Для забезпечення безпеки і підтримки актуального стану операційної системи дуже важливо регулярно завантажувати і встановлювати останні оновлення. Оновлення може виконуватися як кожним клієнтським комп'ютером з сайту Microsoft Update, так і централізовано, за допомогою використання сервера Windows Server Update Services (WSUS).

У корпоративної мережі рекомендується використання сервера WSUS, так як при цьому досягається значне зниження Інтернет трафіку і забезпечується можливість централізованого управління процесом розгортання оновлень.

Найкращим способом налаштування автоматичного оновлення є використання групових політик, проте це можливо тільки в разі, якщо в організації є служба каталогів Active Directory.Якщо ж AD в організації не розгорнута і комп'ютери знаходяться в робочих групах, то доменні групові політики відпадають і налаштувати клієнта на використання WSUS можна або за допомогою локальної групової політики, або шляхом прямого внесення змін до реєстру комп'ютера.

Попереднє налаштування

Спочатку нам необхідно зробити деякі налаштування на сервері WSUS. Відкриваємо консоль управління WSUS і в розділі «Computers» створюємо нову групу, до якої входитимуть наші комп'ютери. Назвемо її Workgroup.

Створивши групу йдемо на вкладку «Options» і там, в розділі « Computers »вказуємо сервера WSUS розміщувати комп'ютери в групах відповідно до груповим політикам або налаштувань реєстру.В іншому випадку все нові комп'ютери автоматично потрапляють в групу Unassigned Computers.

Групова політика

Тепер можна приступати до налаштування клієнта. Заходимо на клієнтський комп'ютер, натискаємо Win + R і набираємо команду gpedit.msc. Відкривається редактор локальної політики комп'ютера.За настройку оновлень відповідає розділ Конфігурація комп'ютера - Адміністративні шаблони - Компоненти Windows - Windows Update.

нам треба встановити такі політики:

Вказати розміщення служби оновлень Microsoft в інтрамережі - задаємо адресу або ім'я сервера оновлень, до якого потрібно з'єднатися клієнта, а також адреса сервера статистики.Можна вказати один і той же адресу для обох завдань.

Дозволити клієнту приєднання до цільової групи - вказуємо ім'я групи на сервері WSUS, до якої повинен бути приєднаний даний комп'ютер. У нашому випадку це Workgroup.

Автоматичне оновлення - тут ми задаємо режим завантаження та встановлення оновлень і розклад, за яким оновлення будуть встановлюватися.Якщо розклад не буде, то за замовчуванням оновлення будуть встановлюватися щодня о 3 годині ночі.

Частота пошуку автоматичних оновлень - вказуємо частоту звернень до сервера для перевірки на наявність оновлень. Тепер звернення до сервера WSUS відбуватимуться через заданий проміжок часу з випадковим відхиленням для перевірки наявності дозволених для установки оновлень.

Передача запланованих автоматичних установок оновлень - задаємо час очікування перед установкою оновлень в тому випадку, якщо планова Час установлюється з якихось причин.

чи не виконувати автоматичну перезавантаження, якщо в системі працюють користувачі - даємо користувачеві можливість вибору часу перезавантаження після установки оновлення.Якщо цей параметр не заданий або відключений, то користувачеві видається повідомлення і комп'ютер автоматично перезавантажується через 5 хвилин.

Реєстр

Тепер ті ж настройки зробимо за допомогою редагування реєстру.

Йдемо в розділ реєстру HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate.Якщо розділу немає - створюємо його. У розділі створюємо такі ключі:

"WUServer" = http://192.168.0.1 - адреса сервера оновлень;
"WUStatusServer" = http://192.168.0.1 - адреса сервера статистики;
"TargetGroupEnabled" = dword: 00000001 - розміщувати комп'ютер в цільовій групі;
"TargetGroup" = "Workgroup" - ім'я цільової групи для комп'ютера.

Далі в розділі HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU створюємо ключі :

"NoAutoUpdate" = dword: 00000000 - автоматичне оновлення включено;
"AUOptions" = dword: 00000004 - завантажувати та встановлювати оновлення за розкладом;
"ScheduledInstallDay" = dword: 00000001 - встановлювати оновлення в 1-й день тижня (неділя).Для щоденного оновлення потрібно задати нульове значення;
"ScheduledInstallTime" = dword: 00000003 - встановлювати оновлення о 03:00 години;
"UseWUServer" = dword: 00000001 - використовувати для оновлень сервер WSUS. Якщо задано нульове значення, то оновлення проводиться з Microsoft Update;
"DetectionFrequencyEnabled" = dword: 00000001 - частота перевірки оновлень включена;
"DetectionFrequency" = dword: 00000012 - перевіряти наявність оновлень на сервері кожні 12 годин;
"RescheduleWaitTimeEnabled" = dword: 00000001 - переносити пропущену установку оновлень;
"RescheduleWaitTime" = dword: 00000010 - запускати пропущену установку оновлень через 10 хвилин після включення комп'ютера;
"NoAutoRebootWithLoggedOnUsers" = dword: 00000001 - НЕ перезавантажувати комп'ютер автоматично, якщо на ньому працюють користувачі.

Автоматизація настройки

Якщо налаштовувати належить не один комп'ютер, то процес можна автоматизувати. Для цього відкриваємо Блокнот, створюємо reg-файл і додаємо в необхідні ключі реєстру. У нашому випадку вийшов ось такий файл:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate]
"WUServer" = "http://192.168.0.1"
"WUStatusServer" = "http://192.168.0.1 "
" TargetGroupEnabled "= dword: 00000001
" TargetGroup "=" Workgroup "

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU]
"NoAutoUpdate" = dword: 00000000
"AUOptions" = dword: 00000004
"ScheduledInstallDay" = dword: 00000001
"ScheduledInstallTime" = dword: 00000003
"UseWUServer" = dword: 00000001
"DetectionFrequencyEnabled" = dword: 00000001
"DetectionFrequency" = dword: 00000012
"RescheduleWaitTimeEnabled" = dword: 00000001
"RescheduleWaitTime" = dword: 00000010
"NoAutoRebootWithLoggedOnUsers" = dword: 00000001

Тепер для налаштування автоматичного оновлення буде досить перенести цей файл на цільовий комп'ютер і виконати його.

Можливі проблеми

Якщо після настройки комп'ютери не з'являються в консолі WSUS, це може бути пов'язано з тим, що робочі станції підготовлені з використанням неправильно підготовлених образів, тобто без використання утиліти sysprep або аналогічних програм. В цьому випадку машина може мати дублюючі значення SusClientID в реєстрі.

Для вирішення проблеми необхідно провести на клієнті наступні дії:

• виконати в консолі cmd команду net stop wuauserv, щоб зупинити службу автоматичного оновлення;
• запустити regedit і перейти в гілку реєстру HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WindowsUpdate;
• видалити ключі PingID, AccountDomainSid, SusClientId, SusClientIDValidation (якщо є);
• видалити весь вміст папки % WinDir% \ SoftwareDistribution (неофіційна рекомендація);
• в консолі виконати команду net start wuauserv, щоб запустити службу автоматичного оновлення;
• в консолі виконати команду wuauclt.exe/resetauthorization/detectnow і почекати, поки завершиться реєстрація робочої станції на сервері WSUS (10-15 хвилин);
• якщо комп'ютер в консолі не з'явилося, то виконати команду wuauclt.exe/detectnow. Зазвичай одного повтору досить, але може знадобитися і більше;
• зайти в консоль управління WSUS і переконатися, що робоча станція успішно зареєструвалася..