Публикуване на чужди актуализации на WSUS, Windows IT Pro

Според доклади на компаниите за сигурност Secunia, Symantec и McAfee, през първото тримесечие на 2010 г. най-много уязвимости са открити в приложения на трети страни, дори повече, отколкото в операционната система. Microsoft предоставя Windows Server Update Services (WSUS) като безплатен компонент на Windows Server за актуализиране на приложения на трети страни; подобен инструмент за потребителите е услугата Windows Update. Но за по-малките компании, които нямат достъп до системи за управление от корпоративен клас, няма лесен начин за актуализиране на приложения на трети страни, инсталирани на компютри с Windows.

Много често срещани програми, като Adobe Macromedia Flash Player и Google Chrome, имат свои собствени механизми за актуализиране, но има някои ограничения за тях. Например, механизъм за актуализация на трета страна може да не е в състояние да принуди актуализация или да е неподходящ за централизирано управление. Освен това често техните потребители изискват разширени права.

Като се има предвид, че на всяко устройство могат да функционират няколко механизма за актуализиране, няма да е дълго и объркващо.

WSUS или GPSI

Active Directory (AD) предоставя механизъм за инсталиране на софтуер за групови правила (GPSI), който предоставя на администраторите основни средства за актуализиране и внедряване на софтуер на клиентски компютри с помощта на файлове на Windows Installer (.msi). Но GPSI не е предназначен за големи мрежи и Microsoft не е разработила технологията през 10-те години от пускането на AD.

  • заедно с пакети. msi може да внедри изпълними файлове и драйвери от командния ред без присвояванеползватели на административни правомощия;
  • Background Intelligent Transfer Service (BITS) гарантира, че инсталационните файлове се прехвърлят към клиенти по време на прекъсване на връзката – идеално за бавни мрежи;
  • WSUS е проектиран като част от разпределената архитектура на голяма компания;
  • WSUS предоставя проста функционалност за отчитане.

. Преди да завършите процедурите, инсталирайте WSUS с настройки по подразбиране с помощта на съветника за диспечера на сървъра.

Конфигурирайте WSUS за избор на целеви клиенти. За да посочите кои компютри ще получават специални актуализации в тестова среда, трябва да осигурите група компютри.

  1. Влезте в сървъра Server 2008 R2 като администратор на домейн.
  2. Отворете конзолата за управление на Microsoft (MMC) Windows Server Update Services от секцията Административни инструменти на менюто Старт.
  3. В навигационния панел разгънете WSUS сървъра и щракнете върху бутона Опции.
  4. В областта Опции превъртете надолу списъка с настройки и щракнете върху Компютри.
  5. В диалоговия прозорец Компютри поставете отметка в квадратчето Компютри и щракнете върху OK.
  6. Разгънете възела Компютър в навигационния екран, щракнете с десния бутон върху Всички компютри и изберете Добавяне на компютърна група.
  7. В диалоговия прозорец Добавяне на компютърна група наименувайте новата група Локални актуализации и щракнете върху OK.

Конфигуриране на правила за локален компютър за Windows Update. В производствена среда следните настройки ще бъдат конфигурирани в обект на групова политика (GPO) и обвързани с организационната единица (OU), която съдържа компютрите, които се актуализират чрез WSUS. В името на простотата, нека подготвим политика за локален компютър за конфигуриране на Windows Updateсамо на локалния компютър.

След монтажа. NET Framework, стартирайте инструмента Local Update Publisher на WSUS сървъра. След това направете следното.

