Günümüzde Sistem Yöneticilerinin çalıştıkları firmalarda en çok başlarını ağrıtan şey kuşkusuzdur ki her yeni gün, şirkete geldiklerinde sistemlerini tehtid eden virüsler ve Microsoft?un sunmuş olduğu yamalardır. Bir sistem yöneticisi olarak networkünüzün güvenliğini sağlamak tabii ki sizin en önemli görevlerinizdendir.
Yama yönetimi son zamanlarda oldukça dikkate alınması gereken bir process olmuş, bunun takibi de yönetimi kadar büyük bir önem derecesine gelmiştir. Özellikle 2003 yılında Patch Gap dediğimiz,bir işletim sisteminde herhangi bir açığın bulunması, buna uygun virüsün yazılması ve sistemleri etkilemesi arasında geçen zaman gitgide azalmıştır. Nimda virüsü sistemleri 331 günde etkilerken SQL Slammer 181 günde,Welchia 151 günde ve çok iyi tanıdığımız Blaster Worm tam 25 gün içinde sistemlerimize girip networkümüzü etkilemeyi başarmıştır. Görüldüğü üzere bir açığın bulunmasıyla bizi etkilemesi arasında geçen zaman neredeyse 1 seneyken artık günümüzde 1 aydan daha kısa bir zamana ulaşmıştır.
Bu tarz solucanlardan ve virüslerden etkilenmemek için alabileceğimiz önlemler arasında Patch Management dışında Antivirüs kullanımını ve tabi ki Firewall kullanımını örnek gösterebiliriz.Yine güvenlik açısından şirket içi haberleşme ve dosya transferi esnasında encryption kullanmak ta güvenliğimizi arttırıcı bir unsur olabilmektedir.
Şimdi isterseniz biz gelelim asıl konumuz olan SUS Servera.
SUS server tamamiyle otomatiğe alınmış bir yama yönetimi sistemidir.Kısaca bir şirkete kurduğumuzda Microsoftun sunmuş olduğu yamaları kendi üzerine download edip herhangi bir yönetimsel çaba olmadan kullanıcılara dağıtabilen faydalı bir programdır.Bu yazımda da sizlere nasıl kurulur, nasıl yönetilir, detayları nelerdir biraz bunlardan bahsediyor olacağım.
Kurulum Aşaması:
Kurulum için öncelikle Windows Server 2000 ya da 2003 ailesine ihtiyacımız var.Eğer 2000 kullanacaksak üzerinde minimum Service Pack 2 bulunması koşulumuz var.Bunun yanı sıra minimum konfigürasyon olarak Pentium III 700 işlemci 512 MB RAM ve 6 GB harddiske ihtiyacımız var. Harddisk ihtiyacımız download edecek olduğumuz yamalardan kaynaklanıyor. Kurmuş olduğumuz işletim sistemi üzerinde yine minimum IIS 5.0 ve Internet Explorer 6.0 olması gerekiyor ve tabi ki tüm bunların bir NTFS partition üzerinde kurulmuş olması gerekiyor.
Böyle bir makineyi hazırladıktan sonra 2. aşama olarak Software Update Servicesi yüklememiz gerekiyor.Bunun için www.susserver.com ya da www.microsoft.com/sus adresinden gerekli installation paketini ücretsiz oalrak download ediyoruz.(Yaklaşık 33Mb lık bir paket)
Kurulumu başlatınca bize önce lisans kabul ettirecek ardından da typical mı yoksa custom kurulumu mu istiyoruz bunu soracak. Burada seçtiğiniz cevap eğer custom olursa gerekli optionları önceden ayarlamış olacaksınız.Typical seçerseniz ayarları daha sonradan değiştirmeniz gerekecek.Biz typical seçtiğimizi varsayarak devam edelim.
SUS Server kurulumu tamamlanırken bize soracağı önemli bir soru var.Sus serverın adı ne olsun ?
Bu alanda default olarak http://ComputerName görünecek.Bunu değiştirip değiştirmemek sizin elinizde ancak unutmayın ki kullanıcılarınız update servera bağlanmak için burada yazan adresi kullanacaklar.
Installation devam ederken arka planda IIS Lockdown tool ve URL Scanner kurulumu da aynı zamanda otomatik olarak kuruluyor ve konfigüre ediliyor olacaklar.Bu programlar sisteminizde çalışan IIS?in daha güvenli bir şekilde çalışmasını sağlayacak gereksiz portları kapatacaktır... Kurulum bittikten sonra karşınıza aşağıdaki gibi bir Explorer penceresi açılacaktır.
