Для обеспечения безопасности и поддержания актуального состояния операционной системы очень важно регулярно загружать и устанавливать последние обновления. Обновление может выполняться как каждым клиентским компьютером с сайта Microsoft Update, так и централизованно, посредством использования сервера Windows Server Update Services (WSUS). В корпоративной сети рекомендуется использование сервера WSUS, так как при этом достигается значительное снижение Интернет трафика и обеспечивается возможность централизованного управления процессом развертывания обновлений. Наилучшим способом настройки автоматического обновления является использование групповых политик, однако это возможно только в случае, если в организации есть служба каталогов Active Directory. Если же AD в организации не развернута и компьютеры находятся в рабочих группах, то доменные групповые политики отпадают и настроить клиента на использование WSUS можно либо посредством локальной групповой политики, либо путем прямого внесения изменений в системный реестр компьютера. Предварительная настройка Сначала нам необходимо произвести некоторые настройки на сервере WSUS. Открываем консоль управления WSUS и в разделе «Computers» создаем новую группу, в которую будут входить наши компьютеры. Назовем ее Workgroup.
Создав группу идем на вкладку «Options» и там, в разделе «Computers» указываем серверу WSUS размещать компьютеры в группах согласно групповым политикам или настройкам реестра. В противном случае все новые компьютеры автоматически попадают в группу Unassigned Computers. Настраиваем через Групповая политика Теперь можно приступать к настройке клиента. Заходим на клиентский компьютер, нажимаем Win+R и набираем команду gpedit.msc. Открывается редактор локальной политики компьютера. За настройку обновлений отвечает раздел Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows. Нам надо настроить следующие политики: Указать размещение службы обновлений Microsoft в интрасети — задаем адрес или имя сервера обновлений, к которому будет выполняться подключение клиента, а также адрес сервера статистики. Можно указать один и тот же адрес для обеих задач. Разрешить клиенту присоединение к целевой группе - указываем имя группы на сервере WSUS, к которой должен быть присоединен данный компьютер. В нашем случае это Workgroup. Настройка автоматического обновления — здесь мы задаем режим загрузки и установки обновлений и расписание, по которому обновления будут устанавливаться. Если расписание не задано, то по умолчанию обновления будут устанавливаться ежедневно в 3 часа ночи. Частота поиска автоматических обновлений — указываем частоту обращений к серверу для проверки на наличие обновлений. Теперь обращения к серверу WSUS будут происходить через заданный промежуток времени со случайным отклонением для проверки наличия разрешенных для установки обновлений. Перенос запланированных автоматических установок обновлений — задаем время ожидания перед установкой обновлений в том случае, если плановая установка была пропущена по каким-либо причинам. Не выполнять автоматическую перезагрузку, если в системе работают пользователи — даем пользователю возможность выбора времени перезагрузки после установки обновлений. Если этот параметр не задан или отключен, то пользователю выдается уведомление и компьютер автоматически перезагружается через 5 минут. Настраиваем через Реестр Идем в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate. Если раздела нет — создаем его. В разделе создаем следующие ключи: ″WUServer″=http://192.168.0.1 — адрес сервера обновлений; ″WUStatusServer″=http://192.168.0.1 — адрес сервера статистики; ″TargetGroupEnabled″=dword:00000001 — размещать компьютер в целевой группе; ″TargetGroup″=″Workgroup″ — имя целевой группы для компьютера. 
Далее в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU создаем ключи: ″NoAutoUpdate″=dword:00000000 — автоматическое обновление включено; ″AUOptions″=dword:00000004 - загружать и устанавливать обновления по расписанию; ″ScheduledInstallDay″=dword:00000001 — устанавливать обновления в 1-й день недели (воскресенье). Для ежедневного обновления нужно задать нулевое значение; ″ScheduledInstallTime″=dword:00000003 — устанавливать обновления в 03:00 часа; ″UseWUServer″=dword:00000001 — использовать для обновлений сервер WSUS. Если задано нулевое значение, то обновление производится с Microsoft Update; ″DetectionFrequencyEnabled″=dword:00000001 — частота проверки обновлений включена; ″DetectionFrequency″=dword:00000012 — проверять наличие обновлений на сервере каждые 12 часов; ″RescheduleWaitTimeEnabled″=dword:00000001 — переносить пропущенную установку обновлений; ″RescheduleWaitTime″=dword:00000010 — запускать пропущенную установку обновлений через 10 минут после включения компьютера; ″NoAutoRebootWithLoggedOnUsers″=dword:00000001 — не перезагружать компьютер автоматически, если на нем работают пользователи. 
Автоматизация настройки Если настраивать предстоит не один компьютер, то процесс можно автоматизировать. Для этого открываем Блокнот, создаем reg-файл и добавляем в необходимые ключи реестра. В нашем случае получился вот такой файл: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] ″WUServer″=″http://192.168.0.1″ ″WUStatusServer″=″http://192.168.0.1″ ″TargetGroupEnabled″=dword:00000001 ″TargetGroup″=″Workgroup″ [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] ″NoAutoUpdate″=dword:00000000 ″AUOptions″=dword:00000004 ″ScheduledInstallDay″=dword:00000001 ″ScheduledInstallTime″=dword:00000003 ″UseWUServer″=dword:00000001 ″DetectionFrequencyEnabled″=dword:00000001 ″DetectionFrequency″=dword:00000012 ″RescheduleWaitTimeEnabled″=dword:00000001 ″RescheduleWaitTime″=dword:00000010 ″NoAutoRebootWithLoggedOnUsers″=dword:00000001 Теперь для настройки автоматического обновления будет достаточно перенести этот файл на целевой компьютер и выполнить его. Возможные проблемы Если после настройки компьютеры не появляются в консоли WSUS, это может быть связано с тем, что рабочие станции подготовлены с использованием неправильно подготовленных образов, т.е. без использования утилиты sysprep или аналогичных программ. В этом случае машина может иметь дублирующие значения SusClientID в реестре. Для решения проблемы необходимо произвести на клиенте следующие действия: •выполнить в консоли cmd команду net stop wuauserv, чтобы остановить службу автоматического обновления; •запустить regedit и перейти в ветку реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate; •удалить ключи PingID, AccountDomainSid, SusClientId, SusClientIDValidation (если есть); •удалить всё содержимое папки %WinDir%\SoftwareDistribution (неофициальная рекомендация); •в консоли выполнить команду net start wuauserv, чтобы запустить службу автоматического обновления; •в консоли выполнить команду wuauclt.exe /resetauthorization /detectnow и подождать, пока завершится регистрация рабочей станции на сервере WSUS (10-15 минут); •если компьютер в консоли не появился, то выполнить команду wuauclt.exe /detectnow. Обычно одного повтора достаточно, но может потребоваться и больше; •зайти в консоль управления WSUS и убедиться, что рабочая станция успешно зарегистрировалась.
| 
