Một trong những phương pháp quantrọng để bảo mật thông tin và dữ liệu là cập nhật thường xuyên các bản vá lỗi hệ điềuhành Windows, các phần mềm của Microsoft trên các PC và ServerVới số
Trang 1TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN &
TRUYỀN THÔNG VIỆT HÀN
Khoa Khoa Học Máy Tính
ĐỒ ÁN CUỐI KỲ MÔN QUẢN TRỊ MẠNG
NGHIÊN CỨU VÀ TRIỂN KHAI
WINDOWS SERVER UPDATE
SERVICES
Đà Nẵng, tháng 11 năm 2021
i
Trang 2TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN &
TRUYỀN THÔNG VIỆT HÀN
Khoa Khoa Học Máy Tính
ĐỒ ÁN CUỐI KỲ MÔN QUẢN TRỊ MẠNG
NGHIÊN CỨU VÀ TRIỂN KHAI
WINDOWS SERVER UPDATE
SERVICES
Đà Nẵng, tháng 11 năm 2021
ii
Trang 3NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN
iii
Trang 4LỜI CẢM ƠN
Em xin trân trọng cảm ơn
Sinh viên,
iv
Trang 5MỤC LỤC
DANH MỤC CÁC TỪ VIẾT TẮT vii
DANH MỤC HÌNH VẼ viii
MỞ ĐẦU 1
1 Giới thiệu: 1
2 Mục tiêu, nhiệm vụ của đề tài 2
CHƯƠNG 1: TỔNG QUAN VỀ MÔ HÌNH WSUS 3
1 Giới thiệu về SUS 3
1.1 Khái niệm 3
1.2 Ý nghĩa của hệ thống 3
2 Giới thiệu về hệ thống WSUS 3
2.1 Khái niệm WSUS .3 2.2 Windows Update trên Client 4
2.3 Cấu trúc WSUS 6
2.4 Ưu điểm và nhược điểm của WSUS 7
3 Yêu cầu hệ thống 8
3.1 Yêu cầu hệ thống 8
3.2 Mô hình 8
CHƯƠNG 2: TỔNG QUAN VỀ WINDOWS SERVER 2016 10
4 Giới thiệu về Windows Server 2016 10
5 Các tính năng vượt trội của Window Server 2016: 10
Chương 2 XÂY DỰNG … 14
1 AAAAA 14
2 BBBBBBB 14
3 Kết chương 3 14
KẾT LUẬN 15
1 Kết quả đạt được 15
2 Hướng nghiên cứu 15
Với những hạn chế và tồn tại nêu trên, hướng nghiên cứu …dự kiến như sau: 15
PHỤ LỤC i
v
Trang 6DANH MỤC CÁC TỪ VIẾT TẮT
vi
Trang 7DANH MỤC HÌNH VẼ
Hình 1.1 aaaaaaa 11
Hình 1.2 bbbbbbbbbbbb 12
Hình 1.3 ccccccccccccccccc 17
Hình 2.1.ddddddd 24
Hình 2.2 eeeeeeeeeee 28
vii
Trang 8MỞ ĐẦU
1 Giới thiệu:
Thông tin và dữ liệu đóng vai trò quan trọng trong hoạt động sản xuất kinhdoanh cũng như sự phát triển của doanh nghiệp Một trong những phương pháp quantrọng để bảo mật thông tin và dữ liệu là cập nhật thường xuyên các bản vá lỗi hệ điềuhành Windows, các phần mềm của Microsoft trên các PC và ServerVới số lượng PC
và Server tại các cơ quan tương đối lớn, việc thực hiện cập nhật (update) các bản válỗi (hotfixes), các bản nâng cấp cho các hệ điều hành, các phần mềm của Microsoft làmột điều đáng được quan tâm Hiện tại, việc cập nhật cho các PC và Server tại các cơquan phần lớn được thực hiện một cách thủ công (từng người dùng thực hiện cập nhậtriêng lẻ) Điều này dẫn đến các vấn đề như sau:
Người dùng không thực hiện cập nhật các bản vá lỗi hoặc thực hiện cập nhật các bản vá lỗi không đầy đủ, dẫn đến nguy cơ bị tấn công vào các lỗ hổng bảo mật
Người quản trị chưa kiểm soát được tình trạng cập nhật các bản vá lỗi, các bảnnâng cấp các hệ điều hành, các ứng dụng Microsoft của người dùng
Mỗi người dùng cập nhật một cách riêng lẻ các chương trình, hệ điều hành của Microsoft sẽ dẫn đến việc tiêu tốn băng thông, đặc biệt là băng thông quốc tế.Trong trường hợp đường truyền Internet bị chậm hoặc gián đoạn sẽ dẫn đến việc cập nhật các hệ điều hành, các chương trình của Microsoft cho PC và Server diễn ra lâu hơn, làm cho PC và Server chạy chậm hơn
Do đó, giải pháp chính là cài đặt một Server trung gian (WSUS Server) thựchiện cập nhật các bản vá lỗi từ Internet về, sau đó các máy PC trong mạng LAN kếtnối đến Server này để cập nhật các bản vá lỗi Sau khi triển khai giải pháp này sẽ đạtđược các mục tiêu sau:
Tất cả các máy tính Client trong mạng LAN đều được cập nhật các bản vá lỗi kịpthời, nâng cao khả năng bảo mật, an toàn cho máy tính người dùng (Client).Thời điểm cập nhật của các Client được đặt lịch phù hợp với hiệu suất hoạt động mạng LAN
Tiết kiệm được băng thông truy cập Internet: trước đây tất cả các Client đều phảitruymcập Internet để cập nhật (mỗi lần cập nhật phải tải về từ vài chục đến
1
Trang 9vài trăm Mega byte dữ liệu), nhưng bây giờ chỉ có 1 Server kết nối Internet để cập nhật online còn các Client thực hiện cập nhật bên trong mạng LAN
2 Mục tiêu, nhiệm vụ của đề tài
Cài đặt WSUS Server thực hiện chức năng tự động cập nhật online các bản vá lỗi, các bản nâng cấp hệ điều hành, các phần mềm của Microsoft để cung cấp cho tất cả các máy tính trong mạng LAN (PC và Server)
Thiết lập các chính sách trên WSUS Server như: thời gian cập nhật các bản vá lỗi từ Microsoft hoặc từ các nguồn khác, loại bản vá được cập nhật (critical, security…), phân nhóm hệ điều hành các máy tính Client,
Thiết lập các chính sách trên Domain Controller để áp đặt các PC và Server trong Domain cập nhật các bản vá (tải và cài đặt) một cách tự động, thời điểm các Client trong mạng LAN thực hiện cập nhật,…
3 Bố cục báo cáo:
Chương 1: Tổng quan về SUS và WSUS Nội dung chương này là giới
thiệu tổng quan về SUS và WSUS, các yêu cầu đặt ra cho hệ thống khi sử dụngWSUS
Chương 2: Tổng quan về Windows Server 2016 Chương này giới thiệu
tổng quan về Windows Server 2016 như: tính năng vượt trội của Windows Server
2008, yêu cầu của hệ thống khi chạy Windows Server 2016, các điểm khác biệtgiữa các phiên bản Windows Server 2016…
Chương 3: Triển khai cài đặt WSUS Nội dung chính chương này sẽ giới
thiệu cụ thể các bước cài đặt hệ thống WSUS và thực hiện một số kịch bản trongquá trình sử dụng hệ thống WSUS
2
Trang 10CHƯƠNG 1: TỔNG QUAN VỀ MÔ HÌNH SUS & WSUS
Nội dung chương trình này, chúng ta sẽ nghiên cứu tổng quan về SUS vàWSUS, hiểu được mục đích của WSUS, cấu hình được WSUS Client, thiết kế cấutrúc WSUS đáp ứng nhu cầu cho doanh nghiệp nhỏ cũng như quy mô lớn và tìm hiểucác công cụ xác định trạng thái cập nhật của các máy tính Client trong mạng
1. Giới thiệu về SUS 1.1 Khái niệm
Hệ thống SUS (Software Update Services) cho phép người dùng cấu hình máychủ của mạng nội bộ tải Windows Updates từ Microsoft, một máy chủ SUS mạng nội
