Automatické aktualizace jsou důležitou funkční funkcí každého operačního systému. Počítač díky němu dostává důležité aktualizace včas, díky čemuž je systém stabilnější a bezpečnější. Ve Windows 7 je funkce aktivována zpočátku. To znamená, že pokud existuje spojení se servery společnosti Microsoft, aktualizační služba zkontroluje dostupnost nových balíčků, stáhne je a nainstaluje. Obvykle všechny procesy probíhají prakticky bez povšimnutí uživatele, ale když se objeví neustálé nabídky na upgrade na 10, je to už přehnané.

Teoreticky není potřeba zakazovat automatické stahování aktualizací. Je to užitečné, protože uzavírá bezpečnostní mezery, optimalizuje provoz operačního systému a přidává do něj nové funkce (pokud jde o „desítky“). Existuje také seznam důvodů, proč by měla být služba automatických aktualizací zakázána:

1. Uživateli se nelíbí, že při aktualizaci klesá rychlost internetu a/nebo nejde PC delší dobu vypnout.
2. Počítač má drahý nebo omezený bezdrátový internet.
3. Problémy po spuštění aktualizovaného OS.
4. Selhání během instalace aktualizačních balíčků.
5. Na systémovém svazku není dostatek místa, aby se přizpůsobil nárůstu objemu Windows 7, který roste s každou aktualizací.

Druhy

Přesto, než zakážete aktualizaci Windows 7, přemýšlejte o tom, zda je to opravdu nutné. Kromě deaktivace služby ji lze přepnout do následujících provozních režimů.

1. Plně automatické - operace probíhají bez zásahu uživatele, pouze upozorní uživatele, že instalace balíčků je dokončena.
2. Vyhledávejte a stahujte nejnovější opravy podle plánu a instalaci balíčků provádí uživatel.
3. Automatická kontrola a upozornění uživatele na dostupnost aktualizací.
4. Vlastní aktualizace je zakázána. Vše se provádí ručně.

Možnosti se vybírají v součásti Centrum aktualizací.

Metody odpojení

Nastavení libovolného systému Windows jsou uložena v jeho registru. Ke klíči odpovědnému za nastavení Centra aktualizací můžete přistupovat několika jednoduchými a několika složitějšími způsoby. Podívejme se na ně všechny.

Změňte nastavení Centra aktualizací

Začněme nastavením služby pro sebe. Pro přístup do konfiguračního rozhraní musíte otevřít „Centrum aktualizací“ jedním z následujících způsobů.

Systém

1. Prostřednictvím kontextové nabídky Tento počítač vyvolejte jeho „Vlastnosti“.

1. V levém svislém menu klikněte na odpovídající odkaz umístěný ve spodní části okna.

1. Přejděte na „Ovládací panely“.
2. Otevřete sekci „Systém, zabezpečení“.

1. Zavolejte stejnojmenný prvek.

Pokud jsou položky ovládacího panelu vykresleny jako ikony, nikoli jako kategorie, zobrazí se v hlavním okně odkaz na položku.

1. Poté, co se dostanete do požadovaného okna, klikněte na „Parametry nastavení“.

1. Přejděte do části „Důležité aktualizace“ a vyberte příslušnou možnost z rozevíracího seznamu.

Jediný způsob, jak úplně zakázat přijímání aktualizací na počítači se systémem Windows 7, je zastavit službu.

Deaktivace služby

Řízení služeb v „sedmičce“ probíhá prostřednictvím:

• přímá editace klíčů registru, což je velmi nepohodlné;
• programy třetích stran pro konfiguraci operačního systému (tuto možnost přeskočte);
• snap-in konzole MMC;
• konfigurace systému;
• příkazový řádek;
• Editor zásad skupiny (přítomný ve Windows 7 Ultimate, Enterprise).

Odebrání služby z automatického spuštění

Nejrychlejší způsob, jak zakázat aktualizace, je přes systémový konfigurátor.

1. Spusťte „msconfig“ v okně příkazového interpretu, které se otevře po podržení kláves Win + R nebo kliknutí na tlačítko „Spustit“ v nabídce Start.

1. Přejděte na kartu „Služby“.
2. Najděte „Windows Update“ (možná Windows Update) a zrušte zaškrtnutí políčka vedle něj.

1. Uložte nová nastavení.

Až do konce aktuální relace bude služba fungovat a řádně plnit úkoly, které jsou jí přiděleny. Chcete-li použít novou konfiguraci, musí být systém Windows 7 restartován.

Použijme modul snap-in konzoly MMC

Modul snap-in systémové konzoly se stejným názvem poskytuje přístup ke správě všech služeb na počítači. Začíná to takhle.

1. Otevřete kontextovou nabídku adresáře „Tento počítač“.
2. Vyvolejte příkaz „Spravovat“.

1. V levém svislém menu rozbalte položku „Služby a aplikace“. Dále klikněte na odkaz „Služby“.

Jednodušší možností pro volání stejného okna by bylo spuštění příkazu „services.msc“ prostřednictvím dialogu „Spustit“.

