Wraz z rozbudową środowiska IT w firmie oraz rosnącą liczbą stanowisk komputerowych rośnie liczba zadań wykonywanych przez administratorów IT. W obecnym świecie jednym z ważniejszych aspektów zapewnienia ciągłości pracy jest zadbanie o prawidłową dystrybucję aktualizacji. Wychodząc naprzeciw oczekiwaniom dotyczącym dystrybucji aktualizacji firma Microsoft oddaje w nasze ręce Windows Server Update Service.

Regularna aktualizacja systemów informatycznych zapewnia wzrost bezpieczeństwa w organizacji.  Oczywiście zdarzają się aktualizacje po zainstalowaniu których występują błędy, ale ogólnie rzecz biorąc aktualizacja oprogramowania niesie za sobą więcej zalet niż wad.  Głównie dlatego, że poprawki powstają po to, aby usuwać znalezione problemy w aplikacji. Jeżeli producent oprogramowania wydaje poprawkę szczególnie krytyczną oznacza to, że jej niezainstalowanie może narazić komputer na niebezpieczeństwo.

Dobrym przykładem z roku 2021 jest znalezienie podatność Microsoft Exchange. Podatności te zyskały wysoką ocenę dotkliwości oraz są łatwe do wykorzystania. W rzeczywistości oznaczono cztery luki w zabezpieczeniach o sygnaturach:

  • CVE-2021-26855 luka typu server-side request forgery (SSRF).  Wykorzystując podatność SSRF można w nieautoryzowany sposób wykonać polecenia umożliwiające wyciągniecie danych z aplikacji.CVE-2021-26857 — wykorzystywana przez atakujących do uruchamiania kodu na koncie „system” na atakowanym serwerze Exchange.
  • CVE-2021-26858 i CVE-2021-27065 — dwie kolejne podatności zero-day, które pozwalają atakującemu zapisywać pliki w dowolnej części serwera.

Serwery Microsoft Exchange, na których nie zostały zainstalowane aktualizacje niwelujące powyższe podatności, zostały ponownie zaatakowane. Atakujący instalowali na nich ransomware Dearcry, czyli złośliwe oprogramowanie szyfrujące pliki i wymuszające okup za odszyfrowanie.

Windows Server Update Services (w skrócie WSUS) jest to lokalne repozytorium aktualizacji oraz centrum kontroli i monitoringu. Usługa jest dostępna w serwerowych wersjach systemów Microsoft Windows Serwer jako jedna z ról możliwych do zainstalowania. Podstawowym zadaniem pakietu jest pobranie aktualizacji z oficjalnych źródeł Windows Update, a następnie po zaakceptowaniu przez administratora dostarczenie aktualizacji do stacji roboczych w sieci. Administrator z poziomu konsoli centralnego zarządzania jest w stanie zdecydować, które poprawki i dla jakiej grupy urządzeń mają zostać zainstalowane. W przypadku aktualizacji mogących powodować błędy administrator może je odrzucić lub opóźnić ich implementację. Wszystkie operacje wykonywane w lokalnym repozytorium są rejestrowane. Dzięki temu mamy możliwość generować raporty na temat statusu aktualizacji zainstalowanych na komputerach. WSUS pełni rolę lokalnego magazynu aktualizacji, z którego odpowiednio skonfigurowane stanowiska pobierają aktualizacje bezpośrednio z naszego serwera nie obciążając przy tym łącza internetowego.

Wykorzystanie serwera aktualizacji WSUS daje naszej organizacji kilka zalet.

Zabezpiecza nas przed nieplanowanym przestojem w działaniu systemów informatycznych przez aktualizację systemu operacyjnego w godzinach pracy przedsiębiorstwa. Odpowiednia konfiguracja harmonogramu aktualizacji jest w stanie zapobiec instalacji poprawek w czasie pracy użytkowników.

Jeżeli nie została ustawiona reguła automatycznego akceptowania aktualizacji, to administrator WSUS musi zaakceptować każdą aktualizację dla wybranej grupy. Daje mu to możliwość przetestowania aktualizacji przed wdrożeniem na produkcję na wybranej grupie testowej oraz zaplanowanie wdrożenia aktualizacji.

Instalacja Roli WSUS w systemie Windows Server 2019.

Aby zainstalować rolę WSUS należy wykonać następujące kroki:

  • Zaloguj się do serwera Windows 2019, na którym planowane jest zainstalowanie roli serwera WSUS, przy użyciu konta należącego do grupy Administratorzy lokalni.
  • W Server Manager wybierz Manage, a następnie add Roles and Features.
  • Na stronie Before you Begin kliknij Next.
  • Na stronie select installation type wybierz   Role-based or feature-based installation, a następnie kliknij Next.
Server Manager

Na stronie Server Selection sprawdź nazwę serwera i kliknij Next.

Server Manager

W Add Roles and Features Wizard wybierz rolę Windows Server Update Services. Windows Server dołączy również role, które są niezbędne do działania WSUS.

Server Manager

W tym przypadku zostaw wszystko tak jak jest i kliknij Next.

Server Manager

Na Windows Server Update Services wybierz Next.

Server Manager

W tym kroku wybierz tryb połączenia do bazy danych. Domyślnym wyborem jest Windows Internal Database. Baza ta jest instalowana wraz z instalacją WSUS. Drugą opcją, z której możesz skorzystać jest MS SQL zainstalowany na innym serwerze. W przyszłości możliwa jest zmiana z WID na MS SQL. Po zaznaczeniu wybranych opcji kliknij Next.

Server Manager

W kolejnym kroku musisz wybrać lokalizację przechowywania aktualizacji. Rekomendowane jest wybranie innej lokalizacji niż dysk C, ponieważ rozmiar folderu może rosnąć wraz z ilością przechowywanych aktualizacji, a partycje niesystemowe łatwiej jest rozszerzyć.

Server Manager

Na Web Server Role (IIS) kliknij Next.

Server Manager

Role dotyczące serwera sieci Web (ISS) są wybierane automatycznie, zostaw wszystko tak jak jest i kliknij Next.

Server Manager

Potwierdź instalację WSUS klikając na Install.

Server Manager

W ostatnim kroku instalacji kliknij Close.

Server Manager

Konfiguracja WSUS w Systemie Windows Server 2019

Po zainstalowaniu WSUS możesz skonfigurować go przy pomocy kreatora konfiguracji WSUS.  W tym celu zaloguj się na serwer z zainstalowaną usługą WSUS. Następnie wybierz z menu start Windows Administrative Tools, Windows Server Update Service.

Przy pierwszym uruchomieniu ukaże się poniższy ekran, w którym zaakceptuj lub zmień lokalizację przetrzymywania aktualizacji a następnie kliknij Run.

konfiguracja WSUS

Po zakończeniu procesu po instalacyjnego kliknij Close.

konfiguracja WSUS

Otworzy się strona Before you Begin na której kliknij Next.

Windows Server Update

Następnie odznacz opcję Yes I would like to join the Microsoft Update Improvement Program, jeżeli nie chcesz brać udziału w programie.

Windows Server Update

W tym kroku konfiguracji musisz wybrać serwer nadrzędny, do wyboru są dwie opcje:

  • Synchronize from Microsoft Update— wybranie tej opcji przez Ciebie spowoduje pobieranie aktualizacji z Microsoft Update.
  • Synchronize from another Windows Server Update Services server – wybierz tą opcję, jeśli chcesz, aby konfigurowany serwer pobierał aktualizacje z już istniejącego serwera WSUS. Określ nazwę serwera i numer portu (domyślnie 8530). W przypadku wybrania opcji korzystania z protokołu SSL podczas synchronizacji aktualizacji upewnij się, że nadrzędny serwer WSUS jest również skonfigurowany do obsługi szyfrowanej komunikacji.

Wybierz Synchronizuj z Microsoft Update, ponieważ będzie to jedyny serwer WSUS. Następnie kliknij Next.

