Перейти к содержанию

Помогите разобраться с работой wsus на базе KSC 13.2

evonder

Автор evonder
в Помощь по корпоративным продуктам

 Поделиться

Рекомендуемые сообщения

evonder

evonder

Опубликовано
Опубликовано (изменено)

Добрый день, что-то никак не получается разобраться c настройкой wsus через касперского. В сети используется уже wsus на базе самого microsoft, но часть клиентов необходимо перевести на обновление через касперского.

 

Что я сделал, для нужного подразделения создал отдельную политику агента сервера администрирования, где включил галку использовать сервер в качестве сервера wsus, провел синхронизацию, на всех клиентах произошло замещение в настройках с локального wsus microsoft на localhost:1550, т.е. клиенты переключились на источник обновления на каспера.

  Затем я запускаю задачу синхронизация обновлений с windows update выбрав сборку os windows 1903 and later, в качестве пакетов тестово выбрал все, на классическом wsus у меня стоят только критические обновления и сек апдейты.

Прошла синхронизация, затем запускаю задачу для тестового подразделения поиск необходимых обновлений и закрытие уязвимостей. 

  Для тестовой машины текущая сборк 18363 это билд 1903 соответственно для ее апдейта нужно пройти 1909-2004 и так далее вплоть до h22. Но задача поиск обновлений выдает только 1 критическое обновление и то не связанное с обновлением системы. 

     Если запустить на самой машину сканирование обновлений вручную то она сама находит все нужные обновления, и тут возникают вопросы:

 

1) Почему через задачу поиск необходимых обновлений система не выдает все необходимые обновления в виде апдейтов системы которые сама система находит в ручном режиме.

2) Из мануала касперского соверешенно не понятно качает ли каспер обновления к себе централизиванно как классический wsus или нет, привожу выдержку из мануала:

 

Установите флажок Использовать Сервер администрирования в роли WSUS-сервера, чтобы загружать обновления Windows на Сервер администрирования и затем распространять их на клиентские устройства средствами Агента администрирования.

Если флажок снят, обновления Windows не загружаются на Сервер администрирования. В этом случае клиентские устройства получают обновления Windows напрямую с серверов Microsoft.

 

И тут же следует дальше следующий момент в этой же инструкции:

 

Если в мастере первоначальной настройки в окне Параметры управления обновлениями вы выбрали вариант Использовать Сервер администрирования в роли WSUS-сервера, задача синхронизации обновлений Windows Update создается автоматически. Запустить задачу можно в папке Задачи. Функция обновления программного обеспечения Microsoft доступна только после успешного завершения задачи Синхронизация обновлений Windows Update.

Задача Синхронизация обновлений Windows Update загружает с серверов Microsoft только метаданные. Если в сети не используется WSUS-сервер (сам же касперский работает wsus о чем они вообще ведут речь???) , то каждое клиентское устройство самостоятельно загружает обновления Microsoft с внешних серверов.

 

 Это мне сломало голову, так в итоге касперский грузит к себе обновления или нет? В первом случае они пишут что грузит во втором если в сети нет wsus то не грузит???

 

3) Синхронизация обновлений с windows через задачу не приводит к увеличению занимаемого места на сервере, почему?

 

Изменено пользователем evonder
ElvinE5

ElvinE5

Опубликовано
Опубликовано (изменено)

Так ...ну давайте по порядку ...

 

1. вы создали отдельную политику для агента на тестовую группу. и выбрали соответствующие настройки, и не забыли закрыть замками, проверили что политика применяется к устройствам.

Спойлер

665870900_.thumb.png.3490c003703c188d7b37a1404e1cdecc.png

 

2. у вас уже есть задача "Поиск уязвимостей и требуемых обновлений" и она запускается по расписанию выполняется на тестовых устройствах.

