Windows: поднятие WSUS с нуля + автоматическая чистка
Чтобы экономить интернет-канал и ускорять обновления, админы поднимают локальный сервер WSUS. Настроить его можно за вечер, если идти по шагам.
1️⃣ Установка роли
Через PowerShell:
Мастер установки спросит:
Папку для хранения обновлений (лучше на отдельном диске).
Тип базы данных — встроенная WID (SQL не обязателен).
После установки запускаем мастер конфигурации.
2️⃣ Настройка сервера WSUS
▪️ Указываем апстрим-сервер (по умолчанию Microsoft Update).
▪️ Выбираем продукты: Windows 10/11, Windows Server 2019/2022.
▪️ Выбираем классификации:
Definition Updates (для Defender).
▪️ Настраиваем синхронизацию (ручная или по расписанию).
3️⃣ Настройка клиентов через GPO
В домене открываем GPMC → создаём политику.
Путь:
Computer Configuration → Policies → Administrative Templates → Windows Components → Windows Update
Основные параметры:
Specify intranet Microsoft update service location → http://wsus-server:8530
Configure Automatic Updates → 4 (автоматическая загрузка и установка).
Automatic Maintenance Activation Boundary → время установки.
Применяем GPO к OU с нужными ПК.
4️⃣ Первичная проверка
На клиенте:
Через 10–15 минут клиент должен появиться в консоли WSUS.
5️⃣ Автоматическая чистка WSUS
WSUS очень быстро разрастается, поэтому включаем регулярное обслуживание.
PowerShell-скрипт для чистки (сохраняем как wsus_cleanup.ps1):
📌 Добавь этот скрипт в Task Scheduler (например, раз в неделю ночью).
6️⃣ Поддержка и обслуживание
Следим за размером базы и хранилища.
Проверяем отчёты о применении обновлений.
Раз в месяц вручную запускаем Server Cleanup Wizard для проверки.
📊 Теперь клиенты получают обновления локально:
— быстрее,
— без нагрузки на внешний канал,
— с автоматическим обслуживанием WSUS.
#windows #update #wsus #powershell #automation
Чтобы экономить интернет-канал и ускорять обновления, админы поднимают локальный сервер WSUS. Настроить его можно за вечер, если идти по шагам.
1️⃣ Установка роли
Через PowerShell:
Install-WindowsFeature -Name UpdateServices -IncludeManagementTools
Мастер установки спросит:
Папку для хранения обновлений (лучше на отдельном диске).
Тип базы данных — встроенная WID (SQL не обязателен).
После установки запускаем мастер конфигурации.
2️⃣ Настройка сервера WSUS
▪️ Указываем апстрим-сервер (по умолчанию Microsoft Update).
▪️ Выбираем продукты: Windows 10/11, Windows Server 2019/2022.
▪️ Выбираем классификации:
Critical Updates
Security Updates
Definition Updates (для Defender).
▪️ Настраиваем синхронизацию (ручная или по расписанию).
3️⃣ Настройка клиентов через GPO
В домене открываем GPMC → создаём политику.
Путь:
Computer Configuration → Policies → Administrative Templates → Windows Components → Windows Update
Основные параметры:
Specify intranet Microsoft update service location → http://wsus-server:8530
Configure Automatic Updates → 4 (автоматическая загрузка и установка).
Automatic Maintenance Activation Boundary → время установки.
Применяем GPO к OU с нужными ПК.
4️⃣ Первичная проверка
На клиенте:
gpupdate /force
wuauclt /detectnow
Через 10–15 минут клиент должен появиться в консоли WSUS.
5️⃣ Автоматическая чистка WSUS
WSUS очень быстро разрастается, поэтому включаем регулярное обслуживание.
PowerShell-скрипт для чистки (сохраняем как wsus_cleanup.ps1):
[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration") | Out-Null
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer("localhost",$false)
$cleanupScope = new-object Microsoft.UpdateServices.Administration.CleanupScope `
-Property @{
DeclineSupersededUpdates = $true
DeclineExpiredUpdates = $true
CleanupObsoleteUpdates = $true
CompressUpdates = $true
CleanupObsoleteComputers = $true
CleanupUnneededContentFiles = $true
}
$cleanupManager = $wsus.GetCleanupManager()
$cleanupManager.PerformCleanup($cleanupScope)
Write-Output "WSUS cleanup complete"
📌 Добавь этот скрипт в Task Scheduler (например, раз в неделю ночью).
