Wsus на linux

Wsus на linux

General discussion

• Moved by Tim Quan Moderator Tuesday, December 15, 2009 3:57 AM (From:General)
• Changed type Lawrence Garvin Moderator Tuesday, December 15, 2009 4:02 AM There is no answer.

All replies

Please understand that both operating systems are different, the internal implemenatation of below subsystems are different.

b) process architecture

c) Memory architecture

So i wouldnt recommend running windows applications on linux and there is no guarentee that they would run either. When i said not recommend there is a way to do it using WINE , you can download WINE s/w and tryinstalling the applications on windows but not recommended.

Found this link.

Regards Jaco Smit Nerds On Site — South Africa

Which predates this thread by two years, and basically says what’s already been said in this thread — NO.

And, even if some hack had been built — it’s worthy of note that the implementation would be totally unsupported by Microsoft, as well as any client systems of that hack — particularly those who might succumb to defects, failures, or infestations as a result of the «server» failing to perform as a native WSUS-on-Windows server would be expected to.

Lawrence Garvin, M.S., MCITP:EA, MCDBA, MCSA
Principal/CTO, Onsite Technology Solutions, Houston, Texas
Microsoft MVP — Software Distribution (2005-2011)
My MVP Profile: http://mvp.support.microsoft.com/profile/Lawrence.Garvin
My Blog: http://onsitechsolutions.spaces.live.com

Of course this reply is out of date.

You cannot implement all the functionality of WSUS using a linux server.

But if what you want is to save WU bandwidth, you can use squid-cache properly configured, with enough disk size. A few recommendations about it can be found in Here but other hints found here (in spanish!)

The idea is to cache (for windowsupdate.com and microsoft.com) big files, to ignore Pragma: no-cache, override expires and to download the entire file from windowsupdate.com instead of only a small range

Of course your quick_abort_* settings will vary, it depends mainly in the average use of your network.

This will save bandwidth and will not break things, so it won’t interfere with Microsoft’s support as someone said.

But if what you want is to save WU bandwidth, you can use squid-cache properly configured, with enough disk size.

The forum is replete with issues with getting squid proxies to work properly with WinHTTP (aka the protocol stack used by the Windows Update Agent to talk to Microsoft Update).

In addition, just announced, an update is coming to the entire WU/MU/WSUS/WUAgent infrastructure that will prohibit SSL proxying to Windows Update — in other words, any proxy server providing connectivity for the WUAgent (or a WSUS server) will have to support passthru of the WU/MU SSL certificate. So another relevant question is this: Can Squid do that?

Finally, my speculation of the underlying reason for the question is to avoid the requirement to license a Windows Server. The value in WSUS is the ability to select the updates to be deployed, and control where they are deployed. While a proxy server will definitely cut down on Internet consumption, it won’t give the ability to select what updates or what systems.

Настройка WSUS — [3] часть

Установка Microsoft Report Viewer

Открываем консоль Windows Server Update Services, в разделе Reports выбираем любой из пунктов и видим сообщение что необходима установка Microsoft Report Viewer

Переходим по ссылке и скачиваем

Запускаем инсталляцию ReportViever и получаем следующее сообщение.

Установка Microsoft System CLR Types for SQL Server
Скачиваем и устанавливаем

После установки SQLSysClrTypes.msi, повторим установку ReportViever

Теперь при нажатии на любой из репортов должно открываться новое окно, для проверки открываем Update Status Summary

Настройка WSUS

Открываем раздел Options.
Здесь можно изменить те данные, которые вносились при первичной настройке WSUS, либо запустить настройку заново.

Открываем Update files and Languages и задаем скачивание обновлений после утверждения.
Тем самым с Microsoft не будут загружаться не нужные обновления и захламлять место на диске. Минус данного способа в том, что если пользователь ПК решил обновить свой Windows, а обновления еще не были утверждены и закачены на сервер, то это вызовет ошибку в обновлении на ПК пользователя.

