи проблеми безпеки обчислювальної системи, доводиться враховувати цілий комплекс проблем, одна з яких - своєчасне оновлення операційних систем і програмного забезпечення.
Для підтримки актуального стану операційних систем і ПО інформаційної системи компанії слід здійснювати їх регулярні оновлення. Ці дії можуть виконуватися з сайту Microsoft Update кожним клієнтським комп'ютером або за допомогою використання сервера / серверів Windows Server Update Services (WSUS). Якщо ми говоримо про корпоративної мережі, то рекомендований варіант - використання сервера WSUS. При роботі з вищезгаданої службою досягається значне зниження Інтернет трафіку і забезпечується можливість централізованого управління процесом розгортання виправлень системи і ПО, одержуваних від Microsoft.
Для забезпечення можливості поновлення комп'ютерів клієнтів необхідно:
1. Виконати проектування рішення
2. Здійснити розгортання сервера / серверів WSUS;
3. Забезпечити регулярну синхронізацію сервера WSUS з ресурсом Microsoft Update;
4. Зміна параметрів наявної роботи сервера / серверів WSUS;
5. Створити цільові групи і помістити комп'ютери клієнтів в цільові групи на сервері WSUS.
6. Налаштувати клієнтів на використання серверів WSUS;
7. Забезпечити безпеку сервера / серверів WSUS.
У цій статті ми не розглядаємо етапи проектування і розгортання, синхронізації, мова піде про налаштування клієнтів і забезпеченні безпеки сервера WSUS.
Налаштування клієнтів сервера оновлень без використання групових політик
Налаштування клієнтів на використання сервера WSUS можлива трьома способами:
- Використання групової політики;
- Використання локальної політики комп'ютера;
- Безпосереднє внесення змін до реєстру станцій клієнтів.
Мал. 1. Параметри настройки клієнта WSUS.
Якщо служба каталогу в організації не розгорнута, то реалізувати можливість взаємодії клієнта з WSUS можна або за допомогою локальної політики, або шляхом «прямого» внесення змін до реєстру робочої станції, або сервера, актуальність стану якого ми хочемо забезпечити. По суті, політика є ні що інше, як інтерфейс до реєстру.
Обставини, при яких робочі станції і сервери не є клієнтами AD, можуть виникати в цілому ряді випадків, наприклад:
· Використання служби каталогу третіх фірм, проте, як сервери додатків, файлових серверів, робочих станцій клієнтів використовуються рішення на базі операційних систем Microsoft;
· Необхідність побудови «гостьовий» зони для надання доступу «зовнішніх» користувачів, до мережі Інтернет;
· Чи не достатня «зрілість» компанії, з огляду на якій централізована служба тека не розгорнута, або відсутність потреби в зазначеній службі.
· Наявність DMZ [i]. всередині якої розгорнуті сервери, не є клієнтами AD або AD DS і. т. д.
Таким чином, виникає ситуація, при якій з одного боку адміністратору доводиться забезпечувати регулярне оновлення систем, а з іншого неможливість використання об'єктів групової політики призводить до цілком зрозумілим труднощів. Як же можна вирішити таку проблему?
Було б вкрай бажано позбутися від подібних проблем. Домогтися цього можна за допомогою використання сценарію настройки. При цьому має бути забезпечено механізм автоматичної централізованої доставки цього сценарію на робочі станції співробітників і сервери. Такі кошти є і в самих ОС компанії Microsoft, крім того допустимо використовувати можливості сучасних антивірусних систем, керованих централізовано. Отже, грунтуючись на тому, що засіб доставки сценарію у нас є, розглянемо варіант настройки клієнтів сервера WSUS.
Слід зазначити, що від адміністраторів, перш ніж оновлювати комп'ютери клієнтів потрібно ряд попередніх дій:
· Необхідно заздалегідь підготувати всі цільові групи, т. Е. Колекції облікових записів комп'ютерів на сервері WSUS, на які будуть встановлюватися поновлення.
· Чи варто передбачити наявність тестової групи, на яку, установка буде здійснюватися в першу чергу, для забезпечення тестування на сумісність з обладнанням і програмним забезпеченням.
· Виконати пробне розгортання і проаналізувати отримані результати.
Розгортання оновлень у середовищі виробництва виконується по завершенню успішного тестування. Останнє твердження, звичайно, носить рекомендаційний характер, оскільки установка поновлення без попередньої перевірки можлива, однак нехтувати такою цим не варто, з огляду на те, що не виключається несумісність прикладного програмного забезпечення з оновленнями, які отримуються від Microsoft.
