Automatska ažuriranja važna su funkcionalna značajka svakog operativnog sustava. Zahvaljujući njemu, računalo prima važna ažuriranja na vrijeme, čineći sustav stabilnijim i sigurnijim. U sustavu Windows 7 funkcija se inicijalno aktivira. To znači da ako postoji veza s Microsoftovim poslužiteljima, usluga ažuriranja provjerava dostupnost svježih paketa, preuzima ih i instalira. Obično se svi procesi odvijaju gotovo nezapaženo od strane korisnika, ali kada se pojavljuju stalne ponude za nadogradnju na 10, to je već pretjerano.

Teoretski, nema potrebe za onemogućavanjem automatskog preuzimanja ažuriranja. Korisno je jer uklanja sigurnosne rupe, optimizira rad OS-a i dodaje mu nove značajke (što se tiče "desetki"). Tu je i popis razloga zašto bi usluga automatskog ažuriranja trebala biti onemogućena:

1. Korisniku se ne sviđa što tijekom ažuriranja brzina interneta pada i/ili se računalo ne može isključiti na dulje vrijeme.
2. Računalo ima skup ili ograničen bežični internet.
3. Problemi nakon pokretanja ažuriranog OS-a.
4. Greške tijekom instalacije paketa ažuriranja.
5. Nema dovoljno prostora na volumenu sustava da bi se prilagodio povećanom volumenu sustava Windows 7, koji raste sa svakim ažuriranjem.

Vrste

Ipak, prije nego što onemogućite ažuriranje sustava Windows 7, razmislite je li ono doista potrebno. Osim deaktivacije usluge, moguće ju je prebaciti na sljedeće načine rada.

1. Potpuno automatski - operacije se odvijaju bez intervencije korisnika, samo se obavještava potonjeg da je instalacija paketa završena.
2. Pretražujte i preuzimajte najnovije popravke prema rasporedu, a instalaciju paketa obavlja sam korisnik.
3. Automatska provjera i obavještavanje korisnika o dostupnosti ažuriranja.
4. Samoažuriranje je onemogućeno. Sve se radi ručno.

Opcije su odabrane u komponenti Update Center.

Metode odspajanja

Postavke bilo kojeg sustava Windows pohranjene su u njegovom registru. Ključu koji je odgovoran za postavke Centra za ažuriranje možete pristupiti na nekoliko jednostavnih i nekoliko složenijih načina. Pogledajmo ih sve.

Promijenite postavke Centra za ažuriranje

Počnimo s postavljanjem usluge za sebe. Da biste pristupili konfiguracijskom sučelju, morate otvoriti “Centar za ažuriranje” na jedan od sljedećih načina.

Sustav

1. Kroz kontekstni izbornik Moje računalo pozovite njegova "Svojstva".

1. U lijevom okomitom izborniku kliknite na odgovarajuću poveznicu koja se nalazi na dnu prozora.

1. Idite na "Upravljačku ploču".
2. Otvorite odjeljak "Sustav, sigurnost".

1. Nazovite istoimeni element.

Ako su stavke upravljačke ploče prikazane kao ikone, a ne kategorije, poveznica na stavku pojavit će se u glavnom prozoru.

1. Dakle, nakon što uđete u željeni prozor, kliknite "Parametri postavki".

1. Prijeđite na odjeljak "Važna ažuriranja" i odaberite odgovarajuću opciju s padajućeg popisa.

Jedini način da potpuno onemogućite primanje ažuriranja na računalu sa sustavom Windows 7 je zaustaviti uslugu.

Onemogućavanje usluge

Upravljanje uslugama u "sedmorici" odvija se kroz:

• izravno uređivanje ključeva registra, što je vrlo nezgodno;
• programi trećih strana za konfiguriranje OS-a (preskočit ćemo ovu opciju);
• MMC konzola snap-in;
• sistemska konfiguracija;
• naredbeni redak;
• Uređivač grupnih pravila (prisutan u sustavu Windows 7 Ultimate, Enterprise).

Uklanjanje usluge iz automatskog pokretanja

Najbrži način za onemogućavanje ažuriranja je putem konfiguratora sustava.

1. Izvršite “msconfig” u prozoru tumača naredbi koji će se otvoriti nakon što držite pritisnute tipke Win + R ili kliknete na gumb “Pokreni” u Startu.

1. Idite na karticu "Usluge".
2. Pronađite “Windows Update” (možda Windows Update) i poništite okvir pokraj njega.

1. Spremite nove postavke.

Do kraja tekuće sesije, usluga će raditi, pravilno obavljajući zadatke koji su joj dodijeljeni. Za primjenu nove konfiguracije potrebno je ponovno pokrenuti Windows 7.

Upotrijebimo dodatak MMC konzole

Istoimeni dodatak konzole sustava omogućuje pristup upravljanju svim uslugama na računalu. Počinje ovako.

1. Otvorite kontekstni izbornik direktorija "Moje računalo".
2. Pozovite naredbu "Upravljanje".

1. U lijevom okomitom izborniku proširite stavku "Usluge i aplikacije". Zatim kliknite vezu "Usluge".

Jednostavnija opcija za pozivanje istog prozora bila bi pokretanje naredbe “services.msc” kroz dijaloški okvir “Pokreni”.

1. Dođite do samog kraja popisa usluga i otvorite "Svojstva" usluge Windows Update.

1. Na padajućem popisu "Vrsta pokretanja" odaberite "Onemogućeno" umjesto "Automatski" kako biste se zauvijek oprostili od automatskih ažuriranja. Ako sada trebate onemogućiti uslugu, svakako kliknite "Zaustavi". Spremite nove postavke pomoću gumba "Primijeni" i zatvorite sve prozore.

Računalo se ne mora ponovno pokrenuti za primjenu postavki.

Uređivač pravila grupe

Još jedan MMC dodatak koji se zove uređivač pravila lokalne grupe pomoći će vam da konfigurirate bilo koji parametar sustava.

Nije dostupan u kućnom izdanju Sedmice!

1. Alat se pokreće pokretanjem naredbe “gpedit.msc” kroz prozor “Pokreni”.

1. U pododjeljku "Konfiguracija računala" proširite granu "Administrativni predlošci".

1. Otvorite “Komponente sustava Windows” i potražite Centar za ažuriranje.
2. Na desnoj strani prozora nalazimo parametar čije ime počinje s "Postavljanje automatskog ažuriranja".
3. Pozovite njegove postavke.

1. Pomaknite potvrdni okvir na položaj "Onemogući" i kliknite "U redu" kako biste zatvorili prozor i spremili promjene.

Upotrijebimo naredbeni redak

Kroz naredbeni redak izvode se sve iste operacije kao i korištenjem grafičkog sučelja, pa čak i više, ali u tekstualnom načinu. Glavna stvar je znati njihovu sintaksu i parametre.

Naredba “cmd” odgovorna je za pozivanje naredbenog retka.

1. Otvorite interpreter naredbi i izvršite ga.

U ovom ću vam članku reći o nekim ključevima registra koji su povezani s Windows Updateom. Pokazat ću vam različite opcije koje ti ključevi registra mogu prihvatiti.

Ako ste propustili drugi dio ovog članka, pročitajte

Iako su i Windows Update i WSUS općenito prilično jednostavni za konfiguriranje, ponekad možete dobiti veću kontrolu unosom nekih promjena u Windows registar. U ovom ću vam članku pokazati neke ključeve registra koji su povezani s Windows Updateom. Pokazat ću vam različite opcije koje ti ključevi registra mogu prihvatiti.

Početi

Prvo ću razveseliti odvjetnike i upozoriti da izmjene u registru mogu biti vrlo opasne. Unos netočnih postavki registra može dovesti do uništenja sustava Windows i/ili bilo koje pokrenute aplikacije na računalu. Prije nego što pokušate napraviti promjene u registru, morate napraviti punu sigurnosnu kopiju sustava, spreman sam vam pokazati kako se to radi.

Ima još jedna stvar o kojoj ti moram reći. Fino podešavanje o kojem vam želim reći odnosi se samo na računala sa sustavom Windows XP. Možete izravno napraviti promjene na određenim strojevima ili ih možete primijeniti kao dio skripte za prijavu. Također, neki od ključeva o kojima ću govoriti možda ne postoje prema zadanim postavkama. Ako želite koristiti ključ koji ne postoji, prvo ga morate izraditi. Također biste trebali znati da se ponašanje ažuriranja sustava Windows može kontrolirati pomoću pravila grupe. Grupna pravila ponekad mogu modificirati ključeve registra tako da slijede ponašanje koje specificiraju.

Eskalacija privilegija

Jedan od problema s dobivanjem ažuriranja s WSUS poslužitelja je taj što korisnici ne mogu odobriti ili odbiti ažuriranja osim ako nisu članovi lokalne administratorske grupe. Međutim, možete koristiti registar za podizanje korisničkih povlastica tako da mogu instalirati ili odbiti instalirati promjene, bez obzira jesu li članovi lokalne administratorske grupe ili ne. S druge strane, također možete spriječiti korisnike da instaliraju ažuriranja i to pravo prepustiti administratoru (Admin).

Ključ registra koji je odgovoran za ovo je: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins

Ključ ElevateNonAdmins ima dvije moguće vrijednosti. Zadana vrijednost 1 omogućuje korisnicima koji nisu administratori da instaliraju ažuriranja. Ako promijenite ovu vrijednost na 0, samo će administratori moći instalirati ažuriranja.

Ciljane skupine

Jedna od sjajnih stvari s WSUS-om je ta što omogućuje ciljanje na strani klijenta. Ideja s pozicioniranjem na strani klijenta je da možete definirati različite grupe računala i distribuirati prava za instaliranje ažuriranja ovisno o članstvu u grupi. Prema zadanim postavkama, pozicioniranje na strani klijenta se ne koristi, ali ako ga odlučite koristiti, postoje dva ključa registra koji će vam pomoći u tome. Prvi od ovih ključeva uključuje ciljanje na strani klijenta, a drugi označava naziv grupe kojoj računalo pripada. Oba ova ključa moraju biti kreirana u: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\

Prvi ključ je DWORD ključ pod nazivom TargetGroupEnabled. Ovaj ključ možete postaviti na 0, što onemogućuje ciljanje na strani klijenta, ili na 1, što omogućuje ciljanje na strani klijenta.

Drugi ključ koji biste trebali stvoriti trebao bi se zvati TargetGroup i imati vrijednost niza. Vrijednost ovog ključa mora biti naziv grupe kojoj računalo treba biti dodijeljeno.

Instaliranje WSUS poslužitelja

Ako ste se neko vrijeme bavili webom, vjerojatno znate da se web dizajn s vremenom mijenja. Stvari poput rasta tvrtke, novih sigurnosnih zahtjeva i korporativnih ograničenja često čine osnovu za mrežne promjene. Kako se to odnosi na ažuriranja sustava Windows? WSUS je skalabilan i može se instalirati na hijerarhijski način. To znači da organizacija može imati instalirano više WSUS poslužitelja. Ako se računalo premjesti u drugi dio tvrtke, WSUS poslužitelj koji je izvorno definiran za to računalo možda više neće odgovarati novoj lokaciji. Srećom, nekoliko jednostavnih izmjena registra može promijeniti WSUS poslužitelj s kojeg računalo prima ažuriranja.

Postoje dva ključa koja se koriste za identifikaciju WSUS poslužitelja. Svaki od njih nalazi se u: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\. Prvi ključ se zove WUServer. Ovaj ključ mora biti postavljen na tekstualnu vrijednost koja opisuje URL WSUS poslužitelja (na primjer: http://ime poslužitelja).

Drugi ključ koji biste trebali promijeniti je ključ pod nazivom WUStatusServer. Ideja s ovim ključem je da računalo (PC) treba prijaviti svoj status WSUS poslužitelju tako da WSUS poslužitelj može znati koje su promjene instalirane na računalu. WUStatusServer ključ obično sadrži točno istu vrijednost kao WUServer ključ (na primjer: http://servername).

Agent za automatsko ažuriranje

Dakle, govorio sam o tome kako spojiti računalo (PC) na određeni WSUS poslužitelj ili za određenu skupinu (ciljanu skupinu), ali to je samo pola procesa. Windows Update koristi agenta za ažuriranje koji zapravo instalira ažuriranja. Postoji nekoliko ključeva registra koji se nalaze u HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU koji kontroliraju agenta za automatsko ažuriranje.

Prva od ovih tipki je tipka AUOptions. Ova DWORD vrijednost može se postaviti na 2, 3, 4 ili 5. Vrijednost 2 znači da bi agent trebao obavijestiti korisnika kada se ažuriranja preuzmu. Vrijednost 3 znači da će se ažuriranje automatski preuzeti i da će korisnik biti obaviješten o instalaciji. Vrijednost 4 znači da bi se ažuriranje trebalo automatski preuzeti i instalirati prema rasporedu. Kako bi ova opcija radila, također morate postaviti vrijednosti za ključeve ScheduledInstallDay i ScheduledInstallTime. Kasnije ću više govoriti o ovim ključevima. Konačno, vrijednost 5 znači da je potrebno automatsko ažuriranje, ali to mogu konfigurirati krajnji korisnici.

Sljedeći ključ o kojem želim govoriti je ključ AutoInstallMinorUpdates. Ovaj ključ može imati vrijednost 0 ili 1. Ako je vrijednost ključa 0, tada se manja ažuriranja obrađuju isto kao i sva druga ažuriranja. Ako je vrijednost ključa 1, tada se manja ažuriranja tiho instaliraju u pozadini.

Drugi ključ povezan s agentom za automatsko ažuriranje je ključ DetectionFrequency. Ovaj ključ vam omogućuje da postavite koliko često agent treba provjeravati ažuriranja. Vrijednost ključa mora biti cijeli broj od 1 do 22, što odražava broj sati između pokušaja traženja ažuriranja.

Ključ registra povezan s njim je ključ DetectionFrequencyEnabled. Kao što ime sugerira, ova tipka vam omogućuje da omogućite ili onemogućite funkciju detekcije frekvencije. Ako postavite vrijednost ovog ključa na 0, tada će vrijednost ključa DetectionFrequency biti zanemarena, a ako postavite vrijednost ovog ključa na 1, tada će agent morati koristiti vrijednost ključa DetectionFrequency.

Sljedeći ključ o kojem želim govoriti je ključ NoAutoUpdate. Ako je vrijednost ovog ključa 0, omogućeno je automatsko ažuriranje. Ako je vrijednost ključa 1, automatsko ažuriranje je onemogućeno.

Posljednji ključ registra o kojem želim govoriti je ključ NoAutoRebootWithLoggedOnUsers. Kao što vjerojatno znate, neka ažuriranja možda neće stupiti na snagu bez ponovnog pokretanja sustava. Ako korisnik radi u ovom trenutku, ponovno pokretanje može biti vrlo nepoželjno. Ovo je osobito istinito ako je korisnik otišao od svog stola i nije spremio svoj rad. U ovom slučaju pomoći će ključ NoAutoRebootWithLoggedOnUsers. Vrijednost ovog ključa može biti 0 ili 1. Ako je vrijednost ključa 0, korisnici će dobiti upozorenje od 5 minuta prije nego što se sustav automatski ponovno pokrene. Ako je vrijednost ključa 1, tada će korisnici jednostavno primiti poruku u kojoj se traži dopuštenje za ponovno pokretanje, ali korisnici to mogu odabrati po vlastitom nahođenju.

Zaključak

Postoji mnogo više ključeva registra koji se odnose na Windows Update. O ostalima ću govoriti u drugom dijelu ovog članka.

www.windowsnetworking.com

Komentari čitatelja (Bez komentara)

Razmjena 2007

Ovaj članak sažima meni poznate metode za popravljanje WSUS agenta.

1. Prva skripta je najjednostavnija i zapravo se čak ne koristi za liječenje, već za prisilno pokretanje provjere ažuriranja, a istovremeno čisti mapu u kojoj se nakupljaju distribucije već instaliranih ažuriranja:

wsus_detect_manual.cmd

net stop wuauserv && net stop bitovi && net stop cryptsvc

net start wuauserv && net start bits && net start cryptsvc

wuauclt.exe /detectnow Izlaz

2. Druga skripta je potrebna kako bi se "oživjela" neaktivna WSUS usluga. Čisti stara ažuriranja, nakon čega se mape SoftwareDistribution i Catroot2 preimenuju, što će dovesti do njihovog ponovnog stvaranja kada se usluga ponovno pokrene. Zatim se sistemske dll biblioteke ponovno registriraju.

popraviti_wsus_service.cmd

neto stop bitovi
net stop wuauserv
net stop cryptsvc

del /f /s /q %windir%\SoftwareDistribution\download\*.*

ren %systemroot%\System32\Catroot2 Catroot2.old
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old

REM del /f /s /q %windir%\SoftwareDistribution\*.*

del /f /s /q %windir%\windowsupdate.log

%windir%\system32\regsvr32.exe /U /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuweb.dll

%windir%\system32\regsvr32.exe /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuweb.dll

neto početni bitovi
net start wuauserv
net start cryptsvc

wuauclt/detectnow

Izlaz

3. Ova se skripta koristi u slučajevima kada je računalo nedavno klonirano ili u slučajevima kada se računalo nikada nije registriralo na WSUS. Od prethodnog se razlikuje samo u pretposljednjem redu, u kojem se resetira autorizacija i regenerira identifikator. Samo ću citirati ovaj redak:

wsus_resetaut_detect_manual.cmd

wuauclt.exe /resetauthorization /detectnow

AU_Clean_SID.cmd

@echo uključen
net stop wuauserv
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
net start wuauserv
wuauclt /resetauthorization /detectnow

5. Ponekad, da bi sve radilo, morate ponovno instalirati WSUS agent. Prvo morate preuzeti najnoviji Windows Update Agent, a zatim instalirati odgovarajuće izdanje

za x32 verzije sustava Windows

windowsupdateagent30-x86.exe /wuforce

za x64 verzije sustava Windows

windowsupdateagent30-x64.exe /wuforce

Jeste li sretni vlasnik Itaniuma, možete i sami pogoditi :-)

Nakon instaliranja agenta morate se ponovno pokrenuti.

6. Za “liječenje” grešaka 0x80070005, tj. pogreške pristupa, skripta u nastavku može biti korisna. Vraća administratorski i sistemski pristup registru i sistemskim mapama.

Za pokretanje ove skripte trebat će vam Microsoftov uslužni program subinacl.exe. Uključen je u paket resursa za Windows Server 2003, ali ne biste trebali koristiti verziju koja je tamo uključena jer Ima tu nekih gadnih buba. Trebali biste preuzeti subinacl.exe verziju 5.2.3790.1180.

Restore_registry_and_system_permission.cmd

@echo isključen
REM Prijavite se za pogreške 0x80070005 Windows Update
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=administrators=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f
subinacl /poddirektoriji %SystemDrive% /grant=administrators=f
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f
subinacl /poddirektoriji %SystemDrive% /grant=sustav=f

Sve te skripte mogu se izvršiti gotovo automatski ako se pojave problemi. Ako, kao rezultat toga, problem nije riješen, onda ga morate pomnije razmotriti. I ovdje ćemo trebati isti windowsupdate.log, koji se nalazi u korijenu mape Windows. Ako je računalo problematično, onda je ova datoteka velika. Radi jednostavnosti, preporučljivo je ukloniti ga prije pokretanja skripti. Gotovo sve skripte daju naredbu za uklanjanje, ali nije sve tako jednostavno. Unatoč zaustavljanju usluge wuauserv, ona obično i dalje ostaje otvorena u IE, itd. Stoga postoji lukav način. lansiram

notepad.exe %windir%\windowsupdate.log

Odaberem sav tekst, izbrišem ga i spremim umjesto stare datoteke (ne zaboravite promijeniti vrstu datoteke u *.* u dijalogu za spremanje, inače je zadana *.txt)

Vrijedno je napomenuti da postoje slučajevi kada nije moguće prisiliti klijenta da se ažurira s wsus-a. Imam presedane s nekoliko Windows Servera 2003 R2 koje nisam uspio prevladati. Zato ih ažuriram putem interneta :-)

Svježi operativni sustavi kao što su Windows 7, Windows 2008 ponekad imaju poteškoća s pokretanjem. Za takve slučajeve, empirijski, algoritam poput:
1. Prvo ažurirajte s Microsoftove web stranice s ažuriranjem agenta
2. Zatim lokalno ažuriramo agenta
3. I tada sve počinje funkcionirati

Nadam se da će plodovi našeg rada nekome pomoći.

Radi jednostavnosti, objavljujem sve ove skripte u gotovom obliku:

Pri rješavanju sigurnosnih problema računalnih sustava mora se voditi računa o čitavom nizu problema, a jedan od njih je pravovremeno ažuriranje operativnih sustava i softvera.

Uvod

Kako bi se održalo trenutno stanje operativnih sustava tvrtke i softvera informacijskog sustava, potrebno ih je redovito ažurirati. Ove se radnje mogu izvršiti s web-mjesta Microsoft Update na svakom klijentskom računalu ili korištenjem poslužitelja(a) Windows Server Update Services (WSUS). Ako govorimo o korporativnoj mreži, onda je preporučena opcija korištenje WSUS poslužitelja. Radom s gore navedenom uslugom postiže se značajno smanjenje internetskog prometa te je omogućeno centralizirano upravljanje procesom postavljanja zakrpa sustava i softvera dobivenog od Microsofta.

Dodatno bih želio napomenuti da je 23. ožujka 2011. Microsoft najavio izlazak novog proizvoda “Windows Intune”, čija će jedna od funkcija biti izvršavanje onih zadataka za koje je prethodno bio odgovoran WSUS.

Kako biste osigurali da se klijentska računala mogu ažurirati, morate:

1. Dizajnirajte rješenje

2. Postavite WSUS poslužitelj/poslužitelje;

3. Osigurati redovitu sinkronizaciju WSUS poslužitelja s resursom Microsoft Update;

4. Konfigurirajte radne parametre WSUS poslužitelja/poslužitelja;

5. Kreirajte ciljne grupe i postavite klijentska računala u ciljne grupe na WSUS poslužitelju.

6. Konfigurirajte klijente za korištenje WSUS poslužitelja;

7. Osigurajte sigurnost WSUS poslužitelja/poslužitelja.

U ovom članku ne razmatramo faze dizajna i implementacije, sinkronizacije; govorit ćemo o postavljanju klijenata i osiguravanju sigurnosti WSUS poslužitelja.

Konfiguriranje klijenata poslužitelja ažuriranja bez korištenja pravila grupe

Postoje tri načina za konfiguriranje klijenata za korištenje WSUS poslužitelja:

1. Korištenje pravila grupe;
2. Korištenje politike lokalnog računala;
3. Izravne promjene u registar klijentskih stanica.

Najbolji način je koristiti objekte pravila grupe, pogledajte sl. 1 povezan s potrebnim AD (Windows 2003) ili AD DS (Windows 2008) spremnikom, ali ova je opcija dostupna samo ako vaša organizacija ima implementiran Active Directory. Mogućnosti grupnih pravila za postavljanje interakcije s poslužiteljem za upravljanje i upravljanje postupcima ažuriranja klijenta u potpunosti zadovoljavaju potrebe administratora. Ono što možemo provjeriti gledajući sl. 1. Popis dostupnih postavki prilično je širok.

Riža. 1. Postavke WSUS klijenta.

Ako imenička usluga nije postavljena u organizaciji, tada se mogućnost interakcije klijenta s WSUS-om može implementirati putem lokalne politike ili "izravnim" izmjenama u registru sustava radne stanice ili poslužitelja čije stanje želimo provjeriti osigurati da je ažuran. U biti, politika nije ništa više od sučelja za registar.

Okolnosti u kojima radne stanice i poslužitelji nisu AD klijenti mogu se pojaviti u raznim slučajevima, na primjer:

· Korištenje imeničkih usluga trećih strana, međutim, rješenja temeljena na Microsoft operativnim sustavima koriste se kao poslužitelji aplikacija, poslužitelji datoteka i klijentske radne stanice;

· Potreba za izgradnjom zone "gost" za omogućavanje pristupa Internetu "vanjskim" korisnicima;

· Nedovoljna zrelost tvrtke, zbog koje centralizirana imenička služba nije postavljena, ili nedostatak potrebe za tom uslugom.

1. Potrebno je hostirati uslugu ažuriranja na intranetu i poslužitelju statistike, te raspodijeliti klijente u grupe.

U odjeljku registra

morat ćete navesti adresu ili naziv poslužitelja za ažuriranje na koji će se klijent spojiti i broj porta koji je odabran za rad s WSUS poslužiteljem. Prema zadanim postavkama pretpostavlja se priključak 80.

"WUStatusServer"=http://192.168.1.100

Budući da je potrebno klijentska računala smjestiti u ciljne skupine, moramo naznačiti u koju od ciljnih skupina računalo treba smjestiti:

"TargetGroupEnabled"=dword:00000001

U našoj verziji, ciljna skupina se zove "WSUS-Test-WKS". Za klijente čiji će naziv ciljne skupine biti drugačiji, ovo polje će imati drugu vrijednost. Parametar TargetGroupEnabled u ovom slučaju omogućuje kontrolu postavljanja u grupu sa strane klijenta.

Da biste to učinili, u odjeljku registra

"TargetGroup"="WSUS-Test-WKS"

"TargetGroupEnabled"=dword:00000001

"WUServer"="http://192.168.1.100"

"WUStatusServer"="http://192.168.1.100"

"NoAutoUpdate"=dword:00000000

"AUOpcije"=dword:00000004

"ScheduledInstallDay"=dword:00000000

"ScheduledInstallTime"=dword:00000009

"UseWUServer"=dword:00000001

"RescheduleWaitTime"=dword:00000001

" NoAutoRebootWithLoggedOnUsers"=dword:00000000

Osiguravanjem da je navedena datoteka isporučena i izvršena, možemo konfigurirati klijente WSUS poslužitelja bez pribjegavanja korištenju pravila grupe. Opis svih varijabli registra koje se mogu koristiti za rad s poslužiteljem za ažuriranje i njihove moguće vrijednosti nalaze se u Vodiču za implementaciju Windows Server Update Services 3.0 SP2.

Kako biste osigurali sigurnost samog poslužitelja za ažuriranje, ima smisla slijediti nekoliko jednostavnih preporuka:

1. Ako trebamo osigurati sigurnu razmjenu informacija između klijenata i poslužitelja i/ili između WSUS poslužitelja, tada je moguće koristiti SSL protokol. Pogledajte "Osiguranje WSUS-a pomoću sloja sigurnih utičnica" u Vodiču za implementaciju usluga Windows Server Update Services (). U nedostatku mrežne razmjene između poslužitelja, prijenos podataka osiguran je putem vanjskog medija. Alternativna metoda zaštite, ako nije moguće koristiti SSL, je korištenje IPsec protokola. Pogledajte "Pregled IPsec implementacije" http://go.microsoft.com/fwlink/?LinkId=45154.

2. WSUS poslužitelj koji se sinkronizira s Microsoft Updateom trebao bi biti postavljen iza vatrozida i trebao bi biti dostupan samo hostovima kojima je stvarno potreban. Pogledajte "Konfigurirajte vatrozid" u Vodiču za implementaciju usluga Windows Server Update Services (http://go.microsoft.com/fwlink/?LinkId=79983).

3. Što se tiče pristupa datoteci, ne biste trebali dodijeliti pretjerana dopuštenja resursima; opis zahtjeva za pravima pristupa dat je u odjeljku “Prije nego počnete” u Vodiču za implementaciju usluga ažuriranja sustava Windows (http://go.microsoft.com/ fwlink/ ?LinkId=79983).

4. Ako poslužitelj za ažuriranje ima pristup Internetu (u nekim slučajevima to možda nije slučaj, na primjer, sinkronizacija se izvodi s drugim WSUS poslužiteljem koji ima tu mogućnost), tada se preporučuje da njegovu bazu podataka smjestite na drugo računalo , kojem se ne može pristupiti izvana. Pogledajte "Dodatak B: Konfiguriranje udaljenog SQL-a" u Vodiču za implementaciju usluga Windows Server Update Services (http://go.microsoft.com/fwlink/?LinkId=79983).

5. Za upravljanje WSUS poslužiteljem, mudro je koristiti ugrađenu WSUS Administratorsku grupu, koja će biti kreirana tijekom postavljanja.

Leonid Šapiro.

Bibliografija.

Anita Taylor Vodič za implementaciju Windows Server Update Services 3.0 SP2.

Anita Taylor Operativni vodič za Windows Server Update Services 3.0 SP2

[i]DMZ - demilitariziranizona

Ovdje nije sve pokriveno, već samo osnovne postavke za konfiguriranje WSUS klijenta.

Put do traženih poslužitelja možete odrediti ili pomoću adrese, što je učinjeno u navedenom primjeru, ili pomoću naziva poslužitelja, uz mogućnost razlučivanja naziva poslužitelja u njegovu IP adresu.

Ovo je apstraktni naziv ispitne grupe.

U jednom od prethodnih članaka detaljno smo opisali postupak. Nakon što ste konfigurirali poslužitelj, morate konfigurirati Windows klijente (poslužitelje i radne stanice) da koriste WSUS poslužitelj za primanje ažuriranja, tako da klijenti primaju ažuriranja s internog poslužitelja za ažuriranje, a ne s poslužitelja Microsoft Update preko Interneta. U ovom ćemo članku proći kroz proceduru za konfiguriranje klijenata za korištenje WSUS poslužitelja pomoću grupnih pravila domene Active Directory.

Pravila grupe AD dopuštaju administratoru da automatski dodjeljuje računala različitim WSUS grupama, eliminirajući potrebu za ručnim premještanjem računala između grupa u WSUS konzoli i održavanjem tih grupa ažurnim. Dodjela klijenata različitim ciljnim skupinama WSUS-a temelji se na oznaci registra na klijentu (oznake se postavljaju grupnim pravilima ili izravnim uređivanjem registra). Ova vrsta dodjele klijenata WSUS grupama se zove klijentstranaciljanje(Ciljanje na strani klijenta).

Pretpostavlja se da će naša mreža koristiti dva različita pravila ažuriranja - zasebno pravilo instalacije ažuriranja za poslužitelje ( poslužitelji) i za radne stanice ( Radne stanice). Ove dvije grupe potrebno je kreirati u WSUS konzoli u odjeljku Sva računala.

Savjet. Pravila za to kako klijenti koriste WSUS poslužitelj za ažuriranje uvelike ovise o organizacijskoj strukturi OU-a u Active Directoryju i pravilima instalacije ažuriranja organizacije. U ovom ćemo članku pogledati samo određenu opciju koja vam omogućuje razumijevanje osnovnih načela korištenja AD pravila za instaliranje ažuriranja sustava Windows.

Prije svega, morate odrediti pravilo za grupiranje računala u WSUS (targeting) konzoli. Prema zadanim postavkama, u WSUS konzoli, administrator ručno raspodjeljuje računala u grupe (ciljanje na strani poslužitelja). Nismo zadovoljni s tim, stoga ćemo istaknuti da su računala raspoređena u grupe na temelju ciljanja na strani klijenta (po određenom ključu u registru klijenata). Da biste to učinili, u WSUS konzoli idite na odjeljak Mogućnosti i otvorite parametar Računala. Promijenite vrijednost u Koristite pravila grupe ili postavke registra na računalima(Koristite pravila grupe ili postavke registra na računalima).

Sada možete stvoriti GPO za konfiguriranje WSUS klijenata. Otvorite konzolu za upravljanje grupnim pravilima domene i kreirajte dvije nove grupne politike: ServerWSUSPolicy i WorkstationWSUSPolicy.

Pravila grupe WSUS za Windows poslužitelje

Počnimo s opisom politike poslužitelja ServerWSUSPolicy.

Postavke pravila grupe odgovorne za rad usluge Windows Update nalaze se u odjeljku GPO: RačunaloKonfiguracija -> Politike-> Upravnišablone-> Windowskomponenta-> WindowsAžuriraj(Konfiguracija računala -> Administrativni predlošci -> Komponente sustava Windows -> Ažuriranje sustava Windows).

U našoj organizaciji očekujemo korištenje ovog pravila za instaliranje WSUS ažuriranja na Windows poslužiteljima. Očekuje se da će sva računala obuhvaćena ovom politikom biti dodijeljena grupi poslužitelja na WSUS konzoli. Osim toga, želimo spriječiti automatsku instalaciju ažuriranja na poslužiteljima kada ih primimo. WSUS klijent mora jednostavno preuzeti dostupna ažuriranja na disk, prikazati upozorenje za nova ažuriranja u paleti sustava i pričekati da administrator pokrene instalaciju (bilo ručno ili daljinski koristeći ) kako bi započeo instalaciju. To znači da produktivni poslužitelji neće automatski instalirati ažuriranja i ponovno se pokrenuti bez odobrenja administratora (obično ove radove obavlja administrator sustava kao dio planiranog mjesečnog održavanja). Da bismo implementirali takvu shemu, postavit ćemo sljedeća pravila:

• KonfiguriratiAutomatskinadopune(Postavljanje automatskog ažuriranja): Omogućiti. 3 – Automatskipreuzimanje datotekaiobavijestitizainstalirati(Automatski preuzima ažuriranja i obavještava vas kada budu spremna za instalaciju)– klijent automatski preuzima nova ažuriranja i obavještava o njihovoj dostupnosti;
• NavediteIntranetMicrosoftAžurirajservismjesto(Navedite intranetsku lokaciju Microsoft Update): Omogućiti. Postavite intranetsku uslugu ažuriranja za otkrivanje ažuriranja: http://srv-wsus.site:8530, Postavite intranet poslužitelj statistike: http://srv-wsus.site:8530– ovdje morate navesti adresu vašeg WSUS poslužitelja i statističkog poslužitelja (obično su isti);
• Nema automatskog ponovnog pokretanja s prijavljenim korisnicima za planirane instalacije automatskih ažuriranja(Nemojte automatski ponovno pokretati sustav kada automatski instalirate ažuriranja ako postoje korisnici koji rade na sustavu): Omogućiti– zabrani automatsko ponovno pokretanje kada postoji korisnička sesija;
• Omogućitiklijent-stranaciljanje ( Dopustite klijentu da se pridruži ciljnoj skupini): Omogućiti. Naziv ciljne skupine za ovo računalo: poslužitelji– u WSUS konzoli dodijelite klijente grupi Servers.

Bilješka. Prilikom postavljanja pravila ažuriranja, preporučujemo da se pažljivo upoznate sa svim postavkama dostupnim u svakoj od opcija u odjeljku GPO WindowsAžuriraj i postavite parametre koji odgovaraju vašoj infrastrukturi i organizaciji.

Pravila instalacije ažuriranja WSUS-a za radne stanice

Pretpostavljamo da će se ažuriranja na klijentskim radnim stanicama, za razliku od pravila poslužitelja, automatski instalirati noću odmah nakon primanja ažuriranja. Nakon instaliranja ažuriranja, računala bi se trebala automatski ponovno pokrenuti (upozorenje korisnika 5 minuta unaprijed).

U ovom GPO-u (WorkstationWSUSPolicy) navodimo:

• DopustiAutomatskinadopuneneposrednamontaža(Dopusti trenutnu instalaciju automatskih ažuriranja): Onemogućeno- zabrana trenutne instalacije ažuriranja nakon što su primljena;
• Dopustine- administratoridoprimitiAžurirajobavijesti(Dopusti korisnicima koji nisu administratori primanje obavijesti o ažuriranju): Omogućeno- prikazati upozorenje neadministratorima o novim ažuriranjima i omogućiti njihovu ručnu instalaciju;
• Konfigurirajte automatska ažuriranja:Omogućeno. Konfigurirajte automatsko ažuriranje: 4 - Automatsko preuzimanje i zakazivanje instalacije. Planirani dan instalacije: 0 - Svakidan. Zakazano vrijeme instalacije: 05:00 – kada se primi nova ažuriranja, klijent ih preuzima u lokalnu predmemoriju i zakazuje njihovu automatsku instalaciju u 5:00 ujutro;
• Naziv ciljne skupine za ovo računalo: Radne stanice– u WSUS konzoli dodijelite klijenta grupi Radne stanice;
• Nema automatskog ponovnog pokretanja s prijavljenim korisnicima za planirane instalacije automatskih ažuriranja: Onemogućeno- sustav će se automatski ponovno pokrenuti 5 minuta nakon završetka instalacije ažuriranja;
• Navedite intranet Microsoftovu lokaciju usluge ažuriranja: Omogući. Postavite intranetsku uslugu ažuriranja za otkrivanje ažuriranja: http://srv-wsus.site:8530, Postavite intranet poslužitelj statistike: http://srv-wsus.site:8530– adresa korporativnog WSUS poslužitelja.

U sustavu Windows 10 1607 i novijim, iako ste im rekli da preuzimaju ažuriranja s internog WSUS-a, oni će i dalje možda pokušati kontaktirati poslužitelje Windows Update na Internetu. Ova "osobina" se zove DualSkenirati. Da biste onemogućili primanje ažuriranja s interneta, morate dodatno omogućiti pravilo ČininedopustitiAžurirajodgodapolitikedouzrokskeniraprotivWindowsAžuriraj ().

Savjet. Kako bi se poboljšala "razina krpanja" računala u organizaciji, obje politike mogu se konfigurirati da prisilno pokrenu uslugu ažuriranja (wuauserv) na klijentima. Da biste to učinili, u odjeljku Konfiguracija računala -> Pravila-> Postavke sustava Windows -> Sigurnosne postavke -> Usluge sustava Pronađite uslugu Windows Update i postavite je da se automatski pokreće ( Automatski).

Dodjeljivanje WSUS pravila OU-ima Active Directory-a

Sljedeći korak je dodjeljivanje kreiranih pravila odgovarajućim spremnicima aktivnog imenika (OU). U našem primjeru OU struktura u AD domeni je najjednostavnija: postoje dva spremnika – Servers (sadrži sve servere organizacije, osim kontrolera domene) i WKS (Workstations – korisnička računala).

Savjet. Razmatramo samo jednu prilično jednostavnu opciju za vezanje WSUS pravila za klijente. U stvarnim organizacijama moguće je vezati jedno WSUS pravilo za sva računala u domeni (GPO s WSUS postavkama priložen je korijenu domene), za distribuciju različitih tipova klijenata po različitim OU (kao u našem primjeru - mi stvorena različita WSUS pravila za poslužitelje i radne stanice), u velikim distribuiranim domenama mogu se povezati ili dodijeliti GPO-ovi na temelju ili kombinaciji gore navedenih metoda.

Da biste dodijelili politiku OU-u, kliknite na željeni OU u konzoli za upravljanje pravilima grupe i odaberite stavku izbornika Poveži kao postojeći GPO i odaberite odgovarajuću politiku.

Savjet. Ne zaboravite na zasebnu OU s kontrolerima domene (kontrolori domene); u većini slučajeva ovom spremniku treba dodijeliti politiku WSUS "poslužitelja".

Na potpuno isti način trebate dodijeliti WorkstationWSUSPolicy pravilo AD WKS spremniku u kojem se nalaze Windows radne stanice.

Sve što preostaje je ažurirati pravila grupe na klijentima kako bi se klijent vezao na WSUS poslužitelj:

Sve postavke sustava za ažuriranje sustava Windows koje postavljamo pomoću grupnih pravila trebale bi se pojaviti u registru klijenata u grani HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Ova reg datoteka može se koristiti za prijenos WSUS postavki na druga računala koja ne mogu konfigurirati postavke ažuriranja koristeći GPO (računala u radnoj grupi, izolirani segmenti, DMZ, itd.)

Windows Registry Editor verzija 5.00

"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Poslužitelji"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 –
"AUOpcije"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

Također je zgodno kontrolirati primijenjene WSUS postavke na klijentima pomoću rsop.msc.

I nakon nekog vremena (ovisno o broju ažuriranja i propusnosti kanala do WSUS poslužitelja), morate provjeriti u traci za skočne obavijesti o prisutnosti novih ažuriranja. Klijenti bi se trebali pojaviti u WSUS konzoli u odgovarajućim grupama (tablica prikazuje ime klijenta, IP, OS, postotak "zakrpanih" i datum zadnjeg ažuriranja statusa). Jer Računala i poslužitelje dodijelili smo različitim WSUS grupama; ažuriranja će primati samo u odgovarajućim WSUS grupama.

Bilješka. Ako se ažuriranja ne pojavljuju na klijentu, preporuča se pažljivo pregledati zapisnik usluge Windows Update Service na problematičnom klijentu (C:\Windows\WindowsUpdate.log). Imajte na umu da Windows 10 (Windows Server 2016) koristi . Klijent preuzima ažuriranja u lokalnu mapu C:\Windows\SoftwareDistribution\Download. Da biste započeli traženje novih ažuriranja na WSUS poslužitelju, morate pokrenuti naredbu:

wuauclt/detectnow

Također, ponekad morate nasilno ponovno registrirati klijenta na WSUS poslužitelju:

wuauclt /detectnow /resetAuthorization

U posebno teškim slučajevima možete pokušati popraviti uslugu wuauserv. Ako se to dogodi, pokušajte promijeniti učestalost provjere ažuriranja na WSUS poslužitelju pomoću pravila učestalosti otkrivanja automatskog ažuriranja.

U sljedećem članku ćemo opisati značajke. Također preporučujemo da pročitate članak između grupa na WSUS poslužitelju.