6️⃣ Поддержка и обслуживание
Следим за размером базы и хранилища.
Проверяем отчёты о применении обновлений.
Раз в месяц вручную запускаем Server Cleanup Wizard для проверки.
📊 Теперь клиенты получают обновления локально:
— быстрее,
— без нагрузки на внешний канал,
— с автоматическим обслуживанием WSUS.
#windows #update #wsus #powershell #automation
👍2
WSUS vs SCCM (ConfigMgr): когда пора апгрейдиться?
WSUS — простой сервер обновлений. Он кэширует патчи и раздаёт их клиентам. Но у него есть предел возможностей. Когда инфраструктура растёт, часто переходят на SCCM (Microsoft Endpoint Configuration Manager).
🔹 Что умеет WSUS
✅ Кэшировать обновления Microsoft (Windows, Office, Defender).
✅ Работает на встроенной базе WID или SQL.
✅ Управление через GPO.
✅ Бесплатен (часть Windows Server).
❌ Ограничения:
Только продукты Microsoft.
Нет детальной отчётности (какие апдейты встали, а какие нет).
Нет управления сторонними софтом/драйверами.
Консоль тормозит на больших базах (1000+ клиентов).
Требует ручной чистки и обслуживания.
🔹 Что добавляет SCCM (ConfigMgr)
✅ Полное управление обновлениями Microsoft + стороннего софта (Adobe, Java, драйверы).
✅ Поддержка Windows, Linux, macOS.
✅ Развёртывание ПО и конфигураций (application deployment).
✅ Инвентаризация железа и софта.
✅ Расширенная отчётность (какой апдейт где применился).
✅ Гибкие коллекции устройств, таргетинг, правила автоустановки.
✅ Интеграция с Intune (гибрид MDM).
❌ Минусы:
Сложнее в развертывании.
Требует полноценного SQL Server.
Нужны лицензии (Software Assurance или отдельные CAL).
🔹 Когда WSUS уже «не тянет»
Клиентов >1000.
Нужно управлять обновлениями сторонних приложений.
Требуется инвентаризация ПО/железа.
Руководство требует детальной отчётности.
Инфраструктура гибридная (on-prem + облако).
📌 Вывод
Для малого бизнеса или филиала на 100–500 ПК → WSUS = нормальное решение.
Для средней и крупной инфраструктуры → SCCM даёт полный контроль, особенно если нужно управлять не только апдейтами, но и всем софтом.
⚡ Совет: если WSUS уже «трещит по швам», попробуй Windows Update for Business (политики обновлений через Intune) — это упрощённый вариант для гибридных сетей.
#windows #update #wsus #sccm #configmgr
WSUS — простой сервер обновлений. Он кэширует патчи и раздаёт их клиентам. Но у него есть предел возможностей. Когда инфраструктура растёт, часто переходят на SCCM (Microsoft Endpoint Configuration Manager).
🔹 Что умеет WSUS
✅ Кэшировать обновления Microsoft (Windows, Office, Defender).
✅ Работает на встроенной базе WID или SQL.
✅ Управление через GPO.
✅ Бесплатен (часть Windows Server).
❌ Ограничения:
Только продукты Microsoft.
Нет детальной отчётности (какие апдейты встали, а какие нет).
Нет управления сторонними софтом/драйверами.
Консоль тормозит на больших базах (1000+ клиентов).
Требует ручной чистки и обслуживания.
🔹 Что добавляет SCCM (ConfigMgr)
✅ Полное управление обновлениями Microsoft + стороннего софта (Adobe, Java, драйверы).
✅ Поддержка Windows, Linux, macOS.
✅ Развёртывание ПО и конфигураций (application deployment).
✅ Инвентаризация железа и софта.
✅ Расширенная отчётность (какой апдейт где применился).
✅ Гибкие коллекции устройств, таргетинг, правила автоустановки.
✅ Интеграция с Intune (гибрид MDM).
❌ Минусы:
Сложнее в развертывании.
Требует полноценного SQL Server.
Нужны лицензии (Software Assurance или отдельные CAL).
🔹 Когда WSUS уже «не тянет»
Клиентов >1000.
Нужно управлять обновлениями сторонних приложений.
Требуется инвентаризация ПО/железа.
Руководство требует детальной отчётности.
Инфраструктура гибридная (on-prem + облако).
📌 Вывод
Для малого бизнеса или филиала на 100–500 ПК → WSUS = нормальное решение.
