Краткий обзор WSUS

Windows Server Updates Services (WSUS) – это отдельная роль Windows Server, которая представляет собой решение для управления обновлениями и посредством которой компьютеры Windows автоматически загружают обновления. Сервер WSUS позволяет загружать обновления, выпущенные Центром обновления Microsoft, утверждать и распространять их в организации независимо от количества клиентских компьютеров. Windows Server Update Services 3.0 с пакетом обновления 2, устанавливается в качестве роли под управлением Windows Server 2003 с SP1, Windows Server 2008 с SP1, Windows Server 2008 R2, а также Windows Small Business Server 2003 и 2008 внутри зоны, которая ограничивается корпоративным брандмауэром. Для загрузки обновлений сервер WSUS должен связываться с Центром обновления Microsoft по порту HTTP 80 или HTTPS 443. Для корректной работы WSUS-серверу требуется поддержка веб-сервера IIS. И в том случае, если в IIS уже есть веб-сайт, который также требует обращения к порту 80, вы можете настроить WSUS-сервер на прослушивание портов 8530 или 8531. Это подключение называется синхронизацией WSUS-сервера с Центром обновления Microsoft. Во время синхронизации служба WSUS загружает информацию о доступных обновлениях, которые были предоставлены с момента последней синхронизации, и добавляет их в список обновлений, требующих подтверждения администратора. Если синхронизация WSUS осуществляется впервые, то WSUS загружает информацию обо всех доступных обновлениях. После утверждения обновлений администратором и назначения для них приоритета, WSUS-сервер автоматически предоставляет компьютерам с операционной системой Windows доступ к последним обновлениям. Если вы корректно настроите клиент WSUS, то он будет автоматически загружать и устанавливать обновления в указанное время без какого-либо участия пользователя. Если аппаратная часть ваших клиентских компьютеров обеспечивает соответствующую поддержку, то клиент Windows Update может даже для установки обновлений в указанное вами время вывести компьютер из режима сна.

Политики ограниченного использования программ (Software Restriction Policies);

Как я уже говорил ранее, для многих администраторов поддержание безопасности в ИТ-инфраструктуре организации является одной из основных задач, куда включается ограничение пользователей от установки и запуска программного обеспечения. Соответственно, вы должны научиться ограждать пользователей от выполнения подобных действий. Корпорация Microsoft предоставляет решение, позволяющее администраторам защитить свою инфраструктуру от ненадежного или неизвестного программного обеспечения путем определения и указания программных продуктов, которые пользователи могут запускать, а какие запрещено. Тем самым риск заражения сети вашей организации посредством запуска нежелательного приложения пользователем, которое было принесено на съемном устройстве или скачанном из сети Интернет существенно снижается. Такая технология называется политиками ограниченного использования программ (Software Restriction Policies, сокращенно SRP), которая управляется на основе политик и указывает программы, которые могут запускаться на локальном компьютере, а у которых нет для этого разрешений. Для того чтобы разрешить или запретить выполнение программ по умолчанию, вы можете определить уровень безопасности для объекта групповой политики. Существует только два уровня безопасности по умолчанию: «Неограниченный» или «Не разрешено». Но если перед вами стоит задача создания более гибких правил, вы можете создавать исключения для уровня безопасности по умолчанию, которые могут быть внесены с помощью правил политик ограниченного использования программ. Существуют следующие типы правил:

• Правила для хеша. Как вам известно, хешем называется серия байтов фиксированной длины, однозначно идентифицирующая программу или файл. Рассчитывается хеш при помощи алгоритма хеширования, основанного на алгоритме Message Digest 5 (MD5), который использовался ранее или Secure Hash Alogorithm-256(SHA256). Когда пользователь пытается открыть программу, хеш программы сравнивается с существующим правилом для хеша политик ограниченного использования программ;
• Правила для сертификатов. Помимо правил для хеша, политики SRP умеют идентифицировать файл по его сертификату подписи. Другими словами, вы можете настроить правило для сертификата, идентифицирующее приложение и затем, в зависимости от уровня безопасности, позволяющее или не позволяющее его запускать;
• Правила для пути. Правила для пути идентифицируют приложение по физическому пути к указанному файлу. То есть, вы можете предоставить доступ к указанной папке для всех пользователей сразу;
• Правила для зон Интернета. Такие правила влияют только на пакеты установщика Windows, идентифицированные из зоны, которая указывается в браузере Internet Explorer.

Существенным преимуществом таких политик является то, что вы можете их использовать как внутри домена, так и на компьютерах, подключенных в рабочие группы посредством оснастки «Локальная политика безопасности». Также при помощи политик ограниченного использования программ вы можете определять пользователей, которые могут добавлять доверенных издателей на своих локальных компьютерах, контролировать выполнение программ и применение политик ограниченного использования программ к любым компьютерам вашей сети и многое другое.