.png "Zarządzanie kontami zarejestrowanych komputerów w Windows Intune"){kind=icon}
.png "Windows Intune – zarządzanie prosto z chmury")
.png "Windows Intune a licencjonowanie"){kind=icon}
Zarządzanie aktualizacjami za pomocą Windows Intune
.png "Udostępnij na: Facebook")
Autor: Marek Krupa
Opublikowano: 2011-05-26
Z poprzedniego artykułu dowiedziałeś się, w jaki sposób można grupować konta komputerów w systemie Windows Intune. Dowiedziałeś się też, jak tworzyć nowe grupy komputerów oraz przypisywać do nich konta komputerów.
W tym artykule zostanie przedstawiony temat zarządzania aktualizacjami za pomocą Windows Intune.
Wprowadzenie
Jednym z ważniejszych elementów ochrony systemów komputerowych jest zarządzanie aktualizacjami systemów operacyjnych oraz zainstalowanych aplikacji klienckich. Brak zainstalowanych aktualizacji krytycznych może doprowadzić do naruszenia bezpieczeństwa. Z drugiej strony jednak instalowanie wszystkich poprawek bez wcześniejszego sprawdzenia i przetestowania może spowodować przestój w działaniu systemów biznesowych.
Od kilku lat firma Microsoft proponuje swoim klientom zarządzanie aktualizacjami za pomocą serwerów WSUS oraz SCCM. Serwer WSUS jest darmowym rozwiązaniem dla użytkowników posiadających licencję na serwer. Oprócz tej licencji musimy posiadać jeszcze odpowiednią infrastrukturę fizyczną. Architektura zarządzania aktualizacjami za pomocą serwera WSUS została pokazana na rysunku 1.
.jpg "Architektura zarządzania aktualizacjami za pomocą serwera WSUS")
**Rys. 1. Architektura zarządzania aktualizacjami za pomocą serwera WSUS.
Windows Intune i aktualizacje
Jedną z zalet usługi Windows Intune jest możliwość zarządzania aktualizacjami na zarejestrowanych komputerach. W przeciwieństwie do innych rozwiązań, typu WSUS czy SCCM, po stronie sieci firmowej nie jest wymagany żaden dodatkowy serwer. Architektura zarządzania aktualizacjami za pomocą usługi Windows Intune została pokazana na rysunku 2.
.jpg "Architektura zarządzania aktualizacjami za pomocą usługi Windows Intune")
**Rys. 2. Architektura zarządzania aktualizacjami za pomocą usługi Windows Intune.
Usługa Windows Intune sprawdza bezpośrednio w Windows Update dostępne aktualizacje. Lista tych aktualizacji jest dostępna w panelu sterowania. Po zatwierdzeniu przez administratora aktualizacje są instalowane na wybranych komputerach.
Zarządzanie aktualizacjami za pomocą Windows Intune
W panelu administracyjnym Windows Intune, klikając ikonę Updates (rys. 3) uzyskamy dostęp do widoku UpdatesOverview.
W widoku tym będą widoczne wszystkie zdarzenia związane z wdrażaniem aktualizacji. Na rysunku 3 widać, że w tym przykładzie jedna aktualizacja wygenerowała błąd, natomiast 238 innych wymaga zatwierdzenia.
.jpg "Przegląd aktualizacji na zarządzanych komputerach")
**Rys. 3. Przegląd aktualizacji na zarządzanych komputerach.
Zarządzanie aktualizacjami należy rozpocząć od skonfigurowania automatycznego zatwierdzania aktualizacji oraz typu produktów, które chcemy aktualizować.
Proces konfiguracji możemy rozpocząć, klikając łącze Select Classifications and Products w obszarze Tasks lub przejść do Administration -> Updates. Po kliknięciu łącza pojawi się okno konfiguracji usługi Updates (rys. 4).
.jpg "Wybór kategorii produktów")
**Rys. 4. Wybór kategorii produktów.
W pierwszym kroku należy wybrać kategorie produktów, które mają być aktualizowane (rys. 4). Do wyboru mamy bardzo wiele kategorii, począwszy od paska wyszukiwarki Bing, przez narzędzia developerskie (Visual Studio), pakiety Microsoft Office (od wersji 2002/XP), oprogramowanie do wirtualizacji systemów aż po systemy operacyjne.
Następnie należy wybrać typy aktualizacji, które mają być wdrażane na zarządzanych systemach (rys. 5).
.jpg "Wybór klasyfikacji aktualizacji")
**Rys. 5. Wybór klasyfikacji aktualizacji.
Do wyboru mamy następujące klasyfikacje:
- Critical updates – aktualizacje zawierające rozwiązania jakiegoś konkretnego problemu zdefiniowanego jako krytyczny, nie są związane z bezpieczeństwem.
- Security updates – aktualizacje związane z wykrytymi lukami w zabezpieczeniach.
- Definition updates – aktualizacje związane z określonymi produktami posiadającymi bazę definicji, np. definicje dla programów antywirusowych.
- Feature packs – nowe funkcjonalności dla produktów, które wcześniej ukazują się jako aktualizacje; najczęściej wchodzą w skład nowej wersji określonego produktu.
- Service Packs – zestawienia wszystkich przetestowanych aktualizacji dla określonego produktu.
- Tools – dodatkowe narzędzia.
- UpdatesRollups – pakiety zbiorcze zawierające wszystkie przetestowane aktualizacje związane z określonym produktem, np. Internet Information Services. Tego typu aktualizacje są kumulowane w celu ich łatwiejszego wdrażania.
- Updates – wszystkie aktualizacje rozwiązujące jakiś problem, który nie został zdefiniowany jako krytyczny oraz związany z bezpieczeństwem.
Po wybraniu interesujących nas typów aktualizacji można przejść do ostatniego etapu – zdefiniowania reguł automatycznego zatwierdzania aktualizacji (rys. 6).
.jpg "Konfigurowanie reguł automatycznego zatwierdzania aktualizacji")
**Rys. 6. Konfigurowanie reguł automatycznego zatwierdzania aktualizacji.
Automatyczne zatwierdzanie aktualizacji jest mechanizmem umożliwiającym instalowanie wybranych kategorii aktualizacji na określonych grupach komputerów w sposób automatyczny po ich opublikowaniu. W określonych przypadkach nie będzie potrzebna żadna interwencja administratora, aby aktualizacje zostały zatwierdzone i zainstalowane.
W celu utworzenia nowej reguły automatycznego zatwierdzania należy kliknąć przycisk New… (rys. 6).
Uruchomiony zostanie kreator tworzenia nowej reguły automatycznego zatwierdzania aktualizacji. Kreator składa się z czterech kroków. Wszystkie kroki pokazane zostały na rysunku 7.
.jpg "Kreator tworzenia nowej reguły automatycznego zatwierdzania aktualizacji")
**Rys. 7. Kreator tworzenia nowej reguły automatycznego zatwierdzania aktualizacji.
W pierwszym kroku należy wpisać nazwę reguły. W drugim trzeba wybrać produkty, które mają być automatycznie zatwierdzane. W kolejnym kroku określamy typy aktualizacji, które mają podlegać automatycznemu zatwierdzaniu. Ostatnim krokiem jest wybranie grupy komputerów, na których zdefiniowane aktualizacje mają być automatycznie zatwierdzone i instalowane.
Po skonfigurowaniu wszystkich czterech kroków i kliknięciu przycisku Finish na liście reguł pojawi się zdefiniowana przez nas reguła. Po wybraniu reguły po prawej stronie pojawią się szczegóły w niej zdefiniowane (rys. 8).
.jpg "Lista reguł automatycznego zatwierdzania aktualizacji")
**Rys. 8. Lista reguł automatycznego zatwierdzania aktualizacji.
Wybraną regułę możemy edytować, usunąć lub natychmiast uruchomić.
Jeżeli wszystkie opcje zostaną zdefiniowane, należy kliknąć Save, aby zachować wprowadzone zmiany.
Przeglądanie i ręczne zatwierdzanie aktualizacji
W obszarze Updates -> AllUpdates można przejrzeć listę wszystkich dostępnych aktualizacji. Lista aktualizacji oprócz nazwy zawiera klasyfikację aktualizacji oraz status zatwierdzenia (tak lub nie). Wszystkie aktualizacje dla ułatwienia zostały dodatkowo pogrupowane na krytyczne, bezpieczeństwa, definicje, serwis paczki, pakiety zbiorcze i obligatoryjne.
.jpg "Lista aktualizacji dotyczących bezpieczeństwa")
**Rys. 9. Lista aktualizacji dotyczących bezpieczeństwa.
Na rysunku 9 pokazano listę aktualizacji związanych z bezpieczeństwem. Listę aktualizacji można zawęzić poprzez wpisanie określonego ciągu w polu wyszukiwania. Na rysunku 9 zostały wyświetlone wszystkie aktualizacje związane z bezpieczeństwem, w których nazwach pojawia się ciąg Windows 7. W polu Filtr dodatkowo można zawęzić listę wyświetlonych aktualizacji poprzez wybranie odpowiedniego filtru, np. nowe aktualizacje wymagające zatwierdzenia.
Zaznaczając dowolną aktualizację, w obszarze poniżej listy pojawią się dodatkowe informacje dotyczące wybranej aktualizacji, np. opis, informacja o produkcie, jakiego dotyczą, numer artykułu z bazy wiedzy (wraz z łączem do artykułu) oraz dodatkowe informacje, takie jak: czy wymagany jest restart systemu, czy ingerencja użytkownika. Wybraną aktualizację możemy zatwierdzić, klikając w górnym menu łącze Approve.
.jpg "Zatwierdzanie aktualizacji")
**Rys. 10. Zatwierdzanie aktualizacji.
Po kliknięciu przycisku Approve pojawi się okno, w którym możemy wybrać grupę komputerów, dla której zatwierdzamy aktualizację (rys. 10). Wybierając z menu Set Deadline, możemy zdefiniować ostateczny termin, w którym aktualizacja musi zostać zainstalowana (rys. 10).
W czym WSUS jest lepszy od Windows Intune
Architektury instalowania aktualizacji oparte na serwerze WSUS oraz Windows Intune zostały już opisane. Jako plus dla usługi Windows Intune zaznaczono, że po stronie sieci lokalnej nie jest wymagana żadna dodatkowa infrastruktura. Ten plus może być równocześnie minusem dla całej infrastruktury. Wyobraźmy sobie, że zainstalować trzeba poprzez mechanizm aktualizacji service pack wielkości 200 MB. W przypadku serwera WSUS plik 200 MB jest tylko raz pobierany z Windows Update, a następnie wszyscy klienci pobierają go z lokalnego serwera. Nawet gdy po trzech miesiącach pojawi się nowy komputer, który będzie wymagał tej aktualizacji, to również zostanie ona pobrana z lokalnego serwera. Zupełnie inaczej jest w przypadku Windows Intune – tutaj każdy zarządzany komputer będzie musiał pobrać plik 200 MB z Internetu. Niewątpliwie będzie to miało znaczący wpływ na łącze internetowe.
Rozwiązaniem tego problemu może być zastosowanie serwera PROXY, który będzie buforował cały ruch internetowy (rys. 11).
.jpg "Architektura zarządzania aktualizacjami z wykorzystaniem serwera PROXY")
**Rys. 11. Architektura zarządzania aktualizacjami z wykorzystaniem serwera PROXY.
W takim przypadku ściągany plik zostanie zapisany w buforze serwera PROXY, skąd pobiorą go następnie klienci Windows Intune.
Podsumowanie
W artykule omówiono sposób zarządzania aktualizacjami za pomocą usługi Windows Intune. Dowiedziałeś się, jak skonfigurować usługę, w tym jak zdefiniować reguły automatycznego zatwierdzania aktualizacjami. Dowiedziałeś się również, jak przeglądać aktualizacje oraz jak dokonywać ręcznego ich zatwierdzania.