Nainstalujte si Internet Explorer 8
Microsoft.com
Vítejte Přihlásit
Zdroje informací pro profesionály v oboru IT
 Formát pro tisk       Odeslat     
Po klepnutí budete moci zaslat hodnocení a názor
TechNet
Knihovna TechNet
MTPS TechNet 10 Migration
 Správa nejen bezpečnostních aktuali...
Správa nejen bezpečnostních aktualizací pomocí WSUS 3.0
Publikováno: 20. února 2007


Autor článku:
Miroslav Knotek

Úvod

Protože se neustále zkracuje doba mezi odhalením chyb zabezpečení a jejich reálným zneužitím, je kriticky důležité pro bezpečnost každého systému identifikovat správnou aktualizaci a zajistit její distribuci v co nejkratším možném čase.

Pro podporu tohoto procesu musí být splněny 3 základní předpoklady:

  • Rychlé vydání spolehlivé aktualizace, která zranitelné místo odstraní

  • IT profesionálové musí mít včas relevantní informace

  • Nástroje, které identifikují zranitelné systémy a udržují je aktualizované, musí být snadno použitelné a efektivní

Přestože se v tomto článku budeme věnovat především novinkám v produktu WSUS 3.0, nejdříve pojďme shrnout jakým způsobem je tento proces podporován ze strany společnosti Microsoft.

Tvorba aktualizací

Microsoft Security Response Center (MSRC) je celosvětový systém k ochraně zákazníků společnosti Microsoft před zneužitím chyb zabezpečení. MSRC proaktivně monitoruje odhalená zranitelná místa a koordinuje činnosti vedoucí k vytvoření bezpečnostní aktualizace. Aktualizace je pak podrobena důkladnému testování z hlediska stability a kompatibility. Teprve pokud projde těmito testy, je tato aktualizace oficiálně vydána. Vydávání aktualizací bylo sjednoceno na každé druhé úterý v měsíci (tzv. Patch Tuesday), což umožňuje zákazníkům lépe plánovat instalaci aktualizací, minimalizovat počet restartů a tím snižovat celkovou nedostupnost systému. V případě kritické chyby ale může být aktualizace vydána i mimo toto určené datum.

Informace

Ke každé chybě zabezpečení je vydán tzv. bulletin zabezpečení společnosti Microsoft, který popisuje dopad této chyby, stupeň závažnosti a nejčastější dotazy související s touto aktualizací zabezpečení. Tyto informace jsou dostupné také formou RSS kanálu nebo si v případě zájmu můžete nechat posílat oznámení přímo do vaší poštovní schránky.

Nástroje pro správu aktualizací

Microsoft nabízí několik nástrojů, které umožňují identifikovat existující aktualizace a nasadit je včas a automatizovaně. Tyto nástroje jsou navrženy tak, aby pokryly požadavky individuálních uživatelů, malých a středních společností i velkých firem. Následující tabulka nabízí přehled těchto nástrojů.

Přehled nástrojů pro správu aktualizací

Identifikace chybějících aktualizací

Microsoft Baseline Security Analyzer (MBSA)

Online služba

Microsoft Update

Automatizovaná správa aktualizací

Automatické aktualizace ve Windows
Windows Server Update Services (WSUS)
SMS 2003

Co je WSUS?

Microsoft Windows Server Update Services (WSUS) je technologie, která umožňuje administrátorům plně spravovat a kontrolovat distribuci aktualizací, které byly publikovány prostřednictvím služby Microsoft Update.

Klikněte pro otevření zvětšeného obrázku v novém okně

Obrázek: Architektura služby WSUS

Celá služba se skládá ze tří komponent:

  • Microsoft Update – web, ze kterého si WSUS server stahuje metadata o aktualizacích i binární soubory potřebné pro jejich instalaci.

  • WSUS server – serverová komponenta, která umožňuje skrze administrátorské rozhraní získávat informace o nových aktualizacích, schvalovat či odmítat aktualizace pro skupiny počítačů, reportovat stav jednotlivých počítačů atd.

  • Automatické aktualizace – služba začleněná do klientů Windows 2000 SP3 a vyšší, která ze serveru WSUS stahuje potřebné aktualizace a iniciuje jejich instalaci.

WSUS 3.0 – klíčové novinky

12. února 2007 byl uvolněn WSUS 3.0 Release Candidate. Pro zájemce je tato verze dostupná ke stažení na Microsoft Connect. Finální verze produktu je ohlášena na 1. polovinu 2007. WSUS 3.0 přináší celou řadu vylepšení v oblasti administrace, dostupnosti, výkonu, síťové zátěže a podpoře komplexní hierarchie serverů.

