I když jste svou virtuální síť Azure uzamkli před internetem, můžete získat aktualizace Windows bez celkového ohrožení zabezpečení a uvolnění přístupu k internetu. Tento článek obsahuje doporučení týkající se nastavení hraniční sítě, označované také jako monitorovaná podsíť, jako hostitele instance služby Windows Server Update Services (WSUS) pro účely bezpečné aktualizace virtuálních sítí bez připojení k internetu.
Pokud využíváte Azure Firewall, můžete v pravidlech aplikace použít značku plně kvalifikovaného názvu domény Windows Update k povolení průchodu požadovaného odchozího síťového provozu bránou firewall. Další informace najdete v tématu Přehled značek plně kvalifikovaných názvů domén.
Pokud chcete implementovat doporučení v tomto článku, měli byste se seznámit se službami Azure. Následující části popisují doporučený návrh nasazení, který využívá hvězdicovou strukturu v konfiguraci s jednou nebo více oblastmi.
Hvězdicová topologie sítě služby Azure Virtual Network
Doporučujeme nastavit síťovou topologii využívající model s hvězdicovou strukturou vytvořením hraniční sítě. Jako hostitele serveru WSUS použijte virtuální počítač Azure, který se nachází v centru mezi internetem a virtuálními sítěmi. Toto centrum by mělo mít otevřené porty. WSUS k získání aktualizací z Microsoftu používá port 80 pro protokol HTTP a port 443 pro protokol HTTPS. Paprsky jsou všechny ostatní virtuální sítě, které budou komunikovat s centrem, a ne s internetem. Toho dosáhnete tak, že vytvoříte podsíť, skupiny zabezpečení sítě (NSG) a partnerský vztah virtuálních sítí Azure povolující provoz WSUS a blokující ostatní internetový provoz. Tento obrázek znázorňuje příklad topologie s hvězdicovou strukturou:
Stáhněte si soubor aplikace Visio s touto architekturou.
Na tomto obrázku:
- WSUSSubnet je centrum hvězdicové struktury.
- NSG_DS je pravidlo skupiny zabezpečení sítě, které povoluje provoz pro službu WSUS a blokuje ostatní internetový provoz
- WSUS VM je virtuální počítač Azure nakonfigurovaný pro provoz služby WSUS.
- MainSubnet je virtuální síť, tedy paprsek, obsahující virtuální počítače.
- NSG_MS je zásada skupiny zabezpečení sítě, která povoluje provoz z virtuálního počítače se službou WSUS, ale zakazuje internetový provoz.
Můžete použít existující server nebo nasadit nový, který bude serverem služby WSUS. Minimální doporučení pro virtuální počítač se službou WSUS:
- Operační systém: Windows Server 2016 nebo novější.
- Procesor: Duální jádro, 2 GHz nebo rychlejší.
- Paměť: 2 GB paměti RAM, kromě paměti RAM vyžadované serverem a všemi ostatními spuštěnými službami a softwarem.
- Úložiště: 40 GB nebo více.
- Přístup: Bezpečnější přístup k tomuto virtuálnímu počítači pomocí JIT (just-in-time). Viz Správa přístupu k virtuálním počítačům pomocí metody Just-in-Time.
Vaše síť bude obsahovat víc než jednu virtuální síť Azure. Můžou být ve stejné oblasti nebo v různých oblastech. Budete muset posoudit všechny virtuální počítače s Windows Serverem a zjistit, jestli se některý z nich dá použít jako server pro službu WSUS. Pokud potřebujete aktualizovat tisíce virtuálních počítačů, doporučujeme pro roli služby WSUS vyhradit virtuální počítač s Windows Serverem.
Pokud jsou všechny vaše virtuální sítě ve stejné oblasti, doporučujeme mít jednu službu WSUS pro každých 18 000 virtuálních počítačů. Toto doporučení vychází z kombinace požadavků virtuálních počítačů, počtu aktualizovaných klientských virtuálních počítačů a nákladů na komunikaci mezi virtuálními sítěmi. Další informace o požadavcích na kapacitu služby WSUS najdete v tématu věnovaném plánování nasazení WSUS.
Náklady na tyto konfigurace můžete určit pomocí cenové kalkulačky Azure. Musíte zadat tyto informace:
- Virtuální počítač:
- Oblast: Oblast, ve které je nasazená vaše virtuální síť Azure.
- Operační systém: Windows
- Úroveň: Standard
- Instance: Konfigurace D4
- Spravované disky: HDD úrovně Standard, 64 GB
- Virtuální síť:
- Zadejte
- Stejná oblast, pokud se přenos provádí ve stejné oblasti.
- Mezi oblastmi, pokud se data přenášejí z jedné oblasti do druhé.
- Přenos dat: 2 GB
- Oblast
- V případě přenosu v rámci jedné oblasti zvolte oblast, ve které je umístěný server WSUS a virtuální sítě.
- V případě přenosu mezi oblastmi je zdrojovou oblastí virtuální sítě oblast, ve které je umístěný server WSUS. Cílovou oblastí virtuální sítě je oblast, do které se data přenášejí.
- Pokud máte více oblastí, budete muset virtuální síť vybrat několikrát.
- Zadejte
Nezapomeňte, že ceny se liší podle oblasti.
Ruční nasazení
Jakmile buď identifikujete virtuální síť Azure, která se má použít jako centrum, nebo zjistíte, že budete muset vytvořit novou instanci Windows Serveru, bude potřeba vytvořit pravidlo NSG. Toto pravidlo povolí internetový provoz, což umožní synchronizaci metadat a obsahu Windows Update se serverem WSUS, který vytvoříte. Tady jsou pravidla, která je potřeba přidat:
- Příchozí/odchozí pravidlo NSG, které povolí provoz do a z internetu na portu 80 (pro obsah)
- Příchozí/odchozí pravidlo NSG, které povolí provoz do a z internetu na portu 443 (pro metadata)
- Příchozí/odchozí pravidlo NSG, které povolí provoz z klientských virtuálních počítačů na portu 8530 (výchozí nastavení, pokud není nakonfigurované jinak)
Nastavení služby WSUS
Při nastavování serveru WSUS můžete využít dva přístupy:
- Pokud chcete automaticky nastavit server nakonfigurovaný tak, aby zvládal typické zatížení s minimální nutností správy, můžete použít automatizační skript PowerShellu.
- Pokud potřebujete zvládnout tisíce klientů používajících různé operační systémy a jazyky nebo pokud chcete službu WSUS nakonfigurovat způsobem, jaký skript PowerShellu nezvládne, můžete službu WSUS nastavit ručně. Oba přístupy jsou popsány dále v tomto článku.
Tyto dva přístupy můžete také kombinovat – pro většinu práce můžete použít automatizační skript a k vyladění nastavení serveru použít konzolu pro správu služby WSUS.
Nastavení služby WSUS pomocí automatizačního skriptu
Skript Configure-WSUSServer umožňuje rychle nastavit server WSUS, který bude automaticky synchronizovat a schvalovat aktualizace pro zvolenou sadu produktů a jazyků.
Poznámka:
Tento skript vždy nastaví službu WSUS tak, aby k ukládání dat aktualizací používala Interní databázi Windows. Tím se zrychluje nastavení a zjednodušuje správa. Pokud však váš server bude zajišťovat podporu tisíců klientských počítačů, zejména pokud také potřebujete zajistit podporu široké škály produktů a jazyků, měli byste místo toho nastavit službu WSUS ručně, abyste jako databázi mohli použít SQL Server.
Nejnovější verze tohoto skriptu je dostupná na GitHubu.
Skript konfigurujete pomocí souboru JSON. Momentálně můžete nakonfigurovat tyto možnosti:
- Jestli se datové části aktualizací mají ukládat místně (a pokud ano, kde), nebo jestli mají zůstat na serverech Microsoftu
- Které produkty, klasifikace aktualizací a jazyky mají být na serveru k dispozici
- Jestli má server automaticky schvalovat instalace aktualizací, nebo je nechat neschválené, dokud je neschválí správce
- Jestli má server automaticky načítat nové aktualizace z Microsoftu, a pokud ano, jak často
- Jestli se mají používat balíčky expresních aktualizací (balíčky expresních aktualizací snižují šířku pásma mezi serverem a klientem na úkor využití procesoru a disku na straně klienta a šířky pásma mezi servery)
- Jestli má skript přepisovat předchozí nastavení (obvykle se skript na serveru spustí jenom jednou, aby se zabránilo neúmyslným změnám konfigurace, které by mohly narušit provoz daného serveru)
Zkopírujte skript a jeho konfigurační soubor do místního úložiště a upravte konfigurační soubor tak, aby vyhovoval vašim potřebám.
Upozorňující
Při úpravách konfiguračního souboru postupujte opatrně. Syntaxe používaná pro konfigurační soubory JSON je striktní. Pokud nechtěně změníte strukturu souboru, a ne jenom hodnoty parametrů, konfigurační soubor se nenačte.
Tento skript je možné spustit dvěma způsoby:
Skript můžete spustit ručně z virtuálního počítače se službou WSUS.
Následující příkaz spuštěný z okna příkazového řádku se zvýšenými oprávněními nainstaluje a nakonfiguruje službu WSUS. Použijte skript a konfigurační soubor v aktuálním adresáři.
powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json
Můžete využít rozšíření vlastních skriptů pro Windows.
Zkopírujte skript a konfigurační soubor JSON do vlastního kontejneru úložiště.
V typických konfiguracích virtuálních počítačů a služby Azure Virtual Network rozšíření vlastních skriptů ke správnému spuštění skriptu potřebuje pouze následující dva parametry. (Uvedené hodnoty musíte nahradit adresami URL pro vaše umístění úložiště.)
"fileUris": ["https://mystorage.blob.core.windows.net/mycontainer/Configure-WSUSServer.ps1","https://mystorage.blob.core.windows.net/container/WSUS-Config.json"], "commandToExecute": "powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json"
Skript spustí počáteční synchronizaci potřebnou ke zpřístupnění aktualizací klientským počítačům. Nebude ale čekat na její dokončení. V závislosti na vybraných produktech, klasifikacích a jazycích může počáteční synchronizace trvat několik hodin. Všechny další synchronizace by měly být rychlejší.
Ruční nastavení služby WSUS
Na virtuálním počítači se službou WSUS otevřete Správce serveru a klikněte na Přidat role a funkce.
Opakovaně vyberte Další, dokud se nedostanete na stránku Vybrat role serveru. Vyberte Windows Server Update Services. Po zobrazení výzvy k přidání funkcí vyžadovaných pro Windows Server Update Services klikněte na Přidat funkce.
Opakovaně vyberte Další, dokud se nedostanete na stránku Vybrat služby rolí.
- Ve výchozím nastavení můžete použít Připojení k Interní databázi Windows.
- Připojení k SQL Serveru použijte, pokud potřebujete podporovat klienty, kteří používají mnoho různých verzí Windows (například Windows 11 a Windows 10).
Opakovaně vyberte Další, dokud se nedostanete na stránku Výběr umístění obsahu. Zadejte umístění, kam chcete aktualizace ukládat.
Opakovaně vyberte Další, dokud se nedostanete na stránku Potvrdit vybrané možnosti instalace. Vyberte volbu Instalovat.
Otevřete nainstalovanou službu Windows Server Update Services a vyberte Spustit.
Opakovaně vyberte Další, dokud se nedostanete na stránku Připojit k serveru pro odesílání dat. Vyberte Spustit připojování.
Opakovaně vyberte Další, dokud se nedostanete na stránku Vybrat jazyky. Vyberte potřebné jazyky.
Opakovaně vyberte Další, dokud se nedostanete na stránku Vybrat produkty. Vyberte potřebné produkty.
Opakovaně vyberte Další, dokud se nedostanete na stránku Vybrat klasifikace. Vyberte potřebné aktualizace.
Opakovaně vyberte Další, dokud se nedostanete na stránku Nastavit plán synchronizace. Vyberte požadované předvolby synchronizace.
Opakovaně vyberte Další, dokud se nedostanete na stránku Dokončeno. Vyberte Spustit počáteční synchronizaci a potom vyberte Další.
Opakovaně vyberte Další, dokud se nedostanete na stránku Co dál, a potom vyberte Dokončit.
Pokud v navigačním podokně vyberete název vaší služby WSUS (například WsusVM), měla by se jako stav synchronizace zobrazit hodnota Nečinné a jako výsledek poslední synchronizace hodnota Úspěch.
V navigačním podokně vyberte Možnosti>Počítače>Použít pro počítače zásady skupiny nebo nastavení registru. Vyberte OK.
Během synchronizace služba WSUS zjišťuje, jestli se od doby poslední synchronizace zpřístupnily nějaké nové aktualizace. Pokud se služba WSUS synchronizuje poprvé, metadata se stáhnou okamžitě. Datová část se stáhne jenom v případě, že je zapnuté místní úložiště a aktualizace je schválená alespoň pro jednu skupinu počítačů.
Poznámka:
Počáteční synchronizace může trvat déle než hodinu. Všechny další synchronizace by měly být výrazně rychlejší.
Konfigurace komunikace virtuálních sítí se službou WSUS
Dále nastavte partnerský vztah virtuální sítě Azure nebo globální partnerský vztah virtuální sítě, aby bylo možné komunikovat s centrem. Aby se minimalizovala latence, doporučujeme nastavit server WSUS ve všech oblastech, do kterých jste provedli nasazení.