Спойлер

1331851896_.thumb.png.6cfc9285ad9cd958d8cb543894b290ee.png

Спойлер

797270204_.thumb.png.a97764ea420b21d3173a86339aa5be03.png

 

3. У вас есть и настроена задача "Синхронизация обновлений Windows Update"  в которой вы выбрали какие метеоданные система будет получать с серверов обновлений Microsoft для сравнения и поиска уязвимостей на ваших устройствах. Она выполняется по расписанию успешно. При этом метаданных хранятся в БАЗЕ и крайне не рекомндуется выбирать в задаче все обновления для всех продуктов так как хотя это и не сами обновления но метеоданные могут насчитывать несколько десятков гигабайт и в случаи если у вас например SQL Express моментально забьют базу по разрешённый придела в 10 Гб и положат систему.

Спойлер

207486132_.thumb.png.68f3a08698a2b21492c678e8638c54da.png

Спойлер

443230695_.thumb.png.8f9bd67663c2c9cae70cf346c1b77df5.png

Спойлер

1679114960_.thumb.png.6c2cc691dc0fdd8927d5597d83413e3c.png

 

4. Вы создали задачу "Установка требуемых обновлений и закрытия уязвимостей" запускается по расписания и действует на тестовую группу, в задачи вы выбрали все те же компоненты для закрытия что и в задачи синхронизации.

Спойлер

736774636_.thumb.png.67b2d1efaeaac5a800d6fb20429c5b33.png

Спойлер

219528635_.thumb.png.01800f77f065063440eb396f53615452.png

Спойлер

1484641944_.thumb.png.8f1aef7352cb8b3c683f623d8257d1c4.png

 

 

теперь как это работает

Задача "Поиск уязвимостей и требуемых обновлений" проверяет устройства и сравнивает состояния системы с теми метеоданными что ранее получила задача "Синхронизация обновлений Windows Update" и если в системе присутствуют модули для которых есть метеоданные на обновления они появиться в списке уязвимостей. Далее задача "Установка требуемых обновлений и закрытия уязвимостей" запускаясь по расписанию смотрит на список узявимостей сформированный задачей "Поиск уязвимостей и требуемых обновлений", после чего заставляет WUA обратится за обновлениями на KSC, который скачивает и складывает обновление в хранилище,

  • C:\ProgramData\KasperskyLab\adminkit\1093\.working\FTServer;
  • C:\ProgramData\KasperskyLab\adminkit\1093\.working\wusfiles. 

для последующего распространения

 

Так же вам стоит НЕ забывать принимать лицензионные соглашения для обновлений (если требуются) перед запуском задачи, в противном случаи установка таких обновлений завершится ошибкой "не принято лицензионное соглашение"

Так же рекомендовал бы включить модуль "Контроль программ" ( по умолчанию отключен), даже если не пользуетесь правилами контроля - он поможет собирать данные об исполняемых файлах запускающихся на устройстве что облегчит поиск уязвимостьей в софте сторонних производителей.

 

надеюсь объяснил понятно и корректно.

Изменено пользователем ElvinE5
evonder

evonder

Опубликовано
  • Автор
Опубликовано (изменено)

    Меня смущает тот момент, что задача для подразделения Поиск уязвимостей и требуемых обновлений не выводит в итоге список всех необходимых обновлений, и я не могу понять почему, я хочу видеть какие обновления ей необходимы установить, а тут оно показывает 1 обновления для адоба и все. В ручном режиме когда заходишь в центр обновлений на тестовой машине там сразу все пакеты показывает которые нужны и это точно работает через ksc wsus потом что там машина показывает все паки 1909-2004 и так далее, в классическом wsus система показывает только ближайший пакет, после установки которого нужно делать рескан заново и система выдаст следующий по порядку апдейт пак.

Изменено пользователем evonder
ElvinE5

ElvinE5

Опубликовано
Опубликовано

Сама задача только говорит успешно или нет она завершилась ... результат ее работы можно посмотреть тут ...

 

Спойлер

1449921888_.thumb.png.8276b2013385ab66359de61501649bb9.png

и тут ...

Спойлер

769012146_.thumb.png.8b5e9ce90cba8efa1ba9b51c2ef76d15.png

 

 

если вас интересует где необходимо применить конкретное обновление то можно так ...