Mezi klíčové novinky patří:

  • Správa přes MMC 3.0
    Rozhraní pro administraci bylo přesunuto z webu do mudulu snap-in pro MMC 3.0. Kromě větší komfortnosti a přehlednosti nástroj umožňuje správu více WSUS serverů v jednom okně. Každého správce také určitě potěší možnost si nástroj personalizovat dle svých potřeb. Je možné například nadefinovat, které akce se budou zobrazovat na úvodní stránce (tzv. To Do List) nebo si vytvářet vlastní pohledy pro přehledy a reporty.

    Klikněte pro otevření zvětšeného obrázku v novém okně

    Obrázek: Administrátorské rozhraní

    Konzolu je možné také samostatně nainstalovat na Windows XP SP2 a vyšší (včetně Windows Vista).

  • Jednoduché mazání zastaralých informací
    WSUS cleanup wizard umožňuje pohodlně odstranit z WSUS serveru informace o již neexistujících počítačích, nepotřebné aktualizace a aktualizace, jejichž platnost vypršela nebo byly nahrazeny aktualizacemi novějšími.

    Klikněte pro otevření zvětšeného obrázku v novém okně

    Obrázek: WSUS cleanup wizard

  • Zasílání upozornění o nových aktualizacích e-mailem
    Správce může být formou e-mailové zprávy upozorněn na každou nově dostupnou aktualizaci, případně si může nechat pravidelně posílat zprávy o stavu instalace schválených aktualizací.

    Klikněte pro otevření zvětšeného obrázku v novém okně

    Obrázek: Nastavení upozornění

  • Tvorba pravidel pro automatické schvalování
    WSUS 3.0 umožňuje vytvářet pravidla pro automatické schvalování aktualizací na základě jména produktu, typu aktualizace a pro konkrétní počítačovou skupinu. Takže je možné například vytvořit pravidlo, které automaticky schválí k instalaci aktualizace detekčních definic pro Windows Defender na všech počítačích. Takovýchto pravidel je možné nadefinovat neomezené množství.

    Klikněte pro otevření zvětšeného obrázku v novém okně

    Obrázek: Tvorba pravidla pro automatické schvalování

WSUS 3.0 – další novinky

Mezi další zajímavé novinky patří:

  • Připravený průvodce Vám po instalaci pomůže WSUS nakonfigurovat

  • Reporty je možné ukládat ve formátu PDF nebo XLS

  • WSUS je možné monitorovat pomocí agenta pro MOM

  • Synchronizaci je možné naplánovat ke spuštění několikrát denně

  • Skupina WSUS Reporters umožňuje delegovat právo pouze ke čtení pro WSUS

  • Vytvoření reportu pro všechny počítače spravované v jedné WSUS hierarchii (v módu replica)

  • Dostupnost WSUSu je možné zvýšit pomocí NLB

  • Je možné se přepínat mezi módem replica a autonomous bez reinstalace

  • Počítač může být členem několika cílových skupin např. Servers a Exchange Servers

  • A mnoho dalších…

Upgrade z WSUS 2.0 na WSUS 3.0

In-place upgrade je plně podporován, instalační proces zachová veškerá nastavení včetně informací o schválených aktualizacích. Upgrade hierarchie by měl vždy začít od centrálního WSUS serveru, protože WSUS 2.0 může synchronizovat obsah z WSUS 3.0, ale opačně to nelze. Přímý upgrade není možný ze SUS 1.0. Jediná možnost je nejprve provést migraci na WSUS 2.0. Podpora včetně možnosti stahovat nové aktualizace končí pro SUS 10. července 2007.

Závěr

V tomto článku jsme popsali systém vytváření bezpečnostních aktualizací včetně způsobu, jak o nich jsou zákazníci informováni. Stručně jsme vysvětlili princip fungování služby WSUS a seznámili se s novinkami, které nám přináší právě dokončovaná nejnovější verze WSUS 3.0.

Zajímavým výhledem do budoucnosti WSUS bude také jeho pozdější začlenění do rodiny bezpečnostních nástrojů ForeFront. V polovině roku 2007 by se měla objevit klientská verze ForeFront, která bude pro distribuci antivir aktualizací využívat právě WSUS.

Zajímavé odkazy

© 2012 Microsoft. Všechna práva vyhrazena. Právní informace | Ochranné známky | Osobní údaje
Page view tracker