Если галочка убрана, то все обновления нужные и не нужные после синхронизации с Microsoft будут загружаться на сервер.

Что следует понимать под не нужными обновлениями. Предположим вы не давно обновили версию Windows на Windows 10 и на всех компьютерах у вас версия 1803. Соответственно обновления для версий 1607, 1703, 1709 вам не нужны.

Классификация обновлений

На этом этапе мы разделим обновления по классификации.
Выбираем Updates и правой кнопкой, выбираем New Update View.

1. Устанавливаем галочки
2. Выбираем классификацию обновления
3. Выбираем продукт
4. Задаем имя.

В нашем примере мы создаем более мелкие классификации обновлений.

Если этот вариант Вам не нравится, Вы можете объединить в один
Update View все обновления, например, для Windows 10.

Для Windows Defender выбираем Definition Updates.
Windows Defender проверяет наличие обновлений через клиента автоматического обновления.

Группы компьютеров

Следующим шагом мы создаем группы компьютеров к которым мы будем применять обновления.
Во вкладке Computers создаем группу Windows 10

Данное условие не касается обновлений например для Windows Defender, которое можно установить на автоматическое обновление без утверждений, но об этом поговорим позже.

Распределение компьютеров по группам может происходить двумя разными способами. Можно заполнить вручную с помощью консоли администрирования WSUS или автоматически с использованием групповой политики. Во вкладке Options выбираем Computers и выбираем нужный способ распределения компьютеров.

Выбор через консоль.

Выбор через групповые политики.

В нашем случае установим через консоль. Все новые компьютеры будут появляться в каталоге Unassigned Computers откуда мы их будем разносить по нужным группам и применять к ним обновления.

Запуск синхронизации

Следующим шагом мы запускаем синхронизацию, для этого выбираем Synchronizations и правой кнопкой в выпадающем меню жмем Synchronize Now, ждем окончания.

За выполнением синхронизации мы можем следить

По мере прохождения синхронизации в созданных нами Update View будут появляться заголовки обновлений полученные с сервера Microsoft. Выбираем Unapproved/Any и видим списки обновлений.

Настройка ПК на получение обновлений WSUS

В нашем примере мы не используем GPO и для подключения клиентских компьютеров к серверу WSUS редактируем локальные политики на рабочих станциях.

На клиентской машине открываем редактор групповых политик и переходим в раздел Центр обновления Windows

Нам необходимо изменить следующие политики:
Настройка автоматического обновления
Указать размещение службы обновлений Майкрософт в интрасети
Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи

Настройка автоматического обновления

Указать размещение службы обновлений Майкрософт в интрасети

Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи

Применение обновлений

После обращения клиентского компьютера к серверу WSUS, он появится в разделе Unassigned Computers

Перемещаем его в ранее созданную нами группу Windows 10

После регистрации компьютеров и подачи ими отчетов, выбираем
Unapproved/Needed и видим доступные обновления. Нажимаем на них Appoved и выбираем группу компьютеров для установки на них обновлений. На всех остальных обновлениях нажимаем Declined.

Таким образом у нас получилось отфильтровать только нужные обновления и не захламливать сразу же после установки место на диске.

WSUS Offline Update: об обновлениях замолвите слово

И снова здравствуйте!

Речь пойдет об автономном установщике обновлений.

Адепты натурального WSUS: похоже лишь название — это совершенно разные решения для разных задач. В данном случае решение сугубо переносное, карманное.

Противники обновлений: не обновляйтесь дальше, но не уподобляйтесь антипрививочникам — не надо агитировать народ за собой. Ведь WannaCry был нацелен именно на устаревшие системы.

Давайте не разводить неконструктивный срач в комментариях!

В 2011 году компания, где я работал, активно открывала мигазины. Меня привлекали на помощь сисадмину, отвечающему за розничную сеть. В такие моменты, требовалось в короткие сроки собрать компьютеры, установить систему, обновить и настроить их. Большинство техники шло уже с предустановленной Windows и требовалось только обновить её. Вспоминаю те времена и понимаю, как мне не хватало инструмента, о котором пойдет речь ниже.