Для средней и крупной инфраструктуры → SCCM даёт полный контроль, особенно если нужно управлять не только апдейтами, но и всем софтом.
⚡ Совет: если WSUS уже «трещит по швам», попробуй Windows Update for Business (политики обновлений через Intune) — это упрощённый вариант для гибридных сетей.
#windows #update #wsus #sccm #configmgr
👍2
Критическая RCE-уязвимость в WSUS. Эксплоит уже в сети.
Напарники, все дела на паузу.
Microsoft выпустила внеплановые (out-of-band) обновления для устранения критической уязвимости в Windows Server Update Services (WSUS).
Уязвимость: CVE-2025-59287
Статус: Критический (RCE).
Угроза: Публично доступный PoC-эксплоит.
Что происходит: Удалённый, неаутентифицированный злоумышленник может выполнить произвольный код с правами SYSTEM на вашем WSUS-сервере. Уязвимость "червеобразная" (wormable), то есть может распространяться по сети самостоятельно.
Кого касается: Только тех серверов, где активирована роль WSUS Server Role. Если роли нет — вы в безопасности.
Что делать НЕМЕДЛЕННО: Установить соответствующие кумулятивные обновления. Они уже доступны. Требуется перезагрузка.
Windows Server 2025: KB5070881
Windows Server 23H2: KB5070879
Windows Server 2022: KB5070884
Windows Server 2019: KB5070883
Windows Server 2016: KB5070882
Windows Server 2012 R2: KB5070886
Windows Server 2012: KB5070887
Временные меры (если не можете обновиться ПРЯМО СЕЙЧАС):
Заблокируйте порты 8530 и 8531 на файрволе для всех, кроме доверенных хостов.
Или отключите роль WSUS (крайняя мера). В обоих случаях клиенты перестанут получать обновления.
Взгляд архитектора: Это кошмарный сценарий. Компрометация WSUS — это атака на цепочку поставок (supply chain attack) внутри вашего периметра.
Злоумышленник, получивший SYSTEM на WSUS, может:
Не обновлять ваши ПК, оставляя их уязвимыми.
Хуже: Подсовывать свои "обновления" (вредоносные) всем клиентам в домене.
Этот инцидент — повод для архитектурного аудита: почему к портам управления (8530/8531) вашего WSUS-сервера есть доступ с рабочих станций, а не только из выделенной подсети управления? Сегментация сети — это не опция, а необходимость.
#windows #security #wsus #cybersecurity #musthave #гайд #architect
Напарники, все дела на паузу.
Microsoft выпустила внеплановые (out-of-band) обновления для устранения критической уязвимости в Windows Server Update Services (WSUS).
Уязвимость: CVE-2025-59287
Статус: Критический (RCE).
Угроза: Публично доступный PoC-эксплоит.
Что происходит: Удалённый, неаутентифицированный злоумышленник может выполнить произвольный код с правами SYSTEM на вашем WSUS-сервере. Уязвимость "червеобразная" (wormable), то есть может распространяться по сети самостоятельно.
Кого касается: Только тех серверов, где активирована роль WSUS Server Role. Если роли нет — вы в безопасности.
Что делать НЕМЕДЛЕННО: Установить соответствующие кумулятивные обновления. Они уже доступны. Требуется перезагрузка.
Windows Server 2025: KB5070881
Windows Server 23H2: KB5070879
Windows Server 2022: KB5070884
Windows Server 2019: KB5070883
Windows Server 2016: KB5070882
Windows Server 2012 R2: KB5070886
Windows Server 2012: KB5070887
Временные меры (если не можете обновиться ПРЯМО СЕЙЧАС):
Заблокируйте порты 8530 и 8531 на файрволе для всех, кроме доверенных хостов.
Или отключите роль WSUS (крайняя мера). В обоих случаях клиенты перестанут получать обновления.
Взгляд архитектора: Это кошмарный сценарий. Компрометация WSUS — это атака на цепочку поставок (supply chain attack) внутри вашего периметра.
Злоумышленник, получивший SYSTEM на WSUS, может:
Не обновлять ваши ПК, оставляя их уязвимыми.
Хуже: Подсовывать свои "обновления" (вредоносные) всем клиентам в домене.
Этот инцидент — повод для архитектурного аудита: почему к портам управления (8530/8531) вашего WSUS-сервера есть доступ с рабочих станций, а не только из выделенной подсети управления? Сегментация сети — это не опция, а необходимость.
