Mélyvíz Software Update Services SUS 1.0 SP1

MélyvízMélyvízSoftware Update ServicesSoftware Update ServicesSUS 1.0 SP1SUS 1.0 SP1

Fischer PéterFischer Péterterméktámogatási tanácsadóterméktámogatási tanácsadó

Microsoft MagyarországMicrosoft Magyarország

NapirendNapirend Mi is a SUSMi is a SUS Működési finomságokMűködési finomságok Tervezési finomságokTervezési finomságok Hibakeresési finomságokHibakeresési finomságok

Mi is a SUSMi is a SUS Automatikus telepítési rendszerAutomatikus telepítési rendszer

Biztonsági javítások operációs rendszerhezBiztonsági javítások operációs rendszerhez W2K SP4 és WinXP SP1 telepítésW2K SP4 és WinXP SP1 telepítés MSDE (W2K3-hoz!) biztonsági javítás MSDE (W2K3-hoz!) biztonsági javítás

telepítéstelepítés NEM …NEM …

telepít fel más javításokattelepít fel más javításokat segít Windows 9X-nélsegít Windows 9X-nél szabad felügyelet nélkül hagyniszabad felügyelet nélkül hagyni

EllenőrzésEllenőrzés Pl. Microsoft Baseline Security AnalyzerPl. Microsoft Baseline Security Analyzer

old meg mindentold meg mindent

Irány a mélyvízIrány a mélyvíz

Működési finomságokMűködési finomságok MicrosoftMicrosoft

Központilag karbantartott adatbázis (XML)Központilag karbantartott adatbázis (XML) SUS KiszolgálóSUS Kiszolgáló

Katalógus letöltéseKatalógus letöltése Fájlok letöltése a SUS-raFájlok letöltése a SUS-ra JóváhagyásJóváhagyás

SUS KliensSUS Kliens Kliensek letöltik a katalógustKliensek letöltik a katalógust Fájlok letöltése kliensreFájlok letöltése kliensre Fixek telepítéseFixek telepítése Naplózás (minden ponton)Naplózás (minden ponton)

Registry a kliensgépenRegistry a kliensgépen WUAUSERV szolgáltatás a „tulajdonosa”WUAUSERV szolgáltatás a „tulajdonosa” HKLM\Software\Microsoft\Windows\HKLM\Software\Microsoft\Windows\

CurrentVersion\WindowsUpdate\Auto UpdateCurrentVersion\WindowsUpdate\Auto Update AUStateAUState

00 - Az Internet kapcsolat utáni legelső 24 órában nem - Az Internet kapcsolat utáni legelső 24 órában nem futfut (WU) (WU)

11 - Felhasználóra vár, az AU varázsló futtatására - Felhasználóra vár, az AU varázsló futtatására (WU) (WU) 22 - Analizálásra várunk - Analizálásra várunk   33 - Letöltésre várunk - Letöltésre várunk ((Felhasználónak a letöltést el kell Felhasználónak a letöltést el kell

fogadnifogadni) )  44 - Letöltés folyamatban - Letöltés folyamatban   55 - Településre várunk - Településre várunk   66 - Telepítés kész - Telepítés kész   77 - - Letiltva (WU)  Letiltva (WU)  88 - Újraindításra várunk - Újraindításra várunk ( (szükséges az újraindítás, de szükséges az újraindítás, de

megszakítottuk). Az újraindításig az AU nem fog csinálni megszakítottuk). Az újraindításig az AU nem fog csinálni semmit, amikor is ez az érték törlődik.semmit, amikor is ez az érték törlődik.

Fixek letöltési technikája Fixek letöltési technikája (BITS)(BITS)

QUEUED

ERROR

TRANSFERRING

CONNECTING

SUSPENDED

TRANSIENTERROR

ACKNOWLEDGED

TRANSFERRED

CANCELLED

Client CallsCOMPLETE ()

To reduce the complexityof this diagram, we are

not showing statechanges leading to this

state. Know that you cancancel a job from any

state exceptACKNOWLEDGED.

