Projektowanie Bezpieczeństwa Sieci i Serwerów

Łódź, 11.12.2009

Mariusz Witczak

Bartosz Matusiak

1

Instalacja i konfiguracja serwera WSUS

Program Windows Server Update Services 3.0 to zaawansowane narzędzie służące do

zarządzania aktualizacjami w sieci. Głównym zadaniem serwera WSUS jest synchronizacja aktualizacji

dla wyznaczonych produktów z serwerami Windows Update firmy Mircrosoft oraz zarządzanie nimi

w lokalnej sieci. Zastosowanie serwera WSUS umożliwia administratorowi centralne zarządzanie

aktualizacjami dla komputerów współpracujących z serwerem WSUS, a także zmniejsza ruch w sieci

ponieważ aktualizację pobierane są z serwera WSUS, a nie serwera Windows Update.

Celem ćwiczeń jest zapoznanie się z procesem instalacji oraz konfiguracji serwera WSUS, a także

konfiguracji komputerów klienckich.

Ćwiczenie 1 – Instalacja serwera WSUS

0. Upewnić się, że komputer z zainstalowanym systemem Windows Server 2008 ma zapewniony

dostęp do Internetu. Jeżeli wykorzystywana jest maszyna wirtualna z systemem Windows Server

2008 należy jej kartę sieciowa skojarzyć kartą sieciową hosta zapewniającą dostęp do Internetu.

Należy także pamiętać o prawidłowej konfiguracji IP karty sieciowej (w pracowni z DHCP).

1. Aby skonfigurować serwer WSUS należy zalogować się do Windows Server 2008, a następnie

uruchomić Start -> Programs -> Administrative Tools -> Server Manager.

2. Pojawi się okno do zarządzania serwerem. Należy ot wierzyć Roles, a następnie wybrać

Add Roles.

Projektowanie Bezpieczeństwa Sieci i Serwerów

Łódź, 11.12.2009

Mariusz Witczak

Bartosz Matusiak

2

3. Po otworzeniu okna pojawia się list ról serwera, które można zainstalować. Wybieramy Windows

Server Update Services. Automatycznie powinna się również zaznaczyć rola Web Server (IIS),

która jest niezbędna do funkcjonowania serwera WSUS.

Jeżeli rola Windows Server Update Services nie jest widoczna na liście wyboru, należy zaznaczyć

jedynie rolę Web Server (IIS), a po zakończeniu pracy instalatora ról uruchomić osobny instalator

roli Windows Server Update Services.

4. W oknie wyboru usług Web Servera (IIS) należy wybrać przede wszystkim usługę ASP.NET,

wszystkie usługi z grupy Security, usługę Dynamic Content Compression, wszystkie usługi z grupy

Management Tools oraz inne wymagane do ich poprawnego funkcjonowania. Można również

wybrać dodatkowe usługi. Opis każdej z nich jest wyświetlany w prawej części okna. (Jeżeli IIS był

już wcześniej zainstalowany jego instalacja może przebiegać inaczej w zależności od wcześniejszej

konfiguracji).

Projektowanie Bezpieczeństwa Sieci i Serwerów

Łódź, 11.12.2009

Mariusz Witczak

Bartosz Matusiak

3

5. W oknie podsumowania sprawdzamy wybrane opcje instalacji. Na tym etapie można się cofnąć

i dokonać stosowanych zmian lub jeśli wszystko zostało zaznaczone prawidłowo przejść do

instalacji wybierając Install.

6. Jeżeli na liście wyboru ról była widoczna i została wybrana rola Windows Server Update Services

zostanie uruchomiony kreator instalacji serwera WSUS. W przeciwnym wypadku po zakończeniu

działania instalatora ról należy uruchomić osobny instalator roli Windows Server Update Services.

Projektowanie Bezpieczeństwa Sieci i Serwerów

Łódź, 11.12.2009

Mariusz Witczak

Bartosz Matusiak

4

7. Jeżeli Microsoft Report Viewer 2008 nie jest zainstalowany zostanie wyświetlona informacja

o konieczności jego instalacji, aby było możliwe przeglądanie raportów serwera WSUS.

8. Następne okno dotyczy wyboru folderu w którym będą przechowywane aktualizacje dla

komputerów klienckich. Wymagany jest dysk sformatowany w systemie plików NTFS oraz

minimum 6 GB wolnego miejsca. Po wskazaniu folderu C:\WSUS należy wybrać Next.

9. Kolejny etap to wskazanie bazy danych. Do wyboru są trzy opcje:

• instalacji nowej bazy na lokalnym komputerze;

• podanie ścieżki do istniejącej bazy na lokalnym komputerze;

• podanie ścieżki do bazy umieszczonej na innym serwerze.

W ćwiczeniu należy wybrać instalację nowej bazy na lokalnym komputerze, tak jak na rysunku.