Створення груп комп'ютерів на сервері WSUS здійснюється за допомогою консолі управління сервером WSUS, розділ «Computers». Див. Мал. 2. Пункт меню «Add Computer Group ...»
Мал. 2. Створення груп комп'ютерів на сервері WSUS.
Внесення змін до реєстру клієнта WSUS
Отже, створимо .reg файл, за допомогою якого і будуть виконані всі необхідні дії. Надалі зазначений файл буде виконаний на всіх робочих станціях і серверах, оновлення яких за допомогою WSUS нам належить забезпечити.
На що слід звернути увагу при конфігуруванні клієнтів [ii]?
1. Необхідно розміщення служби оновлень в інтрамережі і сервер статистики, а також розподілити клієнтів по групах.
У розділі реєстру
Оскільки потрібно приміщення комп'ютерів клієнтів в цільові групи, то ми повинні вказати в яку з цільових груп повинен бути поміщений комп'ютер:
У нашому варіанті цільова група називається «WSUS-Test-WKS». Для клієнтів, ім'я цільової групи яких буде іншим, в цьому полі вказується інше значення. Параметр TargetGroupEnabled в даному випадку забезпечує управління приміщенням в групу з боку клієнта.
2. Далі необхідно задати параметри взаємодія клієнта з сервером оновлень.
Для цього в розділі реєстру
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU додамо деякі зміни.
«NoAutoUpdate» = dword: 00000000 вказує на те, що включається автоматичне оновлення
«AUOptions» = dword: 00000004 в даному випадку ми вимагаємо, щоб оновлення автоматично завантажувалося на комп'ютери клієнтів, при цьому установка буде виконуватися згідно з розкладом, параметри якого наводяться нижче.
Параметр ScheduledInstallDay вказує на періодичність оновлень, ScheduledInstallTime на час установки. Таким чином, в прикладі установка виконується кожен 3-який день тижня, т. Е. У вівторок о 12 годині дня. Для щоденної настройки установки оновлень слід вказати "ScheduledInstallDay" = dword: 00000000
Потім ми вказуємо інтервал часу між циклами звернень до сервера для перевірки на наявність оновлень (скажімо, 1 раз в 6 годин) і включаємо режим детектування. Тепер звернення до сервера WSUS відбуватимуться кожні 6 годин з якимось випадковим відхиленням для перевірки наявності дозволених для установки оновлень. При появі останніх, ініціюється процес їх завантаження.
«UseWUServer» = dword: 00000001 - говорить про те, що для установки оновлень буде використовуватися саме сервер WSUS, якщо буде задано нульове значення змінної, то клієнт буде працювати з Microsoft Update.
«RescheduleWaitTime» = dword: 00000015 - визначаємо час очікування після перезавантаження системи до старту установки пропущених на попередніх циклах, оновлень. В даному випадку задано 15 хвилин.
«RescheduleWaitTimeEnabled» = dword: 00000001 включення установки пропущених оновлень.
«NoAutoRebootWithLoggedOnUsers» = dword: 00000000 повідомлення користувача і автоматичне перезавантаження комп'ютера клієнта через 5 хвилин.
Тепер розглянемо приклад файлу налаштування клієнта повністю:
Windows Registry Editor Version 6.1
"NoAutoRebootWithLoggedOnUsers" = dword: 00000000
Забезпечивши доставку і виконання зазначеного файлу, ми зможемо налаштувати клієнтів сервера WSUS, не вдаючись до використання групових політик. Опис всіх змінних реєстру, які можуть бути використані для роботи з сервером оновлень і їх можливих значень наводиться в Windows Server Update Services 3.0 SP2 Deployment Guide.
Рекомендації щодо забезпечення безпеки сервера оновлень
Для забезпечення безпеки самого сервера оновлень можна буде виконати ряд простих рекомендацій:
5. Для управління сервером WSUS, розумно використовувати вбудовану групу WSUS Administrators, яка буде створена при розгортанні.
[1] Anita Taylor Windows Server Update Services 3.0 SP2 Deployment Guide.
[2] Anita Taylor Windows Server Update Services 3.0 SP2 Operations Guide
[Ii] Тут розглядаються в повному обсязі, а лише основні параметри налаштування клієнта WSUS.
[Iv] Тут наводиться абстрактне ім'я тестової групи.