Quản lý tình trạng hệ thống là một trong những công việc quan trọng của người quản trị mạng, quản lý việc cập nhật các bản vá lỗi phải được tiến hành liên tục cung cấp cho hệ thống những phiên bản vá lỗi mới nhất của nhà sản xuất không những mang lại hiệu quả bảo mật, mà còn giúp hệ thống hoạt động ổn định hơn rất nhiều.
Nhưng một điều cần phải chú ý rằng đôi khi các bản vá lỗi do nhà cung cấp phần mềm đưa ra thường chậm hơn so với các bản vá lỗi của các hãng bảo mật, một ví dụ như symantec đưa ra 40 bản vá lỗi trong đó có 20 bản cho hệ thống máy Dell chạy Windows XP và hơn 20 bản vá lỗi cho Windows 2000 Service Pack 3 trước khi Microsoft đưa ra các bản vá lỗi chính thức vào mùa hè năm 2003. Và việc cập nhật toàn bộ hệ thống qua Internet là một giải pháp khó thực hiện khi có nhiều máy tính trong hệ thống mạng cần được cập nhật bản vá lỗi ngay. Việc triển khai hệ thống tự cung cấp các bản vá lỗi ngay trong hệ thống mạng là điều cần thiết.
Có vài phương pháp để bạn cung cấp các bản vá lỗi cho hệ thống của mình từ:
- Từ những người cung cấp dấu tên
- Sử dụng các bản vá lỗi chính thức của Microsoft
- Sử dụng các bản vá lỗi từ các hãnh sản xuất khác.
Trong ba phần của bài viết này, tôi sẽ giới thiệu với các bạn về Microsoft's Software Update Service (SUS), bao gồm giới thiệu, cài đặt cũng như việc quản trị và bảo dưỡng nó. Tôi cũng cung cấp cho các bạn một vài nhà cung cấp miễn phía các bản vá lỗi khác mang đến khả năng mềm dẻo trong vấn đề cập nhật bảo mật cho hệ thống mà đôi khi không nhất thiết phải phụ thuộc hoàn toàn vào hãng sản xuất ra sản phẩm đó.
Giới thiệu Software Update Services
Microsoft Windows Update là một phần mềm cung cấp giải pháp cập nhật phần mềm tập chung cho toàn mạng và là bản nâng cấp của Windows - drivers SUS. Các tổ chức, doanh nghiệp sẽ giới hạn SUS với một số bản cập nhật (như chỉ cho Windows XP chẳng hạn - SUS cung cấp khả năng update cho toàn bộ sản phẩm của Microsoft), cho phép các nhà quản trị dễ dàng triển khai thành một máy chủ trung tâm cung cung cấp giải pháp update phần mềm sử dụng Windows Server 2000 hay Windows Server 2003, để cung cấp các bản vá lỗi cho các máy client chạy Windows 2000 Professional hay Windows XP Professional. Nó được thiết kế trong mạng để làm việc với Active Directory, nhưng nó không phải là một thành phần trong Active Directory. SUS là một công cụ hết sức mềm dẻo linh hoạt trong sử dụng hoạt động ổn định với nhiều lợi ích to lớn.
Sử dụng SUS bạn phải cần ít nhất là một máy chủ kết nối với Internet, máy chủ này cài đặt một phiên bản Windows Update, bao gồm các gói fix bảo mật, các service packs hỗ trợ cho tất cả các hệ điều hành. Máy chủ này làm việc đồng bộ hoá với máy chủ cung cấp của Microsoft hay đồng bộ với một máy chủ nào khác trong hệ thống mạng của bạn chạy SUS. Máy chủ này download các bản vá lỗi về, sau khi có yêu cầu từ các máy khác chúng phân tích các thông tin hiện tại của máy đó và cung cấp các bản vá lỗi hợp lý.
Tính năng Automatic Updates được tích hợp trong các phiên bản từ Windows 2000 Service Pack 3 trở lên hay từ phiên bản Windows XP Professional đều là các client của máy chủ SUS. Trực tiếp can thiệp vào Registry của client thông qua việc sử dụng Group Policy trên máy chủ chạy dịch vụ Active Directory, với việc sử dụng Group Policy cung cấp cho các máy client là việc chỉnh sửa lại mặc định các máy client được cập nhật từ máy chủ của Microsoft nhưng bây giờ nó sẽ sử dụng máy chủ trong hệ thống mạng của họ để cập nhật phần mềm. Máy chủ SUS sẽ phân tích các hệ điều hành yêu cầu cập nhật, kiểm tra các bản service pack và cung cấp cho máy client những gói tin cần phải download và cài đặt các phiên bản cập nhật.
SUS là một gói phần mềm được cung cấp miễn phí để cài đặt, ngoài ra các tài liệu về nó cũng được cung cấp miễn phí tại:
http://www.microsoft.com/windowsserversystem/sus/susdeployment.mspx.
Đồng bộ dữ liệu và cung cấp cho hệ thống
Khi bạn bắt đầu việc đồng bộ dữ liệu máy chủ SUS sẽ truy vấn đến máy chủ Windows Update của Microsoft hay các máy chủ SUS khác trong hệ thống mạng và download toàn bộ tài nguyên về các bản vá lỗi hay các service pack cho mỗi sản phẩm và ngôn ngữ mà bạn đã cấu hình. Quá trình đồng bộ đó dữ liệu sẽ được truyền khoảng 150 MB cho phiên bản English và 600MB cho mỗi ngôn ngữ khác.
Để thực hiện việc đồng bộ dữ liệu, bạn vào trang web quản trị SUS và phía bên trái bạn kích vào Synchronize server, kích vào Synchronize now và hệ thống bắt đầu quá trình kiểm tra và download các phiên bản cập nhật từ máy chủ của Microsoft.
Bạn cũng có khả năng đặt lịch cho quá trình tự động đồng bộ hoá dữ liệu với máy chủ của Microsoft cho máy chủ SUS của bạn, bởi tính năng này giúp bạn không quên việc cập nhật các bản vá lỗi cho hệ thống. Trong trang Synchronize bạn chọn Synchronization schedule sau khi thiết lập xong bạn chọn OK. Nếu quá trình kết nối từ máy chủ SUS tời máy chủ của Microsoft thất bại hệ thống sẽ tự động kết nối lại sau mỗi nửa giờ.
Và bây giờ bạn đã có một thư viện với các bản vá lỗi cho hệ thống trong máy chủ SUS, bạn có thể cung cấp những bản vá lỗi cụ thể cho các máy client trong hệ thống mạng của bạn. Để bắt đầu cho việc cung cấp các bản vá lối đó bạn kích vào Approve updates, sau đó bạn chọn những bản cập nhật nào cần cung cấp cho client thì bạn chọn sau đó nhấn Approve để hoàn tất quá trình thiết lập trên máy chủ SUS, bước sau chúng ta sẽ nói về việc cung cấp cho máy Client.
Thiết lập Automated Updates trên máy client
Bạn có thể cài đặt các cập nhật từ Automatic Updates của máy client bằng việc cài đặt các gói MSI. Để cung cấp các gói cập nhật dạng MSI bạn có thể dễ dàng sử dụng Group Policy để cung cấp. Bạo tạo ra một GPO mới, gán chúng cho các máy tính trong hệ thống mạng của bạn, và nó sẽ được cài đặt một cách tự động. Bạn có thể cung cấp các gói MSI cho client dưới dạng logon script gán cho gói tin MSI và hệ thống sẽ được thực hiện trước khi người dùng đăng nhập vào hệ thống.
Sử dụng Group Policy có 4 vấn đề bạn cần phải cấu hình:
Configure Automatic Updates: Tuỳ chọn này sẽ làm cho máy tính tự động nhận các bản vá lỗi. Trong tuỳ chọn đầu tiên sau khi người dùng logon vào máy tính sẽ đưa ra thông tin cho bạn là hệ thống đang download các bản cập nhật, và một đoạn thông báo cũng được đưa ra khi hệ thống bắt đầu cài đặt các bản cập nhật đó. Trong tuỳ chọn thứ hai hệ thống sẽ tự động download toàn bộ các bản vá lỗi nhưng sẽ không tự động cài đặt chúng cho đến khi người dùng cài đặt. Tuỳ chọn thứ ba cung cấp khả năng tự động download và cài đặt các bản nâng cấp trong một thời gian đã được định trước.
Specify intranet Microsoft Update Service Location: Tuỳ chọn này được thiết kế để sử dụng máy chủ SUS trong hệ thống để thực hiện việc cập nhật (mặc định client sẽ download từ máy chủ của Microsoft). Sau khi thiết lập này các Automatic Update Client sẽ tìm kiếm và download các bản vá lỗi từ máy chủ đã được thiết lập (Sử dụng Group Policy để chỉnh thiết lập trong Registry của client điều chỉnh nó cập nhật từ máy chủ bên trong hệ thống - thay đổi thiết lập mặc định).
Reschedule Automatic Updates Scheduled Installations: Trong tuỳ chọn này sẽ cho bạn thiết lập thời gian khi một thiết lập từ trước được hoạt động nhưng lại có những lỗi xảy ra khiến lịch trình được thiết lập bị lỗi, và thời gian này là thời gian cho kết nối đó được thực hiện sau khi bị lỗi. Nếu bạn chọn "enable" hệ thống sẽ yêu cầu bạn thiết lập thời gian cụ thể (tính theo phút) cho việc kết nối lại. Nếu thiết lập đang ở trạng thái "Disable or Not Configured" thì sau khi một kết nối thất bại nó sẽ chờ đến thời gian tiếp theo đã được lên kế hoạch trước.
No Auto-Restart for Scheduled Automatic Updates Installations: Trong tuỳ chọn này được thiết lập để một máy client có thể tự động khởi động lại khi hệ thống được cài đặt và yêu cầu khởi động lại. Nếu thiết lập ở trạng thái Enable, Automatic Update sẽ không khởi động lại máy tính tự động sau khi một lịch trình cập nhật được cài đặt xong. Nếu thiết lập ở trạng thái Disable hay Not Configured thì Automatic Update sẽ tự động khởi động lại sau 5 phút cảnh báo
Bạn cần phải biết những khả năng có thể xảy ra với GPO: Nếu bạn gán toàn bộ domain vào một máy chủ SUS, nếu hệ thống có trên 5000 máy tính thì sẽ làm cho máy chủ rất chậm chạp. Vấn đề đặt ra ở đây là bạn phải cân bằng ví như từng OU sẽ có một GPO khác nhau và sẽ cập nhật cũng như việc lên lịch cho quá trình cập nhật cần khác nhau tránh cùng một thời điểm toàn bộ hệ thống yêu cầu đến máy chủ SUS sẽ làm toàn bộ hệ thống mạng của bạn bị tắc nghẽn.
Tạo ra nhiều GPO với nhiều lịch trình khác nhau cho mỗi OU để đảm bảo hệ thống luôn được đáp ứng tốt nhất.
Các thông tin mà Group Policy chỉnh trong máy client là:
Để enable hay disable Automatic Updates: Tạo ra một key là NoAutoUpdat trong HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
\WindowsUpdate\AU. thông số DWORD với số 0 là enabled hay số 1 là disabled.
Để cấu hình update download and notification: Tạo ra một key với tên là AUOptions trong HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
\WindowsUpdate\AU. DWORD bao gồm số nguyên 2 là (notify of download and notify before installation), 3 là (automatically download but notify before installation), và 4 là (automatically download and schedule the installation).
Để đặt lịch cho một Automated installation: tạo và một key với tên là ScheduledInstallDay và ScheduledInstallTime trong HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
\WindowsUpdate\AU . Thông tin này ở dạng DWORD. Với ScheduledInstallDay, thông tin từ 0 đến 7, với 0 là thực hiện với mọi ngày và 1 là 7 ngày trong tuần, cả chủ nhật và thứ 7. Với ScheduledInstallTime, thông số từ 0-23, được gán là số giờ trong ngày mà bạn đã cấu hình bên trên.
Để thực hiện việc update từ máy chủ bên trong hệ thống: Tạo một DWORD với tên UseWUServer trong HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
\WindowsUpdate\AU. Thiết lập là 1 để enable SUS server. Sai khi tạo ra WUServer và WUStatusServer với cùng một key gõ Reg_SZ, và cụ thể tên của máy chủ cần thiết lập http://
Để thiết lập thời gian đợi sau khi một kết nối bị thất bại: tạo ra một DWORD với tên RescheduleWaitTime trong HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
\WindowsUpdate\AU. Thông số từ 1 đến 60, là số phút cần thiết.
Để thiết lập có tự động khởi động lại hay không: tạo ra một DWORD NoAutoRebootWithLoggedOnUser trong HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
\WindowsUpdate\AU . Thông số này có thể là 0, nó sẽ thực hiện việc khởi động lại và thông số là 1 nó sẽ hoãn lại việc khởi động lại.
Nếu bạn không muốn thực hiện bằng tay từng thông số bạn có thể chép đoạn dưới đây vào notepad và save dưới dạng file *.reg sau đó chạy file đó sẽ thực hiện quá trình đó cho bạn:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
\WindowsUpdate]
"WUServer"="http://YOUR-SUS-SERVER"
"WUStatusServer"="http://YOUR-SUS-SERVER"
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
\WindowsUpdate\AU]
"RescheduleWaitTime"=dword:00000003
"NoAutoRebootWithLoggedOnUsers"=dword:00000000
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000006
"UseWUServer"=dword:00000001
Hết phần 1
Trong phần 2, và phần 3 tôi sẽ giới thiệu chi tiết cách cấu hình hệ thống SUS.
Theo Securityfocus
Không có nhận xét nào:
Đăng nhận xét