Как добавить не-Microsoft обновления в WSUS
WSUS (Windows Server Update Services) — это сервер обновлений операционных систем, серверных и прикладных программ. Он позволяет поддерживать продукты Microsoft в актуальном состоянии. Подробнее об этом полезном инструменты можно узнать на странице в Technet.
Кроме программ Microsoft, системные администраторы должны позаботиться и о продуктах других фирм. Большинство популярных, а поэтому потенциально уязвимых программ, таких как Adobe Flash, Adobe Reader, Mozilla Firefox, Google Chrome, умеют обновляться самостоятельно, но часто установщики требуют повышенных привилегий и у пользователя есть возможность их отключить.
Существует возможность централизовать установку сторонних обновлений через WSUS. Для этого можно воспользоваться одной из бесплатных программ, которые умеют работать с сервером обновлений через API:
– Local Update Publisher (перейти на сайт)
– WSUS Package Publisher (перейти на сайт)
Программы делают одно и тоже. На момент написания статьи чуть больше мог WSUS Package Publisher, поэтому…
Установка и настройка WSUS Package Publisher (WPP)
Требования
– В локальной сети должен быть развернут WSUS
– Установленный .Net Framework 4.0
– Для WSUS 3.0 SP2 должно быть установлено обновление KB2530678
Wsus Package Publisher можно устанавливать как на сервер WSUS, так и на рабочую станцию. В последнем случае на компьютере должна быть установлена административная консоль WSUS. Также пользователь должен быть локальным администратором и входить в группу “Wsus Administrators” на сервере. На компьютере под управлением Windows 8 должны быть установлены Remote Server Administration Tools (RSAT).
Установка
Скачиваем архив WPP с сайта и извлекаем файлы в папку.
Добавление сервера
Запускаем Wsus Package Publisher.exe. Если WPP находится на сервере WSUS, то он автоматически добавит локальный компьютер в список, в противном случае настраиваем самостоятельно:
– В меню Tools выбираем Settings
– Задаем параметры подключения (поля Server Name, Connection Port, Use SSL)
– Если WPP запущен на сервере WSUS, отмечаем галочку Connect to local server
– Нажимаем Add Server
– При необходимости добавляем другие сервера
В строке меню выбираем нужный сервер, нажимаем кнопку Connect/Reload
Настройка сертификата
Далее нужно настроить сертификат, которым будут подписаны пакеты для распространения через WSUS. В меню Tools открываем пункт Certificate
Здесь можно либо выпустить самоподписанный сертификат (кнопка Generate the certificate), либо загрузить свой, например, выпущенный локальным центром сертификации. Кнопка Load a certificate активируется после ввода пароля от файла с закрытым ключом в поле Password
Замечание: WSUS сервер на Windows Server 2012 R2 (и более поздних) больше не выпускает самоподписанные сертификаты. WPP может может сгенерировать его самостоятельно, но для этого он должен быть запущен на сервере WSUS.
Сохраняем сертификат (Save the certificate), чтобы затем распространить его на клиентские компьютеры.
Перезагружаем сервер WSUS. Достаточно перезапустить службы iis и wsusservice
iisreset /stop
net stop wsusservice && net start wsusservice
iisreset /start
Проверить, что сертификат был установлен правильно, можно через mmc оснастку «Сертификаты» для локального компьютера. Здесь нужно убедиться в его наличии в контейнерах «WSUS», «Доверенные издатели» (“Trusted Publishers”) и (для самоподписанного сертификата) в «Доверенные корневые центры сертификации» (“Trusted Root Certificates Authorites”).
Важно: При замене сертификата нужно будет переподписать все опубликованные обновления.
Настройка клиентских компьютеров
На конечных компьютерах должен быть установлен сертификат, с помощью которого будут подписываться обновления. А также включен режим позволяющий устанавливать подписанные обновления из локальной сети через WSUS.
Сертификаты
Если сертификат был сгенерирован WSUS или WPP (WSUS self-signed certificate), то его нужно поместить в контейнеры «Доверенные издатели» (“Trusted Publishers”) и в «Доверенные корневые центры сертификации» (“Trusted Root Certificates Authorites”) на локальном компьютере. Если сертификат был выпущен, например, доменным центром сертификации, то достаточно добавить его в папку «Доверенные издатели». При этом сертификат выпускающего центра должен находиться в «Доверенных корневых центрах сертификации».
Для компьютеров, которые входят в домен, сертификат можно распространить через групповую политику, добавив его в соответствующие узлы раздела Конфигурация компьютера \ Политики \ Конфигурация Windows \ Параметры безопасности \ Политики открытого ключа
Включение локальных обновлений
Для компьютеров, входящих в домен, нужно включить параметр групповой политики «Разрешить прием обновлений с подписью из службы обновления Майкрософт в интрасети» (“Allow signed content from intranet Microsoft update service location”), который находится в разделе Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Центр обновления Windows
Для компьютеров из рабочей группы нужно установить параметр в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AcceptTrustedPublisherCerts = 1
Если все сделано правильно, то клиентские компьютеры смогут принимать сторонние обновления, в противном случае появится ошибка Windows Update 800B0109.
