Настройка WSUS — [3] часть

Данная статья обновлена 07 августа 2020 года

[1] часть — Установка роли WSUS на Windows Server 2016 
[2] часть — Конфигурирование WSUS
[3] часть — Настройка WSUS
[4] часть — Траблшутинг WSUS

Установка Microsoft Report Viewer

Открываем консоль Windows Server Update Services, в разделе Reports выбираем любой из пунктов и видим сообщение что необходима установка Microsoft Report Viewer

Переходим по ссылке и скачиваем

Запускаем инсталляцию ReportViever и получаем следующее сообщение.

Установка Microsoft System CLR Types for SQL Server
Скачиваем и устанавливаем

После установки SQLSysClrTypes.msi, повторим установку ReportViever

Если после установки при нажатии на репорт ошибка осталась,
закройте консоль WSUS и откройте заново.

Теперь при нажатии на любой из репортов должно открываться новое окно, для проверки открываем Update Status Summary

Настройка WSUS

Открываем раздел Options.
Здесь можно изменить те данные, которые вносились при первичной настройке WSUS, либо запустить настройку заново.

Открываем Update files and Languages и задаем скачивание обновлений после утверждения.
Тем самым с Microsoft не будут загружаться не нужные обновления и захламлять место на диске. Минус данного способа в том, что если пользователь ПК решил обновить свой Windows, а обновления еще не были утверждены и закачены на сервер, то это вызовет ошибку в обновлении на ПК пользователя.

Если галочка убрана, то все обновления нужные и не нужные после синхронизации с Microsoft будут загружаться на сервер.

Что следует понимать под не нужными обновлениями. Предположим вы не давно обновили версию Windows на Windows 10 и на всех компьютерах у вас версия 1909. Соответственно обновления для всех остальных версий вам не нужны. 

Определить  версию операционной системы Windows
В командной строке выполним systeminfo, получаем:
Windows 10 (2004) 19041.423
Windows 10 (1909) 18363.997 
Windows 10 (1903) 18362.997 
Windows 10 (1809) 10.0.17763
Windows 10 (1803) 10.0.17134
Windows 10 (1709) 10.0.16299
Windows 10 (1703) 10.0.15063
Windows 10 (1607) 10.0.14393
Windows 10 (1511) 10.0.10586
Windows 10        10.0.10240
Windows Server 2016 (Long-Term Servicing Channel) 1607 14393.0

Классификация обновлений

На этом этапе мы разделим обновления по классификации.
Выбираем Updates и правой кнопкой, выбираем New Update View.

1. Устанавливаем галочки
2. Выбираем классификацию обновления
3. Выбираем продукт
4. Задаем имя.

В нашем примере мы создаем более мелкие классификации обновлений.

Если этот вариант Вам не нравится, Вы можете объединить в один 
Update View все обновления, например, для Windows 10 или один тип обновлений для нескольких ОС.

Для Windows Defender выбираем Definition Updates. 
Windows Defender проверяет наличие обновлений через клиента автоматического обновления. 

Группы компьютеров

Следующим шагом мы создаем группы компьютеров к которым мы будем применять обновления.
Во вкладке Computers создаем группу Windows 10

Данное условие не касается обновлений например для Windows Defender, которое можно установить на автоматическое обновление без утверждений, но об этом поговорим позже.

Распределение компьютеров по группам может происходить двумя разными способами. Можно заполнить вручную с помощью консоли администрирования WSUS или автоматически с использованием групповой политики. Во вкладке Options выбираем Computers и выбираем нужный способ распределения компьютеров.

Выбор через консоль.

Выбор через групповые политики.

В нашем случае установим через консоль. Все новые компьютеры будут появляться в каталоге Unassigned Computers откуда мы их будем разносить по нужным группам и применять к ним обновления.

Запуск синхронизации

Следующим шагом мы запускаем синхронизацию, для этого выбираем Synchronizations и правой кнопкой в выпадающем меню жмем Synchronize Now, ждем окончания.

За выполнением синхронизации мы можем следить

По мере прохождения синхронизации в созданных нами Update View будут появляться заголовки обновлений полученные с сервера Microsoft. Выбираем Unapproved/Any и видим списки обновлений.

В дальнейшем настраиваем автоматическую синхронизацию.