Client restarts the job afterfixing the error condition

BITS retries the job afterminimum retry delay time

Client calls Resume()

Connected to server. Filedownload starts

If Job in this state, thenclient has explicitly

suspended the job, or thejob was just created.

Suspend() will suspend thejob from any state except

“CANCELLED orACKNOWLEDGED”

Job has beenpicked by BITSas the current

Job

Add a file?

START

BITSADMIN.EXEBITSADMIN.EXE Windows 2003 Support Tools része (1.5)Windows 2003 Support Tools része (1.5) Windows 2000-hez és Windows XP-hez is Windows 2000-hez és Windows XP-hez is

használhatóhasználható HasználataHasználata

BITSADMIN /CREATE /DOWNLOAD letolt1BITSADMIN /CREATE /DOWNLOAD letolt1 BITSADMIN /ADDFILE letolt1 BITSADMIN /ADDFILE letolt1

http://www.website.hu/file.exehttp://www.website.hu/file.exe c:\temp\ezlesz.exe c:\temp\ezlesz.exe BITSADMIN /RESUME letolt1BITSADMIN /RESUME letolt1 BITSADMIN /COMPLETE letolt1BITSADMIN /COMPLETE letolt1

MonitorozásMonitorozás BITSADMIN /MONITORBITSADMIN /MONITOR /ALLUSERS /REFRESH 5/ALLUSERS /REFRESH 5 BITSADMIN /GETERROR letolt1BITSADMIN /GETERROR letolt1 BITSADMIN /GETBYTESTRANSFERREDBITSADMIN /GETBYTESTRANSFERRED

HEAD utasítást használ (URLSCAN!!!!)HEAD utasítást használ (URLSCAN!!!!)

Tervezési finomságokTervezési finomságok

Windows UpdateWindows Update

InternetInternet IntranetIntranetSUS / Distribution SUS / Distribution ServerServer

SUSSUS

Sync Sync

ContentContent & & List of List of ApprovedApprovedUpdatesUpdates

SyncSync

ContentContent

AutoUpdateAutoUpdate clientsclients

Win2k & Win2k & WinXPWinXP

Site in City BSite in City B

HTTPHTTP

AutoUpdateAutoUpdate clientsclients

Win2k & Win2k & WinXPWinXP

Site in City ASite in City A

Client can be directed Client can be directed to auto download and to auto download and install updatesinstall updates

Proxy

Proxy

Client can be directed to Client can be directed to pull approved updates pull approved updates from Microsoft.comfrom Microsoft.com

Firewall

Firewall

SUSSUS

Tervezési finomságokTervezési finomságok Ügyfélgépeknél Ügyfélgépeknél

automatikusan automatikusan telepítsünktelepítsünk Az ok: Local System Az ok: Local System

nevében fog települninevében fog települni Kiszolgálóknál kézzel Kiszolgálóknál kézzel

telepítsünktelepítsünk Az ok: ne induljon újraAz ok: ne induljon újra

Csoportos házirenddel Csoportos házirenddel választhatjuk szétválaszthatjuk szét

Tervezési finomságokTervezési finomságok Hordozhatóság (Internettől elzárt Hordozhatóság (Internettől elzárt

helyre)helyre) WLBS farmokWLBS farmok MEGOLDÁS: Disztribúciós szerverMEGOLDÁS: Disztribúciós szerver

IIS kiszolgáló (akár Windows XP)IIS kiszolgáló (akár Windows XP) CD/DVD adathordozón vihető fájlokCD/DVD adathordozón vihető fájlok Erről veszi a helyi SUS kiszolgáló a Erről veszi a helyi SUS kiszolgáló a

fixeketfixeket

Hogyan érjünk el azonnali Hogyan érjünk el azonnali frissülést SUS kiszolgálóval?frissülést SUS kiszolgálóval? Szerveren letöltés kézi szinkronizálásSzerveren letöltés kézi szinkronizálás Kliensen XML letöltéseKliensen XML letöltése

net stop wuauservnet stop wuauserv REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\