  1. Стартирайте инструмента Local Update Publisher от менюто "Старт" под "Всички програми". Ще бъдете подканени да се свържете към WSUS сървъра. WSUS сървърът е локален, така че можете да оставите полето Име празно и да щракнете върху бутона Свързване.
  2. В прозореца на Local Update Publisher щракнете върху LOCALHOST под Update Services.
  3. Появява се прозорецът No WSUS Certificate found; щракнете върху бутона Да в него.
  4. В диалоговия прозорец Информация за сертификата щракнете върху Създаване на сертификат. Ще се отвори втори прозорец, показващ, че самоподписаният сертификат е успешно предоставен и трябва да бъде инсталиран на всички локално актуализирани клиенти.
  5. В прозореца за потвърждение на инсталацията щракнете върху OK.
  6. В диалоговия прозорец Информация за сертификата щракнете върху Експортиране на сертификат, след което запазете копие на сертификата на вашия компютър.
  7. Щракнете върху бутона OK.

В производствена среда е удобно да се използва сертификат, издаден от Сертифициращ орган (CA), който е част от инфраструктурата на PKI публичен ключ на компанията.

Подготовка на WSUS за локални актуализации. Трябва да инсталирате самоподписан сертификат на WSUS сървъра, преди да продължите. В производствена среда сертификатът е инсталиран на WSUS сървъра и всички клиенти, които получават локални актуализации от него.

  1. Щракнете върху бутона Старт, въведете MMC в полето за търсене и натиснете клавиша Enter.
  2. В нов прозорец на конзолата натиснете CTRL+M, за да добавите нова добавка.
  3. В диалоговия прозорец Добавяне или премахване на добавки изберете Сертификати под Налични добавки и щракнете върху бутона Добавяне.
  4. В диалоговия прозорецДобавка за сертификати изберете акаунта за компютър и щракнете върху Напред.
  5. Потвърдете избора на локален компютър по подразбиране и щракнете върху Готово.
  6. В диалоговия прозорец Добавяне или премахване на модули щракнете върху OK.
  7. В навигационния панел на MMC разгънете Сертификати (локален компютър) и след това възела Доверени главни сертифициращи органи.
  8. Щракнете с десния бутон върху Сертификати, изберете Всички задачи и щракнете върху Импортиране.
  9. В съветника за импортиране на сертификат щракнете върху Напред.
  10. На страницата Файл за импортиране щракнете върху Преглед.
  11. Изберете файла със сертификата, записан на вашия компютър, и щракнете върху Напред.
  12. На страницата Certificate Store приемете настройките по подразбиране и щракнете върху Next.
  13. Щракнете върху Готово.

Когато импортирането приключи, щракнете върху бутона OK в полето за предупреждение. Централният панел на прозореца на MMC показва самоподписан WSUS Publishers сертификат. Повторете стъпки от 7 до 13, за да импортирате същия сертификат в контейнера на Trusted Publishers. След това можете да затворите модула за MMC сертификати.

  1. В менюто Инструменти щракнете върху Създаване на актуализация.
  2. В прозореца Импортиране на актуализация от файл, показан на фигура 1, щракнете върху бутона Преглед. След това изберете предварително изтегления msi файл на Flash Player. Всички файлове са пакетирани в MSI инсталатора на Flash Player.
  3. Щракнете върху бутона Напред. Следващата страница, показана на фигура 2, вече съдържа цялата необходима информация, с изключение на информацията за доставчика и продукта.
  4. Въведете Adobe в полето Доставчик. В полето Продукт въведете Flash Player 10.1.85.3 или желаната версия на програмата.
  5. Щракнете върху бутона Напред. Когато се подготвя актуализация, Local Update Publisher се използва заедно с msi файла, така че правилата се попълват автоматично на следващите няколко страници на съветникаинсталация. Впоследствие правилата могат да бъдат променяни или допълвани.
  6. На страницата Ниво на пакет - Инсталирани правила, показана на Фигура 3, щракнете върху Напред, за да приемете правилата по подразбиране.
  7. Повторете стъпка 6 на следните страници: Ниво на пакет – Инсталируеми правила, Ниво на инсталационен елемент – Заменени правила и Ниво на инсталационен елемент – Метаданни за правило.
  8. Прегледайте XML информацията за актуализацията, след което щракнете върху бутона Край.