מערכות ניהול עדכונים בסביבת מיקרוסופט (WSUS- האם זה הסוף?)
בתאריך ה-20.9.2024 הכריזה מיקרוסופט כי היא מפסיקה את הפיתוח של Windows Server Update Service (WSUS). זאת הזדמנות טובה לעשות סדר בפתרונות שמיקרוסופט מציעה לניהול העדכונים.
מהו WSUS ?
אז למי שלא מכיר, WSUS יצא לעולם הרחק בשנת 2005. השירות מאפשר להוריד בצורה מרוכזת את עדכוני מיקרוסופט לשרת מרכזי ולאחר מכן להנחות את תחנות העבודה והשרתים בארגון לפנות אל שרת זה לצורך הורדת העדכונים. זאת במקום לפנות אל שירות Windows Update של מיקרוסופט שנמצא ברשת האינטרנט. הפתרון נותן מענה להתקנת עדכוני מיקרוסופט (בלבד) בארגונים בהם תחנות העבודה חסומות מגישה ישירה אל רשת האינטרנט וכמו כן מספק את היתרונות הבאים (גם בארגונים בהם יש לתחנות גישה לרשת האינטרנט):
- חסכון ברוחב פס אל רשת האינטרנט – כל עדכון יורד פעם אחת אל שרת ה-WSUS במקום מספר רב של פעמים אל כל מחשב/שרת בארגון.
- ניהול מרכזי של העדכונים – ניתן לשלוט אלו עדכונים יותקנו ועל אלו מחשבים/שרתים.
- דיווח מרכזי – איסוף נתונים מרכזי לגבי התקנת העדכונים במחשבים/שרתים.
שירות WSUS לא דורש רישוי מיוחד ועל כן השימוש בו לא כרוך בתוספת עלות.
כפי שציינתי: מיקרוסופט הכריזה שהיא מפסיקה את הפיתוח של WSUS, אך כפי שהניסיון מלמד ייקח עוד זמן עד שהמוצר ירד באופן סופי מהמדפים. יחד עם זאת מומלץ להיערך לכך ולעבור לשיטות עדכון חדשות יותר. במאמר זה אסקור את החלופות העומדות בפנינו בנושא זה:
SCCM
שירות ה-SCCM הנו שירות ותיק אשר מותקן מקומית ברשת הארגון. השירות משמש להתקנה וניהול מרכזי של שרתים ותחנות עבודה ומספק בין היתר גם יכולות להפצת עדכונים. נכון להיום אי אפשר להגיד ש-SCCM הינו תחליף ל-WSUS וזאת מכיוון שהפצת העדכונים ע"י SCCM מבוססת על שירות WSUS שפעיל ברקע. השירות (SCCM) מרחיב את היכולות שקיימות ב-WSUS כך שניתן יהיה להפיץ עדכונים של תוכנות צד שלישי (בעבודה מול Catalog), לתזמן הורדה והפצה אוטומטית של העדכונים, וכמו כן לקבל דוחות נרחבים יותר מאשר מספק ה-WSUS. נכון להיום עדכונים לתוכנת Microsoft 365 Apps לא ניתן להוריד ולהפיץ בצורה מרכזית באמצעות שירות ה-WSUS. לצורך כך נדרש להשתמש בין היתר בשירות ה-SCCM. נראה שעם הזמן מיקרוסופט ירחיבו את היקף המוצרים אותם לא נוכל לעדכן דרך WSUS.
השימוש ב-SCCM מצריך רכישת רישוי עבור כל תחנה/שרת שעובד מולו (CAL). הרישוי ל-SCCM לצורך ניהול תחנות העבודה (לא השרתים) כלול בחבילות הרישוי Microsoft 365 E3/E5 , EMS E3/E5.
פתרונות ענן
שירות SCCM כאמור הינו שירות מקומי אשר מצריך הקמה ותחזוקה של שרתים וכמו כן מותאם בצורה טובה יותר לעבודה בסביבה מבוססת Active Directory. סביר להניח כי ארגון שעוד לא אימץ את פתרונות הענן של מיקרוסופט ו/או לא יכול לאפשר תקשורת מתחנות העבודה שלו אל רשת האינטרנט יבחר בפתרון זה.
בכל הקשור לפתרונות מבוססי ענן ישנה חלוקה בין ניהול העדכונים לתחנות עבודה לבין ניהול העדכונים לשרתים.
Intune – תחנות עבודה
Intune הינו שירות ענני לניהול תחנות עבודה ומכשירים ניידים. לשירות זה ישנם מגוון רחב מאוד של יכולות אשר הולכות ומתרחבות בקצב מהיר. בין היתר מאפשר השירות לנהל את תהליך התקנת העדכונים בתחנות הקצה. החיבור בין ה-Intune לתחנת הקצה לא מצריך סביבת AD או שימוש בשרתים, כל שנדרש הוא לבצע רישום של תחנת העבודה ב-Entra ID ולאפשר גישה של התחנה אל שירות ה-Intune ברשת האינטרנט.
כמו כן יצא לאחרונה Add-on (בתשלום) ל-Intune בשם Enterprise App Management שמאפשר לנהל דרך Intune עדכונים גם לתוכנות צד שלישי.
השימוש בשירות כרוך ברכישת רישוי Intune לכל משתמש (ניתן לנהל מספר תחנות תחת רישוי של משתמש אחד). רישוי Intune כלול בין היתר בחבילות: Microsoft 365 E3/E5, Business Premium.
Azure ARC – Update Management – שרתים
Azure Arc הינו מוצר ענני לניהול שרתים ושירותים בהיקף רחב ביותר. הין היתר כולל המוצר את השירות " Update Management" אשר מאפשר לנהל את תהליך התקנת העדכונים בשרתים. השירות תומך בניהול עדכונים גם למערכת ההפעלה לינוקס. העבודה מול Azure Arc מצריכה תקשורת בין השרת לבין שירות ה-Azure Arc שממוקם ברשת האינטרנט, כמו כן נדרש להתקין Agent בשרת.
השימוש ב-Azure Arc – Update Management כרוך בתשלום של 5$ לחודש לשרת, במידה ומדובר בשרת שמתארח ב-Azure השירות הינו חינמי.
כמו כן שרת המחובר ל-Azure Arc מאפשר לקבל עדכונים ותמיכה למערכת הפעלה Windows 2012 R2 במסגרת Extended Security Update (ESU).
לסיכום אומר – הכרזת מיקרוסופט על עצירת הפיתוח של WSUS אכן מצהירה על כוונותיהם העתידיות אך לא מחייבת פעולה מיידית. יחד עם זאת המלצתי היא תמיד לנסות ולאמץ פתרונות חדשניים יותר שמותאמים לעידן החדש של עבודה מכל מקום במודל Zero Trust ושימוש מוגבר בפתרונות ענן.
למידע נוסף ניתן לפנות אלינו בצור קשר.
כותב: Noam Hirsh, CTO, UBTECH