La gestione delle patches in ambiente Microsoft è sicuramente una necessità reale di qualsiasi amministratore di sistemi Windows.
Una corretta e puntuale applicazione degli innumerevoli update rilasciati ogni settimana, permette di mantenere i sistemi Windows efficienti e di metterli al riparo da quegli exploit che minacciano costantemente di sfruttare le innumerevoli vulnerabilità del sistema operativo e dei programmi installati.
Il Software Update Services è la soluzione gratuita messa a disposizione da Microsoft per gestire questo scenario.
Questo articolo si pone l’obiettivo di integrare le informazioni presenti nel SUS White-Paper rilasciato da Microsoft con una serie di informazioni scritte per chiarire alcuni aspetti della configurazione del sistema SUS. Prerequisito per la comprensione di questo articolo è ovviamente la lettura e comprensione del White-Paper di Microsoft (scaricabile liberamente dal sito http://www.microsoft.com/windowsserversystem/sus/default.mspx).
Questa procedura si rivolge a tutti coloro che gestiscono pc in un workgroup o che non hanno la possibilità di utilizzare le group policy in ambiente AD per la configurazione del WIndows Update dei client.
Per la configurazione dei client tramite registro di sistema rivediamo le chiavi di registro già menzionate nel White Paper (da configurare ovviamente a seconda delle rispettive esigenze).
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] "WUServer"="http://nomeserver" "WUStatusServer"="http://nomeserver"
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] "NoAutoUpdate"=dword:00000000 "RescheduleWaitTime"=dword:00000010 "NoAutoRebootWithLoggedOnUsers"=dword:00000001 "AUOptions"=dword:00000004 "ScheduledInstallDay"=dword:00000000 "ScheduledInstallTime"=dword:00000008 "UseWUServer"=dword:00000001
Si deve tener presente che i valori sono espressi in esadecimale, quindi una chiave “ScheduledInstallTime”=dword:00000015 imposta l’update alle ore 21 cioè 1*16 + 5 e non alle 3 del pomeriggio (si può sempre editare la chiave manualmente nel registry, impostare “decimale” come base e scrivere all’interno il valore desiderato che sarà poi convertito in automatico in esadecimale).
Esistono altre chiavi di registro non menzionate nel White Paper Microsoft SUS-Deployguide
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update] "AUOptions"=dword:00000000 "AUState"=dword:00000002
In questo ramo potreste trovare svariate chiavi, ma le uniche 2 chiavi necessarie sono quelle sopraindicate.
La chiave più importante è AUState che rappresenta lo stato corrente del sistema di Auto Update. Questa chiave deve essere settata a 2 (sistema pronto cioè in fase di Detect) mentre se presente una chiave “LastWaitTimeout” sarebbe consigliabile toglierla.
Qui di seguito allegata la tabella con il significato dei vari valori di questa chiave:
Valore e Descrizione
0 Initial 24 hour timeout (the AU wizard doesn’t run until 24 hours after it first detects an Internet connection) 1 Waiting for user to run AU wizard 2 Detect pending 3 Download pending (waiting for user to accept pre-download prompt) 4 Download in progress 5 Install pending 6 Install complete 7 Disabled (Adoptions will also be set to a value of 0x1) 8 Reboot pending (updates that require a reboot were installed but the reboot was declined – AU will not do anything until the reboot occurs and this value is cleared)
Il valore AUState cambia durante le varie fasi di Detect,Download e Install del upgrade del client tanto che durante le operazioni di Update se si tiene il registro aperto si vedranno cambiare in tempo reale i valori relativi.
Impostando queste chiavi e provvedendo a un restart del servizio Automatic Update (o in alternativa al reboot del client) il client sarà pronto a interrogare il server all’ora indicata.
Se si volessero impostare queste modifiche tramite un semplice script e renderle subito effettive si può utilizzare:
net stop wuauserv regini + AUState.reg net start wuauserv
In alternativa si può usare uno script vbs, ma per il momento esula da questo articolo.
Queste chiavi potrebbero anche tornarvi utili nel caso dobbiate forzare un update immediatamente: impostando tramite registry l’ora più vicina, settando l’AUState a 2 e riavviando il servizio si riesce a ottenere l’applicazione delle patches in circa 10 minuti.
Per ultimo ricordo che i sistemi operativi:
- Windows 2000 Professional Service Pack 2
- Windows 2000 Server Service Pack 2
- Windows 2000 Advanced Server Service Pack 2
- Windows XP Professional senza Service Pack 1
- Windows XP Home Edition senza Service Pack 1
necessitano dell’installazione di nuovo client Autmatic Update (WUAU22.msi) per potersi interfacciare con un SUS Server.
Questo client si può scaricare liberamente dal sito Microsoft all’indirizzo: http://www.microsoft.com/windows2000/downloads/recommended/susclient/default.asp