Windows: поднятие WSUS с нуля + автоматическая чистка
Чтобы экономить интернет-канал и ускорять обновления, админы поднимают локальный сервер WSUS. Настроить его можно за вечер, если идти по шагам.
1️⃣ Установка роли
Через PowerShell:
Мастер установки спросит:
Папку для хранения обновлений (лучше на отдельном диске).
Тип базы данных — встроенная WID (SQL не обязателен).
После установки запускаем мастер конфигурации.
2️⃣ Настройка сервера WSUS
▪️ Указываем апстрим-сервер (по умолчанию Microsoft Update).
▪️ Выбираем продукты: Windows 10/11, Windows Server 2019/2022.
▪️ Выбираем классификации:
Definition Updates (для Defender).
▪️ Настраиваем синхронизацию (ручная или по расписанию).
3️⃣ Настройка клиентов через GPO
В домене открываем GPMC → создаём политику.
Путь:
Computer Configuration → Policies → Administrative Templates → Windows Components → Windows Update
Основные параметры:
Specify intranet Microsoft update service location → http://wsus-server:8530
Configure Automatic Updates → 4 (автоматическая загрузка и установка).
Automatic Maintenance Activation Boundary → время установки.
Применяем GPO к OU с нужными ПК.
4️⃣ Первичная проверка
На клиенте:
Через 10–15 минут клиент должен появиться в консоли WSUS.
5️⃣ Автоматическая чистка WSUS
WSUS очень быстро разрастается, поэтому включаем регулярное обслуживание.
PowerShell-скрипт для чистки (сохраняем как wsus_cleanup.ps1):
📌 Добавь этот скрипт в Task Scheduler (например, раз в неделю ночью).
6️⃣ Поддержка и обслуживание
Следим за размером базы и хранилища.
Проверяем отчёты о применении обновлений.
Раз в месяц вручную запускаем Server Cleanup Wizard для проверки.
📊 Теперь клиенты получают обновления локально:
— быстрее,
— без нагрузки на внешний канал,
— с автоматическим обслуживанием WSUS.
#windows #update #wsus #powershell #automation
Чтобы экономить интернет-канал и ускорять обновления, админы поднимают локальный сервер WSUS. Настроить его можно за вечер, если идти по шагам.
1️⃣ Установка роли
Через PowerShell:
Install-WindowsFeature -Name UpdateServices -IncludeManagementTools
Мастер установки спросит:
Папку для хранения обновлений (лучше на отдельном диске).
Тип базы данных — встроенная WID (SQL не обязателен).
После установки запускаем мастер конфигурации.
2️⃣ Настройка сервера WSUS
▪️ Указываем апстрим-сервер (по умолчанию Microsoft Update).
▪️ Выбираем продукты: Windows 10/11, Windows Server 2019/2022.
▪️ Выбираем классификации:
Critical Updates
Security Updates
Definition Updates (для Defender).
▪️ Настраиваем синхронизацию (ручная или по расписанию).
3️⃣ Настройка клиентов через GPO
В домене открываем GPMC → создаём политику.
Путь:
Computer Configuration → Policies → Administrative Templates → Windows Components → Windows Update
Основные параметры:
Specify intranet Microsoft update service location → http://wsus-server:8530
Configure Automatic Updates → 4 (автоматическая загрузка и установка).
Automatic Maintenance Activation Boundary → время установки.
Применяем GPO к OU с нужными ПК.
4️⃣ Первичная проверка
На клиенте:
gpupdate /force
wuauclt /detectnow
Через 10–15 минут клиент должен появиться в консоли WSUS.
5️⃣ Автоматическая чистка WSUS
WSUS очень быстро разрастается, поэтому включаем регулярное обслуживание.
PowerShell-скрипт для чистки (сохраняем как wsus_cleanup.ps1):
[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration") | Out-Null
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer("localhost",$false)
$cleanupScope = new-object Microsoft.UpdateServices.Administration.CleanupScope `
-Property @{
DeclineSupersededUpdates = $true
DeclineExpiredUpdates = $true
CleanupObsoleteUpdates = $true
CompressUpdates = $true
CleanupObsoleteComputers = $true
CleanupUnneededContentFiles = $true
}
$cleanupManager = $wsus.GetCleanupManager()
$cleanupManager.PerformCleanup($cleanupScope)
Write-Output "WSUS cleanup complete"
📌 Добавь этот скрипт в Task Scheduler (например, раз в неделю ночью).
6️⃣ Поддержка и обслуживание
Следим за размером базы и хранилища.
Проверяем отчёты о применении обновлений.
Раз в месяц вручную запускаем Server Cleanup Wizard для проверки.
