Windows Server Update Service

Mateusz Kierczyński, 30 września 2021

Wraz z rozbudową środowiska IT w firmie oraz rosnącą liczbą stanowisk komputerowych rośnie liczba zadań wykonywanych przez administratorów IT. W obecnym świecie jednym z ważniejszych aspektów zapewnienia ciągłości pracy jest zadbanie o prawidłową dystrybucję aktualizacji. Wychodząc naprzeciw oczekiwaniom dotyczącym dystrybucji aktualizacji firma Microsoft oddaje w nasze ręce Windows Server Update Service.

Regularna aktualizacja systemów informatycznych zapewnia wzrost bezpieczeństwa w organizacji.  Oczywiście zdarzają się aktualizacje po zainstalowaniu których występują błędy, ale ogólnie rzecz biorąc aktualizacja oprogramowania niesie za sobą więcej zalet niż wad.  Głównie dlatego, że poprawki powstają po to, aby usuwać znalezione problemy w aplikacji. Jeżeli producent oprogramowania wydaje poprawkę szczególnie krytyczną oznacza to, że jej niezainstalowanie może narazić komputer na niebezpieczeństwo.

Dobrym przykładem z roku 2021 jest znalezienie podatność Microsoft Exchange. Podatności te zyskały wysoką ocenę dotkliwości oraz są łatwe do wykorzystania. W rzeczywistości oznaczono cztery luki w zabezpieczeniach o sygnaturach:

  • CVE-2021-26855 luka typu server-side request forgery (SSRF).  Wykorzystując podatność SSRF można w nieautoryzowany sposób wykonać polecenia umożliwiające wyciągniecie danych z aplikacji.CVE-2021-26857 — wykorzystywana przez atakujących do uruchamiania kodu na koncie „system” na atakowanym serwerze Exchange.
  • CVE-2021-26858 i CVE-2021-27065 — dwie kolejne podatności zero-day, które pozwalają atakującemu zapisywać pliki w dowolnej części serwera.

Serwery Microsoft Exchange, na których nie zostały zainstalowane aktualizacje niwelujące powyższe podatności, zostały ponownie zaatakowane. Atakujący instalowali na nich ransomware Dearcry, czyli złośliwe oprogramowanie szyfrujące pliki i wymuszające okup za odszyfrowanie.

Windows Server Update Services (w skrócie WSUS) jest to lokalne repozytorium aktualizacji oraz centrum kontroli i monitoringu. Usługa jest dostępna w serwerowych wersjach systemów Microsoft Windows Serwer jako jedna z ról możliwych do zainstalowania. Podstawowym zadaniem pakietu jest pobranie aktualizacji z oficjalnych źródeł Windows Update, a następnie po zaakceptowaniu przez administratora dostarczenie aktualizacji do stacji roboczych w sieci. Administrator z poziomu konsoli centralnego zarządzania jest w stanie zdecydować, które poprawki i dla jakiej grupy urządzeń mają zostać zainstalowane. W przypadku aktualizacji mogących powodować błędy administrator może je odrzucić lub opóźnić ich implementację. Wszystkie operacje wykonywane w lokalnym repozytorium są rejestrowane. Dzięki temu mamy możliwość generować raporty na temat statusu aktualizacji zainstalowanych na komputerach. WSUS pełni rolę lokalnego magazynu aktualizacji, z którego odpowiednio skonfigurowane stanowiska pobierają aktualizacje bezpośrednio z naszego serwera nie obciążając przy tym łącza internetowego.

Wykorzystanie serwera aktualizacji WSUS daje naszej organizacji kilka zalet.

Zabezpiecza nas przed nieplanowanym przestojem w działaniu systemów informatycznych przez aktualizację systemu operacyjnego w godzinach pracy przedsiębiorstwa. Odpowiednia konfiguracja harmonogramu aktualizacji jest w stanie zapobiec instalacji poprawek w czasie pracy użytkowników.

Jeżeli nie została ustawiona reguła automatycznego akceptowania aktualizacji, to administrator WSUS musi zaakceptować każdą aktualizację dla wybranej grupy. Daje mu to możliwość przetestowania aktualizacji przed wdrożeniem na produkcję na wybranej grupie testowej oraz zaplanowanie wdrożenia aktualizacji.

Instalacja Roli WSUS w systemie Windows Server 2019.

Aby zainstalować rolę WSUS należy wykonać następujące kroki:

  • Zaloguj się do serwera Windows 2019, na którym planowane jest zainstalowanie roli serwera WSUS, przy użyciu konta należącego do grupy Administratorzy lokalni.
  • W Server Manager wybierz Manage, a następnie add Roles and Features.
  • Na stronie Before you Begin kliknij Next.
  • Na stronie select installation type wybierz   Role-based or feature-based installation, a następnie kliknij Next.

Na stronie Server Selection sprawdź nazwę serwera i kliknij Next.

W Add Roles and Features Wizard wybierz rolę Windows Server Update Services. Windows Server dołączy również role, które są niezbędne do działania WSUS.

W tym przypadku zostaw wszystko tak jak jest i kliknij Next.

Na Windows Server Update Services wybierz Next.

W tym kroku wybierz tryb połączenia do bazy danych. Domyślnym wyborem jest Windows Internal Database. Baza ta jest instalowana wraz z instalacją WSUS. Drugą opcją, z której możesz skorzystać jest MS SQL zainstalowany na innym serwerze. W przyszłości możliwa jest zmiana z WID na MS SQL. Po zaznaczeniu wybranych opcji kliknij Next.

W kolejnym kroku musisz wybrać lokalizację przechowywania aktualizacji. Rekomendowane jest wybranie innej lokalizacji niż dysk C, ponieważ rozmiar folderu może rosnąć wraz z ilością przechowywanych aktualizacji, a partycje niesystemowe łatwiej jest rozszerzyć.

Na Web Server Role (IIS) kliknij Next.

Role dotyczące serwera sieci Web (ISS) są wybierane automatycznie, zostaw wszystko tak jak jest i kliknij Next.

Potwierdź instalację WSUS klikając na Install.

W ostatnim kroku instalacji kliknij Close.

Konfiguracja WSUS w Systemie Windows Server 2019

Po zainstalowaniu WSUS możesz skonfigurować go przy pomocy kreatora konfiguracji WSUS.  W tym celu zaloguj się na serwer z zainstalowaną usługą WSUS. Następnie wybierz z menu start Windows Administrative Tools, Windows Server Update Service.

Przy pierwszym uruchomieniu ukaże się poniższy ekran, w którym zaakceptuj lub zmień lokalizację przetrzymywania aktualizacji a następnie kliknij Run.

Po zakończeniu procesu po instalacyjnego kliknij Close.

Otworzy się strona Before you Begin na której kliknij Next.

Następnie odznacz opcję Yes I would like to join the Microsoft Update Improvement Program, jeżeli nie chcesz brać udziału w programie.

W tym kroku konfiguracji musisz wybrać serwer nadrzędny, do wyboru są dwie opcje:

  • Synchronize from Microsoft Update— wybranie tej opcji przez Ciebie spowoduje pobieranie aktualizacji z Microsoft Update.
  • Synchronize from another Windows Server Update Services server – wybierz tą opcję, jeśli chcesz, aby konfigurowany serwer pobierał aktualizacje z już istniejącego serwera WSUS. Określ nazwę serwera i numer portu (domyślnie 8530). W przypadku wybrania opcji korzystania z protokołu SSL podczas synchronizacji aktualizacji upewnij się, że nadrzędny serwer WSUS jest również skonfigurowany do obsługi szyfrowanej komunikacji.

Wybierz Synchronizuj z Microsoft Update, ponieważ będzie to jedyny serwer WSUS. Następnie kliknij Next.

Gdy w środowisku sieciowym występuje serwer proxy, zaznacz opcję Use a proxy server when synchronizing oraz uzupełnij dane uwierzytelniające odpowiednie dla serwera proxy.  Następnie kliknij Next.

Na stronie Connect to Upstream Server kliknij Start Connecting.

Po zakończeniu procesu łączenia kliknij Next.

W sekcji Choose Languages wybierz języki aktualizacji, które mają być przechowywane na serwerze WSUS. W celu zaoszczędzenia miejsca rekomenduje się wybrać tylko te języki, które są wykorzystywane w twojej organizacji i kliknąć Next.

W kolejnej sekcji wybierz produkty, dla których mają być przetrzymywane aktualizacje na serwerze aktualizacji. Wybierz Next.

Następnie wybierz rodzaje aktualizacji, które mają być przechowywane przez serwer aktualizacji. Po wybraniu interesujących Ciebie aktualizacji kliknij Next.

Strona Set Sync Schedule pozwala wybrać sposób przeprowadzania synchronizacji: ręczny lub automatyczny. Po wybraniu opcji Synchronize manually musisz włączać za każdym razem synchronizację z konsoli. Opcja wymuszania synchronizacji ręcznej nie jest rekomendowana w środowisku produkcyjnym.

Wybór Synchronize automatically spowoduje, że synchronizacja będzie następowała automatycznie w określonych odstępach czasu. Ilość codziennych synchronizacji możesz wybrać z listy rozwijanej. Po wybraniu odpowiedniej opcji kliknij Next.

Zaznacz opcję Begin initial synchronization I kliknij Next.

Na ekranie końcowym kliknij Finish.

Kolejnym krokiem po zainstalowaniu i skonfigurowaniu WSUS będzie przygotowanie komputerów w organizacji do współpracy z serwerem aktualizacji.

Do określenia źródła aktualizacji w środowisku Active Directory użyjesz zasad grup. W tym ceku zaloguj się na kontroler domeny, z menu wybierz Windows Administrative Tools a następnie Group Policy Management. 

Otwórz istniejącą zasadę grupy lub utwórz nową. W zasadzie grupy przejdź do Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update.  Wybierz Configure Automatic Updates następnie zaznacz Enable i wybierz sposób dostarczania aktualizacji oraz kiedy mają być instalowane.

Kolejną ważną rzeczą, którą powinieneś skonfigurować jest określenie lokalizacji intranetowej usługi aktualizacji firmy Microsoft. Ideą tej zasady grupy jest poinformowanie komputerów o istnieniu intranetowego serwera aktualizacji. W przypadku, w którym to ustawienie nie zostanie skonfigurowane, komputery nie będą wiedziały o lokalnym źródle poprawek.  Przy wykorzystaniu połączenia szyfrowanego należy na końcu wpisać port 8531.

Po uruchomieniu konsoli WSUS zobaczysz dwie domyślne grupy komputerów — All computers i Unassigned computers. Przed wdrożeniem aktualizacji w organizacji warto je przetestować na wybranej grupie. W tym celu utwórz grupę testową. Rozwiń nazwę serwera WSUS, następnie Computers. Kliknij prawym przyciskiem na All computers i z menu rozwijanego wybierz Add computer Group. Podaj nazwę dla grupy testowej i kliknij Add.

Po kliknięciu na grupę All computers powinieneś zobaczyć wszystkie komputery, które nawiązały połączenie z serwerem aktualizacji. Zaznacz wybrane komputery i kliknij na nich prawym przyciskiem następnie wybierz Change Membership z menu rozwijanego.

W oknie Set Computer Group Membership zaznacz nowo utworzoną grupę i kliknij ok.

W nowo utworzonej grupie powinny być widoczne przeniesione komputery.

Po utworzeniu grupy testowej Windows10 należy zatwierdzić aktualizacje, które mają zostać wdrożone. Uruchom konsolę administracyjną WSUS, a następnie kliknij Updates and All Updates. W sekcji All Updates wybierz aktualizacje, które chcesz zatwierdzić dla grupy testowej  kliknij prawym przyciskiem na wybranych aktualizacjach. Wybierz Approve.

W oknie Approve Updates na grupie testowej Windows 10 kliknij prawym przyciskiem i wybierz Approved for Install a następnie kliknij OK.

Po kliknięciu OK zostanie wyświetlone okno Approval Progress, które pokazuje postęp zadań mających na celu zatwierdzenie aktualizacji. Po zakończeniu procesu akceptacji kliknij Close.

Zatwierdzanie aktualizacji może również odbyć się w sposób automatyczny. Powinieneś w tym celu skonfigurować regułę automatycznego zatwierdzania w usługach Windows Server Update Services. Uruchom konsolę administracyjną, następnie rozwiń serwer WSUS i wybierz Options. W Options wybierz Automatic Approvals. W oknie zobaczysz domyślną regułę automatycznego zatwierdzania, którą możesz edytować i używać.  W tym miejscu utwórz nowe reguły automatycznego zatwierdzania aktualizacji. Kliknij na New Rule.

Zaznacz pole When an update is in a specific classification i wybierz klasyfikację aktualizacji, następnie przypisz regułę dla wybranej grupy. Na koniec ustaw termin zatwierdzenia aktualizacji i określ nazwę reguły.

Po utworzeniu reguły trzeba ją uruchomić. Zaznacz kwadracik po lewej stronie na wybranej regule i kliknij Run Rule.

Ostatnią sekcją, która zostanie omówiona w artykule są raporty WSUS. Wybierz z konsoli WSUS Reports, a następnie kliknij na interesujący Ciebie raport, stan wdrożenia aktualizacji, raporty synchronizacji oraz raporty komputerów.

W ramach cyklicznych zadań administracyjnych należy co jakiś czas sprawdzić status synchronizacji z serwerami Microsoft. Trzeba przejrzeć aktualizacje, które wymagają zatwierdzenia przez administratora oraz oczyścić serwer z aktualizacji, które nie są już potrzebne. Wykorzystanie serwera aktualizacji przynosi ogromną korzyść w postaci wzrostu bezawaryjnej pracy na komputerach służbowych. Dobre zaplanowanie harmonogramu aktualizacji zabezpiecza przed nieplanowanym instalowaniem aktualizacji w czasie pracy użytkownika. Dystrybucja poprawek przez serwer aktualizacji znacząco redukuje obciążenie łącza internetowego. Administrator w efektywny sposób może zatwierdzać aktualizacje dla wybranych grup oraz kontrolować ich stan na komputerach służbowych. Wszystkie działania administratora są rejestrowane w konsoli do zarządzania WSUS, dzięki temu można wygenerować różnego rodzaju raporty Update Reports, Computer Reports, Synchronization Reports. Ułatwiają one zarządzanie środowiskiem aktualizacji.

Procedura opisana w artykule umożliwia wdrożenie serwera aktualizacji w ramach organizacji. Więcej szczegółów znajdziesz w dokumentacji firmy Microsoft, którą znajdziesz pod adresem:

https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/get-started/windows-server-update-services-wsus

BLOG

Zobacz inne nasze artykuły

Hyper-V – konfiguracja replikacji dla Windows Serwer 2019

Hyper-V – konfiguracja replikacji dla Windows Serwer 2019

Dane są prawdopodobnie najważniejszym zasobem Twojej firmy. Kiedy projektujesz środowisko informatyczne oraz kopię zapasową, musisz uwzględnić różne możliwe scenariusze utraty zasobów firmy. Utrata może dotyczyć niewielkiej ilości, a nawet wszystkich danych wraz z...

Migracja danych z systemu Android do iOS

Migracja danych z systemu Android do iOS

Stoisz przed dylematem, jakie telefony kupić do firmy, tak aby pracownicy nie narzekali na ich wydajność, oraz, aby wszystkie dane przechowywane w telefonach były bezpieczne i nie dostały się w niepowołane ręce. Na rynku znajduje się szereg urządzeń których, ceny...

Czy warto zamienić dysk HDD na SSD?

Czy warto zamienić dysk HDD na SSD?

Otwierasz dokument, czekasz 5 minut i nic się nie dzieje. Powolne działanie komputera to coś, czego nikt z nas nie chce. Jak można temu zaradzić? Metoda jest prosta – wymień dysk. Technologia przechowywania danych przez ostatnie lata bardzo się zmieniła. Pojawiło się...