Обновление политик безопасности

Information Security Squad

stay tune stay secure

🇸🇭 Использование GPUpdate для обновления параметров групповой политики

После изменения любого параметра групповой политики с помощью локального редактора объекта групповой политики (gpedit.msc) или редактора политики домена (gpmc.msc) новый параметр политики не сразу применяется к пользователю / компьютеру.

Вы можете подождать автоматического обновления объекта групповой политики (до 90 минут) или вы можете обновить и применить политики вручную с помощью команды GPUpdate.

Команда GPUpdate используется для принудительного обновления параметров политики компьютера и / или группы пользователей.

Заметка. Команда secedit/refreshpolicy использовалась в Windows 2000 для ручного обновления групповых политик. В следующих версиях Windows она была заменена утилитой GPUpdate.

Полный синтаксис инструментов gpupdate выглядит следующим образом:

Когда вы запускаете команду gpupdate без параметров, применяются только новые и измененные параметры политики пользователя и компьютера.

Computer Policy update has completed successfully.

User Policy update has completed successfully.

Обновлять политики пользователей или компьютеров можно только с помощью параметра /target. Например,

• gpudate /target:user
• gpupdate /target:computer

Для принудительного обновления параметров групповой политики вы можете использовать команду GPUpdate /force.

В чем разница между GPUpdate и GPUpdate / force?

Команда gpupdate применяет только измененные политики, а команда GPUpdate / force повторно применяет все клиентские политики — как новые, так и старые (независимо от того, были ли они изменены).

В большинстве случаев вам нужно использовать gpupdate для обновления политик на компьютере.

В больших доменах Active Directory частое использование параметра / force при обновлении объектов групповой политики создает большую нагрузку на контроллеры домена (поскольку компьютеры повторно запрашивают все политики, нацеленные на них или пользователей).

Как мы уже говорили ранее, групповые политики обновляются автоматически каждые 90 минут или во время запуска компьютера.

Поэтому в большинстве случаев не следует использовать команду gpupdate / force (особенно в различных сценариях) из-за высокой нагрузки на клиентские компьютеры и контроллеры домена.

Вы можете добавить задержку (до 600 секунд) перед обновлением политик с помощью параметра / wait:

Поскольку некоторые пользовательские политики не могут быть обновлены в фоновом режиме, а только при входе пользователя в систему (установка программ, перенаправление папок и т. д.), вы можете выйти из системы для текущего пользователя с помощью команды:

Некоторые параметры политики компьютера могут применяться только при запуске, поэтому вы можете запустить перезагрузку компьютера с помощью параметра /Boot:

Параметр /Sync указывает, что следующее приложение политики должно выполняться синхронно.

Активное применение политики происходит, когда компьютер перезагружается или когда пользователь входит в систему.

Командлет Invoke-GPUpdate был добавлен в PowerShell 3.0, который можно использовать для обновления политик на удаленных компьютерах.

Например, следующая команда запустит обновление удаленной групповой политики на компьютере ПК1:

Вы можете принудительно обновить политику на всех компьютерах в указанном подразделении Active Directory, используя команды:

Управление обновлением и применением параметров безопасности в групповой политике

Не вызывает сомнения тот факт, что групповая политика (Group Policy) в Active Directory является самым эффективным и наиболее логичным способом настройки и поддержания безопасности для всех контроллеров домена, серверов и настольных компьютеров. Вопрос возникает по поводу того, как поддерживать и управлять применением параметров безопасности, а также о том, как обновлять параметры, которые вы задаете в объекте групповой политики (GPO)? Существует много способов контролирования того, как обновлять и управлять параметрами безопасности, некоторые из которых уже есть у вас в сети, и которые вы можете настраивать, если хотите двигаться по этому пути. В этой статье будут рассмотрены некоторые способы, которые доступны для управления тем, как обновлять и применять параметры безопасности в групповой политике.

Какие параметры относятся к параметрам безопасности?

Чтобы убедиться, что мы все открыли одну и ту же страницу, я хочу убедиться, что все точно знают, что входит в «параметры безопасности» в объекте групповой политики. Если вы откроете стандартный GPO на компьютере Windows Server 2008, вам нужно будет развернуть вкладки Конфигурация компьютера | Политики | Параметры Windows | Параметры безопасности, чтобы посмотреть все параметры, связанные с безопасностью, о которых я буду говорить в этой статье (есть несколько параметров, расположенных в Конфигурации пользователя | Политики | Параметры Windows | Параметры безопасности, но они не часто используются, однако тоже относятся к этой категории), как показано на рисунке 1.

Рисунок 1: Параметры безопасности в стандартном объекте групповой политики

Причина, по которой все эти параметры относятся к данной категории, кроется в том, что они управляются расширением безопасности клиентской стороны (Security Client Side Extension — CSE). Мы увидим, что безопасностью CSE можно управлять отдельно с других CSEs, и что она ведет себя немного по-другому.

Обновление вручную

Групповая политика имеет автоматическое фоновое обновление, но в некоторых случаях интервалы слишком велики для параметров, которые вы хотите применить. В этом случае обновление групповой политики можно инициировать простой командной, которая очень полезна во времена, когда вы тестируете или хотите задать параметры на компьютере немедленно. Чтобы обновить групповую политику (которая будет включать параметры безопасности), вам нужно будет запустить GPUPDATE в интерпретаторе команд. Для компьютеров, входящих в домен, она применит все новые параметры из всех объектов групповой политики в локальной директории и Active Directory.

Если вы НЕ вносили никаких изменений в GPO, содержащий ваши параметры безопасности, но все же хотите применить параметры вручную, вы можете использовать переключатель /force с командой GPUPDATE. Этот переключатель в принудительном порядке обеспечит применение всех параметров GPO без учета номера версии GPO или обновлений в GPO. Он просто повторно применит все параметры, содержащиеся во всех GPOs.

Заметка: Если вы хотите использовать ручное обновление для применения параметров безопасности (или каких-либо других параметров) из центрального расположения, можете использовать GPUPDATE от Special Operations Software (www.specopssoft.com). Да, кстати…она бесплатна!

Автоматическое фоновое обновление

Групповая политика имеет отличную функцию, которая постоянно применена в фоновом режиме, пользователям при этом не нужно выходить из системы и входить снова, а компьютер не нужно перезагружать. По умолчанию фоновое обновление происходит примерно каждые полтора часа. Это базовое время фонового обновления, с получасовым смещением. Это автоматическое фоновое обновление управляется параметрами GPO во вкладке Конфигурация компьютера | Политики | Шаблоны администрирования | Система | Групповая политика. Параметры, которые вам нужно настроить, чтобы изменить стандартный параметр фонового обновления – это интервал обновления групповой политики для компьютера, как показано на рисунке 2.

Рисунок 2: Обновление групповой политики можно изменить с помощью этого параметра политики

Я показываю вам этот параметр не потому, что его можно изменять здесь. Существует несколько довольно веских причин не делать этого. Во-первых, каждые девяносто минут вполне достаточный параметр для обновлений групповой политики. Во-вторых, если вы измените интервал обновления, он повлияет на все CSE, а не только на параметры безопасности. Это может вызвать серьезные проблемы с производительностью всех компьютеров в сети, что, конечно, совсем не является желаемым результатом!

Однако вы можете сделать следующее относительно параметров безопасности во время фонового обновления, вы можете убедиться, что они применяются каждый раз. Это необязательно в силу поведения параметров безопасности с другим интервалом (смотреть следующий раздел), однако, если у вас возникла ситуация, в которой пользователи были настроены в качестве администраторов собственных компьютеров, не такая уж плохая мысль в принудительном порядке обеспечивать применение всех параметров безопасности при каждом фоновом обновлении групповой политики. Чтобы задать этот параметр для параметров безопасности в GPO, перейдите по вкладкам Конфигурация компьютера | Политики | Административные шаблоны | Система | Групповая политика. Там вы найдете политику под названием Обработка политики безопасности, которая показана на рисунке 3.

Рисунок 3: Параметры безопасности можно принудительно применять при каждом применении GPO

Выбирая обработку, даже если объекты групповой политики не изменились, вы лишь сможете запустить принудительное применение параметров безопасности каждый раз, а не для каждого CSE.

>’Уникальное’ фоновое обновление параметров безопасности

Имея более 30 CSE, GPO постоянно выполняет свою работу в вашей сети. Однако один CSE, который уникален, это CSE параметров безопасности. Этот CSE ведет себя подобно остальным CSE, за исключением того факта, что каждые 16 часов параметр безопасности CSE применяет все параметры во всех GPO независимо от наличия или отсутствия изменений в GPO. В других CSE в ситуации отсутствия изменений параметров GPO, параметры GPO не применяются повторно.

Это отличная функция и ее можно изменять. В отличие от других параметров, которые я показывал вам в этой статье, этот параметр НЕ относится к параметрам GPO. Он скорее является параметром реестра. Если вы хотите изменить этот параметр самостоятельно, вы можете сделать это, изменив MaxNoGPOListChangesInterval, который расположен в системном реестре:

HKLM Software | Microsoft | Windows NT | CurrentVersion | Winlogon GPExtensions |

(Заметка: Эта длинная строка цифр является GUID для безопасности CSE.) Вы можете посмотреть этот путь в параметрах интервала ключа на рисунке 4.

Рисунок 4: Параметры безопасности CSE реестра, включая значение MaxNoGPOListChangesInterval

Заметка: MaxNoGPOListChangesInterval значение реестра является вводом DWORD значения и имеет элементы минут. Если вы хотите задать это значение на 16 часов, это будет 960 минут в реестре.

Резюме

Если безопасность является важной для вашей организации, и вы используете групповую политику для применения безопасности, вы можете получить дополнительное управление над тем, как групповая политика обеспечивает параметры безопасности. У вас есть множество опций для принуждения и управления обновлениями, и даже обеспечения целостности параметров безопасности со временем в групповой политике. Существуют ручные способы, которыми можно управлять на целевом компьютере, а также решения, которые интегрируются непосредственно в Active Directory Users and Computers инструменты для управления обновлениями групповой политики из центрального места, как например Specops. Если вы хотите, чтобы ваши параметры безопасности обновлялись при каждом фоновом обновлении, вы можете задать CSE параметры для обеспечения этого. Наконец, вы можете изменять периоды специальных фоновых обновлений параметров безопасности, которые по умолчанию происходят каждые 16 часов. Благодаря всем этим элементам управления, ваша безопасность на серверах и машинах будет постоянно в действии, а также будет соответствовать вашим требованиям постоянно.

Отменяем действие групповых политик на локальном компьютере

Групповые политики — это основной инструмент управления пользователями в домене. С их помощью администратор может настраивать практически любые параметры рабочей среды пользователя. Все, начиная от запрета на запуск определенных программ и заканчивая рисунком на рабочем столе можно задать через групповые политики. Управление политиками осуществляется на уровне домена и только члены группы администраторов домена или предприятия имеют к ним доступ.

А можно ли отменить действие групповых политик на компьютере, не будучи при этом администратором домена? Сегодня мы попробуем это выяснить. В качестве подопытного возьмем компьютер с установленной на нем Windows 7, являющийся членом домена. Все действия будем проводить под обычной учетной записью, не имеющей в домене никаких административных полномочий.

За применение групповых политик на локальном компьютере в Windows 7 отвечает служба Group Policy Client (gpsvc). Ее состояние можно посмотреть прямо в Диспетчере задач, на вкладке Службы.

Или в оснастке Службы (Services).

gpsvc в оснастке Services

Первое что приходит в голову — просто остановить службу и установить режим запуска в Disabled. Но не все так просто, как кажется. Служба gpsvc запускается от имени локальной системы, и не остановить, не изменить параметры запуска ее из графической оснастки мы не сможем.

свойства gpsvc

Как вариант можно с помощью утилиты psexec запустить командную консоль от имени системы и затем остановить службу командой net stop gpsvc

останавливаем gpsvc из командной строки

Но решение это временное. Хотя служба и остановлена, изменить параметры ее запуска мы все равно не сможем, и при следующей перезагрузке она будет запущена. Чтобы изменить режим запуска службы нам потребуется правка реестра.

Настройки службы находятся в разделе HKLMSYSTEMCurrentControlSetServicesg psvc. По умолчанию изменение параметров этого раздела запрещено, так что прежде чем приступать к его редактированию, нам необходимо получить на это права. Кликаем правой клавишей мыши на разделе и выбираем пункт «Разрешения».

меняем разрешения gpsvc в реестре

Первым делом нам надо изменить владельца раздела. Для этого идем в дополнительные параметры безопасности и выбираем владельцем свою учетную запись.

изменение владельца раздела реестра gpsvc

После чего даем себе полные права и, на всякий случай, удаляем всех из списка доступа.

редактируем список доступа раздела реестра

Теперь можно вернуться к настройкам службы. За режим запуска отвечает параметр Start. По умолчанию он равен 2, что означает режим запуска Авто. Для отключения службы ставим 4.

настраиваем режим запуска службы gpsvc

И еще. Отключив таким образом службу клиента групповой политики, вы периодически будете получать в трее уведомления о недоступности службы Windows.

сообщение о недоступности службы

Чтобы этого избежать, можно удалить (предварительно сохранив) раздел реестра HKLMSYSTEMCurrentControlSetControlWi nlogonNotificationsComponentsGPClient

отключаем уведомления о недоступности службы gpsvc

Таким вот нехитрым способом можно отключить действие групповых политик. При этом совсем не обязательно обладать административными правами в домене, достаточно лишь входить в группу локальных администраторов на компьютере. Правда такой номер может пройти только на компьютерах с Windows 7 или Vista. В более ранних ОС службы gpsvc нет, а за применение групповых политик отвечает служба Winlogon.

Да, чуть не забыл. Все действия, описанные в статье, я проводил исключительно в познавательных целях 🙂 Делать подобное в сети предприятия крайне не рекомендуется, кое где за это могут и уволить. И перед любым вмешательством в реестр обязательно делайте его резервную копию, чтобы в случае чего оперативно откатить изменения.

Решение:
. отсутствие некоторых ключей реестра.

1. Грузимся под администратором, WIN+R, regedit.exe
2. идем по пути HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndows NTCurrentVersionSvchost
3. создаем REG_MULTI_SZ с названием GPSvcGroup и параметром GPSvc
4. создаем в HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndows NTCurrentVersionSvchost раздел GPSvcGroup. В разделе GPSvcGroup создаем еще два параметра:
5. DWORD(32 бита) название AuthenticationCapabilities значение 0x00003020 (12320)
6. DWORD(32 бита) название CoInitializeSecurityParam значение 0x00000001 (1)
7. Перезагружаемся.

PS на всякий случай вот содержимое reg файла:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftW indows NTCurrentVersionSvchost]
«GPSvcGroup»=hex(7):47,00,50,00,53,0 0,76,00,63,00,00,00,00,00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftW indows NTCurrentVersionSvchostGPSvcGroup]
«AuthenticationCapabilities»=dword:00003 020
«CoInitializeSecurityParam»=dword:000000 01

Основы работы с редактором локальной групповой политики в ОС Windows 10

Групповые политики — это параметры, управляющие функционированием системы. Групповая политика упрощает администрирование, предоставляя администраторам централизованный контроль над привилегиями, правами и возможностями пользователей и компьютеров.

Изменять групповые политики можно с помощью Редактора локальной групповой политики.

В редакциях операционной системы Windows 7 Starter, Home Basic и Home Premium редактор локальной групповой политики недоступен. Также он недоступен в редакциях Home Windows 8 и 10.

Групповые политики в Windows 10 позволяют управлять различными штатными средствами системы:

1. Политики для настройки встроенного брандмауэра Windows;
2. Политики для управления электропитанием;
3. Политики для настройки панели управления, панели задач и др.
4. Политики для настройки антивирусной защиты;
5. Политики для управления подключаемых устройств;
6. Политики для настройки штатных средств шифрования
7. Политики для настройки штатного браузера;
8. Политики для настройки беспроводных сетей и многое многое другое.

Для настройки параметров в операционной системе MS Windows 10 используется оснастка Редактор локальной групповой политики. Данная оснастка служит для просмотра и редактирования объектов групповой политики (Group Policy Object, GPO), в которых хранятся параметры локальных политик для компьютера и пользователей.

Оснастку Редактор объектов групповой политики можно запустить, например, введя в окне Выполнить, либо в поисковой строке gpedit.msc.

Рис.1 Окно Выполнить

Оснастка Локальная политика безопасности входит в состав оснастки Редактор

Для удобства можно добавить ярлык оснастки на рабочий стол. Для этого необходимо открыть C:WindowsSystem32 , выбрать правой клавишей мыши gpedit и отправить ярлык на рабочий стол.

Рис.2 Создание ярлыка для оснастки Редактор локальной групповой политики

Чтобы работать с объектами локальной групповой политики, необходимо войти в систему с учетной записью администратора.

