Помогите разобраться с работой wsus на базе KSC 13.2

[evonder]

Добрый день, что-то никак не получается разобраться c настройкой wsus через касперского. В сети используется уже wsus на базе самого microsoft, но часть клиентов необходимо перевести на обновление через касперского.

 

Что я сделал, для нужного подразделения создал отдельную политику агента сервера администрирования, где включил галку использовать сервер в качестве сервера wsus, провел синхронизацию, на всех клиентах произошло замещение в настройках с локального wsus microsoft на localhost:1550, т.е. клиенты переключились на источник обновления на каспера.

  Затем я запускаю задачу синхронизация обновлений с windows update выбрав сборку os windows 1903 and later, в качестве пакетов тестово выбрал все, на классическом wsus у меня стоят только критические обновления и сек апдейты.

Прошла синхронизация, затем запускаю задачу для тестового подразделения поиск необходимых обновлений и закрытие уязвимостей. 

  Для тестовой машины текущая сборк 18363 это билд 1903 соответственно для ее апдейта нужно пройти 1909-2004 и так далее вплоть до h22. Но задача поиск обновлений выдает только 1 критическое обновление и то не связанное с обновлением системы. 

     Если запустить на самой машину сканирование обновлений вручную то она сама находит все нужные обновления, и тут возникают вопросы:

 

1) Почему через задачу поиск необходимых обновлений система не выдает все необходимые обновления в виде апдейтов системы которые сама система находит в ручном режиме.

2) Из мануала касперского соверешенно не понятно качает ли каспер обновления к себе централизиванно как классический wsus или нет, привожу выдержку из мануала:

 

Установите флажок Использовать Сервер администрирования в роли WSUS-сервера, чтобы загружать обновления Windows на Сервер администрирования и затем распространять их на клиентские устройства средствами Агента администрирования.

Если флажок снят, обновления Windows не загружаются на Сервер администрирования. В этом случае клиентские устройства получают обновления Windows напрямую с серверов Microsoft.

 

И тут же следует дальше следующий момент в этой же инструкции:

 

Если в мастере первоначальной настройки в окне Параметры управления обновлениями вы выбрали вариант Использовать Сервер администрирования в роли WSUS-сервера, задача синхронизации обновлений Windows Update создается автоматически. Запустить задачу можно в папке Задачи. Функция обновления программного обеспечения Microsoft доступна только после успешного завершения задачи Синхронизация обновлений Windows Update.

Задача Синхронизация обновлений Windows Update загружает с серверов Microsoft только метаданные. Если в сети не используется WSUS-сервер (сам же касперский работает wsus о чем они вообще ведут речь???) , то каждое клиентское устройство самостоятельно загружает обновления Microsoft с внешних серверов.

 

 Это мне сломало голову, так в итоге касперский грузит к себе обновления или нет? В первом случае они пишут что грузит во втором если в сети нет wsus то не грузит???

 

3) Синхронизация обновлений с windows через задачу не приводит к увеличению занимаемого места на сервере, почему?

 

Изменено 17 марта, 2023 пользователем evonder

[ElvinE5]

Так ...ну давайте по порядку ...

 

1. вы создали отдельную политику для агента на тестовую группу. и выбрали соответствующие настройки, и не забыли закрыть замками, проверили что политика применяется к устройствам.

Спойлер

 

2. у вас уже есть задача "Поиск уязвимостей и требуемых обновлений" и она запускается по расписанию выполняется на тестовых устройствах.

Спойлер

Спойлер

 

3. У вас есть и настроена задача "Синхронизация обновлений Windows Update"  в которой вы выбрали какие метеоданные система будет получать с серверов обновлений Microsoft для сравнения и поиска уязвимостей на ваших устройствах. Она выполняется по расписанию успешно. При этом метаданных хранятся в БАЗЕ и крайне не рекомндуется выбирать в задаче все обновления для всех продуктов так как хотя это и не сами обновления но метеоданные могут насчитывать несколько десятков гигабайт и в случаи если у вас например SQL Express моментально забьют базу по разрешённый придела в 10 Гб и положат систему.

Спойлер

Спойлер

Спойлер

 

4. Вы создали задачу "Установка требуемых обновлений и закрытия уязвимостей" запускается по расписания и действует на тестовую группу, в задачи вы выбрали все те же компоненты для закрытия что и в задачи синхронизации.

Спойлер

Спойлер

Спойлер

 

 

теперь как это работает

Задача "Поиск уязвимостей и требуемых обновлений" проверяет устройства и сравнивает состояния системы с теми метеоданными что ранее получила задача "Синхронизация обновлений Windows Update" и если в системе присутствуют модули для которых есть метеоданные на обновления они появиться в списке уязвимостей. Далее задача "Установка требуемых обновлений и закрытия уязвимостей" запускаясь по расписанию смотрит на список узявимостей сформированный задачей "Поиск уязвимостей и требуемых обновлений", после чего заставляет WUA обратится за обновлениями на KSC, который скачивает и складывает обновление в хранилище,

• C:\ProgramData\KasperskyLab\adminkit\1093\.working\FTServer;
• C:\ProgramData\KasperskyLab\adminkit\1093\.working\wusfiles. 

для последующего распространения

 

Так же вам стоит НЕ забывать принимать лицензионные соглашения для обновлений (если требуются) перед запуском задачи, в противном случаи установка таких обновлений завершится ошибкой "не принято лицензионное соглашение"

Так же рекомендовал бы включить модуль "Контроль программ" ( по умолчанию отключен), даже если не пользуетесь правилами контроля - он поможет собирать данные об исполняемых файлах запускающихся на устройстве что облегчит поиск уязвимостьей в софте сторонних производителей.

 

надеюсь объяснил понятно и корректно.

Изменено 17 марта, 2023 пользователем ElvinE5

[evonder]

    Меня смущает тот момент, что задача для подразделения Поиск уязвимостей и требуемых обновлений не выводит в итоге список всех необходимых обновлений, и я не могу понять почему, я хочу видеть какие обновления ей необходимы установить, а тут оно показывает 1 обновления для адоба и все. В ручном режиме когда заходишь в центр обновлений на тестовой машине там сразу все пакеты показывает которые нужны и это точно работает через ksc wsus потом что там машина показывает все паки 1909-2004 и так далее, в классическом wsus система показывает только ближайший пакет, после установки которого нужно делать рескан заново и система выдаст следующий по порядку апдейт пак.

Изменено 17 марта, 2023 пользователем evonder

[ElvinE5]

Сама задача только говорит успешно или нет она завершилась ... результат ее работы можно посмотреть тут ...

 

Спойлер

и тут ...

Спойлер

 

 

если вас интересует где необходимо применить конкретное обновление то можно так ...

Спойлер

 

а если какие нужны для конкретного устройства ...так ...

Спойлер

 

[evonder]

Мне сейчас система не показывает необходимые обновления, хотя в обновлениях висит порядка 25 обновлений и среди них 5 апдейт паков для цепочек сборок вин. Синхронизация для устройства все это игнорирует, не могу понять почему. Запуск установки необходимых обновлений пишет что ставить ничего не нужно. В задаче установки выбрано все необходимое.

 

===========

  Если смотреть в свойствах клиента в разделе "применимые обновления" там масса обновлений, в том числе взаимозаменяемые, и стоит подпись не назначена установка, для этого нужно создавать отельную задачу? Или система сама должна определить что необходимо ставить и установит?

Изменено 17 марта, 2023 пользователем evonder