Программа WSUS Offline Update доступна для бесплатного скачивания.

Программа предназначена для упреждающего скачивания обновлений Windows / Office на носитель для последующей автономной установки.

На момент написания заметки, существует две версии:

Текущая версия ( 11.5 от 28.09.2018)

— Windows Server 2008 (x86/x64)

— Windows Server 2008R2 (x86/x64)+ Windows 7 (x86/x64)

— Windows Server 2012 x64

— Windows Server 2012 R2 (x64) + Windows 8.1(x86/x64)

— Windows Server 2016 (x64) + Windows 10 (x86/x64)

Опционально можно включить с пакет C++ Runtime Libraries, .NET Framework, Microsoft Security Essentials, определения WIndows Defender, сервиспаки

ESR версия (9.2.4 от 23.03.2018)

— Windows Server 2003 (x86)

— Windows Server 2003 (x64) + Windows XP (x64)

— Windows Vista (x86/x64)

— Windows 8 (x64/x64)

Как всегда, опционально можно включить с пакет C++ Runtime Libraries, .NET Framework, Microsoft Security Essentials, определения WIndows Defender, сервиспаки.

Для простоты использования, я рекомендую делать отдельный пакет обновлений для каждого продукта.

Собрать пакет просто: выбираете требуемое, запускаете скачивание — программа сделает всё сама. По итогам работы, получите каталог (или ISO), в котором лежит инсталлятор обновлений. командный файл трогать не нужно.

Вот пример запуска на почти обновленной системе:

При необходимости, можно включить автоустановку обновлений с автоперезапуском. Это реализовано очень хитро. Пусть это останется секретом.

Windows Server Update Services (WSUS) — Implementing Patch Management and Anti-malware Updates

Службы обновления Windows Server (WSUS) — внедрение управления исправлениями и обновлений для защиты от вредоносных программ

1)Логическая схема использования WSUS

2)Системные требования Requirements WSUS https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/plan/plan-your-wsus-deployment
Теоретическая поддержка до 100 000 клиентов на одном сервере

• • Процессор: процессор x64 с тактовой частотой 1,4 ГГц (рекомендуется 2 ГГц или более быстрый)
  • Память: WSUS требует на 2 ГБ ОЗУ больше, чем требуется серверу и всем остальным службам или программному обеспечению.
  • Доступное дисковое пространство: 10 ГБ (рекомендуется 40 ГБ или более) реально 200-450гб
  • Сетевой адаптер: 100 мегабит в секунду (Мбит / с) или выше

3)Клиентское подключение WSUS Client Connectivity
По умолчанию протокол порт HTTP / TCP port 8530 , HTTPS / TCP Port 8531
4)Запуск нескольких серверов WSUS Running Multiple WSUS Servers
4.1)Вариация №1 Использование Балансировщик сетевой нагрузки Network Load Balancer при подключении к группе серверов wsus и Использования базы SQL Server при большом числе клиентов
4.2)Ведущий и ведомый сервер обновлений wsus Upstream and Downstream
каждый сервер может применять свои группы, политики распространения обновлений. Доступен режим режим реплики.
5)Migrating the WSUS Database from WID to SQL https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/manage/wid-to-sql-migration
6)Развертывание и использование WSUS сервера Deploying a WSUS Server

6.1)>Диспетчер серверов добавим целевой сервер MSK01-SRV01

6.2)Диспетчер серверов Все серверы на MSK01-SRV01 нажмём добавить роли и компоненты

6.3)Выбор целевого сервера

6.4)Выбор ролей сервера, Добавляем роли сервера Сдужбы Windows Server Update Services

Через Windows Admin Center

powershell

6.5)WSUS Выбор служб ролей — WID Connectivity

6.6)Выбор расположения содержимого — место хранения обновлений не используйте системный раздел OS Windows !!