#windows #security #wsus #cybersecurity #musthave #гайд #architect
🔥2🤯2
🪟 Windows: WSUS мёртв — время признать это и выбрать замену
Коллеги, майский Patch Tuesday закрыт, обновления разложены по серверам. И самое время поговорить о вещи которую многие откладывают: WSUS deprecated с сентября 2024 и пора принять решение о замене.
Deprecation WSUS означает: Microsoft больше не будет разрабатывать новые функции. WSUS продолжает работать для Windows-обновлений, но IT-команды должны ожидать растущих ограничений — особенно в части поддержки современных ОС, облачных интеграций и patching сторонних приложений.
Три сценария и что выбрать в каждом:
Зачем это важно именно сейчас: большинство IT-команд начинают планировать миграцию потому что WSUS не будет эволюционировать, что со временем сделает его труднее совместимым с современными требованиями patching и безопасности. Ранний переход рекомендуется чтобы избежать будущих сбоев.
Итог: WSUS работает, но это тупик. Выбери сценарий, запиши план, поставь срок. Через год инфраструктура скажет тебе спасибо.
#windows #wsus #patching #sysadmin #admin_future
Коллеги, майский Patch Tuesday закрыт, обновления разложены по серверам. И самое время поговорить о вещи которую многие откладывают: WSUS deprecated с сентября 2024 и пора принять решение о замене.
Deprecation WSUS означает: Microsoft больше не будет разрабатывать новые функции. WSUS продолжает работать для Windows-обновлений, но IT-команды должны ожидать растущих ограничений — особенно в части поддержки современных ОС, облачных интеграций и patching сторонних приложений.
Три сценария и что выбрать в каждом:
СЦЕНАРИЙ 1: Hybrid / Entra-joined + Intune
Решение: Windows Autopatch (уже включён в Intune)
Что даёт: автоматический patching по кольцам,
hotpatch для WS2025 без перезагрузки,
reporting по compliance в одном месте
Цена: включено в Microsoft 365 E3/E5
СЦЕНАРИЙ 2: On-premises, air-gapped или строгий контроль
Решение: Microsoft Configuration Manager (SCCM/MECM)
Что даёт: полный контроль над approvals и расписанием,
поддержка всех версий Windows включая offline,
третьесторонние обновления через Software Updates
Цена: лицензия MECM / System Center
СЦЕНАРИЙ 3: Смешанный парк (Windows + Linux + macOS)
Решение: Azure Update Manager (бесплатно для Azure VM,
Azure Arc для on-prem)
Что даёт: единая консоль для всех ОС,
schedule patching, compliance reporting
Цена: Azure Arc $6/сервер/месяц для on-prem
СЦЕНАРИЙ 4: Небольшой парк, нет облака, нет бюджета
Решение: оставляем WSUS ещё на год-два
(работает, просто не развивается),
параллельно оцениваем open-source:
- wsusoffline.net (автономная синхронизация)
- Ansible для применения патчей без WSUS
# Аудит текущего WSUS — что сейчас не в порядке:
# Типичные проблемы которые будут только хуже:
# 1. Размер базы WSUS (растёт бесконтрольно):
$wsus = Get-WsusServer
$db = $wsus.GetDatabaseConfiguration()
Write-Host "WSUS DB size: approximately large"
# Запускаем очистку (должна быть в cron уже):
Invoke-WsusServerCleanup `
-CleanupObsoleteComputers `
-CleanupUnneededContentFiles `
-CompressUpdates `
-CleanupObsoleteUpdates `
-DeclineExpiredUpdates `
-DeclineSupersededUpdates
# 2. Клиенты которые давно не чекинились (признак drift):
Get-WsusComputer | Where-Object {
$_.LastSyncTime -lt (Get-Date).AddDays(-30)
} | Select-Object FullDomainName, LastSyncTime |
Sort-Object LastSyncTime |
Export-Csv "wsus_stale_clients.csv" -NoTypeInformation
Зачем это важно именно сейчас: большинство IT-команд начинают планировать миграцию потому что WSUS не будет эволюционировать, что со временем сделает его труднее совместимым с современными требованиями patching и безопасности. Ранний переход рекомендуется чтобы избежать будущих сбоев.
Итог: WSUS работает, но это тупик. Выбери сценарий, запиши план, поставь срок. Через год инфраструктура скажет тебе спасибо.
#windows #wsus #patching #sysadmin #admin_future
✍1