ADG Оставить заявку
Блог Системное администрирование 4 мин чтения

Patch management на 500 ПК: WSUS бесплатен, но SCCM умеет больше

Сравниваем WSUS 3.0 SP2 и SCCM 2007 R3 для корпоративного клиента с 500 машинами. Настраиваем полный цикл: инвентаризация, патчинг, compliance-отчёты.

Контекст момента

Microsoft SCCM 2007 R3 и WSUS 3.0 SP2 - стандарт patch management в корпоративной среде 2011 года

Клиент пришёл с типовой болью: около 500 рабочих станций и серверов, патчи ставятся вручную или не ставятся вообще, на компьютерах разброс версий ОС от XP до Windows 7, и никто не знает, у кого какой уровень обновлений. Последней каплей стал аудит по 152-ФЗ, где проверяющий ткнул пальцем в колонку «актуальность ПО».

Задача понятная: выстроить централизованный patch management с нормальными отчётами и минимальным участием живых людей. Начали с выбора инструмента.

WSUS: бесплатно, но с оговорками

Windows Server Update Services 3.0 SP2 - очевидный первый кандидат. Бесплатно, встроено в Windows Server, умеет раздавать обновления Microsoft по локальной сети и экономить канал. Настраивается за день.

Мы с WSUS работаем давно и знаем его возможности и ограничения достаточно хорошо.

Что WSUS делает хорошо. Обновления Windows, Office, .NET, SQL Server, IE - всё это раздаётся нормально. Групповые политики позволяют настроить окна обслуживания, автоматическое одобрение, расписание. Встроенные отчёты показывают, у кого что не установлено. Для небольшой однородной среды - отличный выбор.

Что WSUS не умеет. Не-Microsoft-патчи - мимо. Adobe Reader, Java, Firefox, Oracle-клиент, любые сторонние приложения - WSUS их не видит и не трогает. А именно через Java и Adobe Reader половина заражений и приходит. Инвентаризации железа и ПО нет. Compliance-отчётов в нормальном виде нет - есть только статус установки обновлений Microsoft. Развёртывание ПО тоже не его тема.

Для 500 машин со смешанным парком ПО этого маловато. Поэтому пошли дальше.

SCCM 2007 R3: тяжёлая артиллерия

System Center Configuration Manager 2007 R3 - это уже другой масштаб. Лицензия стоит денег (и немалых), требования к инфраструктуре серьёзные, внедрение занимает не день, а несколько недель. Зато возможности на порядок шире.

Software Update Management в SCCM работает поверх WSUS: тот по-прежнему скачивает обновления Microsoft, а SCCM берёт управление на себя - создаёт пакеты обновлений, deployment packages, настраивает maintenance windows на уровне коллекций машин, считает compliance. Но главное - через SCCM можно деплоить и не-Microsoft-патчи, упаковав их в стандартные пакеты.

Hardware и Software Inventory - SCCM собирает детальный инвентарь: железо, установленное ПО, версии, серийники. Это само по себе закрывает несколько головных болей помимо патчинга.

Compliance Settings (Desired Configuration Management) позволяет описать желаемое состояние системы - версия Adobe Reader не ниже такой-то, Java установлена конкретной версии, определённые политики применены - и получать отчёты об отклонениях. Для аудита и регуляторных требований это именно то, что нужно.

Как разворачивали

Первым делом - инвентаризация. Установили SCCM-клиент на все машины через GPO, дали неделю на сбор данных. Картина оказалась предсказуемо неприятной: версии Adobe Reader от 8.x до 10.x вперемешку, Java в нескольких разных версиях, несколько машин с ОС без единого обновления за последние полгода.

Дальше настроили иерархию: один Central Site на главном офисе, два Secondary Site в филиалах. WSUS синхронизируется с Microsoft, SCCM берёт оттуда одобренные обновления и распихивает по Distribution Point-ам на местах. Клиенты скачивают с ближайшего DP, а не через WAN.

Maintenance windows выставили по коллекциям - отдельно серверы (узкое окно, строго ночью, с одобрения), отдельно рабочие станции (шире, по выходным). Критические обновления безопасности - отдельная политика с более коротким циклом одобрения.

Для сторонних патчей сделали несколько пакетов: Adobe Reader (брали msi с сайта Adobe), Java (через msi с ключами тихой установки), Firefox. Упаковали в Software Distribution, подвесили на те же коллекции. Тихая установка без уведомлений пользователю - люди не замечают.

Compliance-отчёты настроили под аудиторские требования: процент машин с актуальными обновлениями Microsoft, машины с уязвимыми версиями Java, сводка по критическим патчам за квартал. Отчёты уходят на почту ответственному раз в неделю.

Что получилось через месяц

Через месяц после внедрения картина изменилась. Процент машин с актуальными обновлениями Microsoft вырос до нормального уровня. Старые версии Adobe Reader и Java постепенно вытесняются. Инвентарь есть и актуален.

Главное - это теперь процесс, а не разовая акция. Новое обновление выходит, WSUS его скачивает, инженер одобряет в SCCM, через неделю оно стоит на всём парке. Без ручного обхода, без «забыли эту группу машин».

Стоимость внедрения SCCM выглядела пугающе на старте - лицензии плюс несколько недель работы. Но при 500 машинах ручной патчинг или частичное покрытие WSUS-ом дороже: один инцидент из-за непропатченной Java окупит лицензии SCCM с запасом.

WSUS остался в схеме как транспорт для Microsoft-обновлений. Но управляет всем SCCM. Примерно как бесплатный грузовик против диспетчерской системы - грузовик нужен, но без диспетчера далеко не уедешь.

Если разбираете похожую задачу - сопровождение инфраструктуры включает аудит текущего состояния patch management и проектирование под конкретный парк.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.