Đang tải... (xem toàn văn)
Ngày nay mạng máy tính đã trở lên phổ biến và mang lại những lợi ích thiết thực và được ứng dụng trong mọi lĩnh vực để giải quyết các vấn đề của cuộc sống. Khi kết nối mạng máy tính thì chúng ta có thể kết nối tới mọi nơi trên trái đất, nó không bị giới hạn ở phạm vi khu vực, quốc gia, mà nó đã ảnh hưởng tới phạm vi toàn cầu. Mạng máy tính đã tạo ra sự chuyển biến có tính chất cách mạng trong vấn đề tổ chức, khai thác và sử dụng các hệ thống máy tính. Mạng máy tính có thể giúp con người gần nhau hơn vì nhờ có mạng máy tính mà những người cách xa nhau hàng nghìn kilomet vẫn có thể liên lạc thuận tiện với nhau được. Mạng máy tính giúp ngành viễn thông nói riêng và ngành công nghiệp nói chung trên thế giới chuyển sang một bước ngoặt mới. Như chúng ta đã biết thì thành phần quan trọng nhất trong mạng máy tính là các máy tính. Chúng được kết nối với nhau để chia sẻ thông tin với nhau. Vậy nên nếu các máy tính trong hệ thống mạng bị tấn công hoặc lỗi có thể ảnh hướng đến tính sẵn sàng, tính an toàn của hệ thống. Vì vậy việc thường xuyên cập nhật các bản vá hệ thống, các bản cập nhật là một công việc quan trọng giúp hệ thống an toàn và vận hành ổn định. Thông thường các hệ thống máy tính trong mạng đều được chạy một hệ điều hành phổ biến, trong đề tài tìm hiểu này, ta sẽ tập chung vào việc triển khai máy chủ phân phối các bản cập nhật cho hệ thống máy tính sử dụng hệ điều hành Windows
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ BÁO CÁO TRIỂN KHAI CÔNG NGHỆ TỰ ĐỘNG CẬP NHẬT BẢN VÁ CHO MÁY TRẠM VÀ MÁY CHỦ CHẠY HỆ ĐIỀU HÀNH MICROSOFT WINDOWS Học phần: Phân tích thiết kế An tồn mạng máy tính Chun ngành: An tồn thơng tin Giảng viên hướng dẫn: Thầy: Trần Nghi Phú Khoa ATTT – Học viện Kỹ thuật mật mã Hà Nội, 2022 MỤC LỤC MỤC LỤC LỜI MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ WINDOWS SERVER UPDATE SERVICE 1.1 Giới thiệu Windows Server Update Services (WSUS) .5 1.2 Cách triển khai hệ thống WSUS .6 1.3 WSUS System Center Configuration Manager CHƯƠNG PHÂN TÍCH THIẾT KẾ HỆ THỐNG WSUS THEO MƠ HÌNH MẠNG CỦA HỌC VIỆN 2.1 Các yêu cầu cần đặt 3.2 Đề xuất hệ thống CHƯƠNG CÀI ĐẶT WSUS SERVER ROLE 10 CHƯƠNG CẤU HÌNH WSUS 16 4.1 Cấu hình kết nối mạng 16 4.1.1 Cấu hình tưởng lửa để máy chủ WSUS nhận cập nhật từ Microsoft 16 4.1.2 Cấu hình tường lửa cho máy trạm kết nối với máy chủ WSUS 16 4.2 Cấu hình dịch vụ WSUS thơng qua WSUS Configuration Wizard 16 CHƯƠNG 5: CẤU HÌNH GROUP POLICY WINDOW UPDATE 24 5.1 Kết nối máy trạm trỏ đến WSUS 25 5.2 Cấu hình cập nhật tự động 26 5.3 Cấu hình máy tính tự kiểm tra update 27 5.4 Ngăn chặn người dùng tự kiểm tra update 28 5.5 Cấu hình máy trạm tự cập nhật từ chế độ Hibernation .29 5.6 Cấu hình ngăn chặn cài đặt update hành 30 CHƯƠNG PHÊ DUYỆT CÁC BẢN UPDATE 32 6.1 Đồng update từ Microsoft Server 32 6.2 Nhóm máy tính 33 7.3 Phê duyệt update 37 TỔNG KẾT 40 NHẬN XÉT LỜI MỞ ĐẦU Ngày mạng máy tính trở lên phổ biến mang lại lợi ích thiết thực ứng dụng lĩnh vực để giải vấn đề sống Khi kết nối mạng máy tính kết nối tới nơi trái đất, khơng bị giới hạn phạm vi