安全更新管理 精誠恆逸資訊 資深講師 職念文
議程 談安全更新管理程序 安全更新管理—四大主題: 微軟安全更新機制 微軟基準線安全分析工具 2.0 微軟伺服器更新服務 Microsoft Update(MU) 微軟基準線安全分析工具 2.0 Microsoft Baseline Security Analyzer 2.0(MBSA) 微軟伺服器更新服務 Windows Server Update Services(WSUS) 微軟系統管理伺服器 SMS 2003 SMS Inventory Tool for Microsoft Updates(ITMU)
修補管理流程 1. 評定要修補的環境 2. 識別新的補充程式 1. 評定 2. 識別 4. 部署補充程式 4. 部署 3. 評估與 計劃 週期性工作 A. 建立/維護系統的比較基準 B. 評定修補管理架構 C. 檢閱基礎結構/組態 持續性的工作 A. 蒐集資產資訊 B. 清查用戶端 2. 識別新的補充程式 工作 A. 識別新的補充程式 B. 判斷補充程式的相關性 C. 確認補充程式驗證和完整性 Microsoft 英文網站 (http://www.microsoft.com) 上提供了可以下載的《Microsoft 安全性修補管理指南》,其中為修補管理流程中每個步驟的定期與持續性工作,提供了詳細資料。請試著針對流程中的每個步驟,回答下列問題: 步驟 1:評定 您是否在目前環境中發現任何威脅或弱點? 生產環境是否有任何變更? 例如,您是否安裝了新的作業系統與應用程式,或者是變更了您的網路或管理基礎結構? 您是否保留了最新、最正確的清查資訊? 您的管理基礎結構是否能夠支援修補管理? 步驟 2:識別 推出新的補充程式時,您如何獲得通知? 是否有某個補充程式與貴組織的關係特別密切? 哪些系統需要進行修補? 是否所有系統都具有同等重要性,必須在第一時間進行修補? 哪些系統最容易遭受攻擊? 您是否下載了補充程式? 如果有的話,這個補充程式是否確認沒有病毒? 步驟 3:評估與計劃 在進行部署之前,您是否已測試過補充程式,確保企業重要功能在套用補充程式後,仍然能夠正常運作? 您是否有一套變更管理流程,能夠確保所有部門與人員皆同意需要部署補充程式?(如果補充程式非常重要,請務必採取更快速的流程!) 您是否考慮到補充程式的安裝方法與時機? 在伺服器與桌上型電腦裝置上安裝補充程式的流程可能會有所不同,您可能必須考慮到中斷視窗對維持正常商業運作所造成的影響。 步驟 4:部署 在安裝新的補充程式之前,您是否在生產環境中進行適當準備? 您必須通知系統管理員與使用者可能的停機時間。您也可能必須提供訓練課程,協助技術支援人員完成工作。您必須檢查發佈點,確認補充程式與相關的二進位碼檔案皆存在。 您是否能夠監視補充程式的發佈情形、檢查安裝進度,並且處理例外狀況? 針對將補充程式發行到行動用戶端和慢速連線的電腦上,您是否有特殊的策略? 補充程式的大小是一個重大的問題。若要解決這個問題,可以選擇將行動用戶端強制安置在辦公室中,或是透過網路發佈補充程式。 Microsoft 發展出相關的方針,可協助客戶思考並且執行良好的安全性與修補管理。這份流程指導方針取自 Microsoft 作業架構 (MOF),該架構是以 IT 資訊庫 (ITIL) 中所訂立的最佳實務範例 (也就是 IT 最佳實務範例的標準) 做為基礎。 1. 評定 2. 識別 4. 部署補充程式 工作 A. 發佈與安裝補充程式 B. 進度報告 C. 處理例外狀況 D. 檢閱部署作業 4. 部署 3. 評估與 計劃 3. 評估與計劃 補充程式部署作業 工作 A. 獲准部署補充程式 B. 執行風險評定 C. 計劃補充程式發行流程 D. 完成補充程式接受度測試
過去的安全更新管理 不同的來源,有限制性的產品支援 Windows 更新 / Office 更新 用戶端的焦點著重在使用網頁連結 Software Update Services (SUS) 1.0 立場尷尬,介於 Windows 更新功能以及自動更新功能之間 Microsoft Baseline Security Analyzer (MBSA) 1.2.1 針對 16 種產品偵測安全更新 針對 7 種產品掃描產品設定弱點 Systems Management Server 2003 需外掛 SUS Feature Pack (且只支援 Windows 更新) 使用 MBSA 1.2.1 執行系統安全偵測 企業更新掃瞄工具 Enterprise Update Scan Tool (EST) 彌補 MBSA 無法偵測的其他重大及重要安全更新 相容於 SMS
今日的安全更新管理 一致性的結果,並延伸產品支援 Microsoft Update (MU) 『主機』型的更新服務 提供用戶端主機可於網頁要求中選擇「自訂」更新安裝 Windows Server Update Services (WSUS) 為企業架構而生的產品,可為所有用戶端更新大部分的安全套件 可依照不同的微軟作業平台,分類安全更新套用對象執行 Microsoft Baseline Security Analyzer (MBSA) 2.0 安全重點掃瞄不需要執行伺服器端 Systems Management Server 2003 使用新版工具 Inventory Tool for Microsoft Update 整合使用 MBSA 2.0 執行安全設定檢查
過去的安全更新運作 SUS SMS MOM MBSA 1.2.1 單機自動更新機制 自動更新 Office 偵測工具 企業更新掃瞄工具 Microsoft 更新 Office 更新 下載中心 MSSecure.XML SUS SMS MOM MBSA 1.2.1 單機自動更新機制 自動更新 Office 偵測工具 企業更新掃瞄工具 HFNetChk
今日的安全性整合更新運作 單機自動更新機制 MOM SUS MBSA 2.0 SMS Windows 更新代理元件 自動更新 微軟安全更新資料庫 Windows Update 離線資料庫 (wsusscan.cab) MOM 單機自動更新機制 SUS SMS MBSA 2.0 Windows 更新代理元件 自動更新
Windows Update 安全更新管理
Microsoft Update (MU) 微軟線上更新服務 (update.microsoft.com): 針對要求更新的電腦偵測出 Windows 作業系統,Office,Exchange 以及 SQL 的安全更新 產生需要安全更新的建議清單 安裝使用者所勾選的安全更新元件 提供用戶更新歷史紀錄清單 可經由設定自動更新方式執行自動下載並執行安全更新 Product support grows over time 微軟的 Windows Update Catalog 網站,還可提供: 包含所有已被標示為「Designed for Windows」logo 的裝置驅動程式更新 搜尋功能 – 可尋找所需的更新 可手動下載所需要的更新 New Update Assess Identify Evaluate & Plan Deploy *Windows 2000+, Office XP+, Exchange 2000+, SQL 2000+ Note: also updates 64-bit editions of Windows Server
Windows Update 如何運作:自動更新 AU 會檢查 WU 服務是否有新的更新 (每 17 至 22 個小時) Windows Update 服務 AU 會驗證 WU 伺服器並取得「下載類別目錄」中繼 資料 「自動更新」(AU) 連結 Windows Update (WU) 服務時,會啟動「自動更新」程序。 「自動更新」被設定為依據排程時間,每天檢查一次 Windows Update 是否有新的更新。 每 17 至 22 個小時會隨機執行檢查。 「自動更新」先透過自己的數位簽章檢查 Windows Update 網站的識別碼。 然後「自動更新」會搜尋 Windows Update 伺服器,取得可用更新清單的中繼資料。 注意:透過安全通訊端階層 (SSL) 交換的中繼資料,也包括用來驗證補充程式完整性的雜湊。 「自動更新」使用中繼資料資訊判斷是否已經將所有更新安裝至用戶端機器。 視「自動更新」服務的設定而定,它可以: 使用 BTS (幕後智慧型傳送服務) 自動下載更新。 通知您有新的更新可供下載。您可以檢閱並選取要下載的更新。 然後,「自動更新」也可以: 自動安裝更新。 通知您有新的更新可供安裝;您可以檢閱並選取要安裝的更新。 安裝完成後,「自動更新」會重新整理用戶端機器的安裝記錄檔。 下載及安裝統計資訊會傳送到 Windows Update 網站伺服器。 注意:Windows Update 不會收集個人識別資訊。如需詳細資料,請參閱 http://v4.windowsupdate.microsoft.com/en/about.asp#privacypolicy (英文)。 AU 會使用中繼資料識別尚未安裝的更新 AU 通知使用者,或使用 BITS (幕後智慧型傳送服務) 自動下載並驗證新的更新 AU 會通知使用者,或是自動安裝更新程式 AU 更新歷程記錄和統計 資訊
設定用戶端 Automatic Windows Update
MBSA 2.0 安全更新管理
MBSA 2.0 版 新功能 協助檢驗確認 Windows 系統弱點 使用 Windows 更新代理元件(Windows Update Agent, WUA)執行更新偵測。 支援更多的產品偵測 與 WSUS 密切整合 支援 64bit 作業系統平台 Automatic WUA update 協助檢驗確認 Windows 系統弱點 可掃瞄失敗的安全更新以及一般性的安全錯誤組態設定 可掃瞄多種不同版本的 Windows 以及其他微軟的應用程式 可使用圖形介面或文字介面掃瞄本機或同時掃瞄多台遠端系統 可於每一個被掃瞄的系統上產生 XML 格式的檔案報告 可執行於 Windows Server 2003, Windows 2000 SP3 以及 Windows XP 作業平台 New Update Assess Evaluate & Plan Deploy
代理元件部署 Microsoft Update WindowsUpdateAgent20-x86.exe 執行 MBSA 於管理系統端,並指定掃瞄目標。 API 嘗試執行掃瞄。 若 API 無法啟用,則下載代理元件(agent component)。 Microsoft Update WSUSSCAN.CAB 啟動代理元件,並重新嘗試啟動 API。 WUSCltV5aX64.exe WUSCltV5aX86.exe WindowsUpdateAgent20-x86.exe 若無法連結 Microsoft Update 網站,則下載 WSUSSCAN.CAB 檔案。 比較 CAB 檔案與 Windows Update Automatic 當中的代理元件版本。 若版本較舊,則回到步驟3,否則將使用已下載的 WSUSSCAN.CAB 檔案。 MBSA Console Target Computer
MBSA 2.0 掃瞄運作 Microsoft Update 執行 MBSA 於管理系統端,並指定掃瞄對象(目標電腦)。 若有指定 WSUS 伺服器,則目標電腦將嘗試使用預設指定的 WSUS 伺服器。 Offline CAB Microsoft Update 網站 或嘗試連結 Microsoft Update 網站(預設值)。 若 Microsoft Update 網站無法連結,則將嘗試使用 CAB 檔案。 WSUS 若快取中的 CAB 檔案並非最新版本,則由 MBSA 管理系統端協助下載最新版本。 使用 API 獲得適當的CAB 檔案。 倘若從 WSUS 下載清單當中的「未認可(Unapprove)」以及 Microsoft Update 均獲得下載結果,則將合併並使用其結果。 MBSA Console Target Computer
MBSA 2.0 支援藍圖 目前尚無立即支援: SQL and Exchange service packs XP Embedded 目前所支援的安全更新項目: Windows 2000 SP3 and later IIS 5.0 and later SQL Server 2000 / MSDE and later IE 5.01 SP3 and later Exchange 2000, 2003 and later Windows Media Player 6.4 and later Office XP, 2003 and later MSXML 2.5, 2.6, 3.0, 4.0 MDAC 2.5, 2.6, 2.7, 2.8 Microsoft Virtual Machine (JVM) 新版額外加入的安全更新項目: DirectX .NET Framework Windows Messenger FrontPage Server Extensions Windows Media Player 10 Windows Script 5.1, 5.5, 5.6 Windows Server 2003, 64-Bit Edition Windows XP 64-Bit Edition Windows XP Embedded Edition 支援新的作業平台: Remote only, updates only XP Embedded IA64 Updates only X64 目前尚無立即支援: SQL and Exchange service packs Office 2000 updates Commerce Server Content Mgt Server BizTalk Host Integration Server
MBSA 文字介面參數比較 MBSA 1.2.x /hf /h or /hf /i /c or /i /hf /x /hf /sus /hf /fip /hf /fh /v MBSA 2.0 /target /catalog /xmlout or /n * /wa /listfile /ld * = OS+IIS+SQL+Password
其它重點 效能 Metadata 輸入/輸出 掃瞄工作無須完整安裝 不再使用 mssecure.xml 檔案 可使用 MBSA 文字介面或直接呼叫 WSUS API 使用 輸入/輸出 使用新的文字介面參數 修改輸出架構 使用 .mbsa 為副檔名 /xmlout 取代舊有的 /hf 模式 掃瞄工作無須完整安裝 只需要下列元件即可執行離線掃瞄: mbsacli.exe, wsusscan.dll and wusscan.cab Mbsacli /xmlout /catalog c:\wsusscan.cab /unicode > result. xml 效能 支援同時掃瞄多台目標用戶端電腦
安裝與使用 MBSA 2.0
WUS 安全更新管理
什麼是 Windows Update Services 提供企業更新管理 從 Microsoft Update(MU)service下載 是一個Windows Server的元件 免費下載 並不改變現行所提供的更新方式 SUS 1.0 可以繼續從 WU下載 微軟更新的重大元件及更新管理的解決方案和準則
面對更新管理各種狀況 主要著重於增強微軟產品的安全和將更新管理的痛苦降至最低 WUS可以: 無須付出額外成本,就可提供以其為核心更新管理基礎架構 提供單一更新微軟軟體的基礎架構 以自動化方式更新部署運作,減少IT人員數量需求 啟用即時、有效率的更新管理、建置簡單及低管理能力需求 *See this Security White Paper for more information
WUS 目標 帶來簡單使用、微軟產品更新的全功能解決方案 針對Windows平台建立基本補充更新基礎架構 儘量自動更新管理運作 依然擁有 SUS 1.0的功能 已經針對管理者的體驗進行最佳化,非常適合一般IT人員操作。 針對Windows平台建立基本補充更新基礎架構 可利用其他工具加強架構,例如:SMS及其他周邊廠商的產品。
解決方案概觀 Microsoft Update WUS 伺服器 桌上型用戶端 Target Group 1 管理者審核更新套件 WUS伺服器從Microsoft Update下載更新套件 管理者將用戶端分成不同的target groups 用戶端向伺服器註冊 管理者定義更新的類別 代理程式安裝管理者審核過的更新套件
支援的產品與內容 可更新 支援的平台及需求 所有微軟產品 RTM階段 Windows 2000 SP3(伺服器版需SP4)或更新的版本 Office XP SP2及Office 2003 SQL 2000及MSDE 2000 Exchange 2003 支援的平台及需求 Windows 2000 SP3(伺服器版需SP4)或更新的版本 Windows XP或更新的版本 Windows Server或更新的版本 以上系統的各個地區語系版本 (包含多語系套件)
WUS 更新管理特性(一) 目標群組(Target Groups) 由管理者控制部署方式 支援AD環境,採用Registry為基礎的原則管理 啟始電腦掃瞄,檢查可否套用更新套件 審核後,決定安裝或移除 (系統需要更新才有此功能) 以日期為基準的更新程式審核方式 部署不同更新套件至不同的目標群組
