محمد مهدی خلعت بری بدون دیدگاه

مقدمه

در سالهای اخیر در کشور شاهد آن بوده ایم که ادارات، سازمان ها و شرکتها برای خرید نسخه های مختلف آنتی ویروس هزینه های میلیونی متقبل می شوند تا به نوعی از شبکه و رایانه های خود در مقابل ویروس ها، تروجان ها، و کرم ها محافظت کنند این در حالی است که یک عنصر اساسی و مهم در زمینه ی امنیت را در نظر نمیگیرند و آن امنیت سیستم عامل است. نرم افزارهای آنتی ویروس هر قدر هم پیشرفته و بروز باشند نمی توانند بعضی از داده های منتقل شده بین قسمت های مختلف رایانه و یا اینترنت با رایانه را کنترل کنند چرا که یا به دلایلی از گزینش آنها منع شده اند یا در لایه های زیرین سیستم عامل انجام می شوند که برنامه آنتی ویروس شما اجازه دسترسی به آن را ندارد و یا اینکه اصلا برای آن کار ساخته نشده است! مثلا جلوگیری از هک شدن سیستم شما و سرقت کلمه ی عبور و اطلاعات شخصی و محرمانه، در نتیجه آن هزینه های میلیونی برای آنتی ویروس در واقع بدون در نظر گرفتن امنیت سیستم عامل در واقع هدر دادن منابع سازمانی است.

بررسی پیوسته سیستم عامل، دریافت اطلاعات از مشتریان و گذشت زمان است که باعث می شود ارائه دهندگان اینگونه نرم افزارها به اشکالات و کاستی های برنامه های خود پی ببرند و به صورت دوره ای وصله (Patch) های جدید منتشر کنند تا این مشکلات را برطرف کنند. با این حساب سیستم عاملی امن تر است که با جامعه آماری گسترده تر و بررسی سریعتر وصله های جدید برای سیستم عامل خود ارائه دهد تا سیستم عامل پیوسته امن تر شود، حال هر سیستم عاملی باشد ویندوز یا لینوکس یا حتی مکینتاش.

پس سیستم عاملی که بروز نباشد حتی با آنتی ویروس هم امن نیست. با این تفاسیر و مشاهده ی ویروس ها و حملات جدید که همین راه را برای نفوذ به سیستم ها انتخاب کرده اند بجاست که بخشی از هزینه ای که صرف خرید نرم افزارهای امنیتی می شود برای بروزرسانی سیستم عامل ها صرف شود. برای یک کاربر خانگی که حداکثر دو تا سه رایانه در خانه دارد، میتوان با فعال کردن قسمت Automatic updates، این مشکل را حل کند. اما این روش در ادارات و سازمان ها مناسب نیست. تصور کنید که سازمانی ۵۰ رایانه دارد اگر همین امروز بخش بروزرسانی آنها را فعال کنید اولا با احتساب تقریبی حجم آپدیت ها به اندازه ۳۰۰ مگابایت برای هر رایانه ۱۵۰۰۰ مگابایت از پهنای باند اینترنت آن سازمان (دو صورت وجود) صرف دریافت آپدیت ها می شود و نهایتا هم با در نظر گرفتن اینکه این روند هر ماه باید انجام شود، اولا هزینه ی اینترنت مصرفی سازمان بالاتر می رود و کاربران از کاهش سرعت اینترنت ناراضی خواهند بود، ثانیا مشخص نیست که آیا همه ی کامپیوتر ها به روز شده اند یا نه.

سرویس بروزرسانی محصولات مایکروسافت Windows Server Update Service  که مختصرا آنراWSUS  می نامند، امکان مدیریت و توزیع وصله (بروزرسانی) های امنیتی و سیستمی بر روی کامپیوترهایی که از سیستم عامل ویندوز استفاده میکنند را در شبکه های متوسط و بزرگ مانند ادارات و سازمانها فراهم میکند. این سرور امکان ارائه این وصله ها نه تنها برای سیستم عامل بلکه برای سایر محصولات شرکت مایکروسافت (از جمله مجموعه ی Office، SQL server، Exchange و …) را در اختیار مدیران شبکه ها قرار می دهد. این سرور بطور دوره ای کلیه وصله های ارائه شده توسط شرکت مایکروسافت را دریافت کرده و در شبکه داخلی توزیع می کند که از این نظر در کاهش پهنای باند مصرفی و افزایش سرعت و کارایی اینترنت سازمانی تاثیر بسزایی دارد.

 

با برپایی این سرور در شبکه، رایانه های موجود با ارتباط با WSUS وصله های تایید شده توسط مسئول شبکه را دریافت خواهند کرد، یعنی برای هر رایانه بطور مجزا امکان انتخاب وصله های مورد نظر وجود دارد (مثلا مدیر شبکه می توان وصله ای را که کنترل غیر قانونی بودن ویندوز را به عهده دارد برای نصب روی رایانه ها تایید نکند)، دریافت و نصب وصله ها توسط Windows Automatic Updates بدون دخالت کاربران انجام شده و کلیه تنظیمات لازم از روی سرور و توسط مدیر شبکه انجام می شود.

 

مزایا

  • مدیریت آسان کلیه رایانه های متصل به شبکه برای بروز رسانی سیستم عامل
  • صرفه جویی در مصرف پهنای باند (دریافت یک نسخه و انتشار آن در کل سیستم های سازمان)
  • انتشار بروز رسانی های جدید برروی رایانه ها و سرورهای سازمان
  • دریافت کلیه Patch ها و سرویس پک های محصولات مایکروسافت و مدیریت آن برروی یک سرور
  • دسترسی دائمی به آخرین بروزرسانی های سیستم عامل بدون نیاز به اینترنت
  • افزایش سرعت در بروزرسانی سیستم عامل ها در تمام کلاینتها
  • افزایش ضریب امنیت شبکه با توجه به بروز رسانی سیستم عاملها
  • صرفه جوبی در زمان مدیر شبکه
  • بروزرسانی خوکار نرم افزارهای مربوط به شرکت مایکروسافت

 

انواع Update ها

  • Critical Update

یک بروز رسانی در نظر گرفته شده برای رفع مشکلی در نرم افزار است که بروز این مشکل در محصولات، شرایطی بحرانی را ایجاد می کند.

  • Driver

یک جزء نرم افزاری است که برای پشتیبانی از یک سخت افزار جدید طراحی شده است.

  • Hotfix

آپدیتی است که برای رفع یک مشکل خاص ارائه می شود. با Hotfix می توان به رفع مشکل، بدون Restart و یا متوقف کردن سرویس و سیستم دچار اختلال پرداخت. عموما Hotfix را با Patch یکسان می دانند اما تفاوت این دو در این است که Hotfix به طور ویژه برای رفع مشکل یک مشتری در نظر گرفته شده و برای عموم کاربران توزیع نمی شود. باید در نظر داشت که Hotfix، آپدیت های امنیتی را شامل نمی شود. همچنین Hotfix قابلیت های ارائه شده برای رفع یک مشکل که بصورت خاص مورد آزمایش قرار گرفته تا در اختیار عموم کاربران قرار گیرد را شامل می شود.

  • Update

در این نوع آپدیت یک قابلیت جدید برای محصولات مایکروسافت در نظر گرفته می شود و این آپدیت برای رفع مشکلات امنیتی و اختالات مربوط به سیستم عامل ها و نرم افزار ها نمی باشد، باید در نظر داشت که Update الزاما امنیتی نیست.

  • Security Update

کاربران مایکروسافت جمعیت بالایی را تشکیل می دهند بنابراین نقاط ضعف امنیتی بسیاری در محصولات آن مشاهده خواهد شد و مایکروسافت این نقاط ضعف را شناسایی کرده و آپدیت رفع نقاط ضعف و مشکلات امنیتی محصولات خود را در اختیار کاربران قرار می دهد. آسیب پذیری های امنیتی در بولتن امنیتی مایکروسافت در سطوح حساس، مهم، متوسط و ضعیف یا پایین طبقه بندی می شوند.

  • Feature Packs

بسته ای است که قابلیت های جدید ارائه شده برای یک محصول را در بر می گیرد.

  • Update Rollups

مجموعه ای است از Hotfix ها، Security آپدیت ها، Critical  آپدیت ها و نیز آپدیت هایی است که برای سهولت در Deploy شدن در یک پکیج قرار گرفته اند Rollup .ها عموما یک هدف خاص مانند امنیت محصول و یا یکComponent  از یک محصول مثلا IIS را پشتیبانی می کند.

 

  • Service Pack

پکیجی است در بردارنده ی همه ی Hotfix ها،Critical  آپدیت ها، Security  آپدیت ها و همچنین آپدیت هایی برای سیستم عامل ها و نرم افزار ها. علاوه بر این Service Pack راه حل مشکلات و نقاط ضعفی که پس از عرضه محصول توسط گروهی محدودی از مشتریان شناسایی شده و نیز درخواست آنان مبنی بر تغییر در Design و قابلیت های یک محصول را شامل می شود.

  • Definition Update

این نوع از آپدیت ها برای بروز رسانی نرم افزارهای امنیتی استفاده می شود. نرم افزارهایی مثل آنتی ویروس و Anti Malware که توسط شرکت مایکروسافت ارائه شده اند، در واقع یک Definition Update روش حذف و یا برخورد با یک کد مخرب را برای این محصولات، نمایش می دهد. این آپدیت ها بیشتر برای محصولاتی که دارای پایگاه داده هستند، کاربرد دارد.

  • Tool

ابزار یا قابلیتی است که به انجام رساندن و تکمیل یک وظیفه و یا مجموعه ای از وظایف کمک می کند.