Projektowanie Bezpieczeństwa Sieci i Serwerów

Łódź, 11.12.2009

Mariusz Witczak

Bartosz Matusiak

5

10. Następnie trzeba wybrać ustawienia dla strony Web serwera WSUS. Można wykorzystać już

istniejącą domyślna stronę serwera IIS lub utworzyć nową tylko dla serwera WSUS.

W ćwiczeniu należy wybrać utworzenie nowej strony.

11. Następnie należy sprawdzić wszystkie ustawienie i potwierdzić je wybierając Next lub poprawić

cofając się do poprzednich okien korzystając z przycisku Back. Po zatwierdzeniu następuje

instalacja serwera WSUS.

12. Po zakończonej instalacji należy zainstalować Microsoft Report Viewer 2008 (jeżeli został

uruchomiony kreator konfiguracji serwera WSUS nie należy go zamykać).

Projektowanie Bezpieczeństwa Sieci i Serwerów

Łódź, 11.12.2009

Mariusz Witczak

Bartosz Matusiak

6

2. Konfiguracja serwera WSUS

1. Po zakończeniu instalacji zostanie uruchomiony kreator konfiguracji serwera WSUS.

Pierwszą czynnością jaka należy wykonać w trakcie konfiguracji jest podanie serwera aktualizacji,

z którego zainstalowany serwer WSUS ma pobierać aktualizacje (proces ten jest nazywany

synchronizowaniem). Można ustawić synchronizację z serwera Microsoft Update lub z innym

serwerem WSUS, który będzie serwerem nadrzędnym. W ramach ćwiczenia należy wybrać

synchronizację z serwerem Microsoft Update.

2. Nastąpi synchronizacji serwera WSUS, w trakcie której zostaną pobrane informacje o produktach

dla których są dostępne aktualizacje.

3. Kolejny krok to wybór języka aktualizacji, które mają być pobierane.

Należy wybrać jak na rysunku.

4. W oknie wyboru produktów dla których mają być pobierane aktualizacje należy wybrać całą

rodzinę systemów Windows.

Projektowanie Bezpieczeństwa Sieci i Serwerów

Łódź, 11.12.2009

Mariusz Witczak

Bartosz Matusiak

7

5. Następnie można sprecyzować, które klasy aktualizacji chcemy synchronizować.

6. Synchronizacja może być uruchamiana ręcznie lub automatycznie.

W ćwiczeniu należy wybrać automatycznie o godzinie 3:00 każdego dnia (w nocy serwer jest

mniej obciążony, a także zapotrzebowanie na przepustowość sieci jest mniejsze).

Projektowanie Bezpieczeństwa Sieci i Serwerów

Łódź, 11.12.2009

Mariusz Witczak

Bartosz Matusiak

8

7. Można także wybrać uruchomienie synchronizacji po zakończeniu kreatora konfiguracji

(w warunkach laboratoryjnych powinno być odznaczone).

8. Należy zakończyć działanie kreatora.

9. Jeżeli do serwera WSUS nie jest podłączony żaden komputer kliencki może pojawić się

komunikat, że żaden komputer nigdy nie kontaktował się z serwerem.

Projektowanie Bezpieczeństwa Sieci i Serwerów

Łódź, 11.12.2009

Mariusz Witczak

Bartosz Matusiak

9

3. Zarządzanie serwerem WSUS i aktualizacjami

1. Do zarządzania serwerem WSUS oraz aktualizacjami służy konsola Windows Server Update

Services. Można ja uruchomić z narzędzi administracyjnych lub uruchamiając mmc.exe i dodając

przystawkę (Snap-in) Update Services.

2. Dodaj nową grupę komputerów o nazwie Workstations.

Projektowanie Bezpieczeństwa Sieci i Serwerów

Łódź, 11.12.2009

Mariusz Witczak

Bartosz Matusiak

10

3. W opcjach komputerów (patrz rysunek) ustaw aby komputery były dołączane do grup przy użyciu

konsoli Update Services.

4. Otwórz reguły automatycznego zatwierdzania aktualizacji (patrz rysunek) i utwórz nową regułę o

nazwie Critical and Security Updates for Workstations.

5. Reguła ma zapewniać zatwierdzanie aktualizacji krytycznych oraz aktualizacji zabezpieczeń dla

produktów z rodziny Windows dla wszystkich komputerów z grupy Workstations.

Projektowanie Bezpieczeństwa Sieci i Serwerów

Łódź, 11.12.2009

Mariusz Witczak

Bartosz Matusiak

11

6. Ustaw powiadamianie e-mailem raz dziennie o godzinie 23:00 na adres admin@kisN.local, gdzie

N to nr komputera w pracowni. Jako serwer smtp podaj smtp.kis1.local a jako nadawcę WSUS z

adresu e-mail wsus@kisN.local.

7. W ustawieniach personalizacji można sprawdzić jakie czynności jeszcze powinny zostać

wykonane.