WUS 更新管理特性(二) 代理程式設定 輪詢的頻率 通知和安裝動作 重新開機的動作 可設定埠號 非管理者可以安裝更新套件 (如同管理者) 在關機時安裝(僅XP SP2支援)
WUS 網路使用最佳化 迅速及透通 資料下載最小化 使用BITS*於”用戶端對伺服器”和”伺服器對伺服器”下載 背景下載 更新預定(依產品或類別) 使用“binary delta compression”技術於client-server溝通 僅下載審核過的更新套件選項 *Background Intelligent Transfer Service
WUS的部署與管理彈性 伺服器部署的選擇 管理能力和延伸能力 Microsoft Update伺服器儲存檔案 WUS伺服器運作成一個控制點 階層架構部署 獨立伺服器 (管理者希望不要繼承) “複寫”的伺服器 (管理者希望繼承) 管理能力和延伸能力 以.NET為基礎的伺服器APIs (管理工作) 以COM基礎的用戶端APIs (script和遠端支援) 自動更新套件部署 指令行選項觸發更新偵測
觀念性的架構模式 服務 防火牆 伺服器 用戶端
WSUS 的主要元件 元件一:服務 元件二:伺服器 元件三:伺服器相依元件 元件四:代理程式 元件五:代理程式相關元件 元件六:通訊協定 伺服器對伺服器 用戶端對伺服器
元件一:服務 Windows Update (WU) service Microsoft Update (MU) service 微軟負責此服務,僅包含視窗更新套件 Windows Update Services的自訂版本 Microsoft Update (MU) service 微軟負責此服務,包含所有微軟的更新套件 (WU的超級集合) Windows Update Services伺服器由此服務獲得更新套件
元件二:伺服器 企業提供伺服器由管理者控制更新項目 調整階層架構設定以符合各種網路拓樸 SQL為基礎的資料庫可以儲存所有資料,但不含內容 建構於 .NET Framework之上 內建安全特性 使用微軟憑證驗證所有下載的內容 所下載的儲存位置使用NTFS的權限控制
元件三:伺服器相依元件 WinHTTP, MSXML .NET Framework 1.1 MSDE或SQL及MDAC 2.8 網路連結與網站服務建置 .NET Framework 1.1 網站應用程式建置、APIs及網站服務 MSDE或SQL及MDAC 2.8 針對更新通用資訊, 管理者期望與事件的儲存解決方案 BITS 2.0 可由Microsoft Windows Update伺服器及其他伺服器進行背景、可重新開始的下載更新作業
元件四:代理程式 Win32服務(代理程式)執行大部分的功能 Update Handlers 伺服器提供由原有用戶端自動自我更新至新版本 自動更新特性可由原則控制 內建安全特性 與MU/WU溝通時,通用資訊可透過HTTPS/SSL傳送 使用微軟憑證驗證所有下載的內容 所下載的儲存位置使用NTFS的權限控制
元件五:代理程式相依元件 WinHTTP, MSXML Windows 資料庫技術 BITS 2.0 MSI 3.0 網路連結與網站服務建置 更新通用資訊快取的資料儲存(提升經由有線網路的資料使用) BITS 2.0 支援 “delta compression” 進行背景、可重新開始的下載更新作業 MSI 3.0 決定可用性、安裝及移除MSI為基礎的更新程式(例如:Office的更新程式)
元件六:通訊協定 伺服器/伺服器 上層伺服器或MU 下層伺服器 設定請求 設定回應 搜尋過濾 更新IDs 請求地區化資訊 地區化資訊 透過 HTTP(s)通訊
元件六:通訊協定 用戶端/伺服器 用戶端 伺服器 設定請求 設定回應 電腦註冊 同步請求 Repeated 回應 驅動程式同步請求 驅動程式資料 請求地區化資訊 地區化資訊
建置 WUS 前置準備(一) — 安裝 IIS
建置 WUS 前置準備(二) — 升級.NET Framework 1.1 SP1
建置 WUS 前置準備(三) — 升級BITS 2.0
建置 WUS — 安裝WUS
進入WUS管理畫面 http://伺服器/WUSadmin 設定WUS同步選項
WUS 手動立即同步
WUS同步後 可更新更多的軟體
WUS 自動審核更新套件
WUS 建置架構 伺服器選項 用戶端選項 單一伺服器 多台伺服器 中斷連線的伺服器 偵測頻率 用戶端與伺服器端目標模式(targeting mode)
