Các lỗ hổng hệ thống (hệ điều hành) có thể dẫn đến sự cố máy tính hay mất mát dữ liệu (do virus, hacker). Từ năm 1998 Microsoft đã đưa ra phương pháp cập nhật bản vá cho hệ điều hành Windows thông qua trang web w. Từ Windows XP hay Windows 2K SP3 trở đi lại có thêm tính năng mới là Automatic updates có thể tự động kết nối đến trang web trên để tải về các các tập tin sửa lỗi hệ thống.
Tuy nhiên trong một môi trường phân tán với nhiều máy tính thì việc cập nhật đơn lẻ các bản vá thường không mang lại hiệu quả cao do nhiều nguyên nhân như đường truyền, khó quản lý do sự bất cẩn của người dùng... Vì vậy trong vai trò người quản trị hệ thống (hay quản trị mạng) ắt hẳn chúng ta muốn có một phương thức hiệu quả hơn. Thật may, Software Update Services (Dịch vụ cập nhật phần mềm - SUS) có thể giải quyết vấn đề đó cho chúng ta. Với SUS ta có thể quản lý việc cập nhật bản sửa lỗi hệ thống cho các máy tính của người dùng (client) thông qua một hay nhiều máy chủ trung gian có cài đặt phần mềm SUS (gọi là sus server). Chương trình Automatic updates trên các máy client sẽ được cấu hình kết nối đến sus server để tải về các bản cập nhật thay vì từ trang web của Microsoft. Điều này sẽ giúp quản lý hệ thống hiệu quả hơn so với các phương thức đặt lịch cập nhật cho máy client hay chỉ định các tập tin cần tiến hành cài đặt dựa trên chính sách của domain.
Bài viết này sẽ trình bày phương pháp cài đặt, cấu hình sus server và thiết lập các chính sách của domain nhằm nâng cao khả năng an toàn cho hệ thống.
Bài viết này sẽ trình bày phương pháp cài đặt, cấu hình sus server và thiết lập các chính sách của domain nhằm nâng cao khả năng an toàn cho hệ thống.
|
Mô hình mạng:
- pdc, có tên pdc.mcsesecurity.com, là domain controller chạy Win 2003 hoặc Win 2K (để thăng cấp một máy tính lên làm domain controller chúng ta chọn Start -> Run và nhập lệnh dcpromo, sau đó làm theo các chỉ thị của quá trình cài đặt).
- Susserver, có tên susserver.mcsesecurity.com, là một server Win 2003 hoặc Win 2K thành viên của domain mcsesecurity.com có cài đặt chương trình IIS và SUS (nếu máy tính chưa có IIS thì hãy vào Control Panel chọn Add/Remove Program và chọn Add/Remove Windows Components sau đó chọn IIS trong phần Application Server).
- Workstations là máy thành viên của domain: workstations.mcsesecurity.com.
Bước 1: Cài đặt và cấu hình Software Update Services
- pdc, có tên pdc.mcsesecurity.com, là domain controller chạy Win 2003 hoặc Win 2K (để thăng cấp một máy tính lên làm domain controller chúng ta chọn Start -> Run và nhập lệnh dcpromo, sau đó làm theo các chỉ thị của quá trình cài đặt).
- Susserver, có tên susserver.mcsesecurity.com, là một server Win 2003 hoặc Win 2K thành viên của domain mcsesecurity.com có cài đặt chương trình IIS và SUS (nếu máy tính chưa có IIS thì hãy vào Control Panel chọn Add/Remove Program và chọn Add/Remove Windows Components sau đó chọn IIS trong phần Application Server).
- Workstations là máy thành viên của domain: workstations.mcsesecurity.com.
Bước 1: Cài đặt và cấu hình Software Update Services
Tiến hành cài đặt Software Update Services (SUS) trên susserver.mcsesecurity.com (SUS được cung cấp miễn phí, có thể tải về từ ). Quá trình cài đặt tương đối đơn giản, chúng ta chỉ cần xác định vị trí để lưu trữ các tập tin cần thiết của chương trình và làm theo một số chỉ thị đưa ra như hình dưới đây.
|
Sau khi quá trình cài đặt hoàn tất, việc tiếp theo là vào trang web quản trị tiến hành đồng bộ hóa dữ liệu với máy chủ lưu trữ các tập tin cập nhật của Microsoft và thực hiện một số thao tác cấu hình cần thiết.
Nhấn vào Synchronize server để tiến hành tải các bản sửa lỗi từ máy chủ của Microsoft, vì khối lượng các bản cập nhật khá lớn nên phải mất một khoảng thời gian khá lâu cho tiến trình đồng bộ dữ liệu. Do đó để hạn chế việc chiếm dụng băng thông chúng ta nên đặt lịch biểu để tiến trình này chỉ diễn ra ngoài giờ làm việc bằng cách chọn Synchronization Schedule và thiết lập các thông số thích hợp.
|
Khi tiến trình đồng bộ dữ liệu kết thúc, tùy từng hệ thống ta có thể chọn những hotfix cần thiết để cho các máy client cập nhật thông qua tiện ích Automatic updates bằng cách nhấn vào Approve updates và chọn các tập tin.
|
Như vậy ta đã cài đặt và cấu hình xong sus server. Tiếp theo chúng ta cần cấu hình để chương trình Automatic Updates trên các máy client kết nối đến sus server tải về các bản vá. Nếu như các máy client trên mạng chưa có tiện ích Automatic Updates thì ta có thể tải về từ trang web của Microsoft và phân phối cho các máy thành viên thông qua Group Policy hoặc hướng dẫn người dùng cài đặt chúng từ một thư mục chia sẻ (kiểm tra lại trong Control Panel khi quá trình cài đặt hoàn tất để bảo đảm đã có Automatic Updates trên hệ thống).
Bước 2: Cấu hình Group Policy trên domain controller
Chúng ta quản lý quá trình cập nhật các bản vá cho client thông qua Group Policy trên máy quản trị domain pdc.mcsesecurity.com như sau:
1. Chọn Start -> Program-> Admnistrative Tools-> Active Directory Users and Computers.
2. Nhấn chuột phải vào domain chứa các máy client cần cập nhật và chọn Properties, sau đó chọn Group Policy, chọn Default Domain Security Policy và nhấn Edit để mở ra khung hiệu chỉnh policy của domain và chọn Add/Remove Templates.
Bước 2: Cấu hình Group Policy trên domain controller
Chúng ta quản lý quá trình cập nhật các bản vá cho client thông qua Group Policy trên máy quản trị domain pdc.mcsesecurity.com như sau:
1. Chọn Start -> Program-> Admnistrative Tools-> Active Directory Users and Computers.
2. Nhấn chuột phải vào domain chứa các máy client cần cập nhật và chọn Properties, sau đó chọn Group Policy, chọn Default Domain Security Policy và nhấn Edit để mở ra khung hiệu chỉnh policy của domain và chọn Add/Remove Templates.
|
3. Chọn file wuad.adm và nhấn Open.
|
4. Sau đó hiệu chỉnh các policy bằng cách vào Administrative Templates -> Windows Components -> Windows Update ở khung bên phải và chọn Configure Automatic Updates, xác định ngày giờ để các máy client tải về những tập tin cập nhật hệ thống.
|
5. Tiếp theo chúng ta nhấn chuột vào Specify intranet Microsoft Update service location và cấu hình như hình bên.
Như vậy chúng ta đã xây dựng xong hệ thống Software Update Services và thiết lập các chính sách cần thiết để các máy client có thể tải về các bản vá lỗi từ một máy chủ nội bộ. Việc tiếp theo là chúng ta chạy lệnh gpupdate.exe hay secedit nếu hệ thống domain là Win 2K và yêu cầu các người dùng khởi động lại hệ thống.
Như vậy chúng ta đã xây dựng xong hệ thống Software Update Services và thiết lập các chính sách cần thiết để các máy client có thể tải về các bản vá lỗi từ một máy chủ nội bộ. Việc tiếp theo là chúng ta chạy lệnh gpupdate.exe hay secedit nếu hệ thống domain là Win 2K và yêu cầu các người dùng khởi động lại hệ thống.
|
Lưu ý: Đối với các máy tính trong môi trường Workgroup chúng ta vẫn có thể triển khai mô hình này bằng cách hiệu chỉnh policy của từng máy.
Một số bản vá có thể làm cho các ứng dụng cũ trên hệ thống hoạt động không ổn định, vì vậy đối với các hệ thống quan trọng ta nên tiến hành kiểm tra kỹ các tập tin sửa lỗi trên các máy thử nghiệm, tham khảo kỹ các thông tin của nhà sản xuất về những tác dụng phụ của chúng trước khi ứng dụng vào hệ thống chính. Để biết được những máy tính nào trên hệ thống chưa cập nhật kịp thời các bản vá này, chúng ta có thể sử dụng các chương trình quét lỗi do Micorosoft cung cấp như Hfnetchk hay MBSA, đây là những chương trình miễn phí có thể tải về từ trang web của Microsoft.
Nguyễn Trần Tường Vinh,
New Horizons
MCSA, MCSE Security, SECURITY+, LPI
E-mail: nttvinh@newhorizons.com.vn
Một số bản vá có thể làm cho các ứng dụng cũ trên hệ thống hoạt động không ổn định, vì vậy đối với các hệ thống quan trọng ta nên tiến hành kiểm tra kỹ các tập tin sửa lỗi trên các máy thử nghiệm, tham khảo kỹ các thông tin của nhà sản xuất về những tác dụng phụ của chúng trước khi ứng dụng vào hệ thống chính. Để biết được những máy tính nào trên hệ thống chưa cập nhật kịp thời các bản vá này, chúng ta có thể sử dụng các chương trình quét lỗi do Micorosoft cung cấp như Hfnetchk hay MBSA, đây là những chương trình miễn phí có thể tải về từ trang web của Microsoft.
Nguyễn Trần Tường Vinh,
New Horizons
MCSA, MCSE Security, SECURITY+, LPI
E-mail: nttvinh@newhorizons.com.vn
Nguyễn Trần Tường Vinh
Nguồn PCWORLD
Không có nhận xét nào:
Đăng nhận xét