khu vực, quốc gia, mà ảnh hưởng tới phạm vi tồn cầu Mạng máy tính tạo chuyển biến có tính chất cách mạng vấn đề tổ chức, khai thác sử dụng hệ thống máy tính Mạng máy tính giúp người gần nhờ có mạng máy tính mà người cách xa hàng nghìn kilomet liên lạc thuận tiện với Mạng máy tính giúp ngành viễn thơng nói riêng ngành cơng nghiệp nói chung giới chuyển sang bước ngoặt Như biết thành phần quan trọng mạng máy tính máy tính Chúng kết nối với để chia sẻ thông tin với Vậy nên máy tính hệ thống mạng bị cơng lỗi ảnh hướng đến tính sẵn sàng, tính an tồn hệ thống Vì việc thường xun cập nhật vá hệ thống, cập nhật công việc quan trọng giúp hệ thống an tồn vận hành ổn định Thơng thường hệ thống máy tính mạng chạy hệ điều hành phổ biến, đề tài tìm hiểu này, ta tập chung vào việc triển khai máy chủ phân phối cập nhật cho hệ thống máy tính sử dụng hệ điều hành Windows CHƯƠNG TỔNG QUAN VỀ WINDOWS SERVER UPDATE SERVICE 1.1 Giới thiệu Windows Server Update Services (WSUS) Windows Server Update Services (WSUS) có vai trị máy chủ Windows lập lịch, quản lý triển khai cập nhật, vá sửa lỗi nóng cho máy chủ Windows, trạm (OSes) phần mềm khác Microsoft Nó cho phép quản trị viên hệ thống kiểm soát thời gian cách thức hệ thống cài đặt cập nhật là trung tâm cung cấp cập nhật cho máy trạm WSUS thiết kế để sử dụng cho doanh nghiệp vừa nhỏ (SMB) Thường khơng có thêm chi phí để thêm WSUS vào hệ thống mạng máy tính Windows Được cài đặt hệ điều hành Microsoft Windows Server, WSUS công cụ đơn giản mà quản trị viên hệ thống sử dụng để quản lý cập nhật Microsoft Windows WSUS có sẵn Windows Server 2008 R2, 2012, 2012 R2, 2016, 2019 phần Server 2022 Tất hệ điều hành máy trạm hỗ trợ Microsoft sử dụng WSUS, bao gồm Windows 8.1, 10 11 WSUS cho phép tổ chức kiểm soát thời gian cách thức thiết bị Windows nhận cập nhật vá hệ điều hành WSUS cho phép cập nhật tự động với thiết lập thông số cụ thể Nếu WSUS, máy tính windows cài đặt cập nhật phát hành từ Microsoft Điều khiến máy trạm vá lỗi khác nhau, cài đặt vá gây hỏng phần mềm cài đặt thời gian làm việc, gây thời gian làm việc nhân viên Việc sử dụng WSUS giúp người quản trị viên hệ thống có thời gian kiểm tra xem cập nhật có hoạt động tốt với hệ thống mạng họ hay không cho phép họ cài đặt cập nhật khung thời gian quy định để công việc sản xuất không bị ảnh hưởng Ví dụ, tổ chức muốn tránh cài đặt cập nhật cho phận kế toán trình khai thuế Windows Server Update Services cung cấp báo cáo cập nhật Windows tổ chức Quản trị viên hệ thống sử dụng thông tin để biết tất máy trạm cài đặt cập nhật cách xác áp dụng cập nhật giống Điều đảm bảo hệ thống có vá bảo mật xác kịp thời, giảm thiểu lỗ hổng hệ thống mạng Nếu khơng có WSUS, tất máy trạm truy cập trực tiếp vào máy chủ Microsoft để tải xuống cập nhật Trong mạng có nhiều máy trạm hệ thống mạng có băng thơng kém, điều gây tải cho hệ thống Internet ảnh hưởng đến hiệu suất hệ thống WSUS hoạt động máy chủ trung tâm, máy chủ tải xuống cập nhật từ Microsoft tất máy trạm nhận cập nhật từ Cách tiếp cận phù hợp với kết nối mạng LAN tốc độ cao giảm tải cho hệ thống mạng internet Windows Server Update Services không yêu cầu giấy phép bổ sung cho máy chủ Windows Server Khách hàng kết nối với WSUS yêu cầu Giấy phép Truy cập Máy trạm Windows Server (CAL) Bởi hầu hết tổ chức mua Windows Server CAL, WSUS thường khơng phải trả thêm phí 1.2 Cách triển khai hệ thống WSUS WSUS cài đặt Windows Server server role nằm Microsoft Windows Server Manager WSUS cần số thành phần bắt buộc để hoạt động bao gồm NET, Microsoft Report Viewer, Internet Information Viewer, Internet Information Services (IIS) sở liệu Window Internal Database (WID) SQL, tất thành phần có sẵn Window Server Tùy theo kích cỡ hệ thống mạng mà WSUS máy chủ nhiều máy chủ hoạt động Các máy chủ WSUS nhận nơi dung cập nhật cấu hình lẫn Các tổ chức sử dụng WSUS ngắt kết nối với mạng internet, điều giúp cho mạng tổ chức bảo mật mà không bị lộ với mạng internet, đồng thời nhận vá bảo mật thường xuyên kịp thời Hình 1.1 Cài đặt WSUS management console sử dụng PowerCell Triển khai máy chủ WSUS mạng không đủ, máy trạm phải định cấu hình để kết nối với máy chủ WSUS thay tới thẳng máy chủ cập nhật Microsoft Người quản trị viên hệ thống thường cấu hình máy trạm Group Policy, thiết lập thơng qua System Center Configuration Manager (SCCM), Mobile Device Management (MDM) thủ công sử dụng key registry Người quản trị viên đặt cách khách hàng cài đặt cập nhật, họ khởi động lại sau cài đặt cách thông báo cho người dùng cập nhật WSUS yêu cầu vài port mạng mở để hoạt động Máy chủ phải có khả kết nối internet tới máy chủ cập nhật Windows Micorsot cổng 80 443 để nhận gói cập nhật từ Microsoft Các máy trạm kết nối với máy chủ WSUS qua port 8530 8531, thay đổi 1.3 WSUS System Center Configuration Manager Windows Server Update Services sản phẩm tách từ Microsoft System Center Configuration Manager SCCM thực vai trò mà WSUS thực nhiều chức nâng cao WSUS quản lý cập nhật vá lỗi, SCCM cho phép cập nhật, vá lỗi, cài đặt phần mềm, quản trị, cấu hình kiểm tốn WSUS bao gồm Windows Server Trong SCCM sản phẩm trả phí riêng biệt Microsoft CHƯƠNG PHÂN TÍCH THIẾT KẾ HỆ THỐNG WSUS THEO MƠ HÌNH MẠNG CỦA HỌC VIỆN 2.1 Các yêu cầu cần đặt Trước triển khai hệ thống, ta cần đặt mục tiêu vận hành WSUS sau: Đảm bảo máy tính hệ thống ln sẵn sàng để sử dụng Đảm bảo máy tính mạng ln nhận cập nhật bảo mật kịp thời Đảm bảo hệ thống không bị tải triển khai cập nhật Tiết kiệm chi phí triển khai hệ hống 3.2 Đề xuất hệ thống Dựa yêu cầu đặt ban đầu, ta đề xuất mơ hình hệ thống sau: Hình 2.1 Sơ đồ hệ thống Mơ tả hệ thống: Máy chủ WSUS có nhiệm vụ nhận update từ Microsoft Update thông qua máy chủ Proxy Các máy trạm cấu hình thơng qua Group Policy từ Domain Controller nhận update từ WSUS Cấu hình Group Policy cho nhóm máy tính nhận update theo ngày tuần để tránh gây tải cho hệ thống Group Policy cấu hình để máy trạm cài đặt cập nhật sau hành Ngăn chặn người dùng nhận update trực tiếp từ Microsoft CHƯƠNG CÀI ĐẶT WSUS SERVER ROLE Việc cài đặt WSUS Server Role Window Server 2016 tiến hành qua bước sau: Bước Đăng nhập vào máy chủ muốn cài đặt WSUS tài khoản Adminstrator Bước Trong Server