Windows Server Update

Gdy w środowisku sieciowym występuje serwer proxy, zaznacz opcję Use a proxy server when synchronizing oraz uzupełnij dane uwierzytelniające odpowiednie dla serwera proxy.  Następnie kliknij Next.

Windows Server Update

Na stronie Connect to Upstream Server kliknij Start Connecting.

Windows Server Update

Po zakończeniu procesu łączenia kliknij Next.

Windows Server Update

W sekcji Choose Languages wybierz języki aktualizacji, które mają być przechowywane na serwerze WSUS. W celu zaoszczędzenia miejsca rekomenduje się wybrać tylko te języki, które są wykorzystywane w twojej organizacji i kliknąć Next.

Windows Server Update

W kolejnej sekcji wybierz produkty, dla których mają być przetrzymywane aktualizacje na serwerze aktualizacji. Wybierz Next.

Windows Server Update

Następnie wybierz rodzaje aktualizacji, które mają być przechowywane przez serwer aktualizacji. Po wybraniu interesujących Ciebie aktualizacji kliknij Next.

Windows Server Update

Strona Set Sync Schedule pozwala wybrać sposób przeprowadzania synchronizacji: ręczny lub automatyczny. Po wybraniu opcji Synchronize manually musisz włączać za każdym razem synchronizację z konsoli. Opcja wymuszania synchronizacji ręcznej nie jest rekomendowana w środowisku produkcyjnym.

Wybór Synchronize automatically spowoduje, że synchronizacja będzie następowała automatycznie w określonych odstępach czasu. Ilość codziennych synchronizacji możesz wybrać z listy rozwijanej. Po wybraniu odpowiedniej opcji kliknij Next.

Windows Server Update

Zaznacz opcję Begin initial synchronization I kliknij Next.

Windows Server Update

Na ekranie końcowym kliknij Finish.

Windows Server Update

Kolejnym krokiem po zainstalowaniu i skonfigurowaniu WSUS będzie przygotowanie komputerów w organizacji do współpracy z serwerem aktualizacji.

Do określenia źródła aktualizacji w środowisku Active Directory użyjesz zasad grup. W tym ceku zaloguj się na kontroler domeny, z menu wybierz Windows Administrative Tools a następnie Group Policy Management. 

Otwórz istniejącą zasadę grupy lub utwórz nową. W zasadzie grupy przejdź do Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update.  Wybierz Configure Automatic Updates następnie zaznacz Enable i wybierz sposób dostarczania aktualizacji oraz kiedy mają być instalowane.

Computer Configuration

Kolejną ważną rzeczą, którą powinieneś skonfigurować jest określenie lokalizacji intranetowej usługi aktualizacji firmy Microsoft. Ideą tej zasady grupy jest poinformowanie komputerów o istnieniu intranetowego serwera aktualizacji. W przypadku, w którym to ustawienie nie zostanie skonfigurowane, komputery nie będą wiedziały o lokalnym źródle poprawek.  Przy wykorzystaniu połączenia szyfrowanego należy na końcu wpisać port 8531.

usługi aktualizacji firmy Microsoft

Po uruchomieniu konsoli WSUS zobaczysz dwie domyślne grupy komputerów — All computers i Unassigned computers. Przed wdrożeniem aktualizacji w organizacji warto je przetestować na wybranej grupie. W tym celu utwórz grupę testową. Rozwiń nazwę serwera WSUS, następnie Computers. Kliknij prawym przyciskiem na All computers i z menu rozwijanego wybierz Add computer Group. Podaj nazwę dla grupy testowej i kliknij Add.

konsola WSUS

Po kliknięciu na grupę All computers powinieneś zobaczyć wszystkie komputery, które nawiązały połączenie z serwerem aktualizacji. Zaznacz wybrane komputery i kliknij na nich prawym przyciskiem następnie wybierz Change Membership z menu rozwijanego.

konsola WSUS

W oknie Set Computer Group Membership zaznacz nowo utworzoną grupę i kliknij ok.

konsola WSUS

W nowo utworzonej grupie powinny być widoczne przeniesione komputery.

konsola WSUS

Po utworzeniu grupy testowej Windows10 należy zatwierdzić aktualizacje, które mają zostać wdrożone. Uruchom konsolę administracyjną WSUS, a następnie kliknij Updates and All Updates. W sekcji All Updates wybierz aktualizacje, które chcesz zatwierdzić dla grupy testowej  kliknij prawym przyciskiem na wybranych aktualizacjach. Wybierz Approve.

konsola WSUS

W oknie Approve Updates na grupie testowej Windows 10 kliknij prawym przyciskiem i wybierz Approved for Install a następnie kliknij OK.

