3.3 Перевірка виправлень за допомогою SUS і клієнтських журналів

Інформація про активність клієнтів записується в журнал Система (System), який можна експортувати і проаналізувати; У файлі update.log на системах з Windows XP, що оновлюються через SUS, зустрічається повідомлення про помилку «Еггог 1ueng1ne Querying software update catalog from htlp://servername/autoupdatedrivers/getmanitest.asp*. Його можна ігнорувати, оскільки SUS не підтримує оновлення драйверів.

И сервер SUS перевіряє наявність цифрового підпису у завантажуваних виправлень, при її відсутності або невдалій перевірці до журналу синхронізації вноситься запис «subject is not trusted for the specified action*. Такі помилки виникають із-за пошкодження файлу виправлення або в результаті модифікації пакету зловмисниками;

Примітка Завантажені виправлення зберігаються у файлах з розширенням .tmp, поки їх цифровий підпис не буде перевірений. Якщо перевірка пройшла успішно, початкове розширення відновлюється - це захист від випадкового розповсюдження виправлень з сумнівних джерел.

Вірно настроєне антивірусне ПО перехопить будь-яке інфіковане виправлення. Використовуйте антивірусне ПО, таке, що підтримує ведення журналів і щодня перевіряйте ці журнали; для пошуку виправлень, які не вдалося завантажити клієнтам, перевіряйте журнали подій. Опис повідомлень про помилки шукайте в керівництві по розгортанню SUS (див. www.microsoft.com/windows2000 /windowsupdate/sus/ susdeployment.asp);

Зведення про активність систем, що використовують автоматичне оновлення (Automatic Updates, AU), див. у файлі updalc.log, розташованому в системному каталозі клієнтського компютера;

· перевіряйте системний реєстр клієнтів AU. Якщо значення параметра Austate (див. розділ Н До L М S Про FT WA R Е М i з rosofrwi ndo wsc u rre n tfe rsi onwi n do wsu pd ate Auto Update) рівне 2, клієнт запрошуватиме нове оновлення, у клієнта, нездібного до нових запитів із-за очікування завершення установки, це значення рівне 5; після закінчення оновлення початкове значення відновлюється;

· перевірте для клієнтів настройки Active Directory, що регламентують отримання GPO, що визначає розклад і джерело оновлення. Для цього застосовуються такі засоби, як Gpresult (Windows 2000 Resource Kit), оснащення Результуюча політика (входить в Windows XP і Windows Server 2003), а також консоль управління груповою політикою;

· перевіряйте виконання розкладу, аналізуючи журнал синхронізації, стежите за повідомленнями про збої завантаження у файлі <каталог Web-сайта SUS> AutoUpdate Administrationhistory-sync.xml;

· перевіряйте журнал дозволених виправлень, стежте, щоб дозвіл на розповсюдження отримували тільки перевірені оновлення, а дозволи призначалися уповноваженими особами. Список дозволених виправлень див. у файлі <каталог Web-сайта Sus>autoupdateadministrationhistory-approve, xml.