1. Přejděte na úplný konec seznamu služeb a otevřete „Vlastnosti“ služby Windows Update.

1. V rozevíracím seznamu „Typ spouštění“ vyberte „Zakázáno“ místo „Automaticky“, abyste se navždy rozloučili s automatickými aktualizacemi. Pokud nyní potřebujete službu deaktivovat, klikněte na „Stop“. Uložte nové nastavení tlačítkem „Použít“ a zavřete všechna okna.

Pro použití nastavení není nutné restartovat počítač.

Editor zásad skupiny

Další modul snap-in konzoly MMC s názvem Editor místních zásad skupiny vám pomůže nakonfigurovat jakýkoli systémový parametr.

V domácím vydání Sedmičky není k dispozici!

1. Nástroj se spouští spuštěním příkazu „gpedit.msc“ v okně „Spustit“.

1. V podsekci „Konfigurace PC“ rozbalte větev „Šablony pro správu“.

1. Otevřete „Součásti systému Windows“ a vyhledejte Centrum aktualizací.
2. Na pravé straně okna najdeme parametr, jehož název začíná „Nastavení automatické aktualizace“.
3. Vyvolejte jeho nastavení.

1. Přesuňte zaškrtávací políčko do pozice „Zakázat“ a kliknutím na „OK“ zavřete okno a uložte změny.

Použijme příkazový řádek

Prostřednictvím příkazového řádku se provádějí všechny stejné operace jako pomocí grafického rozhraní a ještě více, ale v textovém režimu. Hlavní je znát jejich syntaxi a parametry.

Příkaz „cmd“ je zodpovědný za volání příkazového řádku.

1. Otevřete interpret příkazů a spusťte jej.

V tomto článku vám řeknu o některých klíčích registru, které jsou spojeny se službou Windows Update. Ukážu vám různé možnosti, které tyto klíče registru mohou mít.

Pokud jste přehlédli druhou část tohoto článku, přečtěte si ji

Přestože se služba Windows Update i služba WSUS obecně poměrně snadno konfigurují, někdy můžete získat větší kontrolu provedením některých změn v registru systému Windows. V tomto článku vám ukážu některé klíče registru, které jsou spojeny se službou Windows Update. Ukážu vám různé možnosti, které tyto klíče registru mohou mít.

Začít

Nejprve udělám radost právníkům a upozorním, že provádění změn v registru může být velmi nebezpečné. Zadání nesprávného nastavení registru může vést ke zničení systému Windows a/nebo všech spuštěných aplikací v počítači. Než se pokusíte provést změny v registru, musíte provést úplnou zálohu systému, jsem připraven vám ukázat, jak se to dělá.

Je tu ještě jedna věc, o které vám musím říct. Jemné doladění, o kterém vám chci říci, se týká pouze počítačů se systémem Windows XP. Změny můžete provádět přímo na konkrétních počítačích nebo je můžete použít jako součást přihlašovacího skriptu. Také některé klíče, o kterých budu mluvit, nemusí ve výchozím nastavení existovat. Pokud chcete použít klíč, který neexistuje, musíte jej nejprve vytvořit. Měli byste také vědět, že chování aktualizací systému Windows lze ovládat pomocí zásad skupiny. Zásady skupiny mohou někdy upravit klíče registru tak, aby odpovídaly chování, které určí.

Eskalace privilegií

Jedním z problémů při získávání aktualizací ze serveru WSUS je to, že uživatelé nemohou aktualizace schvalovat ani zamítat, pokud nejsou členy místní skupiny správců. Pomocí registru však můžete zvýšit oprávnění uživatelů, aby mohli instalovat nebo odmítat instalaci změn, bez ohledu na to, zda jsou členy místní skupiny správců či nikoli. Na druhou stranu můžete uživatelům také zabránit v instalaci aktualizací a ponechat toto právo správci (Adminovi).

Klíč registru, který je za to zodpovědný, je: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins

Klíč ElevateNonAdmins má dvě možné hodnoty. Výchozí hodnota 1 umožňuje uživatelům bez oprávnění správce instalovat aktualizace. Pokud tuto hodnotu změníte na 0, aktualizace budou moci instalovat pouze správci.

Cílové skupiny

Jednou ze skvělých věcí služby WSUS je, že umožňuje cílení na stranu klienta. Myšlenka umístění na straně klienta spočívá v tom, že můžete definovat různé skupiny počítačů a distribuovat práva k instalaci aktualizací v závislosti na členství ve skupině. Ve výchozím nastavení se umístění na straně klienta nepoužívá, ale pokud se jej rozhodnete použít, existují dva klíče registru, které vám s tím pomohou. První z těchto klíčů zahrnuje cílení na stranu klienta a druhý označuje název skupiny, do které počítač patří. Oba tyto klíče musí být vytvořeny v: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\

První klíč je klíč DWORD s názvem TargetGroupEnabled. Tento klíč můžete nastavit na 0, což zakáže cílení na stranu klienta, nebo na 1, které povolí cílení na stranu klienta.