Approve Updates

Po kliknięciu OK zostanie wyświetlone okno Approval Progress, które pokazuje postęp zadań mających na celu zatwierdzenie aktualizacji. Po zakończeniu procesu akceptacji kliknij Close.

Approval Progress

Zatwierdzanie aktualizacji może również odbyć się w sposób automatyczny. Powinieneś w tym celu skonfigurować regułę automatycznego zatwierdzania w usługach Windows Server Update Services. Uruchom konsolę administracyjną, następnie rozwiń serwer WSUS i wybierz Options. W Options wybierz Automatic Approvals. W oknie zobaczysz domyślną regułę automatycznego zatwierdzania, którą możesz edytować i używać.  W tym miejscu utwórz nowe reguły automatycznego zatwierdzania aktualizacji. Kliknij na New Rule.

Automatic Approvals

Zaznacz pole When an update is in a specific classification i wybierz klasyfikację aktualizacji, następnie przypisz regułę dla wybranej grupy. Na koniec ustaw termin zatwierdzenia aktualizacji i określ nazwę reguły.

Add rule

Po utworzeniu reguły trzeba ją uruchomić. Zaznacz kwadracik po lewej stronie na wybranej regule i kliknij Run Rule.

Automatic Approvals

Ostatnią sekcją, która zostanie omówiona w artykule są raporty WSUS. Wybierz z konsoli WSUS Reports, a następnie kliknij na interesujący Ciebie raport, stan wdrożenia aktualizacji, raporty synchronizacji oraz raporty komputerów.

WSUS Reports

W ramach cyklicznych zadań administracyjnych należy co jakiś czas sprawdzić status synchronizacji z serwerami Microsoft. Trzeba przejrzeć aktualizacje, które wymagają zatwierdzenia przez administratora oraz oczyścić serwer z aktualizacji, które nie są już potrzebne. Wykorzystanie serwera aktualizacji przynosi ogromną korzyść w postaci wzrostu bezawaryjnej pracy na komputerach służbowych. Dobre zaplanowanie harmonogramu aktualizacji zabezpiecza przed nieplanowanym instalowaniem aktualizacji w czasie pracy użytkownika. Dystrybucja poprawek przez serwer aktualizacji znacząco redukuje obciążenie łącza internetowego. Administrator w efektywny sposób może zatwierdzać aktualizacje dla wybranych grup oraz kontrolować ich stan na komputerach służbowych. Wszystkie działania administratora są rejestrowane w konsoli do zarządzania WSUS, dzięki temu można wygenerować różnego rodzaju raporty Update Reports, Computer Reports, Synchronization Reports. Ułatwiają one zarządzanie środowiskiem aktualizacji.

Procedura opisana w artykule umożliwia wdrożenie serwera aktualizacji w ramach organizacji. Więcej szczegółów znajdziesz w dokumentacji firmy Microsoft, którą znajdziesz pod adresem:

https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/get-started/windows-server-update-services-wsus

Czy potrzebujesz wsparcia w obszarze usług IT? Support Online to firma outsourcingowa oferująca nowoczesne rozwiązania technologiczne w zakresie obsługi informatycznej. Naszą współpracę rozpoczniemy od audytu IT a następnie zaproponujemy najlepsze rozwiązania dla Twojej firmy. Nie zwlekaj i pozwól nam zadbać o środowisko informatyczne i bezpieczeństwo danych w Twojej organizacji.


Mateusz Kierczyński
Administrator IT w Support Online