Triển khai WSUS - Windows Server Update Services

1) Tổng quan:

Thông tin và dữ liệu đóng vai trò quan trọng trong hoạt động sản xuất kinh doanh cũng như sự phát triển của doanh nghiệp. Một trong những phương pháp quan trọng để bảo mật thông tin và dữ liệu là cập nhật thường xuyên các bản vá lỗi hệ điều hành Windows, các phần mềm của Microsoft trên các PC và Server. Tuy nhiên, với số lượng PC và Server tại các cơ quan tương đối lớn, việc thực hiện cập nhật (update) các bản vá lỗi (hotfixes), các bản nâng cấp cho các hệ điều hành, các phần mềm của Microsoft là một điều đáng được quan tâm. Hiện tại, việc cập nhật cho các PC và Server tại các cơ quan phần lớn được thực hiện một cách thủ công (từng người dùng thực hiện cập nhật riêng lẻ). Điều này dẫn đến các vấn đề như sau:

  • Người dùng không thực hiện cập nhật các bản vá lỗi hoặc thực hiện cập nhật các bản vá lỗi không đầy đủ, dẫn đến nguy cơ bị tấn công vào các lỗ hổng bảo mật.
  • Người quản trị chưa kiểm soát được tình trạng cập nhật các bản vá lỗi, các bản nâng cấp các hệ điều hành, các ứng dụng Microsoft của người dùng.
  • Mỗi người dùng cập nhật một cách riêng lẻ các chương trình, hệ điều hành của Microsoft sẽ dẫn đến việc tiêu tốn băng thông, đặc biệt là băng thông quốc tế.
  • Trong trường hợp đường truyền Internet bị chậm hoặc gián đoạn sẽ dẫn đến việc cập nhật các hệ điều hành, các chương trình của Microsoft cho PC và Server diễn ra lâu hơn, làm cho PC và Server chạy chậm hơn. Do đó, giải pháp chính là cài đặt một Server trung gian (WSUS Server) thực hiện cập nhật các bản vá lỗi từ Internet về, sau đó các máy PC trong mạng LAN kết nối đến Server này để cập nhật các bản vá lỗi. Sau khi triển khai giải pháp này sẽ đạt được các mục tiêu sau:
  • Tất cả các máy tính Client trong mạng LAN đều được cập nhật các bản vá lỗi kịp thời, nâng cao khả năng bảo mật, an toàn cho máy tính người dùng (Client).
  • Thời điểm cập nhật của các Client được đặt lịch phù hợp với hiệu suất hoạt động mạng LAN.
  • Tiết kiệm được băng thông truy cập Internet: trước đây tất cả các Client đều phải truy cập Internet để cập nhật (mỗi lần cập nhật phải tải về từ vài chục đến vài trăm Mega byte dữ liệu), nhưng bây giờ chỉ có 1 Server kết nối Internet để cập nhật online còn các Client thực hiện cập nhật bên trong mạng LAN.

2) Triển khai WSUS và IIS trên Windows Server 2012:

Nội dung:

  • Cài đặt role Web Server (IIS) và các role services liên quan. Cài đặt role Windows Server Update Services (WSUS).

a) Cài đặt WSUS:

  • Tại Server Manager, chọn Add Roles and Features Wizard, chọn Windows Server Update Services:
  • Ở cửa sổ Features, chọn Next để tiếp tục:
  • Để cài WSUS cần yêu cầu cài thêm các services khác, chọn Next:
  • Điền đường dẫn nơi chứa các bản update của WSUS:
  • Tại phần Role Services, chọn Next để tiếp tục:
  • Xác nhận cài đặt và chọn Install để bắt đầu cài đặt:

b) Cấu hình WSUS:

  • Sau khi cài đặt thành công, mở WSUS:
  • Màn hình chuẩn bị trước khi bắt đầu cấu hình, chọn Next theo chỉ dẫn:
  • Chọn Synchronize from Microsoft Update:
  • Tại cửa sổ Specify Proxy Server, tích chọn nếu có sử dụng Proxy Server, nếu không thì bỏ chọn và ấn Next để tiếp tục:
  • Chọn Start Connecting để kết nối đến server Windows Update, chờ vài phút đến khi kết nối thành công:
  • Chọn ngôn ngữ cho các bản update:
  • Chọn nội dung muốn update, ở đây đối với người dùng cơ bản thì chọn các bản update của Office và Windows:
  • Chọn các classifications cụ thể cho từng nội dung update:
  • Chọn thời điểm synchronize, có 2 cách là synchronize thủ công và tự động theo mốc thời gian định sẵn:
  • Ấn Next và Finish để hoàn tất việc cấu hình:

c) Cấu hình chính sách lên người dùng:

Cho phép các máy tính của người dùng tự đông tải và cài đặt các bản cập nhật theo lịch thiết lập sẵn. Cài đặt địa chỉ của WSUS Server. Cụ thể:

  • Tại cửa sổ Group Policy Management Editor -> Computer Configuration > Policies > Administrative Templates: Policy Definations (ADMX files retrieved from local machine) > Windows Components > Windows Update, chuột phải Configure Automatic Updates, chọn Edit:
  • Chuột phải vào Specify internet Microsoft update service location, chọn Edit. Ở đây sẽ thiết lập địa chỉ IP của WSUS Server:
  • Vào Run -> Gõ gpupdate /force để thực thi các chính sách ngay lập tức:

d) Quản lý các máy tính trong mạng và WSUS Server:

Kiểm tra các kết nối của các máy tính trong mạng LAN đến WSUS Server: Mặc định, các máy tinh trong mạng LAN sẽ được đưa vào nhóm Unassigned Computers. Nếu trong trường hợp máy tính chưa kết nối được đến WSUS Server, ở trên máy tính client, vào Run gõ lệnh wuauclt /resetauthorization /detectnow để thực hiện kết nối. Tải các bản cập nhật từ Microsoft Server về WSUS Server: Đối với các thông báo về các gói updates cần được cập nhật, chúng ta chọn approved để tiến hành tải các bản updates về WSUS Server. Chọn tất cả rồi chuột phải chọn Approve: Thực hiện chạy Update trên máy Client: Trên máy client, chạy Windows Update. Sau khi update thành công, máy tính sẽ báo Your device is up to date. Kiểm tra trên WSUS Server, ta thấy đối với máy tính client, các bản update cần thiết đã được cập nhật đầy đủ: Trong bài viết này, chúng ta đã tìm hiểu được Windows Server Update Services (WSUS) là gì và cách thức cài đặt một WSUS Server một cách đơn giản. Trong các bài viết tới, chúng ta sẽ tìm hiểu tiếp về các dịch vụ của Windows Server.


All Rights Reserved