Druhý klíč, který byste měli vytvořit, by se měl jmenovat TargetGroup a mít řetězcovou hodnotu. Hodnota tohoto klíče musí být název skupiny, do které má být počítač přiřazen.

Instalace serveru WSUS

Pokud se s webem trochu zabýváte, pak pravděpodobně víte, že webdesign má tendenci se časem měnit. Věci jako růst společnosti, nové bezpečnostní požadavky a podniková omezení často tvoří základ pro změny sítě. Jak se to týká aktualizací systému Windows? Služba WSUS je škálovatelná a lze ji nainstalovat hierarchickým způsobem. To znamená, že organizace může mít nainstalovaných více serverů WSUS. Pokud se počítač přesune do jiné části společnosti, server WSUS, který byl pro tento počítač původně definován, již nemusí být pro nové umístění vhodný. Naštěstí několik jednoduchých úprav registru může změnit server WSUS, ze kterého počítač přijímá aktualizace.

K identifikaci serveru WSUS se používají dva klíče. Každý z nich je umístěn v: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\. První klíč se nazývá WUServer. Tento klíč musí být nastaven na textovou hodnotu, která popisuje adresu URL serveru WSUS (například: http://název serveru).

Dalším klíčem, který byste měli změnit, je klíč s názvem WUStatusServer. Myšlenka tohoto klíče spočívá v tom, že počítač (PC) by měl hlásit svůj stav serveru WSUS, aby server WSUS věděl, jaké změny byly v počítači nainstalovány. Klíč WUStatusServer obvykle obsahuje přesně stejnou hodnotu jako klíč WUServer (například: http://název serveru).

Agent automatických aktualizací

Mluvil jsem tedy o tom, jak připojit počítač (PC) ke konkrétnímu serveru WSUS nebo ke konkrétní skupině (cílové skupině), ale to je jen polovina procesu. Windows Update používá aktualizačního agenta, který skutečně instaluje aktualizace. V HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU je několik klíčů registru, které řídí agenta automatické aktualizace.

První z těchto kláves je klávesa AUOptions. Tuto hodnotu DWORD lze nastavit na 2, 3, 4 nebo 5. Hodnota 2 znamená, že agent by měl uživatele upozornit na stažení aktualizací. Hodnota 3 znamená, že aktualizace bude stažena automaticky a uživatel bude upozorněn na instalaci. Hodnota 4 znamená, že aktualizace by se měla automaticky stáhnout a nainstalovat podle plánu. Aby tato možnost fungovala, musíte také nastavit hodnoty pro klíče ScheduledInstallDay a ScheduledInstallTime. O těchto klíčích budu mluvit později. Konečně hodnota 5 znamená, že je vyžadována automatická aktualizace, kterou však mohou konfigurovat koncoví uživatelé.

Dalším klíčem, o kterém chci mluvit, je klíč AutoInstallMinorUpdates. Tento klíč může mít hodnotu 0 nebo 1. Je-li hodnota klíče 0, budou menší aktualizace zpracovány stejně jako jakékoli jiné aktualizace. Pokud je hodnota klíče 1, pak se drobné aktualizace instalují tiše na pozadí.

Dalším klíčem souvisejícím s agentem automatických aktualizací je klíč DetectionFrequency. Tento klíč umožňuje nastavit, jak často má agent kontrolovat aktualizace. Hodnota klíče musí být celé číslo od 1 do 22, které odráží počet hodin mezi pokusy o aktualizaci.

Přidružený klíč registru je klíč DetectionFrequencyEnabled. Jak název napovídá, tato klávesa umožňuje povolit nebo zakázat funkci Detekční frekvence. Pokud nastavíte hodnotu tohoto klíče na 0, bude hodnota klíče DetectionFrequency ignorována, a pokud nastavíte hodnotu tohoto klíče na 1, bude muset agent použít hodnotu klíče DetectionFrequency.

Další klíč, o kterém chci mluvit, je klíč NoAutoUpdate. Pokud je hodnota tohoto klíče 0, je automatická aktualizace povolena. Pokud je hodnota klíče 1, je automatická aktualizace zakázána.

Poslední klíč registru, o kterém chci mluvit, je klíč NoAutoRebootWithLoggedOnUsers. Jak pravděpodobně víte, některé aktualizace se nemusí projevit bez restartu systému. Pokud uživatel v tuto chvíli pracuje, může být restartování velmi nežádoucí. To platí zejména v případě, že uživatel odešel od svého stolu a neuložil si práci. V tomto případě pomůže klíč NoAutoRebootWithLoggedOnUsers. Hodnota tohoto klíče může být 0 nebo 1. Pokud je hodnota klíče 0, uživatelé obdrží 5 minut varování, než se systém automaticky restartuje. Pokud je hodnota klíče 1, uživatelé jednoduše obdrží zprávu s žádostí o povolení k restartu, ale uživatelé si to mohou vybrat podle vlastního uvážení.

