Windows Server Update Services (WSUS) — Implementing Patch Management and Anti-malware Updates

Службы обновления Windows Server (WSUS) — внедрение управления исправлениями и обновлений для защиты от вредоносных программ

1)Логическая схема использования WSUS

2)Системные требования Requirements WSUS https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/plan/plan-your-wsus-deployment
Теоретическая поддержка до 100 000 клиентов на одном сервере

• • Процессор: процессор x64 с тактовой частотой 1,4 ГГц (рекомендуется 2 ГГц или более быстрый)
  • Память: WSUS требует на 2 ГБ ОЗУ больше, чем требуется серверу и всем остальным службам или программному обеспечению.
  • Доступное дисковое пространство: 10 ГБ (рекомендуется 40 ГБ или более) реально 200-450гб
  • Сетевой адаптер: 100 мегабит в секунду (Мбит / с) или выше

3)Клиентское подключение WSUS Client Connectivity
По умолчанию протокол порт HTTP / TCP port 8530 , HTTPS / TCP Port 8531
4)Запуск нескольких серверов WSUS Running Multiple WSUS Servers
4.1)Вариация №1 Использование Балансировщик сетевой нагрузки Network Load Balancer при подключении к группе серверов wsus и Использования базы SQL Server при большом числе клиентов
4.2)Ведущий и ведомый сервер обновлений wsus Upstream and Downstream
каждый сервер может применять свои группы, политики распространения обновлений. Доступен режим режим реплики.
5)Migrating the WSUS Database from WID to SQL https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/manage/wid-to-sql-migration
6)Развертывание и использование WSUS сервера Deploying a WSUS Server

6.1)>Диспетчер серверов добавим целевой сервер MSK01-SRV01

6.2)Диспетчер серверов\ Все серверы на MSK01-SRV01 нажмём добавить роли и компоненты

6.3)Выбор целевого сервера

6.4)Выбор ролей сервера, Добавляем роли сервера Сдужбы Windows Server Update Services

Через Windows Admin Center

powershell

Install-WindowsFeature -Name UpdateServices, UpdateServices-WidDB, UpdateServices-Services, UpdateServices-RSAT, UpdateServices-API, UpdateServices-UI

6.5)WSUS Выбор служб ролей — WID Connectivity

6.6)Выбор расположения содержимого — место хранения обновлений не используйте системный раздел OS Windows !!

6.7)Диспетчер серверов — выполнить конфигурацию после развёртывания

7)Запуск консоли wsus.msc Средства администрирования службы Windows Server Update Services

Средства удаленного администрирования сервера RSAT

7.1)Выбор вышестоящего сервера — Synchronize from Microsoft Update в данном примере через интернет

7.2)Настройка прокси-сервера для доступа в сеть интерне

7.3)Выбор языков, для которых сервер будет скачивать обновления — Русский

7.3)Выбор продуктов Microsoft для обновления — к примеру только Windows Server 2019

7.4)Выбор классов : Критические обновления ,Обновления системы безопасности

7.5)Настройка расписания синхронизации — Укажите, когда данный сервер должен выполнять синхронизацию с Microsoft Update — Автоматическая синхронизация
Первая синхронизация, Число синхронизаций за день

7.6)Запустить первоначальную синхронизацию

8)Creating WSUS Computer Groups and Setting up Group Policy

8.1)Update Services создаём группу компьютеров

параметры — Использовать на компьютерах групповую политику GPO или параметры реестра.

8.2)Консоль dsa.msc Active Directory – пользователи и компьютеры

создаём OU Servers , и перемещаем в неё объект MSK01-SRV02

8.3)Консоль управление групповой политикой gpmc.msc

Создаём политику Servers на OU Servers

8.4)Редактируем созданную групповую политику — конфигурация компьютера , Административные шаблоны\Компоненты Windows\Центр обновления Windows

Настройка автоматического обновления — Вклчюено, 4 — авт.загрузка и устан. по расписанию , ежедневно 3 ночи

Enable client-side targeting (Разрешить клиенту присоединение к целевой группе):

9)Выполним  обновления политики в Windows и отчет результата

cmd ps gpupdate /force на msk01-srv02

gpresult /r

Применённые объекты групповой политики (Applied Group Policy Objects)

Servers

10)Утверждение обновлений Approving WSUS Updates

параметры\Автоматические утверждения\Создать правило

10.1)Ручное утверждение обновлений , выделить тип обновления , фильтр Утверждение: не утверждено

выделить , Утвердить, выбрать группу компьютеров ServerS , установить OK

10.2)Параметры\ Файлы языки обновлений — Скачивать файлы обновлений на сервере после утверждения обновлений Download update files to this server only when updates are approved

11) Windows defender ОБНОВЛЕНИЯ

Параметры, продукты и классы

отмечаем продукт Windows Defender . Классы Обновления определений Classifications — Defenition Updates

12)wsus client fix cmd

net stop wuauserv
REG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v LastWaitTimeout /f
REG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v DetectionStartTime /f
Reg Delete "HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v NextDetectionTime /f
net start wuauserv
wuauclt /detectnow 
--

net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%\SoftwareDistribution\download\*.*
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f 
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnow