Artykuł systemy i administracja IT
Mateusz Kierczyński | 2021-09-30

Windows Server Update Service

Wraz z rozbudową środowiska IT w firmie oraz rosnącą liczbą stanowisk komputerowych rośnie liczba zadań wykonywanych przez administratorów IT. W obecnym świecie jednym z ważniejszych aspektów zapewnienia ciągłości pracy jest zadbanie o prawidłową dystrybucję aktualizacji. Wychodząc naprzeciw oczekiwaniom dotyczącym dystrybucji aktualizacji firma Microsoft oddaje w nasze ręce Windows Server Update Service.

Wraz z rozbudową środowiska IT w firmie oraz rosnącą liczbą stanowisk komputerowych rośnie liczba zadań wykonywanych przez administratorów IT. W obecnym świecie jednym z ważniejszych aspektów zapewnienia ciągłości pracy jest zadbanie o prawidłową dystrybucję aktualizacji. Wychodząc naprzeciw oczekiwaniom dotyczącym dystrybucji aktualizacji firma Microsoft oddaje w nasze ręce Windows Server Update Service.

Regularna aktualizacja systemów informatycznych zapewnia wzrost bezpieczeństwa w organizacji.  Oczywiście zdarzają się aktualizacje po zainstalowaniu których występują błędy, ale ogólnie rzecz biorąc aktualizacja oprogramowania niesie za sobą więcej zalet niż wad.  Głównie dlatego, że poprawki powstają po to, aby usuwać znalezione problemy w aplikacji. Jeżeli producent oprogramowania wydaje poprawkę szczególnie krytyczną oznacza to, że jej niezainstalowanie może narazić komputer na niebezpieczeństwo.

Dobrym przykładem z roku 2021 jest znalezienie podatność Microsoft Exchange. Podatności te zyskały wysoką ocenę dotkliwości oraz są łatwe do wykorzystania. W rzeczywistości oznaczono cztery luki w zabezpieczeniach o sygnaturach:

  • CVE-2021-26855 luka typu server-side request forgery (SSRF).  Wykorzystując podatność SSRF można w nieautoryzowany sposób wykonać polecenia umożliwiające wyciągniecie danych z aplikacji.CVE-2021-26857 — wykorzystywana przez atakujących do uruchamiania kodu na koncie „system” na atakowanym serwerze Exchange.
  • CVE-2021-26858 i CVE-2021-27065 — dwie kolejne podatności zero-day, które pozwalają atakującemu zapisywać pliki w dowolnej części serwera.

Serwery Microsoft Exchange, na których nie zostały zainstalowane aktualizacje niwelujące powyższe podatności, zostały ponownie zaatakowane. Atakujący instalowali na nich ransomware Dearcry, czyli złośliwe oprogramowanie szyfrujące pliki i wymuszające okup za odszyfrowanie.

Windows Server Update Services (w skrócie WSUS) jest to lokalne repozytorium aktualizacji oraz centrum kontroli i monitoringu. Usługa jest dostępna w serwerowych wersjach systemów Microsoft Windows Serwer jako jedna z ról możliwych do zainstalowania. Podstawowym zadaniem pakietu jest pobranie aktualizacji z oficjalnych źródeł Windows Update, a następnie po zaakceptowaniu przez administratora dostarczenie aktualizacji do stacji roboczych w sieci. Administrator z poziomu konsoli centralnego zarządzania jest w stanie zdecydować, które poprawki i dla jakiej grupy urządzeń mają zostać zainstalowane. W przypadku aktualizacji mogących powodować błędy administrator może je odrzucić lub opóźnić ich implementację. Wszystkie operacje wykonywane w lokalnym repozytorium są rejestrowane. Dzięki temu mamy możliwość generować raporty na temat statusu aktualizacji zainstalowanych na komputerach. WSUS pełni rolę lokalnego magazynu aktualizacji, z którego odpowiednio skonfigurowane stanowiska pobierają aktualizacje bezpośrednio z naszego serwera nie obciążając przy tym łącza internetowego.

Wykorzystanie serwera aktualizacji WSUS daje naszej organizacji kilka zalet.

Zabezpiecza nas przed nieplanowanym przestojem w działaniu systemów informatycznych przez aktualizację systemu operacyjnego w godzinach pracy przedsiębiorstwa. Odpowiednia konfiguracja harmonogramu aktualizacji jest w stanie zapobiec instalacji poprawek w czasie pracy użytkowników.

Jeżeli nie została ustawiona reguła automatycznego akceptowania aktualizacji, to administrator WSUS musi zaakceptować każdą aktualizację dla wybranej grupy. Daje mu to możliwość przetestowania aktualizacji przed wdrożeniem na produkcję na wybranej grupie testowej oraz zaplanowanie wdrożenia aktualizacji.

Instalacja Roli WSUS w systemie Windows Server 2019.

Aby zainstalować rolę WSUS należy wykonać następujące kroki:

  • Zaloguj się do serwera Windows 2019, na którym planowane jest zainstalowanie roli serwera WSUS, przy użyciu konta należącego do grupy Administratorzy lokalni.
  • W Server Manager wybierz Manage, a następnie add Roles and Features.
  • Na stronie Before you Begin kliknij Next.
  • Na stronie select installation type wybierz   Role-based or feature-based installation, a następnie kliknij Next.

Na stronie Server Selection sprawdź nazwę serwera i kliknij Next.

W Add Roles and Features Wizard wybierz rolę Windows Server Update Services. Windows Server dołączy również role, które są niezbędne do działania WSUS.

W tym przypadku zostaw wszystko tak jak jest i kliknij Next.

Na Windows Server Update Services wybierz Next.

W tym kroku wybierz tryb połączenia do bazy danych. Domyślnym wyborem jest Windows Internal Database. Baza ta jest instalowana wraz z instalacją WSUS. Drugą opcją, z której możesz skorzystać jest MS SQL zainstalowany na innym serwerze. W przyszłości możliwa jest zmiana z WID na MS SQL. Po zaznaczeniu wybranych opcji kliknij Next.

W kolejnym kroku musisz wybrać lokalizację przechowywania aktualizacji. Rekomendowane jest wybranie innej lokalizacji niż dysk C, ponieważ rozmiar folderu może rosnąć wraz z ilością przechowywanych aktualizacji, a partycje niesystemowe łatwiej jest rozszerzyć.

Na Web Server Role (IIS) kliknij Next.

Role dotyczące serwera sieci Web (ISS) są wybierane automatycznie, zostaw wszystko tak jak jest i kliknij Next.

Potwierdź instalację WSUS klikając na Install.

W ostatnim kroku instalacji kliknij Close.

Konfiguracja WSUS w Systemie Windows Server 2019

Po zainstalowaniu WSUS możesz skonfigurować go przy pomocy kreatora konfiguracji WSUS.  W tym celu zaloguj się na serwer z zainstalowaną usługą WSUS. Następnie wybierz z menu start Windows Administrative Tools, Windows Server Update Service.

Przy pierwszym uruchomieniu ukaże się poniższy ekran, w którym zaakceptuj lub zmień lokalizację przetrzymywania aktualizacji a następnie kliknij Run.

Po zakończeniu procesu po instalacyjnego kliknij Close.

Otworzy się strona Before you Begin na której kliknij Next.

Następnie odznacz opcję Yes I would like to join the Microsoft Update Improvement Program, jeżeli nie chcesz brać udziału w programie.

W tym kroku konfiguracji musisz wybrać serwer nadrzędny, do wyboru są dwie opcje:

  • Synchronize from Microsoft Update— wybranie tej opcji przez Ciebie spowoduje pobieranie aktualizacji z Microsoft Update.
  • Synchronize from another Windows Server Update Services server – wybierz tą opcję, jeśli chcesz, aby konfigurowany serwer pobierał aktualizacje z już istniejącego serwera WSUS. Określ nazwę serwera i numer portu (domyślnie 8530). W przypadku wybrania opcji korzystania z protokołu SSL podczas synchronizacji aktualizacji upewnij się, że nadrzędny serwer WSUS jest również skonfigurowany do obsługi szyfrowanej komunikacji.

Wybierz Synchronizuj z Microsoft Update, ponieważ będzie to jedyny serwer WSUS. Następnie kliknij Next.

Gdy w środowisku sieciowym występuje serwer proxy, zaznacz opcję Use a proxy server when synchronizing oraz uzupełnij dane uwierzytelniające odpowiednie dla serwera proxy.  Następnie kliknij Next.

Na stronie Connect to Upstream Server kliknij Start Connecting.

Po zakończeniu procesu łączenia kliknij Next.

W sekcji Choose Languages wybierz języki aktualizacji, które mają być przechowywane na serwerze WSUS. W celu zaoszczędzenia miejsca rekomenduje się wybrać tylko te języki, które są wykorzystywane w twojej organizacji i kliknąć Next.

W kolejnej sekcji wybierz produkty, dla których mają być przetrzymywane aktualizacje na serwerze aktualizacji. Wybierz Next.

Następnie wybierz rodzaje aktualizacji, które mają być przechowywane przez serwer aktualizacji. Po wybraniu interesujących Ciebie aktualizacji kliknij Next.

Strona Set Sync Schedule pozwala wybrać sposób przeprowadzania synchronizacji: ręczny lub automatyczny. Po wybraniu opcji Synchronize manually musisz włączać za każdym razem synchronizację z konsoli. Opcja wymuszania synchronizacji ręcznej nie jest rekomendowana w środowisku produkcyjnym.

Wybór Synchronize automatically spowoduje, że synchronizacja będzie następowała automatycznie w określonych odstępach czasu. Ilość codziennych synchronizacji możesz wybrać z listy rozwijanej. Po wybraniu odpowiedniej opcji kliknij Next.

Zaznacz opcję Begin initial synchronization I kliknij Next.

Na ekranie końcowym kliknij Finish.

Kolejnym krokiem po zainstalowaniu i skonfigurowaniu WSUS będzie przygotowanie komputerów w organizacji do współpracy z serwerem aktualizacji.

Do określenia źródła aktualizacji w środowisku Active Directory użyjesz zasad grup. W tym ceku zaloguj się na kontroler domeny, z menu wybierz Windows Administrative Tools a następnie Group Policy Management. 

Otwórz istniejącą zasadę grupy lub utwórz nową. W zasadzie grupy przejdź do Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update.  Wybierz Configure Automatic Updates następnie zaznacz Enable i wybierz sposób dostarczania aktualizacji oraz kiedy mają być instalowane.

Kolejną ważną rzeczą, którą powinieneś skonfigurować jest określenie lokalizacji intranetowej usługi aktualizacji firmy Microsoft. Ideą tej zasady grupy jest poinformowanie komputerów o istnieniu intranetowego serwera aktualizacji. W przypadku, w którym to ustawienie nie zostanie skonfigurowane, komputery nie będą wiedziały o lokalnym źródle poprawek.  Przy wykorzystaniu połączenia szyfrowanego należy na końcu wpisać port 8531.

Po uruchomieniu konsoli WSUS zobaczysz dwie domyślne grupy komputerów — All computers i Unassigned computers. Przed wdrożeniem aktualizacji w organizacji warto je przetestować na wybranej grupie. W tym celu utwórz grupę testową. Rozwiń nazwę serwera WSUS, następnie Computers. Kliknij prawym przyciskiem na All computers i z menu rozwijanego wybierz Add computer Group. Podaj nazwę dla grupy testowej i kliknij Add.

Po kliknięciu na grupę All computers powinieneś zobaczyć wszystkie komputery, które nawiązały połączenie z serwerem aktualizacji. Zaznacz wybrane komputery i kliknij na nich prawym przyciskiem następnie wybierz Change Membership z menu rozwijanego.

W oknie Set Computer Group Membership zaznacz nowo utworzoną grupę i kliknij ok.

W nowo utworzonej grupie powinny być widoczne przeniesione komputery.

Po utworzeniu grupy testowej Windows10 należy zatwierdzić aktualizacje, które mają zostać wdrożone. Uruchom konsolę administracyjną WSUS, a następnie kliknij Updates and All Updates. W sekcji All Updates wybierz aktualizacje, które chcesz zatwierdzić dla grupy testowej  kliknij prawym przyciskiem na wybranych aktualizacjach. Wybierz Approve.

