WSUS

راه اندازی wsus

باید ویندوز را آپدیت کنیم؟ سوالی است که تقریباً نزد همه ما پیدا می‌شود.

• هر سیستم عامل و یا نرم افزار که تازه به بازار عرضه می‌گردد دارای عیب‌ها و نواقص می‌باشند که این عیب‌ها به مرور زمان (با استفاده کردن مشتریان) پدیدار می‌گردند. اینجاست‌که کمپانی‌های سازنده برای مشتریان خود آپدیت را عرضه می‌کنند که با نصب این آپدیت‌ها مشکلات حل می‌گردند.
• در سیستم عامل‌ها تنها موضوع عیب یابی مطرح نیست بلکه مساله امنیت نیز مهم می‌باشد، یعنی به مرور زمان بعضی حفره‌های امنیتی در سیستم عامل پدیدار می‌گردد که این موضوع برای شرکت‌های مهم بسیار مساله حیاتی می‌باشد. فواید آپدیت ویندوز :

1. ثبات سیستم عامل را بالا می‌برد یعنی سیستم عامل دیرتر خراب می‌شود.
2. مشکلات امنیتی را تا حدی رفع می‌کند.

با ورود گردباد باج افزار WannaCry به دنیای سایبری، هزاران یا حتی میلیون‌ها سازمان تحت تاثیر این باج افزار خطرناک قرار گرفتند. چه آن‌هایی که به این Ransomware آلوده شدند و چه آن‌هایی که خطر از بیخ گوششان گذشت، یک درس بزرگ از این گردباد سایبری گرفتند.  این درس بزرگ چیزی جز اهمیت بروزرسانی نیست. حتی در ایران نیز که بیشتر از نرم افزارهای کرک شده و کپی استفاده می‌شود، ادمین‌های بسیاری از سازمان‌ها به تکاپوی بروزرسانی نرم افزارهای‌شان پرداختند. بنابراین شاید عده بسیاری آن‌طور که در شبکه‌های اجتماعی و گروه‌های تلگرامی مربوط به حوزه IT شنیده می‌شد، طعم شب بیداری برای بروزرسانی تعداد زیادی Node را در این مدت چشیده باشند.

معرفی WSUS

در این مقاله به معرفی اجمالی سرویس WSUS یا Windows Server Update Services خواهیم پرداخت.

WSUS یا Windows Server Update Services چیست؟

بدون شک برای محافظت سیستم‌ها و بهبود کارایی آن‌ها نیاز به آپدیت کردن آن‌ها در فواصل زمانی مشخص داریم و به هزار و یک دلیل که در ادامه گفته می‌شود مثل افزایش هزینه‌ها یا مصرف پهنای باند مخصوصا در سازمان‌هایی در مقیاس بزرگ، تقریبا نیاز به یک معجزه داریم. درک مفهوم wsus به درک این معجزه کمک زیادی می‌کند.

درک مفهوم (Windows Server Update Services (wsus

سرور wsus چیست؟ برای درک بهتر از عملکرد سرویس WSUS به این مثال توجه نمایید و فرض کنید که سازمانی در ابعاد بزرگ وجود دارد و در حدود ۱۰.۰۰۰ کامپیوتر دارد. سازمان با یک لینک به اینترنت متصل شده است تا بتواند سرویس‌های خود را به بیرون ارائه دهد و همچنین کاربران داخلی بتوانند از اینترنت استفاده کنند. حال در نظر بگیرید اگر هر ۱۰.۰۰۰ کامپیوتر برای بروزرسانی سیستم عامل خود بخواهند به سایت مایکروسافت متصل شوند و فایل‌های بروزرسانی را دانلود کنند با مشکلاتی مواجه می‌گردد که عبارتند از:

مصرف پهنای باند

اگر هر ۱۰.۰۰۰ کامپیوتر برای بروزرسانی سیستم عامل خود بخواهند به سایت مایکروسافت متصل شوند و فایل‌های بروزرسانی را دانلود کنند بر روی خط اتصال به اینترنت یک گلوگاه به وجود می‌آید و کل پهنای باند به منظور بروزرسانی سیستم عامل‌ها هدر خواهد رفت و در نتیجه کار‌های دیگر سازمان مختل می‌شود. به‌عنوان مثال فرض کنید که تمام کامپیوتر‌ها دارای ویندوز ۸ باشند و اگر کل فایل‌های بروزرسانی مربوط به ویندوز ۸ در حدود ۵۰ مگابایت باشد، هر ۱۰.۰۰۰ کامپیوتر یک فایل ۵۰ مگابایتی تکراری را از سایت مایکروسافت دانلود می‌کنند که این موضوع بهینه نیست.

تایید فایل های برورزسانی

در ویندوز کلاینت بصورت پیش فرض کاربران. یا مدیران شبکه نمی‌توانند فایل‌های بروزرسانی را پیش از نصب بررسی نمایند. همچنین اگرچه می‌توانید زمانی را برای  reboot شدن سیستم در نظر بگیرید اما نیازمند حضور افراد برای انجام عملیات و مدیریت آن باشد.

