Software z automatu

W natłoku obowiązków łatwo można zapomnieć o najistotniejszych zadaniach zabezpieczenia systemu. Na serwerze, który jest bez przerwy połączony z Internetem, trzeba błyskawicznie instalować wszystkie krytyczne aktualizacje oprogramowania. W tym celu warto skorzystać z usługi WSUS. Inne mechanizmy wbudowane w system SBS automatycznie zainstalują aplikacje na komputerach użytkowników.

W natłoku obowiązków łatwo można zapomnieć o najistotniejszych zadaniach zabezpieczenia systemu. Na serwerze, który jest bez przerwy połączony z Internetem, trzeba błyskawicznie instalować wszystkie krytyczne aktualizacje oprogramowania. W tym celu warto skorzystać z usługi WSUS. Inne mechanizmy wbudowane w system SBS automatycznie zainstalują aplikacje na komputerach użytkowników.

Okno lokalizacji danych. Instalacja Windows Server Update Services wymaga wprowadzenia kilku ważnych parametrów. Jednym z nich jest miejsce przechowywania pakietów aktualizacyjnych pobranych z Internetu. Pobierane są tylko te uaktualnienia, które administrator zatwierdzi do instalacji.

Okno lokalizacji danych. Instalacja Windows Server Update Services wymaga wprowadzenia kilku ważnych parametrów. Jednym z nich jest miejsce przechowywania pakietów aktualizacyjnych pobranych z Internetu. Pobierane są tylko te uaktualnienia, które administrator zatwierdzi do instalacji.

Opieka nad systemem informatycznym firmy wiąże się z codziennym wykonywaniem kopii zapasowej, monitorowaniem działania serwera oraz rozwiązywaniem codziennych problemów użytkowników. SBS jest przeznaczony do małych firm, które często nie zatrudniają na stałe informatyka. Brak stałego nadzoru nad serwerem i komputerami klientów zagraża bezpieczeństwu całej sieci. Małe organizacje powinny zadbać o ochronę antywirusową oraz bieżącą aktualizację systemów komputerowych. Do sprawnego wdrażania poprawek można zastosować specjalną usługę, która zautomatyzuje pobieranie i stosowanie łatek.

Kolejną żmudną czynnością jest instalowanie oprogramowania na stacjach klientów sieci. Zamiast biegać od komputera do komputera, działania te można także w pełni zautomatyzować. Pomogą w tym kreatory umieszczone w systemie SBS oraz technologia Zasady grupy.

Uaktualnianie systemu WSUS

Wybór wersji językowych uaktualnień. Microsoft publikuje aktualizacje wszystkich wersji językowych swoich aplikacji. W sieci systemu SBS 2003 najczęściej używane są programy w jednym lub dwóch językach. Ograniczenie liczby pobieranych wersji przyśpieszy synchronizację z serwerami internetowymi.

Wybór wersji językowych uaktualnień. Microsoft publikuje aktualizacje wszystkich wersji językowych swoich aplikacji. W sieci systemu SBS 2003 najczęściej używane są programy w jednym lub dwóch językach. Ograniczenie liczby pobieranych wersji przyśpieszy synchronizację z serwerami internetowymi.

Systemy operacyjne klientów sieci mogą być uaktualniane na wiele sposobów: Windows XP oraz Windows 2000 automatycznie, starsze systemy operacyjne - uruchamiając skrót do witryny Windows Update. Większość użytkowników komputerów wie, jak ważne jest uaktualnienie systemu, ale często zapomina to zrobić. W wypadku komputerów domowych zautomatyzowanie tego procesu jest dobrym rozwiązaniem bo eliminuje "czynnik ludzki". Instalacja poprawek na komputerach firmowych to bardziej skomplikowane zadanie. Dla przedsiębiorstwa najważniejsze jest nieprzerwane i bezawaryjne funkcjonowanie serwera. Instalacja poprawki, która zakłóci działanie aplikacji biznesowych, jest niedopuszczalna. Każdą łatkę należy najpierw przetestować. Administrator sieci powinien również kontrolować harmonogram dystrybucji uaktualnień, zakres oprogramowania podlegający aktualizacji oraz wskazywać, które systemy są objęte poprawkami. Wszystkie wymienione założenia spełnia aplikacja Microsoft Windows Server Update Services. Jej działanie polega na automatycznym pobieraniu przez serwer SBS pakietów aktualizacyjnych, a następnie udostępnianiu poprawek stacjom sieciowym. Komputery z sieci LAN łączą się z Windows Server 2003, skąd pobierają i instalują tylko wskazane przez administratora uaktualnienia. WSUS obsługuje aktualizacje programów: Windows, Office, Exchange oraz SQL.