📊 Теперь клиенты получают обновления локально:
— быстрее,
— без нагрузки на внешний канал,
— с автоматическим обслуживанием WSUS.
#windows #update #wsus #powershell #automation
👍2
WSUS vs SCCM (ConfigMgr): когда пора апгрейдиться?
WSUS — простой сервер обновлений. Он кэширует патчи и раздаёт их клиентам. Но у него есть предел возможностей. Когда инфраструктура растёт, часто переходят на SCCM (Microsoft Endpoint Configuration Manager).
🔹 Что умеет WSUS
✅ Кэшировать обновления Microsoft (Windows, Office, Defender).
✅ Работает на встроенной базе WID или SQL.
✅ Управление через GPO.
✅ Бесплатен (часть Windows Server).
❌ Ограничения:
Только продукты Microsoft.
Нет детальной отчётности (какие апдейты встали, а какие нет).
Нет управления сторонними софтом/драйверами.
Консоль тормозит на больших базах (1000+ клиентов).
Требует ручной чистки и обслуживания.
🔹 Что добавляет SCCM (ConfigMgr)
✅ Полное управление обновлениями Microsoft + стороннего софта (Adobe, Java, драйверы).
✅ Поддержка Windows, Linux, macOS.
✅ Развёртывание ПО и конфигураций (application deployment).
✅ Инвентаризация железа и софта.
✅ Расширенная отчётность (какой апдейт где применился).
✅ Гибкие коллекции устройств, таргетинг, правила автоустановки.
✅ Интеграция с Intune (гибрид MDM).
❌ Минусы:
Сложнее в развертывании.
Требует полноценного SQL Server.
Нужны лицензии (Software Assurance или отдельные CAL).
🔹 Когда WSUS уже «не тянет»
Клиентов >1000.
Нужно управлять обновлениями сторонних приложений.
Требуется инвентаризация ПО/железа.
Руководство требует детальной отчётности.
Инфраструктура гибридная (on-prem + облако).
📌 Вывод
Для малого бизнеса или филиала на 100–500 ПК → WSUS = нормальное решение.
Для средней и крупной инфраструктуры → SCCM даёт полный контроль, особенно если нужно управлять не только апдейтами, но и всем софтом.
⚡ Совет: если WSUS уже «трещит по швам», попробуй Windows Update for Business (политики обновлений через Intune) — это упрощённый вариант для гибридных сетей.
#windows #update #wsus #sccm #configmgr
WSUS — простой сервер обновлений. Он кэширует патчи и раздаёт их клиентам. Но у него есть предел возможностей. Когда инфраструктура растёт, часто переходят на SCCM (Microsoft Endpoint Configuration Manager).
🔹 Что умеет WSUS
✅ Кэшировать обновления Microsoft (Windows, Office, Defender).
✅ Работает на встроенной базе WID или SQL.
✅ Управление через GPO.
✅ Бесплатен (часть Windows Server).
❌ Ограничения:
Только продукты Microsoft.
Нет детальной отчётности (какие апдейты встали, а какие нет).
Нет управления сторонними софтом/драйверами.
Консоль тормозит на больших базах (1000+ клиентов).
Требует ручной чистки и обслуживания.
🔹 Что добавляет SCCM (ConfigMgr)
✅ Полное управление обновлениями Microsoft + стороннего софта (Adobe, Java, драйверы).
✅ Поддержка Windows, Linux, macOS.
✅ Развёртывание ПО и конфигураций (application deployment).
✅ Инвентаризация железа и софта.
✅ Расширенная отчётность (какой апдейт где применился).
✅ Гибкие коллекции устройств, таргетинг, правила автоустановки.
✅ Интеграция с Intune (гибрид MDM).
❌ Минусы:
Сложнее в развертывании.
Требует полноценного SQL Server.
Нужны лицензии (Software Assurance или отдельные CAL).
🔹 Когда WSUS уже «не тянет»
Клиентов >1000.
Нужно управлять обновлениями сторонних приложений.
Требуется инвентаризация ПО/железа.
Руководство требует детальной отчётности.
Инфраструктура гибридная (on-prem + облако).
📌 Вывод
Для малого бизнеса или филиала на 100–500 ПК → WSUS = нормальное решение.
Для средней и крупной инфраструктуры → SCCM даёт полный контроль, особенно если нужно управлять не только апдейтами, но и всем софтом.
⚡ Совет: если WSUS уже «трещит по швам», попробуй Windows Update for Business (политики обновлений через Intune) — это упрощённый вариант для гибридных сетей.
#windows #update #wsus #sccm #configmgr
👍2
Windows 11: Диспетчер задач стал "бессмертным зомби" (KB5067036)
Это не шутка. Это ирония судьбы (или Microsoft).
