Windows_wsus_patching-issue

معرفی سرویس Windows Server Update Service – WSUS

معرفی سرویس Windows Server Update Service – WSUS

امروزه استفاده از نرم افزارهای امنیتی مثل فایروال ها و آنتی ویروس ها اولین گام در بالا بردن امنیت سیستم است، اما گام دوم به روز رسانی سیستم عامل و نرم افزارهای درونی آن است. مایکروسافت در این خصوص سرویس WSUS را ارائه نموده است.

وظیفه این سرویس دریافت و انتشار Update ها در شبکه است.

کلاینت ها هم به جای این که از طریق اینترنت Update شوند از طریق سرور WSUS این Update را دریافت می کنند.

مدیریت نرم افزار WSUS از طریق یک واسط Web انجام می گیرد. Admin شبکه می تواند یک گزارش از هر کلاینت در شبکه در مورد Update شدن یا نشدن را مشاهده کند.

در ویندوز سرور ۲۰۱۲ این سرویس در قالب یک Role ارائه شده است. برای امنیت هم از SHA256 بهره می گیرد.

از پورت ۸۵۳۰ برای HTTP و ۸۵۳۱ برای HTTPS استفاده می کند.

برای پایگاه داده هم از SQL استفاده می کند و برای کار به IIS و .NET هم نیاز دارد.

نصب WSUS

سه استراتژی برای نصب وجود دارد.

در استراتژی اول WSUS سرور به شبکه داخلی و اینترنت متصل بوده و Update ها را مستقیما از Update Center  سایت مایکروسافت دانلود کرده در نهایت کاربران شبکه با WSUS  سرور ارتباط برقرار کرده و Update ها را از آن دریافت می کنند.

در استراتژی دوم  دو  WSUS سرور وجود دارد اما در سازمان های بزرگ این ساختار چندین  WSUS سرور را در بر می گیرد. فرض را بر پیاده سازی سیستم به روز رسانی مرکزی برای یک سازمان با یک ساختمان مرکزی و چندین ساختمان دیگر می گذاریم. .برای این که ترافیک شبکه بالا نرود یک WSUS  سرور را در ساختمان مرکزی قرار می دهیم که به اینترنت متصل بوده و از سایت مایکروسافت Update ها را دانلود می کند که اصطلاحا به آن Upstream  سرور می گویند و در هر ساختمان نیز WSUS  سرور هایی با عنوان Downstream  سرور قرار می دهیم که این Downstream ها آپدیت های مورد نیاز را از  Upstream سرور دریافت می کنند. و در نهایت کلاینت ها آپدیت ها را از Downstream  سرور ها دریافت و نصب می کنند.

در استراتژی سوم برای سازمانهای نظامی، اطلاعاتی و هر سازمانی که محرمانه باقی ماندن اطلاعات برای آن امری ضروریست، شبکه ای ایزوله در نظر گرفته می شود. در چنین شرایطی امکان اتصال به اینترنت و دانلود آپدیت ها در شبکه ممکن نیست در حالی که سیستم های چنین سازمانهایی هم نیازمند بروزرسانی می باشند. بنابراین از یک WSUS سرور متصل به اینترنت در خارج از محدوده شبکه سازمان برای دانلود آپدیت ها استفاده می کنند و در نتیجه آپدیت ها را به کمک حافظه های جانبی همچون DVD  و Flash ، بصورت آفلاین به WSUS  سرور موجود در شبکه ایزوله سازمان انتقال می دهند تا کاربران شبکه بتوانند آپدیت های مورد نیاز خود را دریافت کنند.

قبل از نصب Role مورد نظر برای WSUS بهتر است برای این که سیستم برای دانلود Update ها قادر به استفاده از پهنای باند بیکار اینترنت باشد و سرعت اینترنت سازمان دچار اختلال نشود قابلیت  BITS را فعال کنید.

Windows Server Update Service WSUS

سپس Role مربوط به سرویس WSUS را نصب نمایید.

 

Windows Server Update Service WSUS

مراحل نصب آغاز می شود، در بخشی از شما می خواهد که محل Local و یا Remote ذخیره کردن Update ها را وارد نمایید که شما بر اساس استراتژی خود می توانید آدرس یک فولدر Local و یا Remote را در آن وارد کنید.

برای اجرا هم Role Windows Server Update Service را نصب کنید. بعد از نصب وقتی برنامه را اجرا می کنید، پنجره ای نمایان می شود که ابتدا از شما می خواهد محل ذخیره شدن Update ها را تعیین کنید.

در مراحل بعدی در مورد زبان های Update و نرم افزارهای مایکروسافت که می توانید Update کنید که پیش فرض Windows و Office است،سوال می شود و سپس به سایت مایکروسافت Connect می شود.

Picture3

برای تنظیم Update در کلاینت ها نیز معمولا یک GPO با نام WSUS می سازید و به Domain یا OU مورد نظر خود Link می کنید و پس از Edit کردن به آدرس زیر مراجعه کنید.

Computer Configuration à Policies à Administrative Templates à Windows Components à Windows Update

پس از وارد شدن به این آدرس Policy با نام Configure Automatic Update را انتخاب کرده و Enable کنید.

سپس Policy دیگری با نام Specify Intranet Microsoft Update Service Location را باز کرده و پس از Enable کردن آدرس سرور WSUS را به شکل http://WSUSserver.CBTNET.ir:8530 وارد می کنید.

در صورت نیاز می توانید از HTTPS و پورت ۸۵۳۱ نیز استفاده کنید.

برای سریع اعمال شدن نیز می توانید فرمان زیر را در CMD اجرا کنید.

C:\Users\Administrator> WUAUCLT.exe/detectnow

Picture4

 

نظرات