Настройка клиентов WSUS с помощью групповых политик

Центр обновления Windows 10 позволяет своевременно загружать update операционной системы с официальных серверов Microsoft. После установки ОС данная служба по умолчанию включена и работает в фоновом режиме. Однако вы можете ее самостоятельно отключить и не получать новые версии. Если вас не волнует загрузка компьютера процессами, связанными с отслеживанием и установкой системных файлов, тогда вы можете включить центр обновлений Windows 10 несколькими способами.

Групповая политика WSUS для серверов Windows

Начнем с описания серверной политики ServerWSUSPolicy.

Настройки групповых политик, отвечающих за работу службы обновлений Windows, находятся в разделе GPO: Computer Configuration -> Policies-> Administrative templates-> Windows Component-> Windows Update (Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows).

В нашей организации мы предполагаем использовать данную политику для установки обновлений WSUS на сервера Windows. Предполагается, что все попадающие под эту политику компьютеры будут отнесены к группе Servers в консоли WSUS. Кроме того, мы хотим запретить автоматическую установку обновлений на серверах при их получении. Клиент WSUS должен просто скачать доступные обновления на диск, отобразить оповещение о наличии новых обновлений в системном трее и ожидать запуска установки администратором (ручной или удаленной с помощью модуля PSWindowsUpdate) для начала установки. Это значит, что продуктивные сервера не будут автоматически устанавливать обновления и перезагружаться без подтверждения администратора (обычно эти работы выполняются системным администратором в рамках ежемесячных плановых регламентных работ). Для реализации такой схемы зададим следующие политики:

  • Configure Automatic Updates (Настройка автоматического обновления): Enable. 3 – Auto download and notify for install (Автоматически загружать обновления и уведомлять об их готовности к установке) – клиент автоматически скачивает новые обновлений и оповещает об их появлении;
  • Specify Intranet Microsoft update service location (Указать размещение службы обновлений Майкрософт в интрасети): Enable.  Set the intranet update service for detecting updates (Укажите службу обновлений в интрасети для поиска обновлений): :8530, Set the intranet statistics server (Укажите сервер статистики в интрасети): :8530 – здесь нужно указать адрес вашего сервера WSUS и сервера статистики (обычно они совпадают);
  • No auto-restart with logged on users for scheduled automatic updates installations (Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователя): Enable – запретить автоматическую перезагрузку при наличии сессии пользователя;
  • Enable client-side targeting(Разрешить клиенту присоединение к целевой группе): Enable. Target group name for this computer (Имя целевой группу для данного компьютера): Servers – в консоли WSUS отнести клиенты к группе Servers.
Читайте также:  Как узнать лицензионный ключ ОС Windows

Примечание. При настройке политики обновления советуем внимательно познакомиться со всеми настройками, доступными в каждой из опций раздела GPO Windows Update и задать подходящие для вашей инфраструктуры и организации параметры.

  • Простая настройка роутера Mikrotik — пошаговое руководство

WSUS Offline Updater

В первую очередь нам нужно скачать последнюю версию WSUS Offline Updater (). На момент написания статьи была доступна версия WSUS Offline Updater 10.7.

WSUS Offline Updater

WSUS Offline Updater – это бесплатная утилита, разработанная для автоматического получения всех обновлений безопасности для определенного продукта Microsoft с сайта Microsoft Update или локального WSUS сервера. Обновления сохраняются в локальную папку и администратор в дальнейшем может установить эти обновления офлайн на изолированных компьютерах, без необходимости подключать их к интернету или локальной сети. Утилита позволяет скачать обновления для всех поддерживаемых версий Windows (Vista,7, 8,10 / Windows Server 2008, 2008 R2, 2012, 2012 R2), пакета Office 2010, 2013 и 2020, .Net Frameworks, C ++ Runtime libraries, базы обновлений Windows Defender, Microsoft Security Essentials и т.д.

WSUS Offline Updater

Скачайте и распакуйте содержимое архива в любой каталог. В моем случае это C:\Distr\wsusoffline.

Запустите исполняемый файл (WSUS Offline Update Generator)

WSUS Offline Updater

Выберите версию Windows, для которой нужно получить список обязательных обновлений безопасности. Например, для Windows 10, нужно выбрать в секции Windows 10 / Server 2020 (w100 / w100-x64) нужную разрядность (x64 Global (multilingual updates) и нажать Start.

WSUS Offline Updater

Утилита получит список доступных обновлений и начнет закачивать файлы, которые еще не были получены. Это означает, что программу можно периодически запускать, чтобы загрузить только последние недостающие обновления, не перезакачивая все пакеты заново. В зависимости от скорости доступа в интернет, на скачивание всех обновлений продукта может занять довольно продолжительное время.

WSUS Offline Updater

Советы.

WSUS Offline Updater
  • В настройках программы можно указать, чтобы обновления загружались н с интернета (сайтов Microsoft Update site), а с локального WSUS сервера.
  • При подключении к интернету через прокси, настройки прокси сервера можно задать, нажав кнопку Proxy
Читайте также:  Как настроить локальную сеть — с выходом в интернет

Все закачанные обновления сохраняются в каталог Client.

WSUS Offline Updater

Для установки обновлений на клиенте используется программа с графическим интерфейсом . В нашем случае GUI не требуется, ведь обновления должны устанавливаться автоматом без взаимодействия с пользователем. В этом случае лучше использовать файл сценария (он в свою очередь запускает скрипт \cmd\). Таким образом, MDT 2013 должен запускать файл при разворачивании Windows 10 на клиенте.

WSUS Offline Updater
  • В каталоге wsus хранится последняя версия агента обновлений Windows (Windows Update Agent)
  • В каталоге w100-x64\glb хранятся сами файлы обновлений для Windows 10 в формате *.cab

WSUS Offline Updater

Плюсы и минусы

Главным преимуществом рассматриваемой утилиты является ее многозадачность. Для того, чтобы загрузить файлы обновления с сервера и перенести их на другой компьютер, не придется использовать дополнительные инструменты. Все можно выполнить одной программой. Из-за этого появляется и ряд недостатков:

  1. Слишком много всяческих настроек, без необходимых знаний, что к чему, не обойтись.
  2. При запуске утилиты некоторые антивирусные программы сигнализируют об угрозе и блокируют работу ряда компонентов. Для этого приходится отключать всю защиту.
  3. Инструмент может работать некорректно на Windows, установленных из сборки. С лицензионными копиями ОС она работает превосходно.
  4. При включенных галочках на чекбоксах Update C++ Runtime Libraries она не полностью загружает все необходимые обновления. Это делать рекомендуется вручную самостоятельно с сайта Microsoft.
  5. Обновления последнего пакета на версиях ОС с ОЕМ не могут быть интегрированы в дистрибутив. Это возможно только в лицензионных версиях. Обладателям же пиратских версий обновиться можно будет только при помощи Wsus Offline Update, чтобы защитить свой компьютер от многочисленных червей.
  6. На фактический момент поддерживаются только Windows Vista с 2007 офисом, а также Win 7/8.1/10 с офисами 2010 и 2013 годов.

Установка обновлений при разворачивании ПК с Windows по сети

Осталось протестировать работу задания развертывания Windows 10 на клиенте (это может быть виртуальная или физическая машина). Включим тестовую машину и запустим загрузку по сети с помощью PXE.

Выберите нужный Task Sequence и дождитесь окончания установки Windows 10. После окончания установки, должно появиться окно с заголовком “Administrator DoUpdate”, в которой будет отображаться процесс установки обновлений безопасности Windows.

Читайте также:  Ошибка 87 в DISM — откуда она берётся и как её исправить

Установка обновлений при разворачивании ПК с Windows по сети

Дождитесь окончания установки и перезагрузите компьютер.

Итак, мы настроили автоматическую установку обновлений безопасности Windows в процессе развёртывания Windows 10 на клиентах с помощью Microsoft Deployment Toolkit и WSUS Offline Updater.

Сторонние программы

Что делать, если настроить автоматическое скачивание никак не получается? Запуск службы не помогает, а находить обходные пути у вас нет времени или знаний? Тогда попробуйте обновить операционную систему с помощью утилиты WSUS Offline Update. Загрузите ее с официального сайта разработчиков по ссылке. На главной странице нажмите на кнопку, отмеченную на скриншоте. Создатели гарантируют полную безопасность для пользователей и их личных данных на ПК. После скачивания проделайте следующую процедуру:

  1. В папке программы откройте файл
  1. Выберите версию вашей ОС: Windows 10 x32 или x64. Чтобы файлы начали загружаться, нажмите «Start».
  1. По окончании загрузки вы увидите на экране журнал со списком всех скачанных файлов. Время загрузки и установки зависит от того, как давно вы не обновляли Windows Теперь необходимо перейти в папку «client» и открыть файл
  1. В окне программы нажмите «Start» для начала установки.

Если WSUS Offline Update начнет зависать или перестанет искать файлы, попробуйте воспользоваться более ранней и стабильной версией программы.

Обновлять операционную систему подобным способом нужно всего один раз, поскольку после установки патча будет проведено устранение неполадок и запущен ЦО по умолчанию.

Настройки консоли

После этого придется заняться настройкой групп терминалов. Рекомендуется создать две категории компьютеров. В одной будут находиться серверы, в другой – обычные рабочие станции. Такая настройка позволит ограничить инсталляцию обновлений на серверы.

Поскольку все видимые в сети терминалы на данный момент находятся в категории неназначенных компьютеров, распределять их по соответствующим группам придется вручную.

На следующем этапе настройка WSUS предполагает создание специальных правил обновления, что делается в разделе автоматического одобрения. Для рабочих станций желательно установить правило автоматического одобрения, а для серверов нужно будет дополнительно отметить еще одну соответствующую строку. Кроме того, именно для серверов не рекомендуется выбирать абсолютно все обновления, поскольку это может привести к сбоям в работе.