Инструмент, призванный чистить систему от зависших процессов, сам превратился в "мусор, пожирающий ресурсы".
Суть проблемы (после KB5067036):
При каждом запуске Диспетчера задач (taskmgr.exe) в Windows 11 создается несколько его копий. Эти копии не закрываются после завершения работы с Диспетчером, продолжая висеть в фоне и потреблять CPU/RAM.
Результат:
Утилита, созданная для повышения производительности, начинает замедлять ваш компьютер. Это настоящий "Диспетчер-зомби".
Взгляд архитектора:
Это не просто "баг". Это пример, когда даже базовые системные утилиты могут стать источником проблем после обновлений. Валидация обновлений перед массовым развертыванием — это не "прихоть", а критическая необходимость.
Что делать:
1. Будьте внимательны к потреблению ресурсов после установки KB5067036.
2. Если проблема обнаружена — придется завершать "зомби-процессы" через командную строку (taskkill) или ждать исправления от Microsoft.
Подробности: https://www.securitylab.ru/news/565626.php
#windows #windows11 #баги #sysadmin #проблемы #update
Это не шутка. Это ирония судьбы (или Microsoft).
Инструмент, призванный чистить систему от зависших процессов, сам превратился в "мусор, пожирающий ресурсы".
Суть проблемы (после KB5067036):
При каждом запуске Диспетчера задач (taskmgr.exe) в Windows 11 создается несколько его копий. Эти копии не закрываются после завершения работы с Диспетчером, продолжая висеть в фоне и потреблять CPU/RAM.
Результат:
Утилита, созданная для повышения производительности, начинает замедлять ваш компьютер. Это настоящий "Диспетчер-зомби".
Взгляд архитектора:
Это не просто "баг". Это пример, когда даже базовые системные утилиты могут стать источником проблем после обновлений. Валидация обновлений перед массовым развертыванием — это не "прихоть", а критическая необходимость.
Что делать:
1. Будьте внимательны к потреблению ресурсов после установки KB5067036.
2. Если проблема обнаружена — придется завершать "зомби-процессы" через командную строку (taskkill) или ждать исправления от Microsoft.
Подробности: https://www.securitylab.ru/news/565626.php
#windows #windows11 #баги #sysadmin #проблемы #update
SecurityLab.ru
В Windows 11 завёлся бессмертный Диспетчер задач: инструмент, призванный чистить систему, теперь набивает её мусором
Очередное обновление ОС породило сбой в стиле сюжетов Кристофера Нолана.
👍2😱2
🔄 Windows: Hotpatching — обновления без перезагрузки сервера
Аптайм Windows серверов исторически измерялся интервалами между вторниками патчей. В 2026 году с выходом Windows Server 2025 концепция полностью изменилась. Теперь мы можем обновлять систему, не прерывая работу служб. Технология называется Hotpatching.
Как это работает:
Нюансы, о которых нужно знать:
Выходные сисадмина больше не принадлежат полосам загрузки сервера. Даже несмотря на требования к подписке, энтерпрайз с радостью принимает эти правила игры ради отсутствия даунтаймов в середине рабочего дня.
#windows #windowsserver #hotpatching #update #sysadmin #admin_future
Аптайм Windows серверов исторически измерялся интервалами между вторниками патчей. В 2026 году с выходом Windows Server 2025 концепция полностью изменилась. Теперь мы можем обновлять систему, не прерывая работу служб. Технология называется Hotpatching.
Как это работает:
Hotpatching модифицирует код исполняемых процессов прямо в оперативной памяти. Вам больше не нужно перезапускать процесс, приложение или саму операционную систему после установки критического патча безопасности. Пакеты обновлений стали в разы меньше и устанавливаются практически мгновенно.
Нюансы, о которых нужно знать:
— Только безопасность: Горячие патчи доставляют только критические исправления безопасности. Функциональные апдейты по-прежнему работают по старой схеме.
— Четыре перезагрузки в год: Полностью избавиться от ребутов не выйдет. Базовые обновления, требующие перезагрузки, будут приходить ежеквартально (в январе, апреле, июле и октябре). Остальные 8 месяцев инфраструктура работает без прерываний.
— Архитектурные требования: Для работы функции сервер должен поддерживать Virtualization-Based Security (VBS) и быть подключен к Azure Arc, так как функция распространяется по подписочной модели с тарификацией за ядро.
Выходные сисадмина больше не принадлежат полосам загрузки сервера. Даже несмотря на требования к подписке, энтерпрайз с радостью принимает эти правила игры ради отсутствия даунтаймов в середине рабочего дня.
#windows #windowsserver #hotpatching #update #sysadmin #admin_future