Tweet
Hướng dẫn cấu hình máy trạm sử dụng WSUS qua GPO – Không chỉ đơn giản là cập nhật!
Trong môi trường doanh nghiệp, việc quản lý bản vá bảo mật và cập nhật phần mềm là cực kỳ quan trọng – đặc biệt khi bạn muốn kiểm soát thời điểm và cách thức máy trạm nhận bản cập nhật. Windows Server Update Services (WSUS) kết hợp cùng Group Policy Object (GPO) là công cụ tối ưu để thực hiện điều này. 1. Sử dụng GPO để chỉ định máy trạm nhận cập nhật từ WSUS nội bộ
Bạn cần tạo và áp dụng GPO với các cấu hình chính như:
Lệnh mẫu bạn có thể dùng trong GPMC:
Computer Configuration > Administrative Templates > Windows Components > Windows Update
Ví dụ cụ thể:
2. Máy chạy Windows 8 hoặc Windows Server 2012 trở lên
Với các hệ điều hành này, Automatic Maintenance sẽ tự động xử lý tiến trình cập nhật, bao gồm tải về, cài đặt và khởi động lại nếu cần thiết – vào thời điểm ít gây ảnh hưởng đến người dùng (thường là 3AM).
Bạn có thể tùy chỉnh thời gian Automatic Maintenance qua:
Control Panel > Action Center > Automatic Maintenance
3. Máy chạy hệ điều hành cũ hơn (Windows 7, Server 2008 R2...)
Với hệ điều hành cũ, WSUS cần chính sách cụ thể để:
Đây là điểm mấu chốt giúp bạn đảm bảo các hệ thống cũ không bị bỏ sót cập nhật bảo mật – yếu tố then chốt để giảm thiểu rủi ro khai thác lỗ hổng.
4. Từ Windows 10 trở đi: Có thể trì hoãn cập nhật tối đa 1 tháng
Tính năng Update deferral trên Windows 10 và 11 cho phép bạn trì hoãn cập nhật chất lượng (Quality Updates) trong vòng 30 ngày – giúp bộ phận IT có thời gian kiểm thử trước khi triển khai diện rộng.
Bạn có thể cấu hình điều này qua:
Computer Configuration > Administrative Templates > Windows Components > Windows Update > Windows Update for Business
Tổng kết cho người mới:
Nếu bạn đang xây dựng hệ thống WSUS hoặc vừa triển khai Active Directory, hãy ưu tiên áp dụng chính sách cập nhật từ sớm để giảm thiểu sự cố bảo mật. Cộng đồng VnPro đã có nhiều case thực tế xử lý lây nhiễm ransomware do bản vá bị trì hoãn!
Trong môi trường doanh nghiệp, việc quản lý bản vá bảo mật và cập nhật phần mềm là cực kỳ quan trọng – đặc biệt khi bạn muốn kiểm soát thời điểm và cách thức máy trạm nhận bản cập nhật. Windows Server Update Services (WSUS) kết hợp cùng Group Policy Object (GPO) là công cụ tối ưu để thực hiện điều này. 1. Sử dụng GPO để chỉ định máy trạm nhận cập nhật từ WSUS nội bộ
Bạn cần tạo và áp dụng GPO với các cấu hình chính như:
- Cấu hình cập nhật tự động (Configure Automatic Updates)
- Chỉ định máy chủ WSUS nội bộ (Specify intranet Microsoft update service location)
Lệnh mẫu bạn có thể dùng trong GPMC:
Computer Configuration > Administrative Templates > Windows Components > Windows Update
Ví dụ cụ thể:
- Enable "Configure Automatic Updates", chọn option 4 – Auto download and schedule install
- Enable "Specify intranet Microsoft update service location", nhập địa chỉ WSUS nội bộ (ví dụ: http://wsus.vnpro.local)
2. Máy chạy Windows 8 hoặc Windows Server 2012 trở lên
Với các hệ điều hành này, Automatic Maintenance sẽ tự động xử lý tiến trình cập nhật, bao gồm tải về, cài đặt và khởi động lại nếu cần thiết – vào thời điểm ít gây ảnh hưởng đến người dùng (thường là 3AM).
Bạn có thể tùy chỉnh thời gian Automatic Maintenance qua:
Control Panel > Action Center > Automatic Maintenance
3. Máy chạy hệ điều hành cũ hơn (Windows 7, Server 2008 R2...)
Với hệ điều hành cũ, WSUS cần chính sách cụ thể để:
- Tự động tải bản cập nhật
- Tự động cài đặt
Đây là điểm mấu chốt giúp bạn đảm bảo các hệ thống cũ không bị bỏ sót cập nhật bảo mật – yếu tố then chốt để giảm thiểu rủi ro khai thác lỗ hổng.
4. Từ Windows 10 trở đi: Có thể trì hoãn cập nhật tối đa 1 tháng
Tính năng Update deferral trên Windows 10 và 11 cho phép bạn trì hoãn cập nhật chất lượng (Quality Updates) trong vòng 30 ngày – giúp bộ phận IT có thời gian kiểm thử trước khi triển khai diện rộng.
Bạn có thể cấu hình điều này qua:
Computer Configuration > Administrative Templates > Windows Components > Windows Update > Windows Update for Business
Tổng kết cho người mới:
- GPO + WSUS là cặp đôi hoàn hảo cho quản trị cập nhật máy trạm.
- Windows mới thì dùng Automatic Maintenance, còn hệ điều hành cũ cần GPO tải và cài cập nhật.
- Windows 10 trở lên có cơ chế trì hoãn phù hợp với mô hình kiểm thử trước – áp dụng cho môi trường kiểm soát chất lượng chặt chẽ.
Nếu bạn đang xây dựng hệ thống WSUS hoặc vừa triển khai Active Directory, hãy ưu tiên áp dụng chính sách cập nhật từ sớm để giảm thiểu sự cố bảo mật. Cộng đồng VnPro đã có nhiều case thực tế xử lý lây nhiễm ransomware do bản vá bị trì hoãn!
Attached Files