Závěr

Existuje mnoho dalších klíčů registru souvisejících se službou Windows Update. O ostatních z nich budu mluvit ve druhé části tohoto článku.

www.windowsnetworking.com

Komentáře čtenářů (žádné komentáře)

Výměna 2007

Tento článek shrnuje známé metody pro opravu agenta WSUS.

1. První skript je nejjednodušší a ve skutečnosti se ani nepoužívá k léčbě, ale k násilnému spuštění kontroly aktualizací a zároveň vyčistí složku, ve které se hromadí distribuce již nainstalovaných aktualizací:

wsus_detect_manual.cmd

net stop wuauserv && net stop bity && net stop cryptsvc

net start wuauserv && net start bits && net start cryptsvc

wuauclt.exe /detectnow výstup

2. Druhý skript je nutný k „oživení“ nečinné služby WSUS. Vyčistí staré aktualizace, po kterých dojde k přejmenování složek SoftwareDistribution a Catroot2, což povede k jejich opětovnému vytvoření při restartu služby. Poté se znovu zaregistrují systémové dll knihovny.

fix_wsus_service.cmd

net stop bity
síťová zastávka wuauserv
net stop cryptsvc

del /f /s /q %windir%\SoftwareDistribution\download\*.*

ren %systemroot%\System32\Catroot2 Catroot2.old
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old

REM del /f /s /q %windir%\SoftwareDistribution\*.*

del /f /s /q %windir%\windowsupdate.log

%windir%\system32\regsvr32.exe /U /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuweb.dll

%windir%\system32\regsvr32.exe /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuweb.dll

čisté startovací bity
čistý start wuauserv
net start cryptsvc

wuauclt/detectnow

výstup

3. Tento skript se používá v případech, kdy byl počítač nedávno klonován, nebo v případech, kdy se počítač nikdy nezaregistroval u služby WSUS. Od předchozího se liší pouze v předposledním řádku, ve kterém se resetuje autorizace a regeneruje se identifikátor. Budu jen citovat tento řádek:

wsus_resetaut_detect_manual.cmd

wuauclt.exe /resetauthorization /detectnow

AU_Clean_SID.cmd

@echo zapnuto
síťová zastávka wuauserv
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
čistý start wuauserv
wuauclt /resetauthorization /detectnow

5. Někdy, aby vše fungovalo, je potřeba znovu nainstalovat agenta WSUS. Nejprve si musíte stáhnout nejnovější Windows Update Agent a poté nainstalovat příslušnou edici

pro x32 verze systému Windows

windowsupdateagent30-x86.exe /wuforce

pro x64 verze systému Windows

windowsupdateagent30-x64.exe /wuforce

Jestli jste šťastným majitelem Itanium, můžete hádat sami :-)

Po instalaci agenta musíte restartovat.

6. K „ošetření“ chyb 0x80070005, tzn. chyby přístupu, může být užitečný skript níže. Obnovuje administrátorský a systémový přístup k registru a systémovým složkám.

Ke spuštění tohoto skriptu budete potřebovat nástroj Microsoft subinacl.exe. Je součástí sady prostředků pro Windows Server 2003, ale neměli byste používat verzi, která je tam zahrnuta, protože Jsou tam nějaké nepříjemné chyby. Měli byste si stáhnout subinacl.exe verze 5.2.3790.1180.

Restore_registry_and_system_permission.cmd

@echo vypnuto
REM Použít pro chyby 0x80070005 Windows Update
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=administrators=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f
subinacl /podadresáře %SystemDrive% /grant=administrators=f
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f
subinacl /podadresáře %SystemDrive% /grant=system=f

Všechny tyto skripty lze v případě problémů spustit téměř automaticky. Pokud se v důsledku toho problém nevyřeší, musíte se na něj podívat podrobněji. A zde budeme potřebovat stejný windowsupdate.log, který je v kořenové složce Windows. Pokud je počítač problematický, pak je tento soubor velký. Pro jednoduchost je vhodné jej před spuštěním skriptů odstranit. Téměř všechny skripty poskytují příkaz k jeho odstranění, ale ne vše je tak jednoduché. I přes zastavení služby wuauserv je obvykle nadále otevřena v IE atd. Proto existuje záludný způsob. spouštím

notepad.exe %windir%\windowsupdate.log

Vyberu veškerý text, smažu ho a uložím místo starého souboru (nezapomeňte v dialogovém okně pro uložení změnit typ souboru na *.*, jinak je výchozí *.txt)

Stojí za zmínku, že existují případy, kdy není možné donutit klienta k aktualizaci z wsus. Mám precedenty s několika Windows Server 2003 R2, které se mi nepodařilo překonat. Proto je aktualizuji přes internet :-)

Čerstvé operační systémy jako Windows 7, Windows 2008 mají někdy potíže se spuštěním. Pro takové případy, empiricky, algoritmus jako:
1. První aktualizace z webu společnosti Microsoft s aktualizací agenta
2. Poté provedeme aktualizaci agenta lokálně
3. A pak vše začne fungovat

Doufám, že plody naší práce někomu pomohou.

