מה זה WSUS בעצם 

מאז ומתמיד, חברת Microsoft סיפקה שירותי עדכונים עבור פרצות אבטחה שנתגלו במערכות ההפעלה שלה. השירות ניתן חינם דרך מערכות WEB מסודרות (Windows Update) תוך מענה מאד מהיר לבעיות שהתגלו. בשנים האחרונות, Microsoft במתן פתרונות לארגוניים ועסקים גדולים כדי שהנ"ל יוכלו להטמיע תיקונים (Hot Fixes) עבור מחשבי הקצה של המשתמשים. אחת מהמערכות האלו היא ה-WSUS, או Windows System Update Services. במאמר זה אני יסביר איך בעצם נוצר Hotfix וכיצד אנחנו משתמשים במערכת ה-WSUS כדי להפיץ את העדכונים האלו לתחנות הקצה שלנו.
מה זה Hotfix?
מערכות ההפעלה הפופולאריות ביותר היום הם Windows של חברת Microsoft, עצם העובדה שנתח השוק של Microsoft עומד על קרוב ל-90%, אומר שרוב בעיות האבטחה שימצאו, ירוכזו במערכות אלו. בדרך כלל, את רוב בעיות האבטחה מוצאות חברות/קבוצות חיצוניות אשר עושות את זה או עבור רווח או כמחקר סטודנטיאלי. למעשה, Microsoft כמעט ולא מוצאת בעיות אבטחה משלה ומעדיפה את "ההסדר" הזה, לפחות עבור מערכות ההפעלה הקיימות (XP, 2003( בעוד שבפיתוח המוצרים עתידני שלהם, לפחות לפי Microsoft, הם ישנו את הגישה שלהם.
מהרגע שנמצאה בעיה במערכת ההפעלה שלה, חברת Microsoft מתחילה בפיתוח תיקון (HotFix) ובמקביל מפרסמת הזהרה בנושא. לאחר גמר סיום פיתוח ה-Hotfix ופרסומו, יש לכם בעצם 48 שעות שהם למעשה הזמן שהאקרים "נותנים" לכם לבצע את העדכון של המערכות שלכם לפני שהם מתחילים להשתמש בפרצה הזאת. לכן חשוב מאד לבצע את העדכונים האלו על בסיס קבוע.
בעבר, Microsoft הייתה מפרסמת את התיקונים האלו כמה פעמים בחודש. כיום, החברה מרכזת את כל התיקונים ליום אחד או שניים בחודש אשר נקראים "Patch Day" (בדרך כלל ביום חמישי השני של כל חודש). הסיבה לשינוי זה היא הרצון שלה להוריד את התלות של המשתמשים בעדכונים אלו.
WSUS, SUS ושאר חיות
כאשר חברה גדולה מעוניינת להחיל עדכוני אבטחה, היא לא יכולה להרשות לעצמה שכל 6000 התחנות שלה ייגשו לאינטרנט וימשכו עדכונים. והסיבות לכך פשוטות מאד: א) רוחב פס - מדובר פה לעיתים בעדכונים כבדים מאד (עד חצי גיגה) ואין מספיק רוחב פס אינטרנטי לנושא זה. ב) QA - בארגון גדול בו האפליקציות רבות ומגוונות, אתם רוצים לבצע QA מקיף על כל עדכון ועדכון כדי לוודא כי אף עדכון לא פוגע תפקוד כל שהוא של אפליקציה כל שהיא.
כדי לעזור לחברות בסדר גודל כזה, Microsoft פיחתה את מערכת ה-WSUS, המוצר הזה בעצם מתפקד כמערכת Proxy לעדכונים ונותן למנהלי הרשת שליטה מלאה על אילו עדכוני אבטחה יכנסו לתחנות הקצה/שרתים.
בנוסף, המערכת מאפשרת עדכון של תוספות וחבילות הרחבה ש-Microsoft לא מאפשרת התקנה שלהן בצורה רגילה.
אולי ה-Feature החשוב ביותר במערכת היא היכולת שלה לנהל עדכונים של כלל מוצרי Microsoft. ה-WSUS יכול לעדכן שרתים שונים כגון Exchange ו-ISA, הוא תומך במוצרי BETA כגון Vista ו-Office 2003. יכולת זאת הופכת את ניהול התיקונים לקל יותר עבור מנהלי מערכת.
כיצד זה עובד?
מערכת ה-WSUS היא מערכת לקוח-שרת כאשר הלקוח הוא תחנת העבודה. ע"ג השרת מותקנת התוכנה הכוללת Database וכלי ניהול בעוד הלקוח משתמש במערכת ה-Windows Update Client המובנית בכל מערכת הפעלה, אותה מערכת אשר משתמשת אתכם במחשבים בפרטיים שלכם להורדת העדכונים מהאינטרנט.
אנחנו מכינים Group Policy מיוחד בו אנחנו מגדירים אילו הגדרות אנחנו רוצים לבחור בניהול התקנות העדכונים על התחנה, הגדרות אלו כוללות את זמן התקנת העדכון, האם העדכון יותקן תוך כדי עבודתו של משתמש, מול איזה שרת המערכת מדברת לאיזה קובצת ניהול שייכת התחנה וכו'.
בנוסף, הוספנו שורות ל-Login Scrip אשר קובעות לכל תחנה, בהתאם למיקום הפיזי (Subnet) בו עשיתים Login מול איזה שרת לקבל את העדכונים. אנחנו הקמנו כ-30 שרתי WSUS בכל רחבי הארץ, השרתים הנ"ל משמשים כשרתי קבצים אשר מקבלים את ההגדרות שלהם משרת מרכזי אחד.
כלי הניהול של המערכת הוא אתר WEB נוח לשימוש בו מנהל המערכת יכול להגדיר הגדרות כגון אישור עדכוני אבטחה, ביטול עדכונים מתחנות, ביטול עדכונים שפג תוקפם וכו'.
לסיכום:
מניסיוני האישי, לתחנות שמקבלות עדכוני אבטחה באופן שוטף ומסודר, תהיה תוחלת חיים ארוכה יותר.
לחברה אשר מקפידה לעדכן את התחנות שלה בעדכוני אבטחה, יהיה Up Time גבוה יותר.