Manager, chọn Manage, sau chọn Add roles and features Bước Trên trang Before you begin, chọn Next 10 Tại mục Set the intranet update service for detecting updates Set the intranet statistics server ta nhập tên máy chủ WSUS port 8530 5.2 Cấu hình cập nhật tự động Để máy trạm nhận update cách tự động, ngồi giời hành ta cần cấu hình Configure Automatic Updates 27 Ở mục Configura automatic updating ta lựa chọn Auto download and schedule the install Ở mục Scheduled install day ta lự chọn Every Sunday Ở mục Scheduled install time ta chọn thời gian 21:00 5.3 Cấu hình máy tính tự kiểm tra update Để cấu hình sau khoảng thời gian máy tính nhận update, ta cần Enable lựa chọn Automatic Update detection frequency lựa chọn khoảng thời gian kiểm tra update 28 5.4 Ngăn chặn người dùng tự kiểm tra update Để ngăn người dùng tự kiểm tra update cài đặt, ta cần Enable lựa chọn Remove acces to use all Window Update Features 29 5.5 Cấu hình máy trạm tự cập nhật từ chế độ Hibernation Để máy trạm tự động bật cài đặt update từ chế độ Hibernation ta cần Enable lựa chọn Enabling Windows Update Power Management to automatically wake up system to install scheduled update 30 5.6 Cấu hình ngăn chặn cài đặt update hành Để ngăn qua trình update thời gian làm việc, ta cần Enable tính Turn off auto-restart for updates during active hours lựa chọn khoảng thời gian làm việc 31 32 CHƯƠNG PHÊ DUYỆT CÁC BẢN UPDATE Để phê duyệt update, ta cần truy cập Tools > Windows Server Update Services 6.1 Đồng update từ Microsoft Server Để nhận update tư Microsoft theo sản phẩm mà chọn, ta cần đồng cập nhật từ máy chủ Microsoft 33 6.2 Nhóm máy tính Để nhóm máy tính theo hệ điều hành hay phòng ban, ta lựa chọn Add Computer Goup 34 Nhập tên Goup mong muốn 35 Tại mục Unassigned Computers máy tính chưa thêm vào nhóm nào, lựa chọn Change Member Ship để thêm máy tính vào Group 36 Lựa chọn Group muốn thêm nhấn OK 37 7.3 Phê duyệt update Tại mục Updates, mục All updates – Chứa tất update, Critical Updates – Chứa update quan trọng Security Update – Chứa update liên quan đến bảo mật Để phê duyệt update ta click chuột trái vào phiên update chọn Approve 38 Sau chọn nhóm máy tính muốn cập nhật chọn OK 39 40 TỔNG KẾT Bài báo cáo triển khai hệ thống WSUS để điều phối cập nhật đến máy trạm Học viện kỹ thuật mật mã đồng thời cấu hình Group Policy để cấu hình cập nhật đến máy trạm Do hạn chế thiết bị vật lý phần tìm hiểu chưa triển khai hoàn chỉnh hệ thống toàn ba khu vực hệ thống 41 ... Thơng thường hệ thống máy tính mạng chạy hệ điều hành phổ biến, đề tài tìm hiểu này, ta tập chung vào việc triển khai máy chủ phân phối cập nhật cho hệ thống máy tính sử dụng hệ điều hành Windows. .. nóng cho máy chủ Windows, trạm (OSes) phần mềm khác Microsoft Nó cho phép quản trị viên hệ thống kiểm soát thời gian cách thức hệ thống cài đặt cập nhật là trung tâm cung cấp cập nhật cho máy trạm. .. nhiều máy trạm hệ thống mạng có băng thơng kém, điều gây tải cho hệ thống Internet ảnh hưởng đến hiệu suất hệ thống WSUS hoạt động máy chủ trung tâm, máy chủ tải xuống cập nhật từ Microsoft tất máy