Pro jednoduchost zveřejňuji všechny tyto skripty v hotové podobě:

Při řešení bezpečnostních problémů počítačového systému je třeba počítat s celou řadou problémů, z nichž jedním je včasná aktualizace operačních systémů a softwaru.

Úvod

Pro udržení aktuálního stavu podnikových operačních systémů a programového vybavení informačního systému by měly být pravidelně aktualizovány. Tyto akce lze provádět z webu Microsoft Update na každém klientském počítači nebo pomocí serverů Windows Server Update Services (WSUS). Pokud mluvíme o podnikové síti, pak doporučenou možností je použít server WSUS. Při práci s výše uvedenou službou je dosaženo výrazného snížení internetového provozu a je zajištěna možnost centrálně řídit proces nasazování systémových záplat a softwaru přijatého od společnosti Microsoft.

Dále bych rád poznamenal, že 23. března 2011 společnost Microsoft oznámila vydání nového produktu „Windows Intune“, jehož jednou z funkcí bude provádět úkoly, za které byla dříve zodpovědná služba WSUS.

Chcete-li zajistit aktualizaci klientských počítačů, musíte:

1. Navrhněte řešení

2. Nasaďte server/servery WSUS;

3. Zajistěte pravidelnou synchronizaci serveru WSUS s prostředkem Microsoft Update;

4. Nakonfigurujte provozní parametry serveru/serverů WSUS;

5. Vytvořte cílové skupiny a umístěte klientské počítače do cílových skupin na serveru WSUS.

6. Nakonfigurujte klienty tak, aby používali servery WSUS;

7. Zajistěte zabezpečení serveru/serverů WSUS.

V tomto článku se nebudeme zabývat fázemi návrhu a nasazení, synchronizace, budeme hovořit o nastavení klientů a zajištění bezpečnosti serveru WSUS.

Konfigurace klientů aktualizačního serveru bez použití zásad skupiny

Existují tři způsoby konfigurace klientů pro použití serveru WSUS:

1. Používání zásad skupiny;
2. Použití zásad místního počítače;
3. Přímé změny v registru klientských stanic.

Nejlepší způsob je použít objekty zásad skupiny, viz obr. 1 přidružený k požadovanému kontejneru AD (Windows 2003) nebo AD DS (Windows 2008), ale tato možnost je dostupná pouze v případě, že má vaše organizace nasazenou službu Active Directory. Možnosti skupinové politiky pro nastavení interakce se serverem pro správu a správu procedur aktualizace klienta plně vyhovují potřebám správce. Co si můžeme ověřit, když se podíváme na Obr. 1. Seznam dostupných nastavení je poměrně široký.

Rýže. 1. Nastavení klienta WSUS.

Pokud není v organizaci nasazena adresářová služba, lze schopnost klienta komunikovat se službou WSUS implementovat buď prostřednictvím místních zásad, nebo „přímým“ prováděním změn v systémovém registru pracovní stanice nebo serveru, jehož stav chceme zajistit, aby byl aktuální. Zásady v podstatě nejsou nic jiného než rozhraní registru.

Okolnosti, kdy pracovní stanice a servery nejsou klienty AD, mohou nastat v různých případech, například:

· Použití adresářových služeb třetích stran, avšak řešení založená na operačních systémech Microsoft se používají jako aplikační servery, souborové servery a klientské pracovní stanice;

· Potřeba vybudovat „hostitelskou“ zónu pro poskytování přístupu „externím“ uživatelům k internetu;

· Nedostatečná vyspělost společnosti, kvůli které není nasazena centralizovaná adresářová služba, nebo nedostatek této služby.

1. Aktualizační službu je nutné hostovat na intranetu a statistickém serveru a také rozdělit klienty do skupin.

V sekci registru

budete muset zadat adresu nebo název aktualizačního serveru, ke kterému se klient připojí, a číslo portu, který je vybrán pro práci se serverem WSUS. Ve výchozím nastavení se předpokládá port 80.

"WUStatusServer"=http://192.168.1.100

Protože je nutné zařadit klientské počítače do cílových skupin, musíme uvést, do které z cílových skupin má být počítač zařazen:

"TargetGroupEnabled"=dword:00000001

V naší verzi se cílová skupina nazývá „WSUS-Test-WKS“. Pro klienty, jejichž název cílové skupiny bude odlišný, bude mít toto pole jinou hodnotu. Parametr TargetGroupEnabled v tomto případě poskytuje kontrolu umístění ve skupině ze strany klienta.

Chcete-li to provést, v sekci registru

"TargetGroup"="WSUS-Test-WKS"

"TargetGroupEnabled"=dword:00000001

"WUServer"="http://192.168.1.100"

"WUStatusServer"="http://192.168.1.100"

"NoAutoUpdate"=dword:00000000

"AUOptions"=dword:00000004

"ScheduledInstallDay"=dword:00000000

"ScheduledInstallTime"=dword:00000009

"UseWUServer"=dword:00000001

"RescheduleWaitTime"=dword:00000001

" NoAutoRebootWithLoggedOnUsers"=dword: 00000000

Tím, že zajistíme doručení a spuštění zadaného souboru, můžeme konfigurovat klienty serveru WSUS, aniž bychom se uchýlili k používání zásad skupiny. Popis všech proměnných registru, které lze použít pro práci s aktualizačním serverem, a jejich možné hodnoty jsou uvedeny v příručce Windows Server Update Services 3.0 SP2 Deployment Guide.