 

پیش نیاز ها

  • وب سرور یا IIS

در ویندوز سرور ۲۰۰۸ باید این رول در کنسول Server Manager روی سرور بطور مجزا نصب کنید اما در ویندوز سرور ۲۰۱۲ به بعد نیازی به نصب این رول بطور جداگانه نیست.

  • report viewer

در ویندوز سرور ۲۰۰۸ باید این سرویس روی سرور بطور مجزا نصب کنید اما در ویندوز سرور ۲۰۱۲ به بعد نیازی به نصب این سرویس بطور جداگانه نیست.

  • Storage

فضای خالی ۶ گیگابایت یا بیشتر در درایوی با فرمت NTFS مورد نیاز می باشد.

  • Processor

حداقل 1.4 گیگاهرتز پردازنده مورد نیاز است.

  • RAM

WSUS به حداقل 2 گیگابایت حافظه ی رم اضافی نسبت به حافظه ی مورد نیاز خود سرور نیاز دارد.

  • Microsoft .NET Framework 4.0
  • Database

WSUS به یکی از دیتابیس های زیر نیاز دارد:

  • Windows Internal Database (WID)
  • Microsoft SQL Server 2017
  • Microsoft SQL Server 2016
  • Microsoft SQL Server 2014
  • Microsoft SQL Server 2012
  • Microsoft SQL Server 2008 R2

مدیریت

برای عضویت کامپیوتر ها در WSUS سرور آسان ترین راه استفاده از تنظیمات گروپ Policy می باشد. اگر کامپیوترها عضو Domain باشند، از طریق ساخت GPO و لینک دادن آن به Domain ، کاربران Domain عضو WSUS میشوند و از سرویس WSUS استفاده میکنند. با وارد شدن به کنسول WSUS، با گزینه های زیادی مواجه میشویم که مدیریت کامل آپدیت ها و کاربران متصل به این سرور را در اختیار ما قرار میدهد. در زیر بخشی ازین گزینه ها معرفی میشود.

 

Configure Automatic Updates

فعال کردن این Policy آپشن هایی را در اختیار ما قرار می دهد که باید یکی از این آپشن ها را انتخاب کنیم. در زیر به شرح هر کدام از این قابلیت ها می پردازیم :

  • Notify for Download and notify for install

اطلاع رسانی سرور قبل از دانلود آپدیت ها و نیز پیش از نصب آنها

  • Auto download and notify for install

تنظیمات پیش فرض، دانلود اتوماتیک آپدیت ها و نیز اطلاع رسانی زمانیکه آپدیت ها آماده برای نصب هستند.

  • Auto download and schedule the install

دانلود اتوماتیک آپدیت ها و نصب آنها طبق یک برنامه ی ویژه ی زمانی. اگر این آپشن را انتخاب کنیم باید روز و ساعت مورد نظر را نیز برای جستجوی آپدیت ها و نصب آنها مشخص کنیم .

  • Allow local admin to choose setting

این آپشن به ادمین های لوکال اجازه می دهد که پیغام های آپدیت اتوماتیک را دریافت کرده و آنها را نصب کنند، انتخاب این گزینه قابلیت برنامه ریزی زمانی برای نصب آپدیت ها را در اختیار ادمین Local قرار می دهد. باید بخاطر داشت که ادمین Local اجازه ی غیر فعال کردن Automatic update را ندارد.

 

Allow non-administrators to receive update notifications

فعال کردن این Policy باعث می شود تا علاوه بر یوزر های ادمین،کاربران دیگر نیز پیغام مبتنی بر نصب آپدیت را دریافت کرده و بتوانند آپدیت ها را نصب کنند .

 

Automatic updates detection frequency

برای پرسش کلاینت ها از WSUS سرور در مورد در دسترس بودن آپدیت ها یک فاصله زمانی را مشخص می کند بصورت پیشفرض برای این Policy تعریف شده که کلاینتها برای این منظور هر 22 ساعت یکبار با سرور ارتباط برقرار کنند.

 

انواع تائیدیه(Approvals)  برای آپدیت ها

پس از اینکه آپدیت ها توسط WSUS سرور دریافت شدند بصورت اتوماتیک برای ارتباط با کامپیوتر های عضو WSUS سرور اسکن می شوند با این حال قبل از Deploy شدن آپدیت ها در شبکه برای نصب، باید آنها را به صورت دستی Approve و تایید کرد. انتخاب هر کدام از گزینه های ذکر شده در زیر برای WSUS سرور تعریف می کند که چه رفتاری با آپدیت ها داشته باشد:

  • Approved

آپدیت های دانلود شده،برای نصب تائید شده اند.

  • Unapproved

جهت عدم تائید آپدیت ها برای نصب از این گزینه استفاده می کنیم، اما آپدیت مذکور در لیست پیش فرض آپدیتها باقی خواهد ماند.

  • Declined

انتخاب این گزینه باعث می شود که آپدیت به کلی از لیست آپدیت ها حذف شود، بنابراین WSUS سرور قادر نخواهد بود این آپدیت را برای ارزیابی و نصب به کامپیوتر ها عرضه کند.

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *