Quản lý tình trạng hệ thống là một trong những công việc quan trọng của người quản trị mạng, quản lý việc cập nhật các bản vá lỗi phải được tiến hành liên tục cung cấp cho hệ thống những phiên bản vá lỗi mới nhất của nhà sản xuất không những mang lại hiệu quả bảo mật, mà còn giúp hệ thống hoạt động ổn định hơn rất nhiều.
Nhưng một điều cần phải chú ý rằng đôi khi các bản vá lỗi do nhà cung cấp phần mềm đưa ra thường chậm hơn so với các bản vá lỗi của các hãng bảo mật, một ví dụ như symantec đưa ra 40 bản vá lỗi trong đó có 20 bản cho hệ thống máy Dell chạy Windows XP và hơn 20 bản vá lỗi cho Windows 2000 Service Pack 3 trước khi Microsoft đưa ra các bản vá lỗi chính thức vào mùa hè năm 2003. Và việc cập nhật toàn bộ hệ thống qua Internet là một giải pháp khó thực hiện khi có nhiều máy tính trong hệ thống mạng cần được cập nhật bản vá lỗi ngay. Việc triển khai hệ thống tự cung cấp các bản vá lỗi ngay trong hệ thống mạng là điều cần thiết. Chính vì điều này nên chúng ta cần một dịch vụ phục vụ cho nhu cầu trên và WSUS là 1 giải pháp.
WSUS là viết tắt của Windows Server Update Service . Cho phép chúng ta tạo ra một máy chủ lưu trữ phần mềm cập nhật cho toàn bộ hệ thống các phần mềm của hãng Microsoft từ Windows cho đến các phần mềm Office
8.1. Các chức năng và ưu nhược điểm:
Quản lý tập trung vấn đề cài đặt phần mềm update trên các máy trạm.
Giảm thiểu lưu lượng băng thông ra ngoài Internet. Nếu không có wsus công ty có hàng trăm máy tính và yêu cầu update trực tiếp thông qua Website của Microsoft sẽ gây là hiện tượng tác nghẽn và quá tải.
Ưu điểm: Tiết kiệm được nhiều thời gian quản trị và tăng cường thêm tính bảo mật cho hệ thống các máy trạm.
Nhược điểm : chỉ có ích trong một hệ thống lớn và nhiều máy client. Hệ thống nhỏ cài đặt sẽ gây lãng phí server.
8.2. Các yêu cầu chung khi triển khai WSUS.82.1. Yêu cầu về dung lượng đĩa cứng: 82.1. Yêu cầu về dung lượng đĩa cứng:
Cả partition cài đặt windows và partition cài đặt WSUS phải là NTFS.
Tối thiểu phải có 1 Gb trống cho partition hệ thống.
Tối thiểu phải có 6 Gb trống cho partition cài các bản update cho WSUS recommend là 30 Gb.
Automatic Updates là một thành phần client của WSUS. Automatic Updates không đòi hỏi gì về phần cứng đặc biệt ngoài việc phải được kết nối với network. Ta có thể sử dụng Automatic Updates với WSUS trên bất kỳ máy tính nào chạy các hệ điều hành sau đây:
Microsoft Windows 2000 Professional with Service Pack 3 (SP3) or Service Pack 4 (SP4), Windows 2000 Server with SP3 or SP4, or Windows 2000 Advanced Server with SP3 or SP4.
Microsoft Windows XP Professional, with or without Service Pack 1 or Service Pack 2.
Microsoft Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition;Windows Server 2003, Datacenter Edition; or Windows Server 2003, Web Edition.
* Note:
Để cài đặt được WSUS ta cần thực hiện cài đặt một số chương trình yêu cầu cho WSUS: 1. 2. 3. 4. 5. Cài đặt IIS
Cài đặt Services Pack Cài đặt dotNetFX35setup.exe Cài đặt ReportViewer.exe
Cuối cùng là cài đặt WSUS (ở đây hệ thống chúng ta sẽ cài đặt ver3.0)
8.3. Định hướng và triển khai thực hiện WSUS.
Máy chủ SUS sẽ phân tích các hệ điều hành yêu cầu cập nhật, kiểm tra các bản service pack và cung cấp cho máy client những gói tin cần phải download và cài đặt các phiên bản cập nhật.
8.3.1. Đồng bộ dữ liệu và cung cấp cho hệ thống
Khi bắt đầu việc đồng bộ dữ liệu máy chủ SUS sẽ truy vấn đến máy chủ Windows Update của Microsoft hay các máy chủ SUS khác trong hệ thống mạng và download toàn bộ tài nguyên về các bản vá lỗi hay các service pack cho mỗi sản phẩm và ngôn ngữ mà ta đã cấu hình. Quá trình đồng bộ đó dữ liệu sẽ được truyền khoảng 150 MB cho phiên bản English và 600MB cho mỗi ngôn ngữ khác.
8.3.2. Thiết lập Automated Updates trên máy client
Cài đặt các cập nhật từ Automatic Updates của máy client bằng việc cài đặt các gói MSI. Để cung cấp các gói cập nhật dạng MSI bạn có thể dễ dàng sử dụng Group Policy để cung cấp .
Tạo ra một GPO mới, gán chúng cho các máy tính trong hệ thống mạng của bạn, và nó sẽ được cài đặt một cách tự động.
Có thể cung cấp các gói MSI cho client dưới dạng logon script gán cho gói tin MSI và hệ thống sẽ được thực hiện trước khi người dùng đăng nhập vào hệ thống.
Lên lịch cho quá trình cập nhật cần khác nhau tránh cùng một thời điểm toàn bộ hệ thống yêu cầu đến máy chủ SUS sẽ làm toàn bộ hệ thống mạng của bạn bị tắc nghẽn. (Tuỳ chọn trong phần “Reschedule Automatic Updates Scheduled Installations”)
Tạo ra nhiều GPO với nhiều lịch trình khác nhau cho mỗi OU để đảm bảo hệ thống luôn được đáp ứng tốt nhất.
8.4. Tổng kết WSUS.
Với những tính năng ưu việc về cập nhật và vá lỗi cho hệ thống của WSUS (đã được phân tích phía trên) thì đây là dịch vụ khá tốt để góp phần bảo mật cho hệ thống cty. Do đó nhóm 06PBL152 chúng em đã triển khai hoàn chỉnh dịch vụ này cho đề tài lần này.
9. Triển khai Policy quản lý.
Policy là một cơ cấu giúp ta xác lập cấu hình desktop, permission…một cách tự động và tập trung nhờ những Group Policy Object (GPO). Group Policy Object là những đối tượng thuộc nhóm Policy quản lý, nó có sẽ áp đặt cho cấp user hoặc Computer được chứa trong Site, Domain, Organization Unit (OU).
9.1. Các yêu cầu cần làm trên Group Policy
Triển khai các ứng dụng sau cho tấc cả các phòng ban:
Microsoft Word Microsoft Exel Microsoft PowerPoint Acrobat Reader Các phần mềm khác cho từng phòng ban: Phong kế toán: phần mềm kế toán
Phòng Hành chính – Nhân sự: phần mềm quản lý nhân sự
Phòng Kế hoạch kinh doanh: phần mềm thiết kế mô hình Microsoft Visio Cấu hình GPO áp đặt các chính sách khác như:
Tự động khởi động Internet Explore với trang chủ của công ty khi user đăng nhập vào mạng Không nhìn thấy Properties của My Documents
Không nhìn thấy và không truy cập được ô đĩa C trên máy Local Map máy in local, map ỗ đĩa mạng
9.2. Triển khai các chính sách từ yêu cầu đặt ra
Sử dụng công cụ Group Policy Management để quản lý tập trung các policy có trên hệ thống. Các ứng dụng Word, Exel, PowerPoint được quản lý trong một policy chung và triển khai (liên kết) xuống tấc cả các OU phòng ban.
Các ứng dụng phần mềm chuyên ngành, mỗi phần mềm sẽ được cấu hình deploy trong một Policy
Thực hiện áp đặt các chính sách khác: Mỗi chính sách được cấu hình trong một policy riêng.