CurrentVersion\WindowsUpdate\Auto Update" /v CurrentVersion\WindowsUpdate\Auto Update" /v LastWaitTimeout /fLastWaitTimeout /f

REG ADD "HKLM\SOFTWARE\Microsoft\Windows\REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v  AUState /t CurrentVersion\WindowsUpdate\Auto Update" /v  AUState /t REG_DWORD /d 2 /fREG_DWORD /d 2 /f

net start wuauservnet start wuauserv Hatására kb. 5-10 perc múlva elindul a letöltésHatására kb. 5-10 perc múlva elindul a letöltés

Fájlletöltés BITS-szel, nem befolyásolhatóFájlletöltés BITS-szel, nem befolyásolható TelepítésTelepítés

Local Admin joggal bejelentkezniLocal Admin joggal bejelentkezni Órát átállítani közvetlenül a programozott idő eléÓrát átállítani közvetlenül a programozott idő elé

Hibakeresési finomságokHibakeresési finomságok Szerveren vannak gondjaink?Szerveren vannak gondjaink? A szerver működésének naplózása A szerver működésének naplózása

növelhetőnövelhető HKLM\SOFTWARE\Microsoft\Windows\HKLM\SOFTWARE\Microsoft\Windows\

CurrentVersion\WindowsUpdate\FastDO\CurrentVersion\WindowsUpdate\FastDO\LogLevelLogLevel ( (REGDWORDREGDWORD))..

0 0 – nincs naplózás– nincs naplózás 1 1 – csak hibák– csak hibák 2 2 – hibák és figyelmeztetések– hibák és figyelmeztetések 3 3 – minden– minden Az eseménynaplóba kerülAz eseménynaplóba kerül

Hibakeresési finomságokHibakeresési finomságok Ha egy kliens „gyanús”Ha egy kliens „gyanús”

Mintha nem lenne fenn egy patchMintha nem lenne fenn egy patch Már rég nem jött buborékMár rég nem jött buborék

AUState –nek mi az értéke?AUState –nek mi az értéke? Ha 6 vagy 8, indítsuk újra a gépetHa 6 vagy 8, indítsuk újra a gépet Ha 5, akkor telepítésre várHa 5, akkor telepítésre vár

Local Admin vagyunk? Eljött már az Local Admin vagyunk? Eljött már az „idő”?„idő”?

Ha 4, letöltés folyikHa 4, letöltés folyik Monitorozhatjuk BITSADMIN.EXE-velMonitorozhatjuk BITSADMIN.EXE-vel

Ha 3, a letöltés engedélyezésére várHa 3, a letöltés engedélyezésére vár Local Admin vagyunk?Local Admin vagyunk?

Ha 2, akkor alaphelyzetben vagyunkHa 2, akkor alaphelyzetben vagyunk Nézzük meg a „Windows Update.log” –otNézzük meg a „Windows Update.log” –ot

minden jó, akkor telepítési logot minden jó, akkor telepítési logot megnéznimegnézni

Hibakeresési finomságokHibakeresési finomságok Összességében együtt kéne látni a Összességében együtt kéne látni a

logotlogot IIS logba kerül beIIS logba kerül be

„„dummy” wutrack.bindummy” wutrack.bin Egy statisztikai szerver több SUS Egy statisztikai szerver több SUS

esetén isesetén is Javasolt feldolgozás: SQLJavasolt feldolgozás: SQL

SQL-be importálni a logotSQL-be importálni a logot Sztring manipulációSztring manipuláció

EllenőrzésEllenőrzés Microsoft Baseline Security AnalyzerMicrosoft Baseline Security Analyzer

LinkekLinkek JegyzetekJegyzetek::

Patchek kezelési stratégiájaPatchek kezelési stratégiájahttp://www.microsoft.com/security/whitepapers/patch_managehttp://www.microsoft.com/security/whitepapers/patch_management.aspment.asp

Biztonsági stratégiák a Microsoft szemszögébőlBiztonsági stratégiák a Microsoft szemszögébőlhttp://www.microsoft.com/security/whitepapers/secure_platforhttp://www.microsoft.com/security/whitepapers/secure_platform.aspm.asp

A patchek mérnöki szemszögbőlA patchek mérnöki szemszögbőlhttp://www.microsoft.com/technet/security/topics/patch/STDPAhttp://www.microsoft.com/technet/security/topics/patch/STDPATEX.aspTEX.asp

Iránymutatások a patchek kezeléséhezIránymutatások a patchek kezeléséhez A legfrissebb A legfrissebb Microsoft Guide Microsoft Guide a biztonsági fixek kezeléséheza biztonsági fixek kezeléséhez http://www.microsoft.com/technet/treeview/default.asp?url=/http://www.microsoft.com/technet/treeview/default.asp?url=/

technet/security/topics/patch/secpatch/Default.asptechnet/security/topics/patch/secpatch/Default.asp Microsoft Solutions for Management (Microsoft Solutions for Management (Nagyvállat-központú Nagyvállat-központú

segédlet és szolgáltatássegédlet és szolgáltatás))http://www.microsoft.com/technet/itsolutions/msmhttp://www.microsoft.com/technet/itsolutions/msm

PatchPatch-kezelés SMS segítségével-kezelés SMS segítségévelhttp://www.microsoft.com/technet/treeview/default.asp?url=/http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/msm/swdist/pmsms/pmsmsog.asptechnet/itsolutions/msm/swdist/pmsms/pmsmsog.asp

LinkekLinkek PatchPatch-kezelés SUS segítségével-kezelés SUS segítségével

http://www.microsoft.com/technet/treeview/default.ahttp://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/msm/swdist/pmsus/sp?url=/technet/itsolutions/msm/swdist/pmsus/pmsusog.asppmsusog.asp

Az összes MSM segédletAz összes MSM segédlethttp://www.microsoft.com/technet/treeview/default.ahttp://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/msm/Default.aspsp?url=/technet/itsolutions/msm/Default.asp

Itt tölthetők le a SUS és SMS alapú rendszerek Itt tölthetők le a SUS és SMS alapú rendszerek telepítéséhez, üzemeltetéshez kapcsolódó telepítéséhez, üzemeltetéshez kapcsolódó segédleteksegédletek::http://www.microsoft.com/downloads/details.aspx?Fhttp://www.microsoft.com/downloads/details.aspx?FamilyId=7D8999AF-7E88-416C-8404-56912F886E8D&amilyId=7D8999AF-7E88-416C-8404-56912F886E8D&displaylang=endisplaylang=en

A SUS és az SMS viszonyaA SUS és az SMS viszonya:: Melyik biztonsági menedzsment modellt válasszukMelyik biztonsági menedzsment modellt válasszuk::

http://www.microsoft.com/windows2000/windowsuphttp://www.microsoft.com/windows2000/windowsupdate/sus/suschoosing.aspdate/sus/suschoosing.asp

LinkekLinkek Patch Patch kezelő szoftverek, eszközök, egyéb forrásokkezelő szoftverek, eszközök, egyéb források SMSSMS

http://microsoft.com/smserver/evaluation/overview/featurepacks/default.asphttp://microsoft.com/smserver/evaluation/overview/featurepacks/default.asp SUSSUS

http://microsoft.com/windows2000/windowsupdate/sus/default.asphttp://microsoft.com/windows2000/windowsupdate/sus/default.asp MBSAMBSA

http://www.microsoft.com/technet/security/tools/Tools/MBSAhome.asphttp://www.microsoft.com/technet/security/tools/Tools/MBSAhome.asp WUWU

http://windowsupdate.microsoft.comhttp://windowsupdate.microsoft.com Office UpdateOffice Update

http://office.microsoft.com/productupdates/default.aspxhttp://office.microsoft.com/productupdates/default.aspx Email Notifications for Security BulletinsEmail Notifications for Security Bulletins

