Patch management на 500 ПК: WSUS бесплатен, но SCCM умеет больше
Сравниваем WSUS 3.0 SP2 и SCCM 2007 R3 для корпоративного клиента с 500 машинами. Настраиваем полный цикл: инвентаризация, патчинг, compliance-отчёты.
Microsoft SCCM 2007 R3 и WSUS 3.0 SP2 - стандарт patch management в корпоративной среде 2011 года
Клиент пришёл с типовой болью: около 500 рабочих станций и серверов, патчи ставятся вручную или не ставятся вообще, на компьютерах разброс версий ОС от XP до Windows 7, и никто не знает, у кого какой уровень обновлений. Последней каплей стал аудит по 152-ФЗ, где проверяющий ткнул пальцем в колонку «актуальность ПО».
Задача понятная: выстроить централизованный patch management с нормальными отчётами и минимальным участием живых людей. Начали с выбора инструмента.
WSUS: бесплатно, но с оговорками
Windows Server Update Services 3.0 SP2 - очевидный первый кандидат. Бесплатно, встроено в Windows Server, умеет раздавать обновления Microsoft по локальной сети и экономить канал. Настраивается за день.
Мы с WSUS работаем давно и знаем его возможности и ограничения достаточно хорошо.
Что WSUS делает хорошо. Обновления Windows, Office, .NET, SQL Server, IE - всё это раздаётся нормально. Групповые политики позволяют настроить окна обслуживания, автоматическое одобрение, расписание. Встроенные отчёты показывают, у кого что не установлено. Для небольшой однородной среды - отличный выбор.
Что WSUS не умеет. Не-Microsoft-патчи - мимо. Adobe Reader, Java, Firefox, Oracle-клиент, любые сторонние приложения - WSUS их не видит и не трогает. А именно через Java и Adobe Reader половина заражений и приходит. Инвентаризации железа и ПО нет. Compliance-отчётов в нормальном виде нет - есть только статус установки обновлений Microsoft. Развёртывание ПО тоже не его тема.
Для 500 машин со смешанным парком ПО этого маловато. Поэтому пошли дальше.
SCCM 2007 R3: тяжёлая артиллерия
System Center Configuration Manager 2007 R3 - это уже другой масштаб. Лицензия стоит денег (и немалых), требования к инфраструктуре серьёзные, внедрение занимает не день, а несколько недель. Зато возможности на порядок шире.
Software Update Management в SCCM работает поверх WSUS: тот по-прежнему скачивает обновления Microsoft, а SCCM берёт управление на себя - создаёт пакеты обновлений, deployment packages, настраивает maintenance windows на уровне коллекций машин, считает compliance. Но главное - через SCCM можно деплоить и не-Microsoft-патчи, упаковав их в стандартные пакеты.
Hardware и Software Inventory - SCCM собирает детальный инвентарь: железо, установленное ПО, версии, серийники. Это само по себе закрывает несколько головных болей помимо патчинга.
Compliance Settings (Desired Configuration Management) позволяет описать желаемое состояние системы - версия Adobe Reader не ниже такой-то, Java установлена конкретной версии, определённые политики применены - и получать отчёты об отклонениях. Для аудита и регуляторных требований это именно то, что нужно.
Как разворачивали
Первым делом - инвентаризация. Установили SCCM-клиент на все машины через GPO, дали неделю на сбор данных. Картина оказалась предсказуемо неприятной: версии Adobe Reader от 8.x до 10.x вперемешку, Java в нескольких разных версиях, несколько машин с ОС без единого обновления за последние полгода.
Дальше настроили иерархию: один Central Site на главном офисе, два Secondary Site в филиалах. WSUS синхронизируется с Microsoft, SCCM берёт оттуда одобренные обновления и распихивает по Distribution Point-ам на местах. Клиенты скачивают с ближайшего DP, а не через WAN.
Maintenance windows выставили по коллекциям - отдельно серверы (узкое окно, строго ночью, с одобрения), отдельно рабочие станции (шире, по выходным). Критические обновления безопасности - отдельная политика с более коротким циклом одобрения.
Для сторонних патчей сделали несколько пакетов: Adobe Reader (брали msi с сайта Adobe), Java (через msi с ключами тихой установки), Firefox. Упаковали в Software Distribution, подвесили на те же коллекции. Тихая установка без уведомлений пользователю - люди не замечают.
Compliance-отчёты настроили под аудиторские требования: процент машин с актуальными обновлениями Microsoft, машины с уязвимыми версиями Java, сводка по критическим патчам за квартал. Отчёты уходят на почту ответственному раз в неделю.
Что получилось через месяц
Через месяц после внедрения картина изменилась. Процент машин с актуальными обновлениями Microsoft вырос до нормального уровня. Старые версии Adobe Reader и Java постепенно вытесняются. Инвентарь есть и актуален.
Главное - это теперь процесс, а не разовая акция. Новое обновление выходит, WSUS его скачивает, инженер одобряет в SCCM, через неделю оно стоит на всём парке. Без ручного обхода, без «забыли эту группу машин».
Стоимость внедрения SCCM выглядела пугающе на старте - лицензии плюс несколько недель работы. Но при 500 машинах ручной патчинг или частичное покрытие WSUS-ом дороже: один инцидент из-за непропатченной Java окупит лицензии SCCM с запасом.
WSUS остался в схеме как транспорт для Microsoft-обновлений. Но управляет всем SCCM. Примерно как бесплатный грузовик против диспетчерской системы - грузовик нужен, но без диспетчера далеко не уедешь.
Если разбираете похожую задачу - сопровождение инфраструктуры включает аудит текущего состояния patch management и проектирование под конкретный парк.