Compliance

بصورت پیش فرض Windows Update Configuration موفق‌آمیز بودن نصب فایل‌های بروزرسانی در کلاینت، توسط مدیر شبکه را تایید نمی‌کند. مگر اینکه تاریخچه بروزرسانی را بر روی هریک از کامپیوتر‌ها را شخصا بررسی نماید. برای رفع این مشکل مایکروسافت سرویس WSUS را ارائه داده است. در شکل زیر چگونگی عملکرد این سرویس را مشاهده می‌کنید.

 

با توجه به شکل در گام اول (❶) سرور WSUS که در شبکه داخلی وجود دارد با سایت مایکروسافت ارتباط برقرار کرده و کلیه فایل‌های بروزرسانی مربوط به تمام نسخه سیستم عامل‌های مایکروسافت (از جمله ویندوز XP، ۷، ۸، ۲۰۰۳، ۲۰۰۸، ۲۰۱۲ و …) را دانلود میکند. سپس در گام دوم(❷) تمامی کلاینت‌ها باید به نحوی تنظیم شوند که تمام فایل‌های بروزرسانی را از سرور WSUS دریافت کنند. این موضوع هم باعث افزایش سرعت و هم باعث استفاده بهینه از حجم و پهنای باند اینترنت خواهد شد. در ادامه امکاناتی که سرویس WSUS در اختیار شما قرار می‌دهد و همچنین شرایط کافی برای نصب آن‌را مورد بررسی قرار خواهیم داد.

امکاناتی که راه اندازی wsus در اختیار کاربران شبکه قرار می‌دهد:

۱.شبیه‌سازی Windows Update Server در یک شبکه خصوصی

۲.بروزرسانی‌هایی که برای کلاینت‌ها ارائه می‌شود، ابتدا باید توسط مدیر شبکه تأیید شود و تا زمانی که مدیر یک بروزرسانی را تأیید (Approve) نکند، Client‌ها قادر به دریافت بروزرسانی نخواهد بود.

۳.مدیر شبکه این امکان را دارد تا Update‌ها را به صورت دستی یا اتوماتیک با مایکروسافت Sync (یکسان سازی) کنند.

۴.مدیر شبکه می‌توانند کلاینت‌ها را مجبور کند تا به جای اینکه برای دریافت فایل‌های بروزرسانی از مایکروسافت، به سرور WSUS سازمان متصل شوند.

۵.WSUS با استفاده از امضای دیجیتال از صحت و معتبر بودن فایل‌های دریافت شده اطمینان حاصل خواهد کرد و آن‌هایی که اعتبار را ندارند دور می‌اندازد.

مدیران می‌توانند آمار‌های مفیدی را در خصوص کلاینت‌هایی که به سرور WSUS متصل هستند تهیه کنند تا متوجه شود کدام کلاینت‌ها آپدیت دریافت کرده‌اند و کدام یک از کلاینت‌ها آپدیت‌ها را تماماً دریافت نکرده‌اند.

مدیر شبکه می‌تواند ازطریق یک مرورگر مانند Internet Explorer و با استفاده از پروتکل HTTP یا HTTPS به سرور WSUS متصل شده و آن را مدیریت کند.

همه ما می‌دانیم که از زمان انتشار اولین ویرایش‌های هر نسخه از سیستم عامل یا نرم افزارهای کاربردی، از ویرایش‌های آزمایشی گرفته تا ویرایش‌های نهایی و تجاری، ایرادات و حفره‌های امنیتی بسیاری در آن‌ها یافت می‌شود. به همین دلیل، وجود برنامه‌ای برای بروزرسانی مستمر در داخل سیستم عامل‌ها و نرم افزارهای کاربردی ضروری است. چه یک کاربر حرفه‌ای باشید یا معمولی، حتما حداقل یکبار با تصویری شبیه تصویر زیر رو به رو شده‌اید:

 

با راه‌اندازی سرور WSUS یکی از سرورهای سازمان وظیفه خواهد داشت که همه بروزرسانی‌ها یا بخشی را که ما تعیین می‌کنیم از وب‌سایت شرکت مایکروسافت دریافت کند. اما آن‌ها را نصب نمی‌کند. در واقع شما تعیین‌کننده زمان نصب این بروزرسانی‌ها خواهید بود.

انواع استراتژی پیاده سازی WSUS سرور

سه ساختار پیاده‌سازی سیستم بروز‌رسانی مرکزی برای سیستم‌های تحت شبکه وجود دارد، در نوع اول WSUS سرور به شبکه داخلی و اینترنت متصل بوده و آپدیت‌ها را مستقیما از Update Center سایت مایکروسافت دانلود کرده در نهایت کاربران شبکه با WSUS سرور ارتباط برقرار کرده و آپدیت‌ها را از آن دریافت می‌کنند.

در ساختار دوم حداقل دو WSUS سرور وجود دارد اما در سازمان‌های بزرگ این ساختار چندین WSUS سرور را در بر می‌گیرد. فرض را بر پیاده‌سازی سیستم بروز‌رسانی مرکزی برای یک دانشگاه می‌گذاریم دانشگاه دارای یک ساختمان مرکزی و چندین دانشکده می‌باشد. برای اینکه ترافیک شبکه بالا نرود یک WSUS سرور را در ساختمان مرکزی قرار می‌دهیم که به اینترنت متصل بوده و از سایت مایکروسافت آپدیت‌ها را دانلود می‌کند که اصطلاحا به آن Upstream سرور می‌گویند و در هر دانشکده نیز WSUS سرور‌هایی با عنوان Downstream سرور قرار می‌دهیم که این Downstream ها آپدیت‌های مورد نیاز را از Upstream سرور دریافت می‌کنند و در نهایت کلاینت‌ها آپدیت‌ها را از Downstream سرور‌ها دریافت و نصب می‌کنند.

در استراتژی سوم برای سازمان‌های نظامی، اطلاعاتی و هر سازمانی که محرمانه باقی ماندن اطلاعات برای آن امری ضروریست، شبکه‌ای ایزوله در نظر گرفته می‌شود. در چنین شرایطی امکان اتصال به اینترنت و دانلود آپدیت‌ها در شبکه ممکن نیست در حالی که سیستم‌های چنین سازمان‌هایی هم نیازمند بروزرسانی می‌باشند. بنابراین از یک WSUS سرور متصل به اینترنت در خارج از محدوده شبکه سازمان برای دانلود آپدیت‌ها استفاده می‌کنند و در نتیجه آپدیت‌ها را به کمک حافظه‌های جانبی همچون DVD و فلش، بصورت آفلاین به WSUS سرور موجود در شبکه ایزوله سازمان انتقال می‌دهند تا کاربران شبکه بتوانند آپدیت‌های مورد نیاز خود را در محیطی امن دریافت کنند.

نحوه راه اندازی WSUS

(Installing WSUS (No Internet Connection needed

پیشنهاد می‌شود که درایو در نظر گرفته شده برای ذخیره‌ی آپدیت‌ها با درایوی که سیستم عامل روی آن قرار دارد یکسان نباشد.

تنظیمات مورد نیاز در (Active Directory (Group Policy جهت دریافت آپدیت‌ها در کلاینت‌ها و سرورها

تنظیمات اولیه

در این بخش می‌توان تعیین کرد که در صورت بروز مشکل در روند کار WSUS، اطلاعات را برای مایکروسافت ارسال کرده تا درصدد رفع مشکل برآید. بدین منظور باید گزینه‌ی Yes ,I would like to join the Microsoft Update Improvement Program را مارکدار کنیم.

 

در این بخش برای سرور تعیین می‌کنیم که آپدیت‌ها را با سایت مایکروسافت و یا با یک WSUS دیگر (Up Stream Server ) تطبیق دهد. که در صورت انتخاب یک Upstream Server برای Sync کردن آپدیت‌ها باید نام و پورت مربوط به آن سرور را نیز مشخص کنیم. با برگزیدن یک WSUS دیگر بعنوان Upstream سرور دو گزینه فعال خواهند شد که شرح آنها به قرار زیر است:

در صورتیکه که از SSL استفاده می‌کنیم باید تیک مربوط به گزینه Use SSL when synchronizing update information را فعال کنیم اما باید در نظر داشته باشیم که در صورت استفاده از SSL روی این سرور، Upstream سرور نیز باید از SSL پشتیبانی کند.

 

حال نیاز است که ویزارد WSUS برای تشخیص محصولاتی که WSUS می‌تواند آپدیت کند، زبان‌هایی که پشتیبانی کند و نیز شناسایی انواع آپدیت‌ها به اینترنت متصل شود. بنابراین باید روی گزینه Start Connecting کلیک کنیم تا ارتباط سرور با Update Server های مایکروسافت برقرار شود. پس از تکمیل فرایند اتصال اولیه روی گزینه Next کلیک می‌کنیم .

در اینجا زبان مورد نظر را برای آپدیت‌هایی که قصد دانلود آنها را داریم، انتخاب می‌کنیم اگر در شبکه سیستم‌هایی موجودند که از محصولاتی با چندین زبان پشتیبانی می‌کنند باید Patch‌هایی برای ساپورت همه زبان‌ها را دانلود کنیم در غیر این‌صورت بر حسب نیاز، زبان مورد نظر خود را انتخاب می‌کنیم که این کار باعث استفاده کمتر از فضای دیسک و افزایش سرعت دانلود خواهد شد.

Approve نمودن آپدیت‌ها