Содержание

Структура редактора групповой политики

Оснастка Редактор локальной групповой политики позволяет изменять политики, распространяющиеся как на компьютеры, так и на пользователей.

В панели пространства имен оснастки Редактор локальной групповой политики представлено два узла: Конфигурация компьютера и Конфигурация пользователя.

Узел Конфигурация компьютера содержит параметры политик, определяющих работу компьютера. Эти политики регулируют функционирование операционной системы, определяют права пользователей в системе, работу системных служб и средств безопасности и т. д.

Узел Конфигурация пользователя содержит параметры политик, определяющих работу пользователей.

Рис.3 Редактор локальной групповой политики

Изменение в групповых политиках по умолчанию в операционной системе Windows применяются через полтора часа (90 мин.). За данную настройку опять же отвечает отдельная политика. Частота обновления определяется политикой Интервал обновления групповой политики для компьютеров, которая расположена в узле Конфигурация компьютера > Административные шаблоны > Система > Групповая политика. Интервал указывается в минутах и определяет, как часто компьютер будет предпринимать попытку обновления политик. Рационально уменьшать интервал обновления групповой политики при частом применении изменений.

Рис.4 Настройка частоты обновления политик

Рис.5 Настройка частоты обновления политик

Если необходимо чтобы изменения групповых политик вступили в силу немедленно, можно принудительно применить измененные параметры, которые были внесены в редакторе локальной групповой политики несколькими способами:

• осуществить перезагрузку операционной системы
• использовать утилиту gpupdate.exe для принудительного обновления групповой политики. Для этого необходимо либо в окне Выполнить, либо в командной строке ввести gpupdate /force и нажать ОК.

Рис.6 Обновление политик в командной строке

С использованием параметра /target можно указать, будет ли это обновление параметров применяться только для пользователя или только для компьютера. Если не указано, обновляются параметры обеих политик.

Например, для выполнения обновления политик для пользователя, необходимо ввести gpupdate /target:user .

Рис.7 Обновление политик для пользователя в командной строке

Пример последовательности действий при редактировании определенной политики

Чтобы на примере рассмотреть настройку политик, в данной статье будет описан механизм скрытия всех апплетов Панели управления, кроме определенных. При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя большую часть апплетов Панели управления, оставив только необходимые. Для этого:

• Войти в систему под учетной записью администратора.
• Запустить Редактор локальной групповой политики
  • Открыть окно Выполнить,
  • Ввести gpedit.msc,
  • Нажать Enter.
• Последовательно развернуть элементы Конфигурация пользователя >Административные шаблоны >Панель управления в окне Редактора локальной групповой политики.

Рис.8 Редактирование параметра политики Отображать только указанные объекты панели управления

• Дважды щелкнуть ЛКМ по параметру политики Отображать только указанные объекты панели управления.
• Выбрать значение Включено.

Рис.9 Редактирование параметра политики Отображать только указанные объекты панели управления

• Нажать кнопку Показать, чтобы вызвать диалоговое окно Вывод содержания.
• Ввести имя апплета или апплетов, которые необходимо показывать в Панели управления, и нажать Enter.

Рис.10 Список разрешенных элементов панели управления

• Нажать OK.
• Закрыть редактор локальной групповой политики
• Проверить результат

Для некоторых политик, чтобы изменения вступили в силу сразу, необходимо в окне Выполнить ввести gpupdate /force .

Рис.11 Список элементов панели управления до изменения параметра локальной групповой политики

Рис.12 Список элементов панели управления после изменения параметра локальной групповой политики

Изменения, которые вносятся через редактор локальной групповой политики, будут применены для всех учетных записей, зарегистрированных в системе, включая учетную запись администратора, который инициировал изменения.