Pro zajištění bezpečnosti samotného aktualizačního serveru má smysl dodržovat několik jednoduchých doporučení:

1. Pokud potřebujeme zajistit bezpečnou výměnu informací mezi klienty a servery a/nebo mezi servery WSUS, pak je možné použít protokol SSL. Viz „Zabezpečení služby WSUS pomocí Secure Sockets Layer“ v příručce Windows Server Update Services Deployment Guide (). Při absenci síťové výměny mezi servery je přenos dat poskytován prostřednictvím externích médií. Alternativním způsobem ochrany, pokud není možné použít SSL, je použití protokolu IPsec. Viz „Přehled nasazení protokolu IPsec“ http://go.microsoft.com/fwlink/?LinkId=45154.

2. Server WSUS, který se synchronizuje s Microsoft Update, by měl být umístěn za bránou firewall a měl by být přístupný pouze hostitelům, kteří jej skutečně potřebují. Viz „Konfigurace brány firewall“ v příručce Windows Server Update Services Deployment Guide (http://go.microsoft.com/fwlink/?LinkId=79983).

3. Pokud jde o přístup k souborům, neměli byste udělovat nadměrná oprávnění ke zdrojům; popis požadavků na přístupová práva je uveden v části „Než začnete“ v příručce Windows Server Update Services Deployment Guide (http://go.microsoft.com/). fwlink/?LinkId=79983).

4. Pokud má aktualizační server přístup k internetu (v některých případech tomu tak nemusí být, např. probíhá synchronizace s jiným WSUS serverem, který tuto možnost má), je doporučeno umístit jeho databázi na jiný počítač , ke kterému není přístup zvenčí. Viz „Příloha B: Konfigurace vzdáleného SQL“ v příručce Windows Server Update Services Deployment Guide (http://go.microsoft.com/fwlink/?LinkId=79983).

5. Ke správě serveru WSUS je rozumné použít vestavěnou skupinu WSUS Administrators, která bude vytvořena během nasazení.

Leonid Shapiro.

Bibliografie.

Anita Taylor Průvodce nasazením služby Windows Server Update Services 3.0 SP2.

Anita Taylor Provozní příručka služby Windows Server Update Services 3.0 SP2

[i]DMZ - demilitarizovanépásmo

Nejsou zde uvedeny všechny, ale pouze základní nastavení pro konfiguraci klienta WSUS.

Cestu k požadovaným serverům můžete zadat buď pomocí adresy, která byla provedena v uvedeném příkladu, nebo pomocí názvu serveru s možností překladu názvu serveru na jeho IP adresu.

Toto je abstraktní název testovací skupiny.

V jednom z předchozích článků jsme postup podrobně popsali. Po konfiguraci serveru je třeba nakonfigurovat klienty Windows (servery a pracovní stanice), aby používali server WSUS k přijímání aktualizací, aby klienti dostávali aktualizace z interního aktualizačního serveru, nikoli ze serverů Microsoft Update přes Internet. V tomto článku si projdeme postup pro konfiguraci klientů pro použití serveru WSUS pomocí zásad skupiny domény Active Directory.

Zásady skupiny AD umožňují správci automaticky přiřazovat počítače k ​​různým skupinám WSUS, čímž odpadá nutnost ručně přesouvat počítače mezi skupinami v konzole WSUS a udržovat tyto skupiny aktuální. Přiřazení klientů k různým cílovým skupinám WSUS je založeno na štítku registru na klientovi (štítky se nastavují zásadami skupiny nebo přímou úpravou registru). Tento typ přiřazení klientů ke skupinám WSUS se nazývá klientabočnícílení(Cílení na straně klienta).

Předpokládá se, že naše síť bude používat dvě různé zásady aktualizace – samostatnou zásadu instalace aktualizací pro servery ( servery) a pro pracovní stanice ( Pracovní stanice). Tyto dvě skupiny je třeba vytvořit v konzole WSUS v části Všechny počítače.

Rada. Zásady toho, jak klienti používají aktualizační server WSUS, do značné míry závisí na organizační struktuře organizační jednotky ve službě Active Directory a na pravidlech instalace aktualizací organizace. V tomto článku se podíváme pouze na konkrétní možnost, která vám umožní pochopit základní principy používání zásad AD k instalaci aktualizací systému Windows.

Nejprve je třeba určit pravidlo pro seskupování počítačů v konzole WSUS (cílení). Ve výchozím nastavení jsou v konzole WSUS počítače ručně distribuovány správcem do skupin (cílení na straně serveru). S tím nejsme spokojeni, proto upozorníme, že počítače jsou rozděleny do skupin na základě cílení na straně klienta (konkrétním klíčem v registru klientů). Chcete-li to provést, přejděte v konzole WSUS do části Možnosti a otevřete parametr Počítače. Změňte hodnotu na Použijte zásady skupiny nebo nastavení registru v počítačích(Použijte zásady skupiny nebo nastavení registru v počítačích).

Nyní můžete vytvořit GPO pro konfiguraci klientů WSUS. Otevřete konzolu Správa zásad skupiny domény a vytvořte dvě nové zásady skupiny: ServerWSUSPolicy a WorkstationWSUSPolicy.

Zásady skupiny WSUS pro servery Windows

Začněme popisem zásad serveru ServerWSUSPolicy.

Nastavení zásad skupiny zodpovědná za provoz služby Windows Update se nachází v sekci GPO: PočítačKonfigurace -> Opatření-> Správníšablony-> OknaKomponent-> OknaAktualizace(Konfigurace počítače -> Šablony pro správu -> Součásti systému Windows -> Windows Update).

V naší organizaci očekáváme, že tuto zásadu použijeme k instalaci aktualizací služby WSUS na servery Windows. Očekává se, že všechny počítače, na které se vztahuje tato zásada, budou přiřazeny do skupiny Servery v konzole WSUS. Kromě toho chceme zabránit automatické instalaci aktualizací na servery po jejich přijetí. Klient WSUS si musí jednoduše stáhnout dostupné aktualizace na disk, zobrazit upozornění na nové aktualizace na systémové liště a počkat, až správce zahájí instalaci (buď ručně, nebo vzdáleně pomocí ), aby mohla zahájit instalaci. To znamená, že produktivní servery nebudou automaticky instalovat aktualizace a restartovat se bez souhlasu správce (tyto práce obvykle provádí správce systému v rámci měsíční plánované údržby). Pro implementaci takového schématu nastavíme následující zásady:

• KonfigurovatAutomatickýAktualizace(Nastavení automatické aktualizace): Umožnit. 3 – AutostaženíaoznámitproNainstalujte(Automaticky stahovat aktualizace a upozornit vás, až budou připraveny k instalaci)– klient automaticky stahuje nové aktualizace a informuje o jejich dostupnosti;
• UpřesněteintranetMicrosoftAktualizaceservisumístění(Uveďte intranetové umístění Microsoft Update): Umožnit. Nastavte intranetovou aktualizační službu pro zjišťování aktualizací: http://srv-wsus.site:8530, Nastavte intranetový statistický server: http://srv-wsus.site:8530– zde musíte zadat adresu vašeho serveru WSUS a statistického serveru (obvykle jsou stejné);
• Žádné automatické restartování s přihlášenými uživateli pro plánované instalace automatických aktualizací(Nerestartujte automaticky při automatické instalaci aktualizací, pokud v systému běží uživatelé): Umožnit– zakázat automatické restartování při uživatelské relaci;
• Umožnitklienta-bočnícílení ( Povolit klientovi připojit se k cílové skupině): Umožnit. Název cílové skupiny pro tento počítač: servery– v konzole WSUS přiřaďte klienty do skupiny Servery.

Poznámka. Při nastavování zásad aktualizací doporučujeme pečlivě se seznámit se všemi nastaveními dostupnými v každé z možností v sekci GPO OknaAktualizace a nastavte parametry, které vyhovují vaší infrastruktuře a organizaci.

Zásady instalace aktualizace WSUS pro pracovní stanice

Předpokládáme, že aktualizace na klientských stanicích, na rozdíl od zásad serveru, budou instalovány automaticky v noci ihned po obdržení aktualizací. Po instalaci aktualizací by se měly počítače automaticky restartovat (upozornění uživatele 5 minut předem).

V tomto GPO (WorkstationWSUSPolicy) specifikujeme:

• DovolitAutomatickýAktualizacebezprostředníinstalace(Umožnit okamžitou instalaci automatických aktualizací): Zakázáno- zákaz okamžité instalace aktualizací po jejich obdržení;
• Dovolitne-správcinadostávatAktualizaceoznámení(Povolit uživatelům, kteří nejsou správci, přijímat upozornění na aktualizace): Povoleno- zobrazit upozornění pro neadministrátory o nových aktualizacích a umožnit jejich ruční instalaci;
• Konfigurace automatických aktualizací:Povoleno. Konfigurace automatické aktualizace: 4 - Automatické stahování a plánování instalace. Plánovaný den instalace: 0 - Každýden. Plánovaná doba instalace: 05:00 – když jsou přijaty nové aktualizace, klient je stáhne do místní mezipaměti a naplánuje jejich automatickou instalaci na 5:00;
• Název cílové skupiny pro tento počítač: Pracovní stanice– v konzole WSUS přiřaďte klienta do skupiny Workstations;
• Žádné automatické restartování s přihlášenými uživateli pro plánované instalace automatických aktualizací: Zakázáno- systém se automaticky restartuje 5 minut po dokončení instalace aktualizace;
• Zadejte umístění intranetové služby Microsoft Update: Povolit. Nastavte intranetovou aktualizační službu pro zjišťování aktualizací: http://srv-wsus.site:8530, Nastavte intranetový statistický server: http://srv-wsus.site:8530– adresa podnikového serveru WSUS.

V systému Windows 10 1607 a novějším, i když jste jim řekli, aby získávali aktualizace z interní služby WSUS, mohou se přesto pokusit kontaktovat servery Windows Update na internetu. Tato "funkce" se nazývá DvojíSkenovat. Chcete-li zakázat přijímání aktualizací z internetu, musíte navíc povolit zásady DělatnedovolitAktualizaceodloženíopatřenínazpůsobitskenujeprotiOknaAktualizace ().

Rada. Pro zlepšení „úrovně záplatování“ počítačů v organizaci lze obě zásady nakonfigurovat tak, aby vynutily spuštění aktualizační služby (wuauserv) na klientech. Chcete-li to provést, v sekci Konfigurace počítače -> Zásady-> Nastavení systému Windows -> Nastavení zabezpečení -> Systémové služby Najděte službu Windows Update a nastavte její automatické spouštění ( Automatický).

Přiřazení zásad WSUS organizačním jednotkám služby Active Directory

Dalším krokem je přiřazení vytvořených zásad k příslušným kontejnerům Active Directory (OU). V našem příkladu je struktura organizační jednotky v doméně AD co nejjednodušší: jsou zde dva kontejnery – servery (obsahuje kromě doménových řadičů všechny servery organizace) a WKS (pracovní stanice – uživatelské počítače).

Rada. Zvažujeme pouze jednu poměrně jednoduchou možnost vazby zásad WSUS na klienty. Ve skutečných organizacích je možné svázat jednu zásadu WSUS na všechny počítače v doméně (GPO s nastavením WSUS je připojen ke kořenovému adresáři domény), distribuovat různé typy klientů napříč různými organizačními jednotkami (jako v našem příkladu – my vytvořili různé zásady WSUS pro servery a pracovní stanice), ve velkých distribuovaných doménách lze propojovat nebo přiřazovat GPO na základě výše uvedených metod nebo jejich kombinací.

Chcete-li přiřadit zásadu organizační jednotce, klikněte na požadovanou organizační jednotku v konzole pro správu zásad skupiny a vyberte položku nabídky Propojit jako existující GPO a vyberte vhodnou politiku.

Rada. Nezapomeňte na samostatnou organizační jednotku s řadiči domény (řadiče domény ve většině případů by tomuto kontejneru měla být přiřazena zásada „serveru“ WSUS).

Úplně stejným způsobem je potřeba přiřadit zásadu WorkstationWSUSPolicy kontejneru AD WKS, ve kterém jsou umístěny pracovní stanice Windows.

Zbývá pouze aktualizovat zásady skupiny na klientech, aby se klient svázal se serverem WSUS:

Všechna nastavení systému aktualizace Windows, která nastavíme pomocí zásad skupiny, by se měla objevit v registru klientů ve větvi HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Tento soubor reg lze použít k přenosu nastavení WSUS do jiných počítačů, které nemohou konfigurovat nastavení aktualizace pomocí GPO (počítače v pracovní skupině, izolované segmenty, DMZ atd.)

Editor registru systému Windows verze 5.00

"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Servers"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

Je také vhodné ovládat použitá nastavení WSUS na klientech pomocí rsop.msc.

A po nějaké době (v závislosti na počtu aktualizací a šířce pásma kanálu k serveru WSUS) musíte v zásobníku zkontrolovat vyskakovací oznámení o přítomnosti nových aktualizací. Klienti by se měli objevit v konzole WSUS v příslušných skupinách (tabulka zobrazuje název klienta, IP adresu, operační systém, procento z nich „opravených“ a datum poslední aktualizace stavu). Protože Počítače a servery jsme přiřadili různým skupinám WSUS podle zásad, budou dostávat pouze aktualizace schválené pro instalaci v odpovídajících skupinách WSUS.

Poznámka. Pokud se aktualizace na klientovi neobjeví, doporučujeme pečlivě prozkoumat protokol služby Windows Update Service na problematickém klientovi (C:\Windows\WindowsUpdate.log). Upozorňujeme, že Windows 10 (Windows Server 2016) používá . Klient stáhne aktualizace do místní složky C:\Windows\SoftwareDistribution\Download. Chcete-li začít hledat nové aktualizace na serveru WSUS, musíte spustit příkaz:

wuauclt/detectnow

Někdy také musíte nuceně znovu zaregistrovat klienta na serveru WSUS:

wuauclt /detectnow /resetAuthorization

Ve zvláště obtížných případech se můžete pokusit opravit službu wuauserv. Pokud k tomu dojde, zkuste změnit frekvenci kontroly aktualizací na serveru WSUS pomocí zásady frekvence zjišťování automatických aktualizací.

V příštím článku si popíšeme funkce. Doporučujeme také přečíst si článek mezi skupinami na serveru WSUS.