Figure 1 ANASAYFA
Yukarıda gördüğünüz gibi Sus serverımızın adresi http://win2003/susadmin. Yani kullanıcılarımızın yamalarını alabilmeleri için bu adresi biliyor olmaları gerekiyor. Şimdi kurulumumuz tamamlandı gelelim bundan sonra yapmamız gereken ayarlara ve adımlara.
Konfigürasyon Aşaması:
Karşımıza gelmiş olan bu Explorer penceresinden istediğimiz tüm ayarları yapabiliyoruz. Öncelikle Set Options kısmına girip gerekli bağlantıyı sağlamak için ayarlarımızı yapalım.
Figure 2 Set Options
Eğer şirketimizde bulunan bir Proxy serverımız yoksa direk internet çıkışı sağlayabiliyorsak ?Do not use a Proxy server to access the internet ? seçeneğini tıklıyoruz. Ancak eğer halihazırda bir proxymiz varsa bu durumda bir alt seçeneği tıklayıp gerekli IP Adresini ve portunu ve gerekli olabilecek diğer kullanıcı ve şifre gibi alanları doldurmalıyız. Sus serverımızın ciddi çalışabilmesi için bu kısım çok önemli. İnternet bağlantımız olmadığı taktirde Microsoft Windows Update Serverlarıyla senkronize çalışmamıza olanak yok unutmayalım.
Figure 3 Set Options
Sus Serverımızın internet bağlantısını da sağladıktan sonra sıra Senkronizasyonun ne şekilde yapılacağına geliyor. Eğer networkümüzdeki ilk SUS ise Synchronize directly from the Microsoft Windows Update servers seçeneğini tıklıyoruz. Fakat kuracağımız bu sus server networkteki diğer bir sus serverla senkronize çalışacaksa Local Software update Services seçeneğini tıklayıp o sus serverın adresini giriyoruz. Bu durumda bir bakıma şirketimizdeki internet trafiğini azaltmış oluyoruz.
Bir alttaki seçenekte Approve Updates diye bir kısım görüyoruz.Bu kısım yamaların yeni versyonları download edildikten sonra kullanıcılara gönderilip gönderilmeyeceği ile ilgili bir kısım.Yeni gelen bir update Administrator tarafından approve edilmemişse yani onaylanmamışsa bu yamalar kullanıcılara gönderilmiyorlar.Bu kısımda 2 seçeneğiniz var. Ya otomatik ya da manuel.Eğer manueli seçerseniz bu yamalar sizin onayınız gelmeden kullanıcılarınıza gönderilmeyecektir.Otomatikte ise yama geldiği andan itibaren kullanıcılarınıza gönderilmeye başlayacaktır.
Bu ayarlarımızı da yaptıktan sonra sıra geldi dil desteğine. Bu kısımda çekilecek olan yamaların hangi dilde olması gerektiğinin seçimini yapıyoruz. Bizim için en mantıklısı, ki eğer farklı dil desteğine ihtiyacı olacak kullanıcılarımız yoksa, standart olarak İngilizce ve Türkçedir.
Figure 4 Set Options
Böylece internetten gelecek olan yamalarımız sadece İngilizce ve Türkçe içerikli olanlardır.Burada unutulmaması gereken bir konu ne kadar fazla dil seçeneğini işaretlersek Senkronizasyon süremizin bir o kadar artacağı ve harddiskteki yer ihtiyacımızın her dil seçeneğinde 2 kat daha artacağıdır.
Evet tüm bu ayarları tamamladıktan sonra ?Apply? tuşuna da basıyoruz ve sırada en önemli ve en uzun süren aşamamız geliyor.Yamaların internetten indirilmesi yani Senkronizasyon işlemi. Bunun için Ana Sayfamızda bulunan ?Synchronize Now? tuşuna basmamız gerekiyor. Bastıktan sonra da bağlantı hzımıza göre 256k da yaklaşık 6-7 saat süren bir download işlemi var. Bu aşama sadece ilk kurulumda bu kadar uzun sürüyor. Bunun ardından yapacağınız Senkronizasyon işlemleri maksimum 3-5dk yı geçmiyor.
Download işlemi bittikten sonra yine anasayfada Available Updates kısmına girmemiz ve burada kullanıcılarıma göndermek istediğimiz yamaları onaylıyor yani Approve ediyoruz.Genelde bu yamaların tümünün zaten Microsoft tarafından test edilmiş ve dijital olarak imzalanmış olduğu için approve edilmesinde bir sakınca yok.Ancak tabi ki kendi sisteminizde bundan ötürü çıkabilecek olan tüm problemlerden yine siz sorumlusunuz.
Figure 5 Approve updates
Yukarıda gördüğünüz (Approved) ibareleri bu yamaların kullanıcılara gönderilmeye hazır olduklarını ifade ediyor. Bu kısımda görebileceğiniz diğer ibareler ise Not Approved ve Updated . Eğer herahngi bir yamanın yanında Not Approved yazıyorsa bu yama kullanıcılara gönderilmeyecektir.updated ise yamanın son yapılan senkronizasyonda yeni versyonuyla değiştirildiği anlamına gelir.
Figure 6 Monitor Server
Monitor Server kısmında hangi program ya da işletim sistemi için kaç tane yamanın mevcut olduğu bilgisi verilmektedir.Çok fazla işinize yaramayacak bir sayfa olduğunu söyleyebilirim.
Serverımız üzerinde tüm bu işlemlerimizi hallettikten sonra sıra kullanıcı konfigürasyonlarına geliyor.
Kullanıcı Konfigürasyonu :
Öncelikle karar vermemiz gereken SUS Serverımızı şirketimizdeki Network altyapısına ne şekilde uyarlayavağımız. Eğer bir Local Area Networkte kurulum yapacaksak tek bir sus server bizim için yeterli olabilir. Ancak WAN yönetimindeysek hiyerarşik yapıda birden fazla sus server kurmak network utilizasyonu açısından önem kazanacaktır. Böyle bir durumda bir tane merkez sus server kurup diğer kurulacak serverları senkronizasyonunu merkezden yapacak şekilde konfigüre etmekte fayda var.Tabi ki bunu da yaparken aradaki hatların hızını da göz önüne almakta fayda var.Örneğin internete 1Mbit çıkışınız varken sitelar arası bağlantınız 256kb ise senkronizasyonu her Sus serverın internetten yapmasında fayda var.Bunun gibi dizayn işlemleri tamamen bulunduğunuz networke göre farklılıklar gösterecek ve bunun yükümlülüğü tamamen sizi sorumluluğunuz altında olacaktır.
Şimdi diyelim ki biz bir Active Directory yapısı altında Sus serverımızı kullanıcılarımızla haberleşmeye geçireceğiz.Bunun için öncelikle tercih yine sizde olmak kaydıyla ya domain üzerinden ya da yeni yarattığımız bir organizational unit üzerinden group policy çakacağız.( AD olmayan yapılarda MMC konsoluyla tek tek tüm makinelarda aynı işlem yapılabilir)
Bunun için örneğin SUS-COMPUTERS diye bir OU yarattık ve SUS ile haberleşecek tüm kullanıcı bilgisayar objelerini bu organizational unit içine taşıdık.
SUS-COMPUTERS OU üzerine sağ tuş ile tıklayıp New Group policy seçip,ismini verip Edit diyoruz.
Akrşımıza çıkan group policy konsolunda Computer Configuration içinden Administrative templates kısmına sağ tıklayıp Add/Remove templates diyoruz ve çıkan ekrandan wuau.adm dosyasını seçiyoruz.
Bu işlem sadece 2000 ailesi için yapmamız gereken bir işlem. Server 2003 ve XP için bu template zaten halihazırda bulunuyor.
 
Figure 7 Group Policy Management
Bu işlemlerin ardından yukarıda görüldüğü gibi Computer Configuration/Administrative Templates/Windows Components/Windows Update sekmesine giriyoruz.Burda karşımıza 4 tane konfigürasyon geliyor.
Buradaki ilk konfigürasyon olan Configure Automatic updates kısmına giriyoruz.Bu ayar kullanıcılarımızın yamalarını ne şekilde alacaklarıyla ilgili bir bölüm.Öncelikle bu politikayı Enable etmemiz gerekiyor.Daha sonra aşağıda karşımıza 3 seçenek daha çıkıyor.
Notify Download and Notify for install : Bu ayarda kullanıcıya yamaları download etmeden önce ve ettikten sonra yüklenmeye hazır olduğu hakkında bir bilgi balonu gönderiyor.Kullanıcı burada bu işlemlerin yapılıp yapılamayacağına karar verebiliyor.
Auto download and notify for install : Bu ayarda da yamalar otomatik olarak bilgisayara indiriliyor fakat yuklemeden önce kullanıcıdan onay isteniyor.
Dikkat edelim bu ayarların kullanıcı tarafından onaylanabilmesi ve ugulanabilmesi için kullanıcının Administrative yetkileri olması gerekiyor.Kullanıcı eğer standart Domain User ise kullancııya hiçbir bilgi verilmiyor ve local admin logon olana kadar hiçbir işlem yapılmıyo.Dolayısıyla networkümüz için pek güvenli olmayabilir.
Auto download and Schedule the install : Bu ayar bizim için biçilmiş kaftan. Paketler bilgisayara indiriliyor ve bizim belirlediğimiz bir saatte silent installation yapılıyor.Kullanıcının haberi bile olmadan tüm yamalar bilgisayara yüklenmiş oluyor ve sadece Event Viewer içine yüklemelerin tamamlandığıyla ilgili bir bilgi yazılıyor.
En alt kısımda gördüğünüz üzere yamaların hangi gün saat kaçta yukleneceğiyle ilgili ayarlar bulunuyor.
2.ayara geldiğimizde karşımıza SUS serverın adresinin girileceği bir yer geliyor.
Buraya ilk SUS server kurulu sırasında bahsettiğimiz SUS server adresi giriliyor.Statistics server kısmına da aynı şekilde SUS serverımızın adresini yazıyoruz.Bu ayar SUS-Computers Organizational Unit içerisindeki bilgisayarların yamalar için bağlantı kuracakları adres bilgisini taşıyor.Bu kısmı doğru yazmış olmamız çok önemli.
Ve son olarak geriye kalıyo 2 tane ayar daha.Bunlardan bir tanesi Reschedule Automatic updates Schedule diğeri ise no auto restart seçeneği.Reschedule Automatic updates verdiğimiz installation time sırasında kapalı olan bilgisayarlar için geçerli bir özellik.Tam yukleneceği saat geldiğinde bu bilgisayar kapalıysa yamalar yüklenemiyor ancak işte bu özellik sayesinde belirli bir zaman giriyoruz ve bilgisayar açıldıktan örneğin 15dk sonra dediğimizde yamalar yüklenmeye başlıyor.Diğer özellikte ise kullanıcının bilgisayarının restart edilmesini gerektiren bir yama yüklendiğinde buna engel olabiliyoruz.O esnada kullanıcının işlerini kaydetmemiş olabileceği göz önüne alınarak otomatik restartı engellemiş oluyoruz.Bu 2 özellikte gerçekten yönetimsel çabayı azaltıp daha stabil çalışan bilgisayarlar elde etmeniz açısından gerçekten önemli.
Evet tüm bu işlemleri yaptığımızda SUS serverımız gayet güzel çalışır hale gelecektir.Bu şekilde yeni çıkacak olan virüslere karşı çok büyük bir güvenlik önlemi almış olacağız.Mesela yeni bir yama çıktığında sus serverımızı manuel olarak senkronize edip yamaları anında yukleyebilir ve kullanıcılarımıza sus aracılığıyla dağıtabiliriz.Böylelikle virüs daha bizim networkümüze uğrayamadan kapıdan geri çevrilecektir.Aynı zamanda merkezi yönetim sahibi olduk ve yamalar için tek tek tüm bilgisayarları gezme derdinden de kurtulmuş olduk.
Ancak Sus server iyi güzelde bir takım dezavantajları da var.Dikkat ettiyseniz hangi kullanıcıların hangi yamaları aldığına dair herhangi bir bilgilendirme sistemimiz yoktu.Ya da düzgün çalışıp çalışmadığını anlayabileceğimiz bir işaret bile aslında almıyoruz.Bu sorunu çözmek için IIS loglarını okuyabiliriz ama günde sayfalarca log yazıldığını düşünürsek bu imkansız gibi bir hal alıyor.Bunun için birtakım 3rd party programlar kullanabiliriz. SUS Log Viewer ve SUS reporting tool bunlardan bazılar.Bunun dışında SUS server ile yamalar dışında herhangi bir yukleme işlemi de yapamıyoruz.Bunun için yeni çıkacak olan WUS serverı bekleyebiliriz.WUS server sayesinde Service Packler , Office yamaları ve Microsofta ait birçok programın da yamaları ve güncellemeleri yuklenebilir hale gelecek.
Yukarıda saydığımız dezavantajların dışında Sus server ücretsiz olmasıyla ve kolay kurulumuyla üzerimizden büyük bir yükü kaldırıyor.Özellikle tek bir SUS server ile 15000 bilgisayara kadar yama işlemlerini gerçekleştirdiğini düşünürsek bize kazandırdığı avantajlar gerçekten çok büyük.
|