Спойлер

1140680883_.thumb.png.578c4b2646b6b251b9e183fd23a2c6f8.png

 

а если какие нужны для конкретного устройства ...так ...

Спойлер

1057532053_.thumb.png.43f5147c72536dfe66c29de723780225.png

 

evonder

evonder

Опубликовано
  • Автор
Опубликовано (изменено)

Мне сейчас система не показывает необходимые обновления, хотя в обновлениях висит порядка 25 обновлений и среди них 5 апдейт паков для цепочек сборок вин. Синхронизация для устройства все это игнорирует, не могу понять почему. Запуск установки необходимых обновлений пишет что ставить ничего не нужно. В задаче установки выбрано все необходимое.

 

===========

  Если смотреть в свойствах клиента в разделе "применимые обновления" там масса обновлений, в том числе взаимозаменяемые, и стоит подпись не назначена установка, для этого нужно создавать отельную задачу? Или система сама должна определить что необходимо ставить и установит?

Изменено пользователем evonder

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • fmlnuser
      wsus на базе ksc
      Автор fmlnuser
      Добрый день, имеется всус на базе ksc. Можно ли через него обновлять драйвера как это делается на wsusе от майкрософт? Так же интересует вопрос о необязательных обновлениях которые не получить через синхронизацию обновлений, на всусе от майкрософта можно было вручную добавить инсталяшку, а тут как?
    • tav
      Обновление антивирусных баз KSC и "лишнее"
      Автор tav
      Всех приветствую !
       
      При обновлении баз, KSC тянет кучу не нужных мне дистрибутивов.
      Как и где в настройках это убрать ? Чтобы он с обновлениями баз не тянул дистрибутивы.
       
       
       

    • animewko25
      Перенос базы данных KSC на другой диск
      Автор animewko25
      Добрый день!
      Подскажите каким способом можно перенести базу данных SQL KSC на другой диск.
      Финт с заменой буквы не проходит,может быть есть какой нибудь мануал
    • d_kid
      ошибка в логах KSC 13.2 "Заканчивается или закончился срок действия лицензии"
      Автор d_kid
      При выборке событий "Критические события" в журнале выходят подобные ошибки:
      Статус устройства 'pc' изменился на 'Критический': Заканчивается или закончился срок действия лицензии.
      Обратил внимание, что подобные ошибки выходят у тех, у кого в лицензии-свойства-устройства Дата действителен до стоит 01.01.1970, хотя ключ распространял сразу на все машины. Как это исправить?

    • Dicto
      Ошибка подключения к серверу администрирования KSC 13.2 (Служба kladminserver не запускается)
      Автор Dicto
      Доброго времени суток.
      Возникла такая проблема, не возможно подключиться к консоли управления сервером(web нет). Проверил службы, служба (kladminserver) Сервер администрирования Kaspersky Security Center не запускается, если и запускается то не больше минуты, Все равно консоль не доступна. Пробовал использовать другую учетку через замену УЗ, не помогло. Логи говорят про удаление и перестановку сервера(на этом и других форумах говорят это не помогло) Ошибки начали появляться в логах KEL 07.04.23. Пользовательский KES пишет что сервер не доступен с 31.03.23. В логах на эту тему есть 3 записи от 05.04.23 такого характера : Database error occurred: #1950 (-2147467259) Generic db error: " 'Истекло время ожидания входа{HYT00};' LastStatement='ADODB.Connection'" после 07.04.23 пошли такие записи Database error occurred: #1950 (-2147467259) Generic db error: " 'Истекло время ожидания входа{HYT00};' LastStatement='ADODB.Connection'".
      Все это дело крутится на Win Server 2008 R2. Я в первые столкнулся с данной проблемой, и опыта в работе еще очень мало. Много уже облазил форумов и статей, но пока ни к чему не пришел. Может попробовать с бэкапа восстановиться до начала проблем? Хз в общем.
       

×
×
  • Создать...