6.7)Диспетчер серверов — выполнить конфигурацию после развёртывания

7)Запуск консоли wsus.msc Средства администрирования службы Windows Server Update Services

Средства удаленного администрирования сервера RSAT

7.1)Выбор вышестоящего сервера — Synchronize from Microsoft Update в данном примере через интернет

7.2)Настройка прокси-сервера для доступа в сеть интерне

7.3)Выбор языков, для которых сервер будет скачивать обновления — Русский

7.3)Выбор продуктов Microsoft для обновления — к примеру только Windows Server 2019

7.4)Выбор классов : Критические обновления ,Обновления системы безопасности

7.5)Настройка расписания синхронизации — Укажите, когда данный сервер должен выполнять синхронизацию с Microsoft Update — Автоматическая синхронизация
Первая синхронизация, Число синхронизаций за день

7.6)Запустить первоначальную синхронизацию

8)Creating WSUS Computer Groups and Setting up Group Policy

8.1)Update Services создаём группу компьютеров

параметры — Использовать на компьютерах групповую политику GPO или параметры реестра.

8.2)Консоль dsa.msc Active Directory – пользователи и компьютеры

создаём OU Servers , и перемещаем в неё объект MSK01-SRV02

8.3)Консоль управление групповой политикой gpmc.msc

Создаём политику Servers на OU Servers

8.4)Редактируем созданную групповую политику — конфигурация компьютера , Административные шаблоныКомпоненты WindowsЦентр обновления Windows

Настройка автоматического обновления — Вклчюено, 4 — авт.загрузка и устан. по расписанию , ежедневно 3 ночи

Enable client-side targeting (Разрешить клиенту присоединение к целевой группе):

9)Выполним обновления политики в Windows и отчет результата

Применённые объекты групповой политики (Applied Group Policy Objects)

10)Утверждение обновлений Approving WSUS Updates

параметрыАвтоматические утвержденияСоздать правило

10.1)Ручное утверждение обновлений , выделить тип обновления , фильтр Утверждение: не утверждено

выделить , Утвердить, выбрать группу компьютеров ServerS , установить OK

10.2)Параметры Файлы языки обновлений — Скачивать файлы обновлений на сервере после утверждения обновлений Download update files to this server only when updates are approved

11) Windows defender ОБНОВЛЕНИЯ

Параметры, продукты и классы

отмечаем продукт Windows Defender . Классы Обновления определений Classifications — Defenition Updates

12)wsus client fix cmd

Windows Server Update Services (WSUS) — Implementing Patch Management and Anti-malware Updates : 1 комментарий

Для того, чтобы была возможность смотреть отчеты, для WSUS в Windows server 2019 необходимо установить два компонента:

Креативный IT

Хинты и финты для тех, кто гуглит

Прокачиваем WSUS

Как добавить не-Microsoft обновления в WSUS

WSUS (Windows Server Update Services) — это сервер обновлений операционных систем, серверных и прикладных программ. Он позволяет поддерживать продукты Microsoft в актуальном состоянии. Подробнее об этом полезном инструменты можно узнать на странице в Technet.

Кроме программ Microsoft, системные администраторы должны позаботиться и о продуктах других фирм. Большинство популярных, а поэтому потенциально уязвимых программ, таких как Adobe Flash, Adobe Reader, Mozilla Firefox, Google Chrome, умеют обновляться самостоятельно, но часто установщики требуют повышенных привилегий и у пользователя есть возможность их отключить.

Существует возможность централизовать установку сторонних обновлений через WSUS. Для этого можно воспользоваться одной из бесплатных программ, которые умеют работать с сервером обновлений через API:

— Local Update Publisher (перейти на сайт)
— WSUS Package Publisher (перейти на сайт)

Программы делают одно и тоже. На момент написания статьи чуть больше мог WSUS Package Publisher, поэтому…

Установка и настройка WSUS Package Publisher (WPP)

Требования

— В локальной сети должен быть развернут WSUS
— Установленный .Net Framework 4.0
— Для WSUS 3.0 SP2 должно быть установлено обновление KB2530678

Wsus Package Publisher можно устанавливать как на сервер WSUS, так и на рабочую станцию. В последнем случае на компьютере должна быть установлена административная консоль WSUS. Также пользователь должен быть локальным администратором и входить в группу «Wsus Administrators» на сервере. На компьютере под управлением Windows 8 должны быть установлены Remote Server Administration Tools (RSAT).