SzakmabelieknekSzakmabelieknek http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/notifhttp://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/notif

y.aspy.aspNem szakmabelieknekNem szakmabelieknekhttp://www.microsoft.com/security/security_bulletins/decision.asphttp://www.microsoft.com/security/security_bulletins/decision.asp

A fontossági kategóriákrólA fontossági kategóriákrólhttp://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/phttp://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/policy/rating.aspolicy/rating.asp

Patch Skill Assessment Patch Skill Assessment http://www.microsoft.com/traincert/assessment/http://www.microsoft.com/traincert/assessment/

CNF CNF esettanulmányesettanulmányhttp://www.microsoft.com/resources/casestudies/CaseStudy.asp?CaseStudyIDhttp://www.microsoft.com/resources/casestudies/CaseStudy.asp?CaseStudyID=13580=13580  

LinkekLinkek BITS jegyzet, programozási segédletBITS jegyzet, programozási segédlet http://www.microsoft.com/windowsserver200http://www.microsoft.com/windowsserver200

3/techinfo/overview/bits.mspx3/techinfo/overview/bits.mspx http://msdn.microsoft.com/library/default.asp?url=/lihttp://msdn.microsoft.com/library/default.asp?url=/li

brary/en-us/bits/bits/bitsadmin_examples.asp?framebrary/en-us/bits/bits/bitsadmin_examples.asp?frame=true=true

SUS dokumentációSUS dokumentáció http://www.microsoft.com/windows2000/windowsuphttp://www.microsoft.com/windows2000/windowsup

date/sus/default.aspdate/sus/default.asp http://www.microsoft.com/windows2000/http://www.microsoft.com/windows2000/

windowsupdate/sus/susoverview.aspwindowsupdate/sus/susoverview.asp http://www.microsoft.com/windows2000/windowsuphttp://www.microsoft.com/windows2000/windowsup

date/sus/susdeployment.aspdate/sus/susdeployment.asp

LinkekLinkek http://www.microsoft.com/windows2000/winhttp://www.microsoft.com/windows2000/win

dowsupdate/sus/default.aspdowsupdate/sus/default.asp http://www.microsoft.com/windows2000/http://www.microsoft.com/windows2000/

windowsupdate/sus/susoverview.aspwindowsupdate/sus/susoverview.asp http://www.microsoft.com/windows2000/winhttp://www.microsoft.com/windows2000/win

dowsupdate/sus/susdeployment.aspdowsupdate/sus/susdeployment.asp http://support.microsoft.com/?id=326596http://support.microsoft.com/?id=326596 http://support.microsoft.com/?id=326http://support.microsoft.com/?id=326693693 http://www.microsoft.com/windows2000/winhttp://www.microsoft.com/windows2000/win

dowsupdate/sus/redir-sp1.aspdowsupdate/sus/redir-sp1.asp http://msdn.microsoft.com/library/default.ashttp://msdn.microsoft.com/library/default.as

p?url=/library/en-us/bits/bits/bitsadmin_exap?url=/library/en-us/bits/bits/bitsadmin_examples.asp?frame=truemples.asp?frame=true

LinkekLinkek• http://www.microsoft.com/downloads/dhttp://www.microsoft.com/downloads/d

etails.aspx?FamilyId=A7AA96E4-6E41-etails.aspx?FamilyId=A7AA96E4-6E41-4F54-972C-AE66A4E4BF6C&displaylan4F54-972C-AE66A4E4BF6C&displaylang=eng=en

• http://www.microsoft.com/windows200http://www.microsoft.com/windows2000/downloads/recommended/susclient/d0/downloads/recommended/susclient/default.aspefault.asp

• http://www.microsoft.com/downloads/dhttp://www.microsoft.com/downloads/details.aspx?FamilyId=D26A0AEA-D274-etails.aspx?FamilyId=D26A0AEA-D274-42E6-8025-8C667B4C94E9&displaylang42E6-8025-8C667B4C94E9&displaylang=en=en

DEMODEMO