Нужны обновления, но сервер изолирован от Интернета? Настройте WSUS на VPS, чтобы централизованно раздавать патчи. Как это сделать, рассказываем в статье.
Введение
Обновлять Windows-серверы, не подключая их к Интернету, серьёзный вызов для администратора. Однако решение есть, и для этого достаточно развернуть локальный сервер обновлений WSUS, который возьмёт загрузку патчей на себя.
В статье рассказали, как установить и настроить Windows Server Update Services на виртуальном сервере для обновления Windows Server в изолированной сети.
Аренда VPS/VDS — от ₽219/месяц
Почему выбирают VPS от AdminVPS:
✓ Дешевле физического сервера
✓ Более гибкий и мощный, чем обычный хостинг
✓ Бесплатная защита от DDoS и техподдержка 24/7
✓ Масштабируется под любые задачи
Виртуальный сервер VPS/VDS — ваш личный сервер для сайтов, магазинов, ботов и других проектов.
Подготовка сервера под WSUS
Для сервера обновлений лучше использовать современную версию Windows Server, например, 2019 или 2022. Перед установкой убедитесь, что эта машина обновлена и имеет стабильное сетевое подключение. Желательно назначить ей статический IP-адрес и ввести в домен AD, это упростит настройку политик для клиентов. Учтите, что WSUS потребует много дискового пространства: выделите под каталог обновлений отдельный диск ёмкостью не менее 500 ГБ. По оперативной памяти рекомендуется минимум 8 ГБ, иначе консоль WSUS может работать медленно в крупной инфраструктуре.
Установка роли WSUS
Установка WSUS выполняется через «Диспетчер серверов» как стандартная роль. Откройте мастер добавления ролей, выберите роль Windows Server Update Services и установите предлагаемые компоненты, включая IIS. На этапе параметров WSUS оставьте тип базы данных по умолчанию (Windows Internal Database), если у вас нет отдельного SQL-сервера. Укажите путь для хранения обновлений, заранее созданную папку на большом диске, только не на системном диске C:! После этого запустите установку роли и дождитесь её завершения. Затем откройте уведомление в Диспетчере серверов и выполните команду «Запустить послеустановочные задачи». Система настроит базу данных WSUS и подготовит сервер к работе.
Первичная настройка WSUS
Откройте консоль WSUS через меню «Администрирование». Мастер настройки сначала предложит участвовать в программе улучшения, можно отказаться. Затем укажите источник обновлений, Microsoft Update или другой WSUS, если сервер не выходит в Интернет. При необходимости введите параметры прокси. Нажмите «Начать подключение», мастер загрузит список категорий обновлений.
Далее выберите языки, чтобы не тянуть всё подряд. Обычно достаточно русского и английского. Отметьте нужные продукты, только то, что реально используете — Windows Server, Office, SQL и так далее. Не забудьте про общие библиотеки, если они применяются.
На шаге классификаций включите важные типы: Security Updates, Critical, Feature Packs, Update Rollups. Автоматическое обновление драйверов лучше отключить. Настройте расписание синхронизации, ежедневно или вручную. Мастер предложит сразу запустить первую синхронизацию, она может занять несколько часов.
После завершения откроется консоль управления. По умолчанию WSUS не устанавливает обновления, администратор сам решает, что и когда ставить. Рекомендуем создать группы, например, «Тест» и «Прод», и сначала ставить патчи на тестовую. Правила автоматического одобрения можно задать позже, но на старте лучше проверять вручную.
Клиенты должны видеть WSUS-сервер. По умолчанию он работает по HTTP на порту 8530, откройте его в файрволе. Для внешнего доступа настройте HTTPS (порт 8531) с сертификатом или используйте VPN, чтобы обновления не ушли не туда. Всё, сервер готов к работе.