Desktop Clients Target Group 1 Server Clients Target Group 2 單一 WUS 伺服器 WUS Server Microsoft Update Desktop Clients Target Group 1 Server Clients Target Group 2 WUS Administrator
單一 WUS 伺服器 小企業或簡單網路 設定一台伺服器與MU溝通 同步所有相關更新套件(例如:Windows XP 重大與安全更新) 其他: 針對不同群組的電腦建立 target groups 設定代理程式成為 target group的成員
WUS 建立目標群組(Target Group)
WUS 指定用戶端加入目標群組
多台 WUS 伺服器 Microsoft Update WUS Server WUS Server (replica) 桌上型用戶端
多台 WUS 伺服器 大企業或複雜網路 設定單一台或多台伺服器與MU溝通 同步所有相關更新套件(例如:Windows 2000、XP、2003 重大與安全更新) 建立伺服器的階層架構 在企業內部網路有獨立的WUS伺服器 “複寫” 的WUS伺服器 所有下層的伺服器觸發事件至上層伺服器 設定代理程式指向指定的 WUS伺服器 其他: 針對不同群組的電腦建立target groups 設定代理程式成為target group的成員
建立複寫的WUS (與另一台WUS同步)
群組原則中的管理範本 電腦設定 ->系統管理範本 ->Windows元件 ->Windows Update 使用新的Wuau.adm範本檔(強烈建議) 範本檔存在於已安裝WUS的伺服器上及Windows XP SP2上
更新 GPO 的 Windows Update範本
新版 WUS 群組原則(一) 設定下載、更新方式與排程。 設定自動更新 指定內部網路Microsoft更新服務的位置 啟用用戶端目標鎖定 重新排程自動安裝更新排定的安裝
新版 WUS 群組原則(二) 不自動重新啟動排定的自動更新安裝 自動更新偵測頻率 允許立即安裝自動更新 延遲排程安裝的重新啟動 指定的時數減去指定的0%到20%的時數 允許立即安裝自動更新 延遲排程安裝的重新啟動 預設的等候時間是5分鐘 再次提示排程安裝所需的重新啟動 預設頻率為10分鐘
設定群組原則
確認 用戶端套用群組原則
SUS 1.0升級成WUS wusutil migratesus /content <套件的路徑> /approvals <SUS名稱> /log <記錄檔>
WUS 建置考量 硬體需求 資料庫與儲存 頻寬 用戶端數量及用戶端查詢伺服器的頻率 本機或遠端的SQL Server或MSDE 單一地點 多個地點、分公司 低頻寬:下載的原則
WUS 伺服器硬體需求 項目 基本配備 建議配備 CPU 300MHz 1GHz 或更快 記憶體 256 MB 1GB 項目 基本配備 硬體需求500人以下 項目 基本配備 建議配備 CPU 300MHz 1GHz 或更快 記憶體 256 MB 1GB 硬體需求500人以上 項目 基本配備 建議配備 CPU 1GHz 或更快 2GHz 或更快 記憶體 1GB
WUS 軟體需求(一) 項目 需求 作業系統 可安裝於: Windows Server 2003 Windows 2000 Server SP4 IIS 5.0或6.0 背景智慧型傳輸服務 必須升級成BITS 2.0 .Net Framework 必須安裝.Net Framework 1.1版並修正為.Net Framework 1.1 Service Pack 1
WUS 軟體需求(二) 項目 需求 網際網路瀏覽器 Internet Explorer 6.0 SP 1 資料庫軟體 Windows SQL Server 2000 Desktop Engine(WMSDE)-WUS軟體中內建的資料庫。 SQL Server 2000 Desktop Engine(MSDE)-可免費由微軟的網站下載。 SQL Server 2000-這是微軟發行的全功能資料庫應用軟體伺服器。
WUS 可提升網路效能 WUS階層架構 NLB叢集 DNS的輪詢機制(Round-Robin) 有共同的叢集IP 一個叢集的FQDN 一個FQDN對應至多個IP位址 循環解析 不提供容錯