Настройка ПК на получение обновлений WSUS через GPO

Включаем принудительный запуск службы обновлений.
Для этого в разделе: 

Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services -> 
Windows Update Тип запуска - Automatic 

Настраиваем групповые политики, отвечающие за работу службы обновлений Windows. Идем:

Computer Configuration -> Policies-> Administrative templates-> Windows Component-> Windows Update 
(Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows) 

Общий вид групповых политик включено\выключено для офисных ПК

Указываем состояние GPO:

Применение обновлений

После обращения клиентского компьютера к серверу WSUS, он появится в разделе Unassigned Computers

Перемещаем его в ранее созданную нами группу Windows 10

После регистрации компьютеров и подачи ими отчетов, выбираем 
Unapproved/Needed и видим доступные обновления. Нажимаем на них Appoved и выбираем группу компьютеров для установки на них обновлений. На всех остальных обновлениях нажимаем Declined.

Таким образом у нас получилось отфильтровать только нужные обновления и не захламливать сразу же после установки место на диске.

Полезный скрипт для переиндексации базы WSUS 3.0
Re-index the WSUS 3.0 Database
http://gallery.technet.microsoft.com/ScriptCenter/en-us/6f8cde49-5c52-4abd-9820-f1d270ddea61

Типы обновлений Windows

1. Критическое обновление . Это всемирное обновление для любой конкретной проблемы, не связанной с безопасностью, предлагаемой операционной системой; такие обновления выпускаются для решения критических, но не связанных с безопасностью проблем
2. Обновление определений . Обновление определений — это обновление Windows, которое добавляет или изменяет базу данных определений операционной системы Windows; База данных определений — это база данных, встроенная в операционную систему, которая помогает идентифицировать вредоносный код, фишинговые сайты и нежелательную почту.
3. Обновление . Обновление устраняет некритическую ошибку, не связанную с безопасностью.
4. Обновления драйверов влияют на работу одного или нескольких драйверов устройств.
5. Обновления безопасности . Обновления, связанные с проблемами безопасности в операционной системе, называются обновлениями безопасности; Эти обновления Windows, как правило, выпускаются после того, как какая-либо организация по безопасности обнаруживает неисправность в любой операционной системе и уведомляет Microsoft; Microsoft создает исправление (обновление) как можно скорее или в течение определенного периода времени, чтобы исправить эти проблемы; Затем обновление выпускается по всему миру; часто пользователи также уведомляются по электронной почте для загрузки этих обновлений безопасности
6. Обновления Feature Pack: — это обновления, которые вносят изменения в определенные функции операционной системы; такие обновления выпускаются по мере доступности для выбранного набора пользователей; если этот набор пользователей предоставит хорошие отзывы об изменениях функций операционной системы, Microsoft включит эти изменения в следующую большую версию Windows Operating Software; В настоящее время вы получаете два обновления функций каждый год, если вы используете Windows 10
7. Ежемесячный накопительный пакет . Среди различных типов обновлений Windows вы также получаете ежемесячный накопительный пакет обновлений каждый второй вторник; Это обновление включает в себя все обновления, выпущенные в предыдущем месяце, а также дополнительные определения вредоносных программ.
8. Пакет обновления . Это накопительный набор всех исправлений, обновлений безопасности, критических обновлений, исправлений и обновлений. Это набор обновлений Windows, выпущенных между двумя последовательными версиями операционной системы Windows. Эпоха пакетов обновлений закончилась.
9. Обновления инструментов . Это обновления встроенных утилит и инструментов.
10. Накопительный пакет обновлений . Накопительный набор исправлений, обновлений для системы безопасности, критических обновлений и обновлений, упакованных вместе для упрощения развертывания.
11. Полные обновления . В них есть все необходимые компоненты и файлы, которые изменились с момента последнего обновления функции.
12. Экспресс-обновления . Они генерируют разностные загрузки для каждого компонента в полном обновлении на основе нескольких исторических баз.
13. Дельта-обновления . Они включают в себя только те компоненты, которые были изменены в последнем обновлении качества, и будут устанавливаться только в том случае, если на устройстве уже установлено обновление предыдущего месяца.
14. Обновление качества безопасности . Содержит все предыдущие обновления.
15. Ежемесячная проверка качества безопасности . Содержит только обновления за текущий месяц.
16. Предварительный просмотр ежемесячного сведения о качестве . Это предварительный просмотр обновлений качества, которые будут выпущены в следующем месяце.
17. Обновления стека служб . Они хранятся отдельно от обычных накопительных обновлений, поскольку эти накопительные обновления добавляют новые и более оптимизированные файлы в операционную систему.