BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

BÁO CÁO
TRIỂN KHAI CÔNG NGHỆ TỰ ĐỘNG CẬP NHẬT BẢN VÁ
CHO MÁY TRẠM VÀ MÁY CHỦ CHẠY HỆ ĐIỀU HÀNH
MICROSOFT WINDOWS
Học phần: Phân tích thiết kế An tồn mạng máy tính
Chun ngành: An tồn thơng tin

Giảng viên hướng dẫn:
Thầy: Trần Nghi Phú
Khoa ATTT – Học viện Kỹ thuật mật mã

Hà Nội, 2022

MỤC LỤC
MỤC LỤC.................................................................................................................... 2
LỜI MỞ ĐẦU..............................................................................................................4
1


CHƯƠNG 1. TỔNG QUAN VỀ WINDOWS SERVER UPDATE SERVICE........5
1.1. Giới thiệu về Windows Server Update Services (WSUS)...............................5
1.2. Cách triển khai hệ thống WSUS.......................................................................6
1.3. WSUS và System Center Configuration Manager..........................................7
CHƯƠNG 2. PHÂN TÍCH THIẾT KẾ HỆ THỐNG WSUS THEO MƠ HÌNH
MẠNG CỦA HỌC VIỆN............................................................................................8
2.1. Các yêu cầu cần đặt ra......................................................................................8
3.2. Đề xuất hệ thống................................................................................................8

CHƯƠNG 3. CÀI ĐẶT WSUS SERVER ROLE....................................................10
CHƯƠNG 4. CẤU HÌNH WSUS..............................................................................16
4.1. Cấu hình kết nối mạng....................................................................................16
4.1.1. Cấu hình tưởng lửa để máy chủ WSUS nhận các bản cập nhật từ Microsoft
.............................................................................................................................. 16
4.1.2. Cấu hình tường lửa cho các máy trạm kết nối với máy chủ WSUS.............16
4.2. Cấu hình dịch vụ WSUS thông qua WSUS Configuration Wizard.............16
CHƯƠNG 5: CẤU HÌNH GROUP POLICY WINDOW UPDATE......................24
5.1. Kết nối các máy trạm trỏ đến WSUS.............................................................25
5.2. Cấu hình cập nhật tự động.............................................................................26
5.3. Cấu hình các máy tính tự kiểm tra các bản update......................................27
5.4. Ngăn chặn người dùng tự kiểm tra các bản update......................................28
5.5. Cấu hình máy trạm tự cập nhật từ chế độ Hibernation...............................29
5.6. Cấu hình ngăn chặn cài đặt các bản update trong giờ hành chính..............30
CHƯƠNG 6. PHÊ DUYỆT CÁC BẢN UPDATE...................................................32
6.1. Đồng bộ các bản update từ Microsoft Server................................................32
6.2. Nhóm các máy tính..........................................................................................33
7.3. Phê duyệt các bản update................................................................................37
TỔNG KẾT................................................................................................................40

NHẬN XÉT

2


3


LỜI MỞ ĐẦU
Ngày nay mạng máy tính đã trở lên phổ biến và mang lại những lợi ích thiết

thực và được ứng dụng trong mọi lĩnh vực để giải quyết các vấn đề của cuộc sống. Khi
kết nối mạng máy tính thì chúng ta có thể kết nối tới mọi nơi trên trái đất, nó khơng bị
giới hạn ở phạm vi khu vực, quốc gia, mà nó đã ảnh hưởng tới phạm vi tồn cầu.
Mạng máy tính đã tạo ra sự chuyển biến có tính chất cách mạng trong vấn đề tổ chức,
khai thác và sử dụng các hệ thống máy tính.
Mạng máy tính có thể giúp con người gần nhau hơn vì nhờ có mạng máy tính
mà những người cách xa nhau hàng nghìn kilomet vẫn có thể liên lạc thuận tiện với
nhau được. Mạng máy tính giúp ngành viễn thơng nói riêng và ngành cơng nghiệp nói
chung trên thế giới chuyển sang một bước ngoặt mới.
Như chúng ta đã biết thì thành phần quan trọng nhất trong mạng máy tính là các
máy tính. Chúng được kết nối với nhau để chia sẻ thông tin với nhau. Vậy nên nếu các
máy tính trong hệ thống mạng bị tấn cơng hoặc lỗi có thể ảnh hướng đến tính sẵn sàng,
tính an tồn của hệ thống. Vì vậy việc thường xun cập nhật các bản vá hệ thống, các
bản cập nhật là một công việc quan trọng giúp hệ thống an tồn và vận hành ổn định.
Thơng thường các hệ thống máy tính trong mạng đều được chạy một hệ điều hành phổ
biến, trong đề tài tìm hiểu này, ta sẽ tập chung vào việc triển khai máy chủ phân phối
các bản cập nhật cho hệ thống máy tính sử dụng hệ điều hành Windows

4


CHƯƠNG 1. TỔNG QUAN VỀ WINDOWS SERVER UPDATE
SERVICE
1.1. Giới thiệu về Windows Server Update Services (WSUS)
Windows Server Update Services (WSUS) có vai trị là một máy chủ Windows
có thể lập lịch, quản lý và triển khai các bản cập nhật, bản vá và các bản sửa lỗi nóng
cho máy chủ Windows, các trạm (OSes) và các phần mềm khác của Microsoft. Nó cho
phép quản trị viên hệ thống kiểm sốt thời gian và cách thức hệ thống cài đặt các bản
cập nhật là là một trung tâm cung cấp các bản cập nhật cho các máy trạm. WSUS được
thiết kế để sử dụng cho doanh nghiệp vừa và nhỏ (SMB). Thường khơng có thêm chi

phí để thêm WSUS vào hệ thống mạng máy tính Windows.
Được cài đặt trên hệ điều hành Microsoft Windows Server, WSUS là một công
cụ đơn giản mà quản trị viên hệ thống sử dụng để quản lý các bản cập nhật Microsoft
Windows. WSUS có sẵn trong Windows Server 2008 R2, 2012, 2012 R2, 2016, 2019
và sẽ là một phần của Server 2022. Tất cả các hệ điều hành máy trạm được hỗ trợ của
Microsoft đều có thể sử dụng WSUS, bao gồm Windows 8.1, 10 và 11.
WSUS cho phép các tổ chức kiểm soát thời gian và cách thức các thiết bị
Windows nhận các bản cập nhật và bản vá hệ điều hành. WSUS cũng cho phép cập
nhật tự động với các thiết lập thông số cụ thể. Nếu khơng có WSUS, các máy tính
windows sẽ cài đặt các bản cập nhật ngay khi được phát hành từ Microsoft. Điều này
có thể khiến máy trạm ở trong những bản vá lỗi khác nhau, cài đặt các bản vá gây
hỏng phần mềm hoặc cài đặt ngay trong thời gian làm việc, gây mất thời gian làm việc
của nhân viên.
Việc sử dụng WSUS giúp người quản trị viên hệ thống có thời gian kiểm tra
xem các bản cập nhật có hoạt động tốt với hệ thống mạng của họ hay không và cho
phép họ cài đặt các bản cập nhật trong khung thời gian quy định để công việc sản xuất
khơng bị ảnh hưởng. Ví dụ, một tổ chức muốn tránh cài đặt các bản cập nhật cho bộ
phận kế tốn trong q trình khai thuế.
Windows Server Update Services cung cấp báo cáo về các bản cập nhật
Windows trong một tổ chức. Quản trị viên hệ thống có thể sử dụng thông tin này để
5


biết rằng tất cả các máy trạm đang cài đặt các bản cập nhật một cách chính xác và
được áp dụng các bản cập nhật giống nhau. Điều này đảm bảo rằng các hệ thống có
các bản vá bảo mật chính xác và kịp thời, giảm thiểu lỗ hổng trong hệ thống mạng.
Nếu khơng có WSUS, tất cả các máy trạm sẽ truy cập trực tiếp vào máy chủ của
Microsoft để tải xuống các bản cập nhật. Trong mạng có nhiều máy trạm hoặc hệ
thống mạng có băng thơng kém, điều này có thể gây ra sự quá tải cho hệ thống Internet
và ảnh hưởng đến hiệu suất của hệ thống. WSUS hoạt động như một máy chủ trung

tâm, máy chủ chỉ tải xuống một bản cập nhật từ Microsoft và tất cả các máy trạm có
thể nhận được bản cập nhật từ đó. Cách tiếp cận này phù hợp với các kết nối mạng
LAN tốc độ cao và giảm tải cho hệ thống mạng internet.
Windows Server Update Services không yêu cầu bất kỳ giấy phép bổ sung nào
cho máy chủ Windows Server. Khách hàng kết nối với WSUS chỉ yêu cầu Giấy phép
Truy cập Máy trạm Windows Server (CAL). Bởi vì hầu hết các tổ chức đã mua
Windows Server và CAL, WSUS thường sẽ khơng phải trả thêm phí.

1.2. Cách triển khai hệ thống WSUS
WSUS được cài đặt trên Windows Server như một server role nằm trong
Microsoft Windows Server Manager. WSUS cần một số thành phần bắt buộc để hoạt
động bao gồm .NET, Microsoft Report Viewer, Internet Information Viewer, Internet
Information Services (IIS) và cơ sở dữ liệu Window Internal Database (WID) hoặc
SQL, tất cả các thành phần này đều có sẵn trên Window Server.
Tùy theo kích cỡ của hệ thống mạng mà WSUS có thể là một máy chủ duy nhất
hoặc nhiều máy chủ hoạt động cùng nhau. Các máy chủ WSUS có thể nhận nơi dung
cập nhật và cấu hình lẫn nhau.
Các tổ chức có thể sử dụng WSUS được ngắt kết nối với mạng internet, điều này
giúp cho các mạng của tổ chức được bảo mật hơn mà không bị lộ với mạng internet,
đồng thời vẫn nhận được các bản vá bảo mật thường xuyên và kịp thời

6


Hình 1.1. Cài đặt WSUS management console sử dụng PowerCell
Triển khai một máy chủ WSUS trong một mạng là không đủ, các máy trạm phải
được định cấu hình để kết nối với máy chủ WSUS thay vì tới thẳng máy chủ cập nhật
của Microsoft. Người quản trị viên hệ thống thường cấu hình máy trạm bằng Group
Policy, nhưng cũng có thể thiết lập thông qua System Center Configuration Manager
(SCCM), Mobile Device Management (MDM) hoặc thủ công sử dụng key trong

registry. Người quản trị viên có thể đặt cách khách hàng cài đặt bản cập nhật, khi họ
khởi động lại sau khi cài đặt và cách thông báo cho người dùng về bản cập nhật.
WSUS yêu cầu một vài port mạng mở để hoạt động. Máy chủ phải có khả năng
kết nối internet tới máy chủ cập nhật Windows của Micorsot trên cổng 80 và 443 để
nhận các gói cập nhật từ Microsoft. Các máy trạm kết nối với máy chủ WSUS qua port
8530 và 8531, và có thể được thay đổi.

1.3. WSUS và System Center Configuration Manager
Windows Server Update Services là sản phẩm được tách ra từ Microsoft System
Center Configuration Manager. SCCM có thể thực hiện bất kỳ vai trị nào mà WSUS
thực hiện được và nhiều chức năng nâng cao hơn. WSUS chỉ quản lý các bản cập nhật
và vá lỗi, trong khi SCCM cho phép cập nhật, vá lỗi, cài đặt phần mềm, quản trị, cấu
hình và kiểm toán.
WSUS đã được bao gồm trong Windows Server. Trong khi đó SCCM là một
sản phẩm trả phí riêng biệt của Microsoft.

7


CHƯƠNG 2. PHÂN TÍCH THIẾT KẾ HỆ THỐNG WSUS
THEO MƠ HÌNH MẠNG CỦA HỌC VIỆN
2.1. Các yêu cầu cần đặt ra
Trước khi triển khai hệ thống, ta cần đặt ra các mục tiêu khi vận hành
WSUS như sau:
 Đảm bảo các máy tính trong hệ thống ln sẵn sàng để sử dụng
 Đảm bảo các máy tính trong mạng ln nhận được các cập nhật bảo
mật một các kịp thời
 Đảm bảo hệ thống không bị quá tải khi triển khai các bản cập nhật
 Tiết kiệm chi phí khi triển khai hệ hống.
3.2. Đề xuất hệ thống

Dựa trên các yêu cầu đã đặt ra ban đầu, ta có thể đề xuất mơ hình hệ thống
như sau:

Hình 2.1. Sơ đồ hệ thống
Mơ tả hệ thống:
 Máy chủ WSUS có nhiệm vụ nhận các bản update từ Microsoft Update
thông qua máy chủ Proxy
8


 Các máy trạm được cấu hình thơng qua Group Policy từ Domain
Controller nhận các bản update từ WSUS
 Cấu hình Group Policy cho từng nhóm máy tính nhận các bản update theo
từng ngày trong tuần để tránh gây quá tải cho hệ thống
 Group Policy được cấu hình để các máy trạm cài đặt các bản cập nhật sau
giờ hành chính
 Ngăn chặn người dùng nhận được các bản update trực tiếp từ Microsoft.

9


CHƯƠNG 3. CÀI ĐẶT WSUS SERVER ROLE
Việc cài đặt WSUS Server Role trên Window Server 2016 được tiến hành qua
các bước sau:
Bước 1. Đăng nhập vào máy chủ muốn cài đặt WSUS bằng tài khoản
Adminstrator.
Bước 2. Trong Server Manager, chọn Manage, sau đó chọn Add roles and
features.

Bước 3. Trên trang Before you begin, chọn Next.


10


Bước 4. Trong trang Select installation type, xác nhận tùy chọn Role-based or
feature-based installation và chọn Next.

Bước 5. Trên trang select destination server, chọn máy chủ muốn cài đặt vai trị
máy chủ WSUS, sau đó bấm Next.

11


Bước 6. Trên trang Select server roles, chọn Windows Server Update
Services, sau đó bấm Next.

12


Bước 7. Trên trang Select feature, giữ lại lựa chọn mặc định, sau đó bấm Next.

Bước 8. Trên trang Windows Server Update Services, bấm Next.

13


Bước 9. Trên trang Select role services, hãy để nguyên các lựa chọn mặc định,
rồi bấm Next.

Bước 9. Trên trang Content location selection, lựa chọn vị trí lưu các bản cập

nhận, sau đó chọn Next

14


Bước 10. Xác nhận các lựa chọn cài đặt.

Bước 11. Chờ q trình cài đặt diễn ra hồn tất và chọn Close

15


CHƯƠNG 4. CẤU HÌNH WSUS
Sau khi cài đặt thành cơng máy chủ Windows Server Update Services
(WSUS). Chúng ta cần cấu hình máy client của mình để nhận được các bản cập
nhật của chúng từ máy chủ WSUS
4.1. Cấu hình kết nối mạng
4.1.1. Cấu hình tưởng lửa để máy chủ WSUS nhận các bản cập nhật từ
Microsoft
Máy chủ WSUS phải có quyền truy cập vào cổng 80 và 443 trên các miền
sau:


 http://*.windowsupdate.microsoft.com
 https://*.windowsupdate.microsoft.com
 http://*.update.microsoft.com
 https://*.update.microsoft.com
 http://*.windowsupdate.com



 http://*.download.windowsupdate.com





4.1.2. Cấu hình tường lửa cho các máy trạm kết nối với máy chủ WSUS
Tất cả các máy trạm sẽ kết nối với một trong các máy chủ WSUS. Máy
trạm phải có quyền truy vào hai cổng trên máy chủ WSUS là 8530 và 8531.
4.2. Cấu hình dịch vụ WSUS thơng qua WSUS Configuration Wizard
Bước tiếp theo ta cần cấu hình dịch vụ WSUS để nhận và phân phối các
bạn update
Bước 1. Tại Server Manager chọn Dashboard > Tools > Windows Server
Update Services
16


Bước 2. Tại trang Before You Begin, xem lại các thông tin và chọn Next.

Bước 3. Tại trang Join the Microsoft Update Improvement Program, để các
thiết lập mặc định, chọn Next.

17


Bước 4. Ở trang Choose Upstream Server, lựa chọn Synchronize the updates
with Microsoft hoặc Synchronize form another Windows Server Update
Service, sau đó chọn Next.

18



Bước 5. Cấu hình proxy server nếu cần, rồi chọn Next.

19


Bước 6. Kết nối tới máy chủ để nhận các bản cập nhật

Bước 7. Chọn ngôn ngữ cho các bản cập nhật, ở đây ta sẽ chọn English và chọn
Next

20


Bước 8. Lựa chọn các sản phẩm nhận các bản update

21


Bước 9. Lựa chọn các thành phần update cho các sản phẩm đã chọn trước đó

Bước 10. Thiết lập cách đồng bộ với Server Update, thủ công hoặc tự động, ở
đây ta sẽ chọn tự động

22


Bước 11. Bắt đầu quá trình đồng bộ và kết thúc


23


24


CHƯƠNG 5: CẤU HÌNH GROUP POLICY WINDOW UPDATE
Để thuận tiện cho việc cấu hình các máy trạm sử dụng dịch vụ WSUS ta sẽ
sử dụng Group Policy để cấu hình cho các máy trạm trong domain
Để sử dụng Goup Policy cấu hình Windows Update, ta truy nhập Group
Policy Management rồi tạo chính sách cho nhóm máy tính muốn triển khai
Policy, tiếp đến ta chọn Edit.

Ở Group Policy Management Editor ta truy cập Computer Configuration
> Policies > Administrator Templates > Windows Compoments > Windows
Update

25