bộ riêng biệt quản lý các bản cập nhật Nếu có bản cập nhật mới từ Microsoft, cácbản cập nhật sẽ được tải về máy chủ SUS mạng nội bộ Trước khi các bản cập nhậtđược Update cho các máy Client, nó phải được phê duyệt bởi quản trị viên
1.2 Ý nghĩa của hệ thống
Triển khai SUS trong hệ thống mạng doanh nghiệp, cho phép người quản trịviên quản lý và phân phối các bản cập nhật – bản vá lỗi của các sản phẩm Microsoftđến các máy tính trong hệ thống Việc này giúp tối ưu băng thông của mạng doanhnghiệp khi chỉ cần Update dữ liệu trên máy Server
Các vòng đời hỗ trợ cho SUS 1.0 SP1 và SUS 1.0 đã hết hạn ngày 10 tháng 07năm 2007 Windows Server Update Services (WSUS), sự kế thừa cho SoftwareUpdate Services (SUS), hỗ trợ cập nhật cho một tập hợp rộng lớn hơn của các sảnphẩm của Microsoft và cung cấp quản lý mạnh mẽ và tính năng báo cáo
2 Giới thiệu về hệ thống WSUS
2.1 Khái niệm WSUS
Windows Server Update Services (WSUS) được phát triển từ dịch vụMicrosoft Update – một dịch vụ trong Windows cho phép tự động download các bảncập nhật Chạy WSUS trên mạng nội bộ và sử dụng nó để phân phối các bản cập nhậtcho các máy tính, sử dụng băng thông hiệu quả và kiểm soát các bản cập nhật trêncác máy Client
Khi chạy WSUS, nó kết nối đến Website Microsoft Update, download các thông tin
về các bản cập nhật mới nhất, sau đó thêm chúng vào danh sách cập nhật để quản trị viênphê chuẩn Sau khi quản trị viên chấp nhận và thiết lập ưu tiên cho các bản cập nhật này,WSUS sẽ tự động cài đặt chúng trên các máy tính cài Windows Dịch vụ
3
Trang 11Windows Update trên các máy tính Client sẽ kiểm tra WSUS Server và tự độngDownload các bản cập nhật từ Server về, cuối cùng là cài đặt các bản cập nhật này.Chúng ta có thể thiết lập WSUS cho đồng thời nhiều Server và có thể mở rộng từdoanh nghiệp nhỏ cho đến doanh nghiệp lớn.
Windows Server 2008 là hệ điều hành Windows Server tân tiến nhất cho đếnthời điểm này, được thiết kế nhằm tăng sức mạnh cho các mạng, ứng dụng và dịch vụWeb thế hệ mới Với Windows Server 2008, chúng ta có thể phát triển, cung cấp vàquản lý các trải nghiệm người dùng và ứng dụng phong phú, mang đến một hạ tầngmạng có tính bảo mật cao và tăng cường hiệu quả về mặt công nghệ và giá trị trongphạm vi tổ chức của mình
Thêm vào tính năng mới, Windows Server 2008 cung cấp nhiều cải thiện tốthơn cho hệ điều hành cơ bản so với Windows Server 2003 Những cải thiện có thểnhìn thấy được gồm có các vấn đề về mạng, các tính năng bảo mật nâng cao, truy cậpứng dụng từ xa, quản lý role máy chủ tập trung, các công cụ kiểm tra độ tin cậy vàhiệu suất, nhóm chuyển đổi dự phòng, sự triển khai và hệ thống file Những cải thiệnnày và rất nhiều cải thiện khác giúp các tổ chức tối đa được tính linh hoạt, khả năngsẵn có và kiểm soát được các máy chủ của họ
2.2 Windows Update trên Client
Windows Update là một thành phần thuộc WUS trên Client có chức năng nhậncác phần mềm, các cài đặt từ WSUS Server, xác nhận bằng chữ ký điện từ hoặc thuậttoán Secure Hash Algorithm (SHA1), thông báo đến người dùng các bản cập nhật vàcài đặt chúng Windows Update cài đặt các bản cập nhật ở thời gian mà chúng ta đãthiết lập và có thể tự động khởi động lại máy nếu cần thiết Nếu ở thời điểm hiện tạimáy tính tắt, các bản cập nhật có thể cài đặt khi các máy tính được bật
Chú ý:
WSUS Client ở các phiên bản Windows trước
Trong Windows XP và Windows 2000, thành phần của WSUS trên Client có tên gọi là Automatic Updates
Vì các thiết bị Windows Update được áp dụng cho tất cả các máy tính trongdoanh nghiệp nên sử dụng Group Policy để thiết lập là phương pháp tốt nhất Thiếtlập Windows Update tại Computer Configuration -> Administrative Templates ->Windows Components -> Windows Update Các thiết lập Windows Update trongGroup Policy gồm:
Do not display “Install Update and Shut Down” option in Shut
4
Trang 12Down Windows dialog box: Cho phép người dùng quản lý tuỳ chọn “Install
Update and Shut Down” hiển thị hộp thoại Shut Down của Windows
Do not adjust option to “Install Update and Shut Down” in Shut Down Windows dialog box: Thay đổi tuỳ chọn Shut Down mặc định Install Updates
and Shut Down khi Windows Update chuẩn bị cài đặt một bản cập nhật
Enabling Windows Update Power Management to automatically wake up the system to install scheduled updates: Nếu nhân viên trong công ty
của người dùng thường có thói quen Shut Down máy tính của họ khi rời khỏivăn phòng Bật thiết lập này để cấu hình máy tính hỗ trợ tự động khởi động vàcài đặt các bản cập nhật ở một thời gian đã được lên lịch Các máy tính sẽ khôngđược bật nết không có bản cập nhật nào để cài đặt Nếu máy tính chạy với nănglượng của pin, máy tính sẽ tự động trở về trạng thái sleep sau 2 phút
Configure Automatic Updates: Xác định những máy tính Client sẽ
được nhận các bản cập nhật bảo mật và các bản Download quan trọng khác từdịch vụ Windows Update Chúng ta có thể sử dụng thiết lập này để cấu hìnhnhắc nhở người dùng cài đặt các bản cập nhật hoặc tự động cài đặt thông quaWindows Update
Specify intranet Microsoft update service location: Xác định WSUS Server
Automatic Updates detectiom frequency: Thiết lập thời gian
Windows Update kiểm tra những bản cập nhật mới Thời gian mặc định từ 17giờ đến 22 giờ
Allow non-administrators to receive update notifications: Thiết
lập cho tất cả người dùng hoặc chỉ có quản trị viên nhận được thông báo cập nhật
Turn on Software Notifications: Thiết lập cho phép chúng ta kiểm
soát người dùng có thể nhận được thông báo về các tính năng của phần mềm từMicrosoft Update
Allow Automatic Updates immediate installation: Thiết lập
Automatic Update tự động cài đặt các bản cập nhật mà không cần phải khởiđộng lại máy tính
Turn on recommended updates via Automatic Updates: Xác định
các máy tính Client cài đặt cả những bản cập nhật cần thiết và bán vá lỗi, bao
5
Trang 13gồm cả cập nhật driver.
No auto-restart with logged on users or scheduled Automatic updates installation: Thiết lập lịch cài đặt, Windows Update chờ người dùng
khởi động máy tính khi họ đăng nhập vào, kể cả tự động khởi động
Re-prompt for restart with scheduled installations: Thiết lập nhắc
nhở người dùng khởi động lại máy tính trong khoảng thời gian nào đó Tuỳchọn vào một số thiết lập, thiết lập này khiến người dùng ngừng việc tự khởiđộng Tuy nhiên, Windows Update sẽ tự động yêu cầu họ khởi động dựa trênthiết lập này
Delay Restart for scheduled installations: Thiết lập thời gian
Windows Update chờ trước khi tự động khởi động lại
Reschedule Automatic Updates scheduled installaton: Thiết lập lần
chờ của Windows Update trước khi tiếp tục theo lịch cài đặt
Enable client-side targeting: thiết lập các nhóm hoặc tên máy tính
sẽ được nhận các bản cập nhật từ dịch vụ Microsoft Update
Allow signed updates from an intranet Microsoft update services location: Thiết lập cho phép cài đặt các bản cập nhật sử dụng chứng thực
2.3 Cấu trúc WSUS
Có ba thành phần chính để triển khai WSUS:
Đầu tiên là thành phần quản lý của Microsoft, Microsoft Update, đâychính là thành phần quản lý và phân phối các nâng cấp đến máy khách củaMicrosoft theo yêu cầu
Thứ hai là bản thân máy chủ WSUS, máy chủ cho phép các quản trịviên chỉ định các nâng cấp nào sẽ được Download từ Microsoft Update và sau
đó được triển khai tới mạng các máy khách
Thành phần cuối cùng là Automatic Update, đây là thành phần đượcxây dựng trong Windows 2000 SP4, Windows XP, Windows Server 2003 vàWindows Server 2008, cho phép các hệ điều hành này có thể Download các bảnnâng cấp từ nguồn được chỉ định
WSUS có thể mở rộng từ doanh nghiệp nhỏ cho đến các doanh nghiệp lớn đa quốc gia Trên thực tế, chúng ta cần sử dụng mỗi WSUS cho một chi nhánh văn phòng
6
Trang 14với hơn 10 máy tính và một WSUS độc lập cho mỗi văn phòng công nghệ thông tin
để kiểm soát cập nhật
Chúng ta cũng không cần có những WSUS Server dự phòng, tuy nhiên chúng
ta cũng cần sao lưu cơ sở dữ liệu của WSUS để có thể khôi phục khi gặp rủi ro
Doanh nghiệp với một văn phòng duy nhất
Nếu doanh nghiệp chỉ có một văn phòng, chúng ta có thể sử dụng một WSUSServer duy nhất mà không cần quan tâm đến số máy tính Client trong doanh nghiệp làbao nhiêu
Doanh nghiệp với nhiều văn phòng
Nếu chúng ta sử dụng một WSUS Server duy nhất để hỗ trợ cho tất cả cácClient ở các văn phòng, mỗi Client sẽ cần phải Download các bản cập nhật thông quakết nối WAN Việc Download có thể tốn vài trăm MB Vì kết nối WAN sẽ làmđường truyền chậm hơn kết nối mạng LAN, Download các bản cập nhật lớn thôngqua WAN sẽ ảnh hưởng không nhỏ đến thời gian và đường truyền Nếu băng thôngcủa chúng ta thấp, các Client sẽ không nhận được các bản cập nhật
Để cho phép các Client nhận các bản cập nhật trong mạng LAN, cấu hình mộtWSUS Server cho mỗi chi nhánh văn phòng và cấu hình WSUS Server để nhận cácbản cập nhật theo một cấu trúc phân cấp từ những Server chính Và với cách làm theomột cấu trúc phân cấp sẽ mang lại cho chúng ta hiệu quả trong việc kết nối thông quaWAN
Để cung cấp các bản cập nhật cho các văn phòng nhỏ không có WSUS Server,chúng ta cần cấu hình các máy tính Client để Download bản cập nhật từ WSUSServer gần nhất Nếu văn phòng của người dùng có đường truyền Internet nhanh,người dùng sẽ cân nhắc là có nên hay không nên triển khai bản sao về WSUS nội bộ
để lưu trữ các bản cập nhật, người dùng có thể cho các Client nhận các bản cập nhậttrực tiếp từ Microsoft
2.4 Ưu điểm và nhược điểm của WSUS
Quản lý tập trung vấn đề cài đặt phần mềm Update trên các máy trạm Giảmthiểu lưu lượng băng thông ra ngoài Internet Nếu không có WSUS thì những công ty
có hàng trăm máy tính và yêu cầu Update trực tiếp thông qua Website của Microsoft
sẽ gây hiện tượng tắc nghẽn và quá tải
Ưu điểm:
Tiết kiệm được nhiều thời gian quản trị
Tăng cường tính bảo mật cho hệ thống các máy trạm
7