Cập nhật các bản vã lỗi cho môi trường phân tán thông qua SYSTEM UPDATE SERVICES (SUS)

Có lẽ trong chúng ta ai cũng đã từng bị những sự cố máy tinh dẫn đến mất mát dữ liệu do virus, hacker và các lổ hổng hệ thống gây nên.Vì vậy từ năm 1998 Microsoft đưa ra phương pháp cập nhật các bản vá khi sử dụng hệ điều hành Windows thông qua trang web www.windowsupdate.com. Khi dùng Win XP hay Win 2K SP3 trở lên chúng ta lại có thêm tính năng mới là Automatic updates có thể tự động kết nối đến trang web windows update để tải về các các tập tin vá lỗi hệ thống.

Tuy nhiên trong một môi trường phân tán thì việc cập nhật đơn lẻ các bản vá cho hệ thống thường không mang lại hiệu quả cao do nhiều lý do như đường  truyền, khó quản lý do sự bất cẩn của người dùng.Vì vậy trong vai trò IT Supervisor hay Network Administrator ắt hẳn chúng ta muốn một phương pháp xử lý hiệu quả hơn. Và thật may mắn, SUS có thể giải quyết vấn đề đó cho chúng ta, với SUS ta có thể quản lý sự cập nhật các bản vá hệ thống cho người sử dụng thông qua một hay nhiều máy chủ trung gian susserver. Và chương trình Automatic updates trên các máy tính của người dùng sẽ được cấu hình kết nối đến susserver để tải về các bản cập nhật thay vì từ web site của Microsoft. Điều này sẽ giúp cho chúng ta quản lý quá trình cập nhật hệ thống một cách hiệu quả hơn với các cơ chế như đặt lịch cho quá trình cập nhật đối với các client hay chỉ định các tập tin cần tiến hành cài đặt  dựa trên chính sách của domain.

Trong bài viết này tôi sẽ trình bày phương pháp cài đặt, cấu hình sus server và thiết lập các chính sách của domain trên một mô hình thực tế của một công ty khách hàng trên 50 user để có thể quản lý và triển khai việc cập nhật hệ thống một cách hiệu quả hơn.  

Mô hình TestLab cần có các máy sau: 

Bước 1: Cài đặt và Cấu hình Software Update Services  

Software Update Services (SUS) là một sản phẩm hoàn toàn miễn phí, có thể tải về  từ http://www.microsft.com/downloads và tiến hành cài đặt trên susserver.mcsesecurity.com. Quá trình cài đặt tương đối đơn giản, chúng ta chỉ cần xác định vị trí để lưu trữ các tập tin cần thiết của chương trình và làm theo một số chỉ thị đưa ra như hình dưới đây.

Sau khi quá trình cài đặt hòan tất, việc tiếp theo là log vào trang web quản trị http://susserver.mcsesecurity.com  tiến hành đồng bộ hóa dữ liệu với server update của Microsoft  và thực hiện một số thao tác cấu hình cần thiết.

Nhấn vào Synchronize để tiến hành tải các bản sửa lỗi từ máy chủ của Microsoft, vì khối lượng các bản cập nhật khá lớn nên phải mất một khỏang thời gian khá lâu cho tiến trình đồng bộ dữ liệu. Do đó để hạn chế việc chiếm dụng băng thông chúng ta có nên đặt lịch biểu để tiến trình này chỉ diễn ra ngoài thời gian làmviệc bằng cách chọn Synchronizer Scheduler và thiết lập các thông số như sau:

Khi tiến trình synchronize kết thúc, tùy vào hệ thống của mình ta có thể chọn những hotfix cần thíêt để cho các client cập nhật thông qua tiện ích Automatic updates bằng cách chọn Approve updates và check vào các tập tin cần vá cho các máy trên mạng:

Như vậy ta đã cài đạt và cấu hình xong sus server.Tiếp theo chúng ta chỉ cần cấu hình cho phép chương trình auomatic update trên các máy client kết nối đến máy này tải về các bản vá để cài đặtt nữa là xong. Nếu như các máy client trên mạng chưa có tiện ích Automatic updates thì ta có thể tải về từ trang web download của Microsoft và phân phối cho các máy thành viên thong qua Group Policy hoặc hướng dẫn người dùng cài đặt chúng từ một Folder chia sẽ, kiểm tra lại trong Cntrol Panel khi qua trình cài đặt hòan tất để bảo đảm đã có Automatic Updates trên hệ thống của mình.

Bước 2: Cấu hình Group Policy trên domain controller  

Chúng ta quản lý quá trình cập nhật các bản vá cho client thông qua Group Policy trên máy quản trị domain thông qua các thao tác sau:

1.Chọn Start -> Program-> Admnistrati Tools-> Active Directory User and Computer
2.Nhấn chuột phải vào domain và chọn Properties, sau đó chọn Group Policy , chọn Default Domain Security Policy và nhấn Edit để mở ra khung hiệu chỉnh policy của domain và chọn Add/Remove Templates như hình dưới đây:

3.Chọn ADM (administrative template) có tên là wuad.adm và nhấn Open

4. Sau đó chúng ta hiệu chỉnh các policy bằng cách nhấn chuột vào Automatic Update ở khung bên phải của WUAU-ADM template và chọn Auto download and scheduler the install và xác định ngày giờ để các client tải những tập tin cập nhật hệ thống về như hình dưới đây: 

5. Tiếp theo chúng ta nấhn chuột vào Specific intranet Microsoft Update server location và chọn enable sau đó nhập tên của sus server vào và chọn OK : 

Như vây chúng ta đã cây dựng xong hệ thống SUS server và tiết lập ácc chính sách cần thiết để cácc lient có thể tải về các bản vá lỗi từ mộ  máy chủ cụa bộ trong hệ thống domain. Việ toếp theo là chúng ta chạy lện hGPupdate.exe từ Run command và yêu cầu các user restart lại hệ thống khi có thể.

Lưu ý: Đối với các máy tính trong môi trường Workgroup chúng ta vẫn có thể triển khai mô hình này bằng cách thay đổi policy cục bộ của từng máy  

Để bảo đảm an tòan cho hệ thống khi có sự cố xảy ra, thì chúng ta nên tiến hành lưu dự phòng các dữ liệu cần thiết của sus server. Để backup sus ta cần sao lưu nội dung sus, trang web sus administration và iis metabase, các bạn có thể xem thêm về vấn đề này ở site của microsoft hoặc liên hệ theo địc chỉ email cuối bài để nắm rõ thêm.

Tuy nhiên một số bản vá có thể làm cho các ứng dụng cũ trên hệ thống họat động không ổn định, vì vậy đối với các hệ thống qua trọng ta nên tiến hành kiểm tra kỹ các tập tin vá trên các máy test và tham khảo kỹ các thong tin của nàh sản xuất về những tác dụng phụ của chúng. Và để biết được những máy tính nào trên hệ thống chưa cập nhật kịp thời ácc lổ hổng này thi chúng ta nên sử dụng các chương trình quét lổi tự động do Micorosoft  cung cấp như Hfnetchk hay MBSA, đây là những  chường trình có thể tải về miễn phí thong qua trang web download của Microsoft. 
 

Tài liệu tham khảo - Các bạn có thể download sách, các tập tin video demo và chương trình tại địa chỉ sau:

http://www.security365.org/downloads/books

http://www.security365.org/downloads/demo

http://www.security365.org/downloads/software/

Nguyễn Trần Duy Vinh, NetManager - MCP

Công Ty Giải Pháp An Tòan

www.security365.org

[email protected]