Настройка клиентов
Осталось указать самим серверам, что обновления нужно брать не с Интернета, а с вашего WSUS. Проще всего это сделать групповой политикой в домене Active Directory. На контроллере домена создайте или отредактируйте политику, применяемую к нужным серверам. В ней перейдите в «Конфигурацию компьютера» → «Административные шаблоны» → «Компоненты Windows» → «Центр обновления Windows». Включите параметр «Указать местоположение службы обновления Майкрософт в интрасети» и задайте адрес вашего WSUS дважды, в поле для обновлений и в поле для статистики, например, http://wsus.company.local:8530. Там же включите параметр «Автоматическое обновление» и выберите удобный режим установки обновлений. Например, выберите автоматическую загрузку и установку по расписанию или только уведомление администратора. Дополнительно можно активировать параметр «Разрешить целевое распределение компьютеров». Если вы используете группы на WSUS, укажите в настройке имя группы, и после применения этих настроек серверы свяжутся с WSUS и будут получать обновления из локальной сети.
Через некоторое время ваши серверы найдут внутренний сервер обновлений и начнут получать патчи от него, а не через Интернет. Вы можете контролировать процесс через консоль WSUS, там будет видно, какие машины подключились и какие обновления установлены.
WSUS в полностью изолированной сети
Если ваша сеть полностью изолирована и WSUS не имеет доступа к Интернету, обновления всё равно можно доставлять, просто не напрямую, а вручную. Обычно в таких случаях используют два сервера. Один устанавливается в условно открытой зоне, например, в демилитаризованной сети или на временной виртуалке с доступом наружу, а второй уже в закрытом контуре.
На первом сервере разворачивают WSUS и настраивают синхронизацию с Microsoft Update. Он подключается к облачным источникам, загружает список обновлений, скачивает нужные пакеты и сохраняет их в себе. Этот сервер работает как донор, то есть, накапливает всё, что потом нужно будет перенести внутрь периметра.
Когда синхронизация завершена, приходит очередь экспорта. С помощью встроенной утилиты wsusutil.exe выгружаются метаданные, именно они позволяют второму серверу понять, какие обновления у него есть. Выполните на первом сервере команду:
wsusutil export export.xml export.logПосле этого потребуется скопировать и сам каталог с обновлениями, по умолчанию это C:\WSUS\WsusContent. Он содержит десятки, а то и сотни гигабайт файлов, так что заранее подготовьте внешний накопитель подходящего объёма.
На втором, изолированном сервере уже должен быть установлен WSUS. После переноса файлов запустите команду импорта:
wsusutil import export.xml export.logА затем вручную перенесите содержимое каталога WsusContent в соответствующую папку на этом сервере. Уточните путь в настройках WSUS.
В результате закрытый сервер получит как описание обновлений, так и сами файлы. Он сможет раздавать их клиентским компьютерам внутри периметра, не выходя наружу.
Важно: версии WSUS на обоих серверах должны совпадать, иначе импорт не сработает. Лучше разворачивать их из одного установочного образа или проверять номера сборок перед началом переноса.
Обслуживание WSUS и полезные советы
Чтобы WSUS не превратился в тормозящий склад старых патчей, нужно периодически его обслуживать. Раз в несколько месяцев запускайте в консоли задачу «Очистка сервера», она удалит из хранилища устаревшие и изменённые обновления, освободит место и ускорит работу базы данных. Также следите за свободным местом на диске и общей производительностью WSUS. И конечно, не забывайте обновлять и сам Windows Server, на котором работает WSUS. Для этого включите его в группу для получения обновлений или устанавливайте обновления вручную, чтобы сервер обновлений тоже был защищён от уязвимостей.
Заключение
Развёртывание WSUS на отдельном сервере — отличное решение для безопасного управления обновлениями Windows в изолированной инфраструктуре. Потратив немного времени на настройку, вы получите централизованный инструмент, с которым все нужные патчи будут своевременно устанавливаться на серверах под вашим контролем. Даже если ваши системы отрезаны от глобальной сети, вы сможете поддерживать их в актуальном, защищённом состоянии без лишних рисков и усилий.
Читайте в блоге:
- Как защитить сайт на «1С-Битрикс» под Windows Server
- Безопасный Windows Server: защита SMB и RDP на практике
- Контроль доступа к файлам на Windows Server: практическая настройка NTFS и Audit