Wybór aktualizowanych aplikacji. Oprócz ustawień językowych aktualizacji należy skonfigurować typ uaktualnień oraz grupy aplikacji. Poprawki krytyczne i zabezpieczeń są synchronizowane automatycznie. Pozostałe pakiety: narzędzia, aktualizacje, dodatki service pack, sterowniki itd., należy ręcznie umieścić w zbiorze pobieranych aktualizacji.

Wybór aktualizowanych aplikacji. Oprócz ustawień językowych aktualizacji należy skonfigurować typ uaktualnień oraz grupy aplikacji. Poprawki krytyczne i zabezpieczeń są synchronizowane automatycznie. Pozostałe pakiety: narzędzia, aktualizacje, dodatki service pack, sterowniki itd., należy ręcznie umieścić w zbiorze pobieranych aktualizacji.

Aby skorzystać z usługi WSUS, trzeba mieć serwer SBS z zainstalowanym uaktualnieniem serwisowym SP1. Serwer musi spełniać określone (przez Microsoft) wymagania sprzętowe: 512 MB pamięci RAM oraz procesor o prędkości 1 GHz. Jeśli serwer SBS spełnia warunki wymienione w artykule "Instalacja Mechagodzilli", usługa powinna działać poprawnie. Ponieważ aktualizacje są przechowywane na dyskach serwera SBS, potrzebna jest odpowiednia przestrzeń dyskowa. W niewielkiej firmie 10-15 GB powinno wystarczyć na długo. Minimalne wymagania to 6 GB wolnego miejsca na partycji sformatowanej w systemie plików NTFS. Weryfikując wymagania sprzętowe, należy pamiętać, że kluczowy wpływ na wydajność systemu ma liczba obsługiwanych klientów oraz uaktualnianych programów. Oprócz odpowiedniego sprzętu WSUS wymaga właściwego środowiska oprogramowania. SBS 2003 SP1 spełnia te wymagania automatycznie i nie trzeba instalować dodatkowych składników.

Przygotowania i instalacja

Aby zainstalować serwer WSUS, trzeba pobrać pakiet instalacyjny z witryny Microsoftu. Po wpisaniu w pole adresu przeglądarki internetowej www.microsoft.com/wsus system wyświetli główną witrynę aktualizacji oprogramowania. Kliknięcie łącza Downloads otworzy stronę z listą oprogramowania. Po wybraniu opcji Windows Server Update Services trzeba przejść proces rejestracji użytkownika i można pobrać plik instalacyjny. Plik ma około 130 Mb, więc jego ściąganie wolnym łączem potrwa długo.

Po zakończeniu synchronizacji z serwerami internetowymi, system wyświetla listę aktualizacji. Kryteria filtrowania uaktualnień ułatwiają odnalezienie potrzebnych pakietów oprogramowania.

Po zakończeniu synchronizacji z serwerami internetowymi, system wyświetla listę aktualizacji. Kryteria filtrowania uaktualnień ułatwiają odnalezienie potrzebnych pakietów oprogramowania.

Instalacja usługi na serwerze nie powinna sprawić większego kłopotu. Najpierw uruchamiamy pakiet WSUSSetup.exe. W pierwszym oknie kreatora instalacji naciskamy przycisk Dalej, po czym czytamy i akceptujemy licencję użytkownika. Następnie wybieramy folder, w którym system będzie przechowywał uaktualnienia pobrane z Internetu. Umieszczenie poprawek na lokalnym dysku serwera zwiększy szybkość instalacji uaktualnień przez systemy klientów sieci. Jeśli usuniemy zaznaczenie opcji Przechowuj aktualizacje lokalnie, komputery użytkowników nie będą pobierały aktualizacji z serwera SBS, ale bezpośrednio z Internetu. W obu wypadkach administrator musi najpierw zatwierdzić poprawkę do instalacji. Po kliknięciu przycisku Dalej wyświetlane jest okno Opcje bazy danych. Dane programu WSUS są przechowywane w bazie danych SQL. Jeśli firma korzysta z wersji Premium pakietu SBS, jako lokalizację danych można wskazać instancję serwera Microsoft SQL. Do wersji Standard zalecana jest instalacja proponowanego przez kreator silnika baz danych WMSDE. W następnym oknie wskazujemy witrynę WWW używaną do zarządzania usługą WSUS. W czasie instalacji usługi na serwerze SBS dostępna jest tylko jedna, domyślnie zaznaczona opcja. Kolejne okno służy do włączenia dublowania ustawień aktualizacji. Do obsługi setek stacji duże firmy mogą wykorzystywać wiele serwerów WSUS. Będzie wtedy konieczne wielokrotne zatwierdzanie instalacji tych samych poprawek na każdym serwerze. Wybranie opcji Ten serwer powinien dziedziczyć ustawienia z następujących serwerów rozwiązuje problem, bo serwery pobierają listę zatwierdzonych aktualizacji z nadrzędnego systemu. W niewielkich organizacjach należy pozostawić tę opcję niezaznaczoną i nacisnąć przycisk Dalej. Kreator wyświetli okno podsumowujące wybrane ustawienia i rozpocznie instalowanie usług WSUS.

Po zakończeniu instalacji można przejść do konfiguracji parametrów serwera. Systemem poprawek zarządza się nie przez standardową konsolę administracyjną Windows Server 2003, ale przez interfejs WWW . Skrót do witryny jest umieszczony w folderze Narzędzia administracyjne.

Witryna zarządzania WSUS

Zatwierdzanie automatyczne. Początkowe zarządzanie usługą WSUS utrudnia znaczna liczba aktualizacji. Aby ułatwić zarządzanie szczególnie istotnymi poprawkami, administrator może wybrać automatyczne zatwierdzanie instalacji aktualizacji krytycznych i zabezpieczeń.

Zatwierdzanie automatyczne. Początkowe zarządzanie usługą WSUS utrudnia znaczna liczba aktualizacji. Aby ułatwić zarządzanie szczególnie istotnymi poprawkami, administrator może wybrać automatyczne zatwierdzanie instalacji aktualizacji krytycznych i zabezpieczeń.

Administrator sieci lokalnej może zarządzać usługą WSUS z dowolnego komputera. Po uruchomieniu Internet Explorera na stacji roboczej należy wpisać adres http: //nazwa_serwera_SBS:8530/WSUSAdmin . Strona główna witryny zawiera informacje o bieżącym wykorzystaniu systemu oraz przedstawia listę zadań do wykonania. Klikając łącza przy liście zadań, administrator przechodzi do listy aktualizacji, okna konfigurowania komputerów lub opcji synchronizacji. W górnej sekcji strony głównej umieszczono ikony do najważniejszych podstron witryny WSUS: aktualizacji, raportów, komputerów i opcji.

Ustawienie harmonogramu aktualizacji. Dystrybucja poprawek do klientów powinna być realizowana w czasie niewielkiego obciążenia systemu. Ustawienia zasad grupy pozwalają na skonfigurowanie dokładnego harmonogramu dostarczania aktualizacji do klientów sieci SBS 2003.

Ustawienie harmonogramu aktualizacji. Dystrybucja poprawek do klientów powinna być realizowana w czasie niewielkiego obciążenia systemu. Ustawienia zasad grupy pozwalają na skonfigurowanie dokładnego harmonogramu dostarczania aktualizacji do klientów sieci SBS 2003.

Poinstalacyjną konfigurację usługi rozpoczyna ustawianie parametrów pracy serwera. WSUS jest przeznaczony do zarządzania aktualizacjami znacznej części oprogramowania Microsoftu. Producent dostarcza poprawki do różnych aplikacji, wersji językowych oraz platform systemowych. Aby nie gromadzić niepotrzebnych danych, w pierwszej kolejności należy określić, które uaktualnienia są potrzebne klientom sieci SBS 2003. Domyślnie serwer pobiera z Internetu listę poprawek do wszystkich wersji językowych systemów Windows. Większość firm pracujących z serwerem SBS nie potrzebuje innych pakietów niż polskie lub angielskie. System ściąga informacje o aktualizacjach do Windows XP, Windows 2000, Windows Server 2003, ale także do Windows XP x64 lub Windows 2000 DataCenter Server. W celu ograniczenia pobieranych wersji językowych należy przejść do okna Zaawansowane opcje synchronizacji. Odnajdziemy je po przejściu ścieżki Opcje | Opcje synchronizacji | Pliki i języki aktualizacji | Zaawansowane. Następnie wybieramy opcję Pobierz aktualizacje tylko w wybranych językach i zaznaczamy odpowiednie języki. W tym samym oknie umieszczono parametry związane z lokalnym przechowywaniem pakietów aktualizacji. Serwer domyślnie pobiera wyłącznie definicje aktualizacji, co zwiększa wydajność systemu. Dopiero po zatwierdzeniu poprawki przez administratora pobierany jest właściwy plik uaktualnienia.

Ustawienie ścieżki do serwera WSUS. Usługa Aktualizacje automatyczne domyślnie kontaktuje się z serwerami internetowymi. Po przejęciu roli serwera uaktualnień przez usługę WSUS trzeba zmienić konfigurację systemów operacyjnych klientów sieci. Najłatwiej zrobić to za pomocą domenowych zasad grupy.

Ustawienie ścieżki do serwera WSUS. Usługa Aktualizacje automatyczne domyślnie kontaktuje się z serwerami internetowymi. Po przejęciu roli serwera uaktualnień przez usługę WSUS trzeba zmienić konfigurację systemów operacyjnych klientów sieci. Najłatwiej zrobić to za pomocą domenowych zasad grupy.

Następnym parametrem wymagającym skonfigurowania jest rodzaj produktów objętych uaktualnieniami oraz klasyfikacja aktualizacji. Zakres oprogramowania można zmienić na stronie Opcje synchronizacji. Po naciśnięciu lewego przycisku Zmień w sekcji Produkty i klasyfikacje należy zaznaczyć aplikacje podlegające aktualizacji, np. Windows Server 2003 i Windows XP. Kliknięcie prawego przycisku Zmień pozwala na wybór klasyfikacji uaktualnień. Domyślnie system pobiera informacje o aktualizacjach krytycznych i aktualizacjach zabezpieczeń. Dodatkowo można zaznaczyć np. sterowniki, narzędzia lub pakiety Feature Pack.

Powyższa zmiana ustawień serwera przyspieszy ściąganie listy poprawek oraz wpłynie na rozmiar bazy SQL. Po wprowadzeniu wszystkich zmian można po raz pierwszy zsynchronizować serwer WSUS z internetową bazą aktualizacji. Rozpoczynamy od kliknięcia łącza Synchronizuj teraz. Postęp prac widać w obszarze Stan synchronizacji. Pobranie i wprowadzenie listy aktualizacji do bazy SQL nie może być operacją jednorazową. Kilka razy w miesiącu pojawiają się nowe poprawki lub narzędzia. Serwer WSUS może automatycznie synchronizować swoje dane z serwerami internetowymi. Administrator musi jedynie określić, kiedy sprawdzać, czy są nowe pakiety. Harmonogram jest konfigurowany w Opcjach synchronizacji.

Zarządzanie aktualizacjami

Raport o komputerach. Raportowanie WSUS pozwala na szybką diagnozę poszczególnych stacji sieci SBS. Oprócz informacji o aktualizacjach zainstalowanych na każdym z komputerów przekazywane są dane dotyczące pakietów potrzebnych do skutecznego zabezpieczenia systemu.

Raport o komputerach. Raportowanie WSUS pozwala na szybką diagnozę poszczególnych stacji sieci SBS. Oprócz informacji o aktualizacjach zainstalowanych na każdym z komputerów przekazywane są dane dotyczące pakietów potrzebnych do skutecznego zabezpieczenia systemu.

Lista uaktualnień pobranych w czasie synchronizacji jest umieszczona na podstronie Aktualizacje. Zawiera ona informacje o wszystkich możliwych poprawkach oraz dwie sekcje: Zadania aktualizacji i Widok. Przeglądanie pełnej, zawierającej setki pozycji listy jest niewygodne. Zmiana ustawień sekcji Widok pozwala na ograniczenie prezentowanych aktualizacji. Dostępne są następujące kryteria filtrowania: Produkty i klasyfikacje, Zatwierdzenie, Zsynchronizowanie oraz Zawiera tekst. Po wybraniu dowolnego filtru należy nacisnąć Zastosuj.

Lista aktualizacji wyświetla ogólne właściwości każdego uaktualnienia: stan pobierania, tytuł, klasyfikację, datę wydania, zatwierdzenie oraz dodatkowe informacje. Po zaznaczeniu jednego z obiektów listy w dolnej części ekranu pojawiają się szczegółowe informacje o poprawce oraz dane o komputerach z sieci LAN, którym zainstalowano uaktualnienie. Każda poprawka umieszczona na liście wymaga zaakceptowania przez administratora. Aby zaakceptować pakiet, trzeba w sekcji Zadania aktualizacji wybrać polecenie Zmień zatwierdzenie. W nowym oknie wybieramy jedną z trzech opcji: Zainstaluj, Tylko wykryj i Niezatwierdzone. Zatwierdzenie poprawki dotyczy domyślnie wszystkich komputerów sieci SBS. Gdy aktualizacja ma trafić tylko do wybranych stacji, należy wcześniej zdefiniować dodatkowe grupy docelowych komputerów.

Zalecane jest ręczne akceptowanie każdej aktualizacji podczas korzystania z usługi WSUS. System umożliwia również akceptację automatyczną. Szybkie zaimplementowanie poprawek o znaczeniu krytycznym może znacząco zwiększyć bezpieczeństwo serwera i klientów. Po kliknięciu ikony Opcje należy przejść do opcji zatwierdzania automatycznego. Umieszczenie znacznika przy poleceniu Automatycznie zatwierdzaj aktualizacje do instalacji umożliwi wybranie kategorii poprawek (np. aktualizacje krytyczne, dodatki service pack) oraz zdefiniowanie grup komputerów, na których poprawki te będą automatycznie instalowane.


Zobacz również