V každé virtuální síti Azure, která je paprskem, budete muset vytvořit zásadu NSG, která má tato pravidla:
- Příchozí/odchozí pravidlo NSG, které povolí provoz z virtuálního počítače se službou WSUS na portu 8530 (výchozí nastavení, pokud není nakonfigurované jinak)
- Příchozí/odchozí pravidlo NSG, které zakáže přenos z internetu
Dále vytvořte partnerský vztah virtuální sítě Azure mezi paprskem a centrem.
Klientský virtuální počítač
- V zájmu ještě důkladnějšího zabezpečení se můžete zbavit přidružené veřejné IP adresy virtuálního počítače. Další informace najdete v tématu Zobrazení, změna nastavení nebo odstranění veřejné IP adresy.
- Informace o bezpečnějším přístupu k virtuálnímu počítači pomocí metody (JIT) najdete v tématu Správa přístupu k virtuálním počítačům pomocí metody Just-in-Time.
Konfigurace klientských virtuálních počítačů
Službu WSUS je možné použít k aktualizaci libovolného virtuálního počítače, na kterém běží Windows (s výjimkou skladové položky Home). Postupně přejděte k jednotlivým klientským virtuálním počítačům a pomocí následujícího postupu na nich povolte komunikaci mezi službou WSUS a klientem:
Na klientském virtuálním počítači
- Otevřete Editor místních zásad skupiny (nebo Editor správy zásad skupiny).
- Přejděte na Konfigurace počítače>Šablony pro správu>Součásti systému Windows>Windows Update.
- Povolte možnost Určit umístění intranetového serveru služby Microsoft Update.
- Zadejte adresu URL
http://\<WSUS name>:8530
. (Název služby WSUS, například WsusVM, najdete na stránce Update Services.) Než se toto nastavení projeví, může to nějakou dobu trvat (až několik hodin). - Přejděte do Nastavení>Aktualizace a zabezpečení>Windows Update.
- Vyberte možnost Zkontrolovat aktualizace.
Na virtuálním počítači se službou WSUS
- Otevřete službu Windows Server Update Services. V části Počítače>Všechny počítače by se měl zobrazit váš klientský virtuální počítač.
- Vyberte Aktualizace>Všechny aktualizace.
- Nastavte Schválení na hodnotu Vše kromě zamítnutých.
- Nastavte Stav na Potřebné. Teď se zobrazí všechny potřebné aktualizace pro váš klientský virtuální počítač.
- Klikněte pravým tlačítkem na kteroukoli z aktualizací a vyberte Schválit.
Ověření
- Na klientském virtuálním počítači přejděte do Nastavení>Aktualizace a zabezpečení>Windows Update.
- Vyberte možnost Zkontrolovat aktualizace. Měla by se zobrazit aktualizace se stejným číslem článku znalostní báze (tj. 4480056), které jste schválili na virtuálním počítači se službou WSUS.
Pokud jste správce zajišťující správu rozsáhlé sítě přečtěte si článek věnovaný konfiguraci automatických aktualizací a umístění služby Update, kde najdete informace o použití nastavení zásad skupiny k automatické konfiguraci klientů.
Nasazení služby WSUS pro více cloudů
Partnerský vztah virtuální sítě není možné nastavit mezi veřejnými a privátními cloudy. Pro sítě nasazené ve veřejném i privátním cloudu bude potřeba v každém cloudu nastavit alespoň jeden server WSUS.
Poznámky k podpoře
WSUS v současné době nepodporuje synchronizaci se skladovou položkou Windows Home.
Azure Update Management
Ke správě a plánování aktualizací operačního systému pro virtuální počítače, které se synchronizují se službou WSUS, můžete použít řešení Update Management v Azure. Stav oprav virtuálního počítače (tj. chybějící opravy) se vyhodnocuje na základě zdroje, se kterým se má virtuální počítač podle konfigurace synchronizovat. Pokud je virtuální počítač s Windows nakonfigurovaný tak, aby ukládal data do služby WSUS, výsledky se mohou lišit od toho, co ukazuje Microsoft Update, a to v závislosti na času poslední synchronizace služby WSUS se službou Microsoft Update. Po dokončení konfigurace prostředí služby WSUS můžete povolit řešení Update Management. Další informace najdete v tématu Přehled řešení Update Management a postup onboardingu.
Přispěvatelé
Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.
Hlavní autor:
- Paul Reed | Vedoucí programový manažer dodržování předpisů Azure
Další kroky
- Další informace o plánování nasazení najdete v tématu věnovaném plánování nasazení WSUS.
- Další informace o správě služby WSUS, nastavení plánu synchronizace služby WSUS a další najdete v tématu Správa služby WSUS.