Mélyvíz Mélyvíz Software Update Software Update Services Services SUS 1.0 SP1 SUS 1.0 SP1 Fischer Péter Fischer Péter terméktámogatási tanácsadó terméktámogatási tanácsadó Microsoft Magyarország Microsoft Magyarország
Mar 15, 2016
MélyvízMélyvízSoftware Update ServicesSoftware Update ServicesSUS 1.0 SP1SUS 1.0 SP1
Fischer PéterFischer Péterterméktámogatási tanácsadóterméktámogatási tanácsadó
Microsoft MagyarországMicrosoft Magyarország
NapirendNapirend Mi is a SUSMi is a SUS Működési finomságokMűködési finomságok Tervezési finomságokTervezési finomságok Hibakeresési finomságokHibakeresési finomságok
Mi is a SUSMi is a SUS Automatikus telepítési rendszerAutomatikus telepítési rendszer
Biztonsági javítások operációs rendszerhezBiztonsági javítások operációs rendszerhez W2K SP4 és WinXP SP1 telepítésW2K SP4 és WinXP SP1 telepítés MSDE (W2K3-hoz!) biztonsági javítás MSDE (W2K3-hoz!) biztonsági javítás
telepítéstelepítés NEM …NEM …
telepít fel más javításokattelepít fel más javításokat segít Windows 9X-nélsegít Windows 9X-nél szabad felügyelet nélkül hagyniszabad felügyelet nélkül hagyni
EllenőrzésEllenőrzés Pl. Microsoft Baseline Security AnalyzerPl. Microsoft Baseline Security Analyzer
old meg mindentold meg mindent
Irány a mélyvízIrány a mélyvíz
Működési finomságokMűködési finomságok MicrosoftMicrosoft
Központilag karbantartott adatbázis (XML)Központilag karbantartott adatbázis (XML) SUS KiszolgálóSUS Kiszolgáló
Katalógus letöltéseKatalógus letöltése Fájlok letöltése a SUS-raFájlok letöltése a SUS-ra JóváhagyásJóváhagyás
SUS KliensSUS Kliens Kliensek letöltik a katalógustKliensek letöltik a katalógust Fájlok letöltése kliensreFájlok letöltése kliensre Fixek telepítéseFixek telepítése Naplózás (minden ponton)Naplózás (minden ponton)
Registry a kliensgépenRegistry a kliensgépen WUAUSERV szolgáltatás a „tulajdonosa”WUAUSERV szolgáltatás a „tulajdonosa” HKLM\Software\Microsoft\Windows\HKLM\Software\Microsoft\Windows\
CurrentVersion\WindowsUpdate\Auto UpdateCurrentVersion\WindowsUpdate\Auto Update AUStateAUState
00 - Az Internet kapcsolat utáni legelső 24 órában nem - Az Internet kapcsolat utáni legelső 24 órában nem futfut (WU) (WU)
11 - Felhasználóra vár, az AU varázsló futtatására - Felhasználóra vár, az AU varázsló futtatására (WU) (WU) 22 - Analizálásra várunk - Analizálásra várunk 33 - Letöltésre várunk - Letöltésre várunk ((Felhasználónak a letöltést el kell Felhasználónak a letöltést el kell
fogadnifogadni) ) 44 - Letöltés folyamatban - Letöltés folyamatban 55 - Településre várunk - Településre várunk 66 - Telepítés kész - Telepítés kész 77 - - Letiltva (WU) Letiltva (WU) 88 - Újraindításra várunk - Újraindításra várunk ( (szükséges az újraindítás, de szükséges az újraindítás, de
megszakítottuk). Az újraindításig az AU nem fog csinálni megszakítottuk). Az újraindításig az AU nem fog csinálni semmit, amikor is ez az érték törlődik.semmit, amikor is ez az érték törlődik.
Fixek letöltési technikája Fixek letöltési technikája (BITS)(BITS)
QUEUED
ERROR
TRANSFERRING
CONNECTING
SUSPENDED
TRANSIENTERROR
ACKNOWLEDGED
TRANSFERRED
CANCELLED
Client CallsCOMPLETE ()
To reduce the complexityof this diagram, we are
not showing statechanges leading to this
state. Know that you cancancel a job from any
state exceptACKNOWLEDGED.
Client restarts the job afterfixing the error condition
BITS retries the job afterminimum retry delay time
Client calls Resume()
Connected to server. Filedownload starts
If Job in this state, thenclient has explicitly
suspended the job, or thejob was just created.
Suspend() will suspend thejob from any state except
“CANCELLED orACKNOWLEDGED”
Job has beenpicked by BITSas the current
Job
Add a file?
START
BITSADMIN.EXEBITSADMIN.EXE Windows 2003 Support Tools része (1.5)Windows 2003 Support Tools része (1.5) Windows 2000-hez és Windows XP-hez is Windows 2000-hez és Windows XP-hez is
használhatóhasználható HasználataHasználata
BITSADMIN /CREATE /DOWNLOAD letolt1BITSADMIN /CREATE /DOWNLOAD letolt1 BITSADMIN /ADDFILE letolt1 BITSADMIN /ADDFILE letolt1
http://www.website.hu/file.exehttp://www.website.hu/file.exe c:\temp\ezlesz.exe c:\temp\ezlesz.exe BITSADMIN /RESUME letolt1BITSADMIN /RESUME letolt1 BITSADMIN /COMPLETE letolt1BITSADMIN /COMPLETE letolt1
MonitorozásMonitorozás BITSADMIN /MONITORBITSADMIN /MONITOR /ALLUSERS /REFRESH 5/ALLUSERS /REFRESH 5 BITSADMIN /GETERROR letolt1BITSADMIN /GETERROR letolt1 BITSADMIN /GETBYTESTRANSFERREDBITSADMIN /GETBYTESTRANSFERRED
HEAD utasítást használ (URLSCAN!!!!)HEAD utasítást használ (URLSCAN!!!!)
Tervezési finomságokTervezési finomságok
Windows UpdateWindows Update
InternetInternet IntranetIntranetSUS / Distribution SUS / Distribution ServerServer
SUSSUS
Sync Sync
ContentContent & & List of List of ApprovedApprovedUpdatesUpdates
SyncSync
ContentContent
AutoUpdateAutoUpdate clientsclients
Win2k & Win2k & WinXPWinXP
Site in City BSite in City B
HTTPHTTP
AutoUpdateAutoUpdate clientsclients
Win2k & Win2k & WinXPWinXP
Site in City ASite in City A
Client can be directed Client can be directed to auto download and to auto download and install updatesinstall updates
Proxy
Proxy
Client can be directed to Client can be directed to pull approved updates pull approved updates from Microsoft.comfrom Microsoft.com
Firewall
Firewall
SUSSUS
Tervezési finomságokTervezési finomságok Ügyfélgépeknél Ügyfélgépeknél
automatikusan automatikusan telepítsünktelepítsünk Az ok: Local System Az ok: Local System
nevében fog települninevében fog települni Kiszolgálóknál kézzel Kiszolgálóknál kézzel
telepítsünktelepítsünk Az ok: ne induljon újraAz ok: ne induljon újra
Csoportos házirenddel Csoportos házirenddel választhatjuk szétválaszthatjuk szét
Tervezési finomságokTervezési finomságok Hordozhatóság (Internettől elzárt Hordozhatóság (Internettől elzárt
helyre)helyre) WLBS farmokWLBS farmok MEGOLDÁS: Disztribúciós szerverMEGOLDÁS: Disztribúciós szerver
IIS kiszolgáló (akár Windows XP)IIS kiszolgáló (akár Windows XP) CD/DVD adathordozón vihető fájlokCD/DVD adathordozón vihető fájlok Erről veszi a helyi SUS kiszolgáló a Erről veszi a helyi SUS kiszolgáló a
fixeketfixeket
Hogyan érjünk el azonnali Hogyan érjünk el azonnali frissülést SUS kiszolgálóval?frissülést SUS kiszolgálóval? Szerveren letöltés kézi szinkronizálásSzerveren letöltés kézi szinkronizálás Kliensen XML letöltéseKliensen XML letöltése
net stop wuauservnet stop wuauserv REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\
CurrentVersion\WindowsUpdate\Auto Update" /v CurrentVersion\WindowsUpdate\Auto Update" /v LastWaitTimeout /fLastWaitTimeout /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v AUState /t CurrentVersion\WindowsUpdate\Auto Update" /v AUState /t REG_DWORD /d 2 /fREG_DWORD /d 2 /f
net start wuauservnet start wuauserv Hatására kb. 5-10 perc múlva elindul a letöltésHatására kb. 5-10 perc múlva elindul a letöltés
Fájlletöltés BITS-szel, nem befolyásolhatóFájlletöltés BITS-szel, nem befolyásolható TelepítésTelepítés
Local Admin joggal bejelentkezniLocal Admin joggal bejelentkezni Órát átállítani közvetlenül a programozott idő eléÓrát átállítani közvetlenül a programozott idő elé
Hibakeresési finomságokHibakeresési finomságok Szerveren vannak gondjaink?Szerveren vannak gondjaink? A szerver működésének naplózása A szerver működésének naplózása
növelhetőnövelhető HKLM\SOFTWARE\Microsoft\Windows\HKLM\SOFTWARE\Microsoft\Windows\
CurrentVersion\WindowsUpdate\FastDO\CurrentVersion\WindowsUpdate\FastDO\LogLevelLogLevel ( (REGDWORDREGDWORD))..
0 0 – nincs naplózás– nincs naplózás 1 1 – csak hibák– csak hibák 2 2 – hibák és figyelmeztetések– hibák és figyelmeztetések 3 3 – minden– minden Az eseménynaplóba kerülAz eseménynaplóba kerül
Hibakeresési finomságokHibakeresési finomságok Ha egy kliens „gyanús”Ha egy kliens „gyanús”
Mintha nem lenne fenn egy patchMintha nem lenne fenn egy patch Már rég nem jött buborékMár rég nem jött buborék
AUState –nek mi az értéke?AUState –nek mi az értéke? Ha 6 vagy 8, indítsuk újra a gépetHa 6 vagy 8, indítsuk újra a gépet Ha 5, akkor telepítésre várHa 5, akkor telepítésre vár
Local Admin vagyunk? Eljött már az Local Admin vagyunk? Eljött már az „idő”?„idő”?
Ha 4, letöltés folyikHa 4, letöltés folyik Monitorozhatjuk BITSADMIN.EXE-velMonitorozhatjuk BITSADMIN.EXE-vel
Ha 3, a letöltés engedélyezésére várHa 3, a letöltés engedélyezésére vár Local Admin vagyunk?Local Admin vagyunk?
Ha 2, akkor alaphelyzetben vagyunkHa 2, akkor alaphelyzetben vagyunk Nézzük meg a „Windows Update.log” –otNézzük meg a „Windows Update.log” –ot
minden jó, akkor telepítési logot minden jó, akkor telepítési logot megnéznimegnézni
Hibakeresési finomságokHibakeresési finomságok Összességében együtt kéne látni a Összességében együtt kéne látni a
logotlogot IIS logba kerül beIIS logba kerül be
„„dummy” wutrack.bindummy” wutrack.bin Egy statisztikai szerver több SUS Egy statisztikai szerver több SUS
esetén isesetén is Javasolt feldolgozás: SQLJavasolt feldolgozás: SQL
SQL-be importálni a logotSQL-be importálni a logot Sztring manipulációSztring manipuláció
EllenőrzésEllenőrzés Microsoft Baseline Security AnalyzerMicrosoft Baseline Security Analyzer
LinkekLinkek JegyzetekJegyzetek::
Patchek kezelési stratégiájaPatchek kezelési stratégiájahttp://www.microsoft.com/security/whitepapers/patch_managehttp://www.microsoft.com/security/whitepapers/patch_management.aspment.asp
Biztonsági stratégiák a Microsoft szemszögébőlBiztonsági stratégiák a Microsoft szemszögébőlhttp://www.microsoft.com/security/whitepapers/secure_platforhttp://www.microsoft.com/security/whitepapers/secure_platform.aspm.asp
A patchek mérnöki szemszögbőlA patchek mérnöki szemszögbőlhttp://www.microsoft.com/technet/security/topics/patch/STDPAhttp://www.microsoft.com/technet/security/topics/patch/STDPATEX.aspTEX.asp
Iránymutatások a patchek kezeléséhezIránymutatások a patchek kezeléséhez A legfrissebb A legfrissebb Microsoft Guide Microsoft Guide a biztonsági fixek kezeléséheza biztonsági fixek kezeléséhez http://www.microsoft.com/technet/treeview/default.asp?url=/http://www.microsoft.com/technet/treeview/default.asp?url=/
technet/security/topics/patch/secpatch/Default.asptechnet/security/topics/patch/secpatch/Default.asp Microsoft Solutions for Management (Microsoft Solutions for Management (Nagyvállat-központú Nagyvállat-központú
segédlet és szolgáltatássegédlet és szolgáltatás))http://www.microsoft.com/technet/itsolutions/msmhttp://www.microsoft.com/technet/itsolutions/msm
PatchPatch-kezelés SMS segítségével-kezelés SMS segítségévelhttp://www.microsoft.com/technet/treeview/default.asp?url=/http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/msm/swdist/pmsms/pmsmsog.asptechnet/itsolutions/msm/swdist/pmsms/pmsmsog.asp
LinkekLinkek PatchPatch-kezelés SUS segítségével-kezelés SUS segítségével
http://www.microsoft.com/technet/treeview/default.ahttp://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/msm/swdist/pmsus/sp?url=/technet/itsolutions/msm/swdist/pmsus/pmsusog.asppmsusog.asp
Az összes MSM segédletAz összes MSM segédlethttp://www.microsoft.com/technet/treeview/default.ahttp://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/msm/Default.aspsp?url=/technet/itsolutions/msm/Default.asp
Itt tölthetők le a SUS és SMS alapú rendszerek Itt tölthetők le a SUS és SMS alapú rendszerek telepítéséhez, üzemeltetéshez kapcsolódó telepítéséhez, üzemeltetéshez kapcsolódó segédleteksegédletek::http://www.microsoft.com/downloads/details.aspx?Fhttp://www.microsoft.com/downloads/details.aspx?FamilyId=7D8999AF-7E88-416C-8404-56912F886E8D&amilyId=7D8999AF-7E88-416C-8404-56912F886E8D&displaylang=endisplaylang=en
A SUS és az SMS viszonyaA SUS és az SMS viszonya:: Melyik biztonsági menedzsment modellt válasszukMelyik biztonsági menedzsment modellt válasszuk::
http://www.microsoft.com/windows2000/windowsuphttp://www.microsoft.com/windows2000/windowsupdate/sus/suschoosing.aspdate/sus/suschoosing.asp
LinkekLinkek Patch Patch kezelő szoftverek, eszközök, egyéb forrásokkezelő szoftverek, eszközök, egyéb források SMSSMS
http://microsoft.com/smserver/evaluation/overview/featurepacks/default.asphttp://microsoft.com/smserver/evaluation/overview/featurepacks/default.asp SUSSUS
http://microsoft.com/windows2000/windowsupdate/sus/default.asphttp://microsoft.com/windows2000/windowsupdate/sus/default.asp MBSAMBSA
http://www.microsoft.com/technet/security/tools/Tools/MBSAhome.asphttp://www.microsoft.com/technet/security/tools/Tools/MBSAhome.asp WUWU
http://windowsupdate.microsoft.comhttp://windowsupdate.microsoft.com Office UpdateOffice Update
http://office.microsoft.com/productupdates/default.aspxhttp://office.microsoft.com/productupdates/default.aspx Email Notifications for Security BulletinsEmail Notifications for Security Bulletins
SzakmabelieknekSzakmabelieknek http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/notifhttp://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/notif
y.aspy.aspNem szakmabelieknekNem szakmabelieknekhttp://www.microsoft.com/security/security_bulletins/decision.asphttp://www.microsoft.com/security/security_bulletins/decision.asp
A fontossági kategóriákrólA fontossági kategóriákrólhttp://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/phttp://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/policy/rating.aspolicy/rating.asp
Patch Skill Assessment Patch Skill Assessment http://www.microsoft.com/traincert/assessment/http://www.microsoft.com/traincert/assessment/
CNF CNF esettanulmányesettanulmányhttp://www.microsoft.com/resources/casestudies/CaseStudy.asp?CaseStudyIDhttp://www.microsoft.com/resources/casestudies/CaseStudy.asp?CaseStudyID=13580=13580
LinkekLinkek BITS jegyzet, programozási segédletBITS jegyzet, programozási segédlet http://www.microsoft.com/windowsserver200http://www.microsoft.com/windowsserver200
3/techinfo/overview/bits.mspx3/techinfo/overview/bits.mspx http://msdn.microsoft.com/library/default.asp?url=/lihttp://msdn.microsoft.com/library/default.asp?url=/li
brary/en-us/bits/bits/bitsadmin_examples.asp?framebrary/en-us/bits/bits/bitsadmin_examples.asp?frame=true=true
SUS dokumentációSUS dokumentáció http://www.microsoft.com/windows2000/windowsuphttp://www.microsoft.com/windows2000/windowsup
date/sus/default.aspdate/sus/default.asp http://www.microsoft.com/windows2000/http://www.microsoft.com/windows2000/
windowsupdate/sus/susoverview.aspwindowsupdate/sus/susoverview.asp http://www.microsoft.com/windows2000/windowsuphttp://www.microsoft.com/windows2000/windowsup
date/sus/susdeployment.aspdate/sus/susdeployment.asp
LinkekLinkek http://www.microsoft.com/windows2000/winhttp://www.microsoft.com/windows2000/win
dowsupdate/sus/default.aspdowsupdate/sus/default.asp http://www.microsoft.com/windows2000/http://www.microsoft.com/windows2000/
windowsupdate/sus/susoverview.aspwindowsupdate/sus/susoverview.asp http://www.microsoft.com/windows2000/winhttp://www.microsoft.com/windows2000/win
dowsupdate/sus/susdeployment.aspdowsupdate/sus/susdeployment.asp http://support.microsoft.com/?id=326596http://support.microsoft.com/?id=326596 http://support.microsoft.com/?id=326http://support.microsoft.com/?id=326693693 http://www.microsoft.com/windows2000/winhttp://www.microsoft.com/windows2000/win
dowsupdate/sus/redir-sp1.aspdowsupdate/sus/redir-sp1.asp http://msdn.microsoft.com/library/default.ashttp://msdn.microsoft.com/library/default.as
p?url=/library/en-us/bits/bits/bitsadmin_exap?url=/library/en-us/bits/bits/bitsadmin_examples.asp?frame=truemples.asp?frame=true
LinkekLinkek• http://www.microsoft.com/downloads/dhttp://www.microsoft.com/downloads/d
etails.aspx?FamilyId=A7AA96E4-6E41-etails.aspx?FamilyId=A7AA96E4-6E41-4F54-972C-AE66A4E4BF6C&displaylan4F54-972C-AE66A4E4BF6C&displaylang=eng=en
• http://www.microsoft.com/windows200http://www.microsoft.com/windows2000/downloads/recommended/susclient/d0/downloads/recommended/susclient/default.aspefault.asp
• http://www.microsoft.com/downloads/dhttp://www.microsoft.com/downloads/details.aspx?FamilyId=D26A0AEA-D274-etails.aspx?FamilyId=D26A0AEA-D274-42E6-8025-8C667B4C94E9&displaylang42E6-8025-8C667B4C94E9&displaylang=en=en
DEMODEMO