Установка

Скачиваем архив WPP с сайта и извлекаем файлы в папку.

Добавление сервера

Запускаем Wsus Package Publisher.exe. Если WPP находится на сервере WSUS, то он автоматически добавит локальный компьютер в список, в противном случае настраиваем самостоятельно:

— В меню Tools выбираем Settings

— Задаем параметры подключения (поля Server Name, Connection Port, Use SSL)
— Если WPP запущен на сервере WSUS, отмечаем галочку Connect to local server
— Нажимаем Add Server
— При необходимости добавляем другие сервера

В строке меню выбираем нужный сервер, нажимаем кнопку Connect/Reload

Настройка сертификата

Далее нужно настроить сертификат, которым будут подписаны пакеты для распространения через WSUS. В меню Tools открываем пункт Certificate

Здесь можно либо выпустить самоподписанный сертификат (кнопка Generate the certificate), либо загрузить свой, например, выпущенный локальным центром сертификации. Кнопка Load a certificate активируется после ввода пароля от файла с закрытым ключом в поле Password

Замечание: WSUS сервер на Windows Server 2012 R2 (и более поздних) больше не выпускает самоподписанные сертификаты. WPP может может сгенерировать его самостоятельно, но для этого он должен быть запущен на сервере WSUS.

Сохраняем сертификат (Save the certificate), чтобы затем распространить его на клиентские компьютеры.

Перезагружаем сервер WSUS. Достаточно перезапустить службы iis и wsusservice

Проверить, что сертификат был установлен правильно, можно через mmc оснастку «Сертификаты» для локального компьютера. Здесь нужно убедиться в его наличии в контейнерах «WSUS», «Доверенные издатели» («Trusted Publishers») и (для самоподписанного сертификата) в «Доверенные корневые центры сертификации» («Trusted Root Certificates Authorites»).

Важно: При замене сертификата нужно будет переподписать все опубликованные обновления.

Настройка клиентских компьютеров

На конечных компьютерах должен быть установлен сертификат, с помощью которого будут подписываться обновления. А также включен режим позволяющий устанавливать подписанные обновления из локальной сети через WSUS.

Сертификаты

Если сертификат был сгенерирован WSUS или WPP (WSUS self-signed certificate), то его нужно поместить в контейнеры «Доверенные издатели» («Trusted Publishers») и в «Доверенные корневые центры сертификации» («Trusted Root Certificates Authorites») на локальном компьютере. Если сертификат был выпущен, например, доменным центром сертификации, то достаточно добавить его в папку «Доверенные издатели». При этом сертификат выпускающего центра должен находиться в «Доверенных корневых центрах сертификации».

Для компьютеров, которые входят в домен, сертификат можно распространить через групповую политику, добавив его в соответствующие узлы раздела Конфигурация компьютера Политики Конфигурация Windows Параметры безопасности Политики открытого ключа

Включение локальных обновлений

Для компьютеров, входящих в домен, нужно включить параметр групповой политики «Разрешить прием обновлений с подписью из службы обновления Майкрософт в интрасети» («Allow signed content from intranet Microsoft update service location»), который находится в разделе Конфигурация компьютера Политики Административные шаблоны Компоненты Windows Центр обновления Windows

Для компьютеров из рабочей группы нужно установить параметр в реестре HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAcceptTrustedPublisherCerts = 1

Если все сделано правильно, то клиентские компьютеры смогут принимать сторонние обновления, в противном случае появится ошибка Windows Update 800B0109.