W oknie Approve Updates na grupie testowej Windows 10 kliknij prawym przyciskiem i wybierz Approved for Install a następnie kliknij OK.

Po kliknięciu OK zostanie wyświetlone okno Approval Progress, które pokazuje postęp zadań mających na celu zatwierdzenie aktualizacji. Po zakończeniu procesu akceptacji kliknij Close.

Zatwierdzanie aktualizacji może również odbyć się w sposób automatyczny. Powinieneś w tym celu skonfigurować regułę automatycznego zatwierdzania w usługach Windows Server Update Services. Uruchom konsolę administracyjną, następnie rozwiń serwer WSUS i wybierz Options. W Options wybierz Automatic Approvals. W oknie zobaczysz domyślną regułę automatycznego zatwierdzania, którą możesz edytować i używać.  W tym miejscu utwórz nowe reguły automatycznego zatwierdzania aktualizacji. Kliknij na New Rule.

Zaznacz pole When an update is in a specific classification i wybierz klasyfikację aktualizacji, następnie przypisz regułę dla wybranej grupy. Na koniec ustaw termin zatwierdzenia aktualizacji i określ nazwę reguły.

Po utworzeniu reguły trzeba ją uruchomić. Zaznacz kwadracik po lewej stronie na wybranej regule i kliknij Run Rule.

Ostatnią sekcją, która zostanie omówiona w artykule są raporty WSUS. Wybierz z konsoli WSUS Reports, a następnie kliknij na interesujący Ciebie raport, stan wdrożenia aktualizacji, raporty synchronizacji oraz raporty komputerów.

W ramach cyklicznych zadań administracyjnych należy co jakiś czas sprawdzić status synchronizacji z serwerami Microsoft. Trzeba przejrzeć aktualizacje, które wymagają zatwierdzenia przez administratora oraz oczyścić serwer z aktualizacji, które nie są już potrzebne. Wykorzystanie serwera aktualizacji przynosi ogromną korzyść w postaci wzrostu bezawaryjnej pracy na komputerach służbowych. Dobre zaplanowanie harmonogramu aktualizacji zabezpiecza przed nieplanowanym instalowaniem aktualizacji w czasie pracy użytkownika. Dystrybucja poprawek przez serwer aktualizacji znacząco redukuje obciążenie łącza internetowego. Administrator w efektywny sposób może zatwierdzać aktualizacje dla wybranych grup oraz kontrolować ich stan na komputerach służbowych. Wszystkie działania administratora są rejestrowane w konsoli do zarządzania WSUS, dzięki temu można wygenerować różnego rodzaju raporty Update Reports, Computer Reports, Synchronization Reports. Ułatwiają one zarządzanie środowiskiem aktualizacji.

Procedura opisana w artykule umożliwia wdrożenie serwera aktualizacji w ramach organizacji. Więcej szczegółów znajdziesz w dokumentacji firmy Microsoft, którą znajdziesz pod adresem:

https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/get-started/windows-server-update-services-wsus

Czy potrzebujesz wsparcia w obszarze usług IT? Support Online to firma outsourcingowa oferująca nowoczesne rozwiązania technologiczne w zakresie obsługi informatycznej. Naszą współpracę rozpoczniemy od audytu IT a następnie zaproponujemy najlepsze rozwiązania dla Twojej firmy. Nie zwlekaj i pozwól nam zadbać o środowisko informatyczne i bezpieczeństwo danych w Twojej organizacji.

Mateusz Kierczyński - Administrator IT w Support Online
Powiązane artykuły
Artykuł
| Bezpieczeństwo IT i cyberbezpieczeństwo Bezpieczeństwo firmy w dobie ataków hakerskich Bezpieczeństwo danych to podstawa działania wielu firm z sektora księgowego, prawnego, produkcyjnego, handlowego czy szeroko pojętego konsultingu. Czytaj dalej
Artykuł
| Bezpieczeństwo IT i cyberbezpieczeństwo Czym jest malware i jak się przed nim chronić? Zagrożenia związane z cyberprzestępczością stają się coraz bardziej powszechne. Jednym z najpoważniejszych problemów, z jakimi muszą zmagać się użytkownicy komputerów i urządzeń Czytaj dalej
Artykuł
| Bezpieczeństwo IT i cyberbezpieczeństwo Google Cloud Platform – opis platformy Google Cloud Platform (GCP) to platforma chmurowa oferowana przez firmę Google, która dostarcza szeroki zakres usług obliczeniowych, przechowywania danych, analityki i sztucznej inteligencji. Czytaj dalej
Twoje IT.
nasze
wsparcie.
Skontaktuj
się z nami

Administratorem Państwa danych osobowych jest Support Online sp. z o.o. Państwa dane osobowe będą przetwarzane w celu udzielenia odpowiedzi na Państwa zapytanie oraz w przypadku udzielenia stosownej zgody również w celu wysyłki biuletynu informacyjnego SOL. O szczegółowych zasadach przetwarzania danych osobowych przez naszą organizację mogą Państwo przeczytać w naszej Polityce prywatności.

FAQ
Firma IT czym się zajmuje? W jakich technologiach IT pracujemy w Support Online? Kiedy warto skorzystać z firmy informatycznej (IT)? Czemu warto wynająć firmę informatyczną, a nie informatyka freelancer'a? Jakie są zalety współpracy z naszą firmą IT Support Online?

Firma IT, czyli firma informatyczna, zajmuje się szeroko pojętymi technologiami informacyjnymi. Obejmuje to między innymi:

  1. Projektowanie i tworzenie oprogramowania: Firma IT może tworzyć aplikacje na zamówienie dla innych firm lub produkty oprogramowania dla masowego rynku. W zależności od specjalizacji mogą to być aplikacje mobilne, aplikacje desktopowe, aplikacje webowe czy systemy wbudowane.
  2. Usługi konsultingowe: Firma IT często dostarcza ekspertów w celu doradztwa w zakresie wdrażania nowych technologii, optymalizacji procesów biznesowych czy też wyboru odpowiednich rozwiązań technologicznych.
  3. Rozwiązania chmurowe: Wiele firm IT specjalizuje się w wdrażaniu i zarządzaniu rozwiązaniami w chmurze, takimi jak przechowywanie danych, hosting aplikacji czy platformy do analizy danych.
  4. Bezpieczeństwo informatyczne: Ochrona przed cyberatakami, audyt bezpieczeństwa, wdrażanie polityk bezpieczeństwa oraz monitorowanie sieci to tylko niektóre z zadań firm IT w tej dziedzinie.
  5. Zarządzanie infrastrukturą IT: W tym zakresie firma może zajmować się zarządzaniem serwerami, bazami danych, sieciami czy urządzeniami końcowymi użytkowników.
  6. Wsparcie techniczne i serwis: Firma IT może dostarczać wsparcie dla swoich produktów lub ogólnie wsparcie IT dla innych firm, zarządzając ich technologią na co dzień.
  7. Szkolenia: Wielu dostawców technologii informacyjnych oferuje również szkolenia w zakresie korzystania z oprogramowania czy bezpiecznego korzystania z technologii.
  8. Rozwiązania hardware: Niektóre firmy IT mogą także zajmować się dostarczaniem i konfiguracją sprzętu komputerowego, serwerowego czy sieciowego.

W zależności od specjalizacji i wielkości, firma IT może oferować jedno, kilka lub wszystkie z powyższych rozwiązań. Ważne jest, aby przy wyborze dostawcy dokładnie zrozumieć zakres ich usług i dopasować je do indywidualnych potrzeb.

W Support Online od lat wspieramy firmy w

  1. kompleksowym wsparciu użytkowników (zarówno na miejscu jak również zdalnie),
  2. obsługujemy komputery, telefony, tablety oraz problemy sieciowe z nimi związane,
  3. specjalizujemy się w administracji serwerami: Windows, Linux/Unix,
  4. obsługujemy wirtualizatory takie jak: KVM, Hyper-V, VMWare czy Proxmox,
  5. obsługujemy serwisy chmurowe w szczególności rozwiązania: Azure, Microsoft 365 oraz AWS,
  6. monitorujemy serwery oraz urządzenia w sieci internetowej,
  7. konsultujemy rozwój, DRP oraz wspieramy stabliność przedsiębiorstwa w warstwie informatycznej,

Jeśli szukasz dobrej firmy informatycznej to myślmy, że Support Online to dobre miejsce dla rozwoju Twojego biznesu.

Warto skorzystać z firmy informatycznej (IT) taka jak Support Online gdy:

  1. Planujesz wdrażać nowe technologie lub oprogramowanie w swojej firmie.
  2. Potrzebujesz specjalistycznego doradztwa w zakresie technologii.
  3. Chcesz zoptymalizować istniejące procesy informatyczne.
  4. Zmagasz się z problemami bezpieczeństwa cyfrowego.
  5. Potrzebujesz wsparcia w zarządzaniu infrastrukturą IT.
  6. Brakuje Ci wewnętrznych zasobów lub kompetencji do realizacji pewnych projektów technologicznych.

Korzystanie z ekspertów zewnętrznych IT może przynieść korzyści w postaci oszczędności czasu, zasobów oraz zapewnienia wysokiej jakości rozwiązań.

Wynajęcie firmy informatycznej takiej jak Support Online w porównaniu z freelancerem IT oferuje kilka kluczowych korzyści:

  1. Wsparcie całego zespołu: Firma informatyczna IT dysponuje pełnym zespołem specjalistów od DevOps, Cyber Security Specialist po Helpdesk IT Specialist, którzy posiadają różnorodne umiejętności i doświadczenie, umożliwiając szybsze rozwiązanie problemów i realizację bardziej złożonych projektów.
  2. Wiarygodność i stabilność: Firmy IT mają ustaloną reputację i historię, co może przekładać się na większą pewność i stabilność usług.
  3. Utrzymanie i wsparcie: Firma informatyczna może oferować umowy serwisowe, gwarancje i wsparcie posprzedażowe, które mogą być trudniejsze do uzyskania od indywidualnego freelancera.
  4. Zasoby: Firmy mają dostęp do większej ilości zasobów, narzędzi i technologii, które mogą przyspieszyć i ulepszyć realizację projektu.
  5. Dłuższa dostępność: Ryzyko zniknięcia freelancera lub zmiany zawodu jest większe niż ryzyko likwidacji stabilnej firmy.

Jednakże warto zaznaczyć, że wybór pomiędzy firmą a freelancerem zależy od konkretnych potrzeb i sytuacji. Jeśli cenisz sobie spokój i szybką reakcję na niespodziewane problemy warto postawić na firmę IT taką jak Support Online.

Współpraca z firmą IT Support Online oferuje następujące zalety:

  1. Profesjonalny outsourcing IT: Firma gwarantuje wysoką jakość świadczonych usług w zakresie outsourcingu IT dla przedsiębiorstw różnej wielkości.
  2. Kompleksowe wsparcie informatyczne: IT Support Online dostarcza wszechstronne wsparcie informatyczne, które odpowiada na różne potrzeby przedsiębiorstw.
  3. Oszczędność czasu i pieniędzy: Dzięki wsparciu firmy, klient może skoncentrować się na swoich głównych działaniach biznesowych, jednocześnie redukując koszty związane z zarządzaniem technologią informacyjną.
  4. Obsługa różnorodnych firm: Firma specjalizuje się w obsłudze zarówno małych i średnich przedsiębiorstw, jak i dużych korporacji, co świadczy o jej elastyczności i zdolności dostosowywania się do różnorodnych wymagań klientów.
  5. Lider w obszarze outsourcingu IT: Firma jest uznawana za lidera w dziedzinie outsourcingu IT, zwłaszcza w regionie Poznania i Warszawy.

Współpracując z naszą firmą IT Support Online, przedsiębiorstwa mogą liczyć na wysoki standard obsługi oraz profesjonalizm na każdym etapie współpracy.

Bezpłatna konsultacja
22 335 28 00