Чтобы настраивать политики для конкретных пользователей, в операционной системе Windows применяется многоуровневая локальная групповая политика:

• стандартная локальная групповая политика, позволяющая изменять системные и пользовательские настройки, которые будут применены для всех пользователей операционной системы;
• групповая политика для администраторов и не администраторов. Эта групповая политика содержит только конфигурационные параметры пользователя и применяется в зависимости от того, является ли используемая учетная запись пользователя членом локальной группы Администраторы или нет;
• групповая политика для конкретного пользователя. Эта групповая политика содержит только конфигурационные параметры конкретного пользователя

Последовательность действий при добавлении объектов групповой политики через консоль управления (Microsoft Management Console, MMC)

Добавление объекта групповой политики первого уровня

• В окне Выполнить ввести MMC и нажать Enter
• Открыть меню Файл и выбрать опцию Добавить или удалить оснастку

Рис.13 Добавление оснастки через консоль управления

• Найти и выделить Редактор объектов групповой политики и нажать кнопку Добавить

Рис.14 Диалоговое окно Добавление и удаление оснасток

• В открывшемся мастере групповой политики в поле Объект групповой политики оставить по умолчанию Локальный компьютер (первый уровень, стандартная локальная политика) и нажать кнопку Готово.

Рис.15 Диалоговое окно выбора объекта групповой политики

Добавление объекта групповой политики второго уровня

• В окне Добавление и удаление оснасток добавить новую оснастку Редактор объектов групповой политики.
• В мастере групповой политики в поле Объект групповой политики нажать кнопку Обзор.
• На вкладке Пользователи выбрать Администраторы и нажать кнопку ОК и Готово

Рис.16 Настройка объекта групповой политики второго уровня

Добавление объекта групповой политики третьего уровня

• В окне Добавление и удаление оснасток добавить новую оснастку Редактор объектов групповой политики.
• В мастере групповой политики в поле Объект групповой политики нажать кнопку Обзор.
• На вкладке Пользователи выбрать нужную учетную запись.
• Нажать ОК, чтобы закрыть диалоговое окно Добавление и удаление оснасток.

Рис.17 Консоль управления

• Для удобства, используя команды в главном меню Файл >Сохранить как, сохранить файл консоли управления на рабочем столе для последующего редактирования политик.

Теперь, используя данную консоль, можно настраивать политики для определенных пользователей.

Настройка клиентов WSUS групповыми политиками

Итак, подразумевается что у Вас имеется установленный Wsus сервер, Групповые политики Active Directory (далее GPO) позволяют системным администраторам автоматически указать клиентов в различные группы WSUS сервера, избавляя от необходимости ручного перемещения компьютеров между группами в WSUS консоли. Такое назначение клиентов к различным группам основывается на основе меток на клиенте, такие метки задаются политикой или простой модификацией реестра. Данный тип соотнесения клиентов к группам WSUS называется Таргетинг на стороне клиента (client side targeting).

Обычно используются две различные политики обновления: для рабочих станций (workstations) и для серверов (Servers). Сначала указываем правило группировки клиентских компьютеров в WSUS консоли. По умолчанию в консоли компьютеры распределяются по группам вручную (server side targeting). Укажем, что клиенты распределяются в группы на основе client side targeting (групповых политик или параметров реестра). Для этого в WSUS консоли перейдите в раздел Options откройте параметр Computers и замените значение на Use Group Policy or registry setting on computers (Использовать групповые политики или значения в реестре, см скрин).

После этого начнем непосредственную настройку клиентов WSUS с помощью групповых политик (GPO). Откройте консоль управления групповыми политиками (Group Policy Management) и создайте две новые групповые политики: ServerWSUSPolicy и WorkstationWSUSPolicy.

Групповая политика установки обновлений WSUS для рабочих станций (WorkstationWSUSPolicy)

Логика политики интуитивно понятна, в нашем случаем мы планируем устанавливать обновления автоматически ночью после их получения. Клиенты после установки обновлений перезагружаются автоматически (предупреждая пользователя за 10 минут). Открываем консоль редактирования GPO (gpmc.msc), переходим в Настройки групповых политик: Конфигурация компьютера -> Политика -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows (Computer Configuration -> Policies-> Administrative templates-> Windows Component-> Windows Update)

В политике указываем:

• Allow Automatic Updates immediate installation:Disabled — запрещаем немедленную установку обновлений при их получении
• Allow non-administrators to receive update notifications:Enabled — отображать пользователям предупреждение о появлении новых обновлений и разрешить их ручную установку
• Configure Automatic Updates:Enabled. Configure automatic updating:4 — Auto download and schedule the install.Scheduled install day:0 — Every day. Scheduled install time: 03:00 – клиентский ПК скачивает новые обновления и планирует их автоматическую установку на 3:00 утра
• Target group name for this computer:Workstations – в консоли WSUS отнести клиентов к группе Workstations
• No auto-restart with logged on users for scheduled automatic updates installations:Disabled — система автоматически перезагрузится через 10 минут после окончания установки обновлений
• Specify Intranet Microsoft update service location: Enable. Set the intranet update service for detecting updates:http://wsus:8530, Set the intranet statistics server:http://wsus:8530 –адрес корпоративного WSUS сервера

Если Вы указываете адрес http://wsus, убедитесь что данный адрес разрешается ДНС (ping wsus), если нет то добавите адрес в ДНС сервер.

Групповая политика установки обновлений WSUS для серверов (ServerWSUSPolicy)

Напоминаем, что настройки групповых политик отвечающих за работу службы обновлений Windows находятся в разделе GPO: Computer Configuration -> Policies-> Administrative templates-> Windows Component-> Windows Update (Конфигурация компьютера -> Политика -> Административные шаблоны -> Компоненты Windows -> Центр обновления Window).

Данная политика предназначена для серверов, доступность которых нам нужна непрерывная, по крайней мере в рабочее время. Для этого мы запрещаем автоматическую установку обновлений на целевых серверах при их получении. Предпологается, что клиент WSUS сервера должен просто скачать доступные обновления, после чего отобразить оповещение и ожидать подтверждения системного администратора для начала его установки .Таким образом мы гарантируем, что боевые сервера не будут автоматически устанавливать обновления и перезагружаться без контроля администратора.

В политике указываем:

• Не отображать параметр «Установить обновления и завершить работу» — Отключена. (Если данный параметр отключен, то уведомление при завершении работы появиться)
• Всегда автоматически перезагружаться в запланированное время — Отключена. (Если не настроить данный параметр политики, то Центр обновления не меняет стандартные правила перезагрузки)
• Указать размещение службы обновлений Microsoft во внутренней сети: Включена. Один из ключевых параметров: – задаем адрес локального WSUS сервера и сервера статистики (обычно они совпадают), http://wsus:8530.
• Разрешить клиенту присоединение к целевой группе. — Включена.

Совет. Рекомендуем в обоих политиках настроить принудительный запуск службы обновлений (wuauserv) на клиенте, чтобы быть уверенным что обновления дойдут до целевого сервера. Для этого в разделе Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services (в русской локализации: Конфигурация компьютера -> Политики ->Параметры безопасности->Системные службы), найдите службу Центр обновления Windows (wuauserv) и задайте для нее тип запуска «Автоматически».

Назначаем политику WSUS на OU (контейнер) в Active Directory

Далее назначим стандартным способом политику на имеющиеся у нас контейнеры, в нашем случае это два контейнера для рабочих станций (workstations) и для серверов (Servers). В данном примере мы рассматриваем самый простой вариант привязки политик WSUS к компьютерам. В реальных условиях можно распространить одну политику WSUS на всех доменах (GPO привязывается к корню домена) или разнести различных клиентов на разные контейнеры. Для больших и распределенных сетей стоит привязывать различные WSUS сервера к сайтам AD, или же назначать GPO на основании фильтров WMI, или скомбинировать перечисленные выше способы.

Чтобы привязать созданную политику к контейнеру запустите оснастку редактирования групповых политик (gpmc.msc), нажмите правой кнопкой на контейнер -> Привязать существующий обьект групповой политики, и указать контейнер с серверами, в нашем примере сервера в контейнере Servers. Также это можно сделать перетащив групповую политику drag&drop в контейнер, автоматически создастся ссылка на политику (черная стрелка), что означает политика привязана к контейнеру. Далее нажмите на контейнере правой кнопкой и -> обновление групповой политики.

Для ускорения получения политики на клиенте можно выполнить команду: gpupdate /force, данная команда инициирует немедленное применение групповой политики.

И через небольшой промежуток времени можно проверить клиентов на наличие всплывающего оповещений о наличии новых обновлений. В WSUS консоли в соответствующих группах должны появиться клиенты (в таблице отображается имя клиента, IP, ОС, процент их «обновленности» и дата последнего обновлений статуса).

Для управления Windows Server Update Services (WSUS) и службой Wuauclt имеется ряд команд, самые распространенные из них:

/DetectNow — поиск обновлений

/ResetAuthorization — запрос на обновление авторизации

runas /user:admin «wuauclt /detectnow» — поиск обновлений под определенным пользователем