SMS 2003 安全更新管理
SMS 2003 提供企業級的絕佳網路伺服器以及用戶端管理解決方案: 軟體派送 作業系統部署 行動裝置管理 用戶端硬體資產蒐集管理分類 用戶端軟體資產蒐集管理分類 應用程式使用狀況追蹤 遠端協助及監控功能 完整的用戶端回報功能 用戶端系統安全更新管理及部署
SMS 2003: What it Does 更新 應用軟體更新(software update management)管理功能來達到指定並部署用戶端上作業系統以及 Office 的更新功能。 應用軟體派送(software distribution)功能,能部署及安裝任何作業系統所需的系統安全更新,以及任何應用程式的安全更新。 安全更新的對象標的,可以以資產管理資料庫作為參考準則。 安全更新安裝成功於否,可於管理系統端產生詳細報表。 可擁有彈性化的安全更新時程。 集中式,完全掌握及控制安裝流程。 可做頻寬最佳化考量。 範圍 準確 評估 規劃 部署
SMS 2003 更新管理 功能性(1) 系統掃瞄 & 更新內容下載 管理控制 從微軟下載中心下載更新內容 支援更新遠端及行動裝置 可更新 Windows,Office,SQL, Exchange 以及 Windows Media Player 等許多相關產品,而不需要使用特殊更新套件或撰寫 script 管理控制 可於 AD 環境,無 AD 環境的工作群組以及應用 WMI 屬性,甚至可經由 Script 協助控制。 安裝部署更新管理時,管理者可指定使用 SMS 作為集中下載更新內容參考。 可指定起始以及結束時間。 可輕易的從測試環境轉移至線上工作環境。 可使用臨時的參考測試環境設定來確認安全更新運作程序。
SMS 2003 更新管理 功能性(2) 更新下載 & 安裝 狀態 & 完成報表 site-site, server-server 之間使用 Delta replication 機制。 使用 BITS* 傳輸技術於行動用戶端 / 遠端用戶端與伺服器之間。 擁有安裝前,重新開機,強制安裝警示功能,以及重新排程能力。 擁有最佳的強制重新開機或重新登出功能。 每次更新後的重新開機偵測可減少重新開機次數。 狀態 & 完成報表 安全更新安裝狀態回報 經由資料庫 SQL 產生標準以及客製化報表 *Requires SMS Advanced Client
Microsoft Download Center SMS 2003 安全更新運作 安裝:下載軟體更新掃瞄工具(包含作業系統以及 Office)並執行安裝軟體更新工具。 Microsoft Download Center 將掃瞄元件複製到 SMS 用戶端。 防火牆 用戶端開始執行掃瞄,並將掃瞄結果回送至 SMS Site Server,以硬體資產資料形式回報於 SMS Site Server。 SMS 發佈點 SMS Site Server 管理者使用 Distribute Software Updates Wizard 執行授權更新。 SMS 用戶端 下載更新檔案的封裝或應用程式,並建立發佈軟體更新通知的packages, programs 以及 advertisements。 SMS 發佈點 SMS 用戶端 用戶端啟動軟體更新安裝代理元件以執行更新程序。 SMS 用戶端
SMS 2003 Inventory Tool for Microsoft Updates SMS Inventory Tool for Microsoft Updates (ITMU) 架構於 Windows Update Agent (WU Agent) 並此提供掃瞄以及安裝更新。 獨立的掃瞄工具 – 可不需連結 WSUS 伺服器或網際網路。 WU Agent 代理工具已內建於所有已經安裝 SP1 的 Windows Server 2003 當中。 Server 2003 SP1 以外的作業系統,可使用 SMS 軟體派送功能,執行派送並安裝。 提供一致持續性的 Microsoft Update 並著重於重大安全性更新,更新套件匯總(rollup)以及service pack。 預期公告時間 --- 七月 2005
ITMU 取代 Software Update Tool 標準化微軟安全更新掃瞄及部署技術,以期更完整的安全更新偵測機制。 不需要再為每一個安裝派送的軟體更新,手動輸入適當的安裝參數,以提供更好的軟體派送更新管理機制。 加入更多的報表,以提供更完整的安全更新回報機制。
