顧武雄 Jovi Ku Microsoft特約資深講師 jovi@cogate.com.tw SMS 2003 R2 做好企業更新與弱點管理 顧武雄 Jovi Ku Microsoft特約資深講師 jovi@cogate.com.tw

講師介紹 高傑信公司 技術顧問 Microsoft CTEC 教育中心講師 Microsoft MVP & 特約講師 Windows &.NET Magazine –特約作者 Information Security Magazine -專欄作家 網路資訊、Run!PC、NetAdmin 電腦雜誌–專欄作家 旗標、文魁以及碁鋒圖書作者 個人著作 : Microsoft ISA Server 建置與管理 SharePoint Portal Server徹底研究 Microsoft Access Project with SQL Server ISA SERVER 2004 系統安全整合實務 Small Business Server 2003 系統整合管理實務 Microsoft Operations Manager 2005 IT智慧整合管理實務 SharePoint Portal Server 2003 技術問答精選實錄 新上市！

預備知識 Level 200 Windows Server 2003 基礎概念 Active Directory 基礎概念 SMS 2003 功能與架構基礎概念 Level 200

講題大綱 企業IT對於更新管理的需求 WSUS與SMS 2003 R2的抉擇 ITMU全面管理微軟產品的更新 ITCU與CUPT聯手解決非微軟產品的更新管理 結合弱點管理工具STVA的使用 Q&A

企業IT對於更新管理的需求 降低IT管理成本（人力、預算） 支援跨地理位置的佈署架構 支援單一介面多點集中管理 解決有限頻寬的使用問題 可根據不同電腦需求，派送指定的更新程式 避免應用程式不相容的問題

IT 期望: 以更少做更多

SMS 2003 R2的功能 更新管理 資產管理 (包含非微軟產品) 弱點管理 支援行動用戶者 應用程式部署 作業系統部署 支援PDA裝置 Application Deployment Deliver critical business productivity applications reliably and easily to users in the right place at the right time. Asset Management Reduce software costs and helps customers stay compliant by tracking and reporting on the installed application base and their usage. Security Patch Management Improve security of the Windows® environment through increased vulnerability awareness and reliable targeted delivery of updates, Mobility Deliver enterprise management to the growing mobile workforce through industry standards independent of connection or location. Windows Management Services Integration Reduce operational costs by fully utilizing the manageability built into the Windows platform. 整合 Windows 管理服務

講題大綱 企業IT對於更新管理的需求 WSUS與SMS 2003 R2的抉擇 ITMU全面管理微軟產品的更新 ITCU與CUPT聯手解決非微軟產品的更新管理 結合弱點管理工具STVA的使用 Q&A

SMS 2003 SP2 更新資訊 SMS各站台伺服器的命名可以使用FQDN格式 SMS Advanced Client 支援IA64、x64、x86平台 在軟體更新（Software Updates）節點上的操作，支援管理員自行建立資料夾來作為更新管理的分類。 SMS Executive 採用多執行緒的軟硬體資產清查處理 增加傳送用戶端刪除記錄到SMS父站台 下載網址：http://www.microsoft.com/technet/downloads/sms/2003/servicepacks/default.mspx

SMS 2003 R2 關鍵新功能 ITCU、CUPT－解決非微軟產品的更新管理 OSD－作業系統的大量部署與管理 STVA－結合資產管理的弱點報告套件 DMFP－PDA、智慧型手機裝置的管理

WSUS vs SMS Windows Server Update Services（WSUS） 需結合Active Directory群組原則的集中管理 僅支援Windows 2000以上的作業系統 提供簡易報表查詢 System Management Server 使用SMS代理程式集中更新管理 支援Windows 98、NT4.0以上的作業系統 提供進階的更新報表管理 結合軟硬體資產的管理

軟體和內容的支援 特色 MBSA Microsoft Update WSUS SMS 2003 支援的軟體和內 容 相同於MU安全 更新偵測，包 含了Windows、 IE、Exchange以 及SQL組態設定 Windows 2000、 Exchange 2000、 SQL Server 2000 、 Office XP以上版本 同MU 相同於 WSUS+NT4.0+Win98以及 可以更新Windows作業平 台下的所有軟體。 支援內容類型 Service Pack與安 全更新 所有Microsoft Windows軟體更新、 驅動程式、Service Pack、Feature Pack 相同於MU以及唯一 重大驅動程式更新 所有Microsoft Windows更 新以及任何Windows作業 平台下的所有軟體。

比較更新管理的能力 特色 MBSA Microsoft Update WSUS SMS 2003 支援的軟體和 內容 簡易 無 進階 網路頻寬最佳 化 有 更新派送控管 更新安裝與排 程的彈性設定 用戶端使用者手動 設定 更新安裝狀態 報表查詢 安裝錯誤報告與列 出遺失的更新清單 給使用者 部署計畫 資產管理 授權檢查 無-只有狀態報告

講題大綱 企業IT對於更新管理的需求 WSUS與SMS 2003 R2的抉擇 ITMU全面管理微軟產品的更新 ITCU與CUPT聯手解決非微軟產品的更新管理 結合弱點管理工具STVA的使用 Q&A

ITMU更新管理特色 （Inventory Tool for Microsoft Updates） 不再需要分開使用Security Update Inventory Tool與Microsoft Office Inventory Tool 整合Windows Update與Microsoft Updates的更新管理 更新範圍的類型相同於WSUS，包含了所有的安全更新、Update rollup、Service Pack 。 會針對更新對象部署Windows Update Agent 5.8元件 此套件可以安裝在SMS 2003 SP1 、SP2以及R2的版本上 ITMU下載網址： http://www.microsoft.com/smserver/downloads/2003/tools/msupdates.mspx

支援更新的目標 Microsoft Windows XP Embedded Microsoft Windows 64-bit edition (架構在Windows Server 2003 SP1更新上) Microsoft Office XP and Office 2003 Microsoft Exchange 2000 and Exchange 2003 Microsoft Windows 2000 Service