8. Uruchom kreator oczyszczania serwera z domyślnymi parametrami.

Projektowanie Bezpieczeństwa Sieci i Serwerów

Łódź, 11.12.2009

Mariusz Witczak

Bartosz Matusiak

12

9. Sprawdź status przeprowadzonych synchronizacji.

10. Wygeneruj raport podsumowujący status aktualizacji (Update Status Summary).

Projektowanie Bezpieczeństwa Sieci i Serwerów

Łódź, 11.12.2009

Mariusz Witczak

Bartosz Matusiak

13

4. Konfigurowanie klientów do korzystania z serwera WSUS

1. Używając Server Manager utwórz OU o nazwie Laboratorium bezpośrednio w domenie kisN.local,

gdzie N to nr komputera w pracowni (należy użyć Roles->Active Directory Domain

Services->Active Directory Users and Computers)

2. Utwórz nowe GPO o nazwie Updates from WSUS i podepnij je do OU Laboratorium

(należy użyć Features->Group Policy Management)

3. Edytuj stworzone GPO.

4. Rozwiń węzeł Computer Configuration, nastepnie węzeł Policies, Administrative Templates,

Windows Components, a następnie kliknij pozycję Windows Update.

5. W okienku szczegółów kliknij dwukrotnie pozycję Configure Automatic Updates.

6. Kliknij pozycję Enabled, a następnie kliknij jedną z następujących opcji:

• (2) Powiadom o pobieraniu i powiadom o instalacji. Ta opcja służy do powiadamiania

zalogowanego użytkownika administracyjnego przed pobraniem i przed zainstalowaniem

aktualizacji.

• (3) Pobierz automatycznie i powiadom o instalacji. W przypadku tej opcji pobieranie

aktualizacji rozpoczyna się automatycznie, a następnie zalogowany użytkownik

administracyjny jest powiadamiany o zamiarze ich zainstalowania.

• (4) Pobierz automatycznie i zaplanuj instalację. W przypadku tej opcji aktualizacje są

pobierane automatycznie, po czym są instalowane w określonym dniu i o określonej

godzinie.

• (5) Zezwalaj lokalnemu administratorowi na wybranie ustawienia.

W przypadku tej opcji administratorzy lokalni mogą wybierać opcje konfiguracji za

pomocą apletu Aktualizacje automatyczne w Panelu sterowania. Na przykład mogą oni

wybrać własną planowaną godzinę instalacji. Administratorzy lokalni nie mogą wyłączać

Aktualizacji automatycznych.

7. Wybierz Auto download and notify for install, ustaw harmonogram codziennie o godzinie 8:00,

a następnie kliknij przycisk OK.

Projektowanie Bezpieczeństwa Sieci i Serwerów

Łódź, 11.12.2009

Mariusz Witczak

Bartosz Matusiak

14

8. W okienku szczegółów kliknij dwukrotnie pozycję Specify intranet Microsoft update service

location.

9. Kliknij pozycję Enabled. W polach adresów wprowadź adres serwera WSUS

http://serwerN.kisN.local, gdzie N to nr komputera w pracowni. Potwierdź ustawienia klikając

przycisk OK.

Uwaga

Jeśli do wskazywania komputerowi serwera WSUS jest używany lokalny obiekt zasad grupy, to

ustawienie jest stosowane natychmiast i wkrótce nazwa tego komputera jest wyświetlana w konsoli

administracyjnej programu WSUS. Ręcznie inicjując cykl wykrywania, można przyspieszyć ten proces.

Po skonfigurowaniu komputera klienckiego i upływie kilku minut jego nazwa zostanie

wyświetlona na stronie Komputery w konsoli administracyjnej programu WSUS. W przypadku

komputerów klienckich skonfigurowanych przy użyciu zasad grupy opartych na domenie odświeżenie

zasad grupy (czyli zastosowanie nowych ustawień zasad do komputera klienckiego) może potrwać

około 20 minut. Domyślnie zasady grupy są aktualizowane w tle co 90 minut z losowym

przesunięciem od 0 do 30 minut. Aby szybciej zaktualizować zasady grupy, można przejść do wiersza

polecenia na komputerze klienckim i wpisać polecenie gpupdate /force.

W przypadku komputerów klienckich skonfigurowanych za pomocą lokalnego obiektu zasad

grupy zasady grupy są stosowane natychmiast, a aktualizowanie trwa około 20 minut.

W przypadku ręcznego zainicjowania wykrywania nie trzeba czekać 20 minut na nawiązanie przez

komputer kliencki połączenia z programem WSUS.

Aby ręcznie zainicjować wykrywanie przez serwer WSUS

1. Na komputerze klienckim kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz polecenie cmd, a następnie kliknij przycisk OK.

3. W wierszu polecenia wpisz polecenie wuauclt.exe /detectnow. Ta opcja wiersza polecenia

instruuje funkcję Aktualizacje automatyczne o konieczności natychmiastowego nawiązania

połączenia z serwerem WSUS.