ITMU 環境建置需求 SMS Site 需求條件: Advanced Client 需求條件: SMS 2003 SP1 Windows 2000 SP3 版本以上 MSXML 3.0 版 MSI 3.1 版
安裝 SMS Inventory Tool for Microsoft Update(ITMU)
ITMU 安裝後檢查
使用Distribute Software Update Wizard 派送安全更新至用戶端
Microsoft Update 以及 MBSA Windows Server Update Services(WSUS) SMS 2003 支援作業系統能力及更新能力比較 作業平台更新支援 與 WSUS 相同 + WinXP Home Win2K, WS2003, WinXP Pro, Office 2003, Office XP, Exchange 2000, SQL Server 2000, MSDE 與 WSUS 相同 + Win98* 以及任何其它以 Windows 為平台的軟體更新 應用程式更新以及軟體更新支援 所有的軟體更新,重大驅動程式更新 service pack 以feature pack。 所有的軟體更新,重大驅動程式更新 service pack 以及feature pack。 所有的軟體更新,重大驅動程式更新 service pack 以及feature pack,外加支援以及任何其它以 Windows 為平台的軟體更新。 安全更新管理能力比較 以作業系統內容為更新標的 無 簡單 進階 網路頻寬最佳化 有 發佈安全更新控制 安裝更新排程控制 手動或由使用者控制 更新結果回報 部署及規劃 資產管理 更新完成後檢查 無 – 只提供狀態報告 *MBSA 不支援 Win98 ,但 Win98 可使用 SMS2003 軟體派送功能取代 MBSA。
如何選擇最佳解決方案 客戶類型 環境概述 建議解決方案 SMS 2003 中大型企業環境 Update Services 小型企業環境 需要針對所有 Windows 作業系統以及應用程式,提供單一固定的管理解決方案,外加更新功能等級控制,並需要整合資產管理的企業環境。 SMS 2003 只需要單一的更新管理解決方案,以提供單純的更新 Windows 作業系統 (Win2K 以上的作業系統版本), Office (2003 及 XP 版本), Exchange 2003, SQL Server 2000, 以及 MSDE 2000 Update Services 擁有其它用戶端管理軟體,或希望降低安全更新管理的維護成本。 小型企業環境 至少擁有一部 Windows Server 以及一個 IT 管理人員 其它所有狀況 MBSA Microsoft Update 依客戶需求 最低目標
結論(一) 參看 http://www.SUSserver.com Microsoft Update 是一個最基礎的解決方案基礎架構 Windows Update Services 的解決方案基礎架構比 SUS 1.0 提供更多功能與彈性 預設的建置方式是很簡單的 若複雜的建置方式則需要事先規劃 參看 http://www.SUSserver.com
結論(二) WUS 將帶來定位為核心更新管理需求的全功能解決方案。 第一個建於視窗系統的核心更新管理基礎架構。 WUS 定位為『簡單』需求;而 SMS 2003 則定位為『進階』需求及包含整合的資產管理。 可至為軟網站www.microsoft.com/WUS參與Open Evaluation Program 。 如果現今你沒有更新管理解決方案,可以考慮使用SUS 1.0 或 SMS 2003。
WUS和SMS比較 簡單與進階 用戶端的支援 更新套件 / 應用程式部署 報表特性
相關參考資源 微軟更新: http://update.microsoft.com/ MBSA 2.0: http://www.microsoft.com/mbsa 安全更新服務: http://www.microsoft.com/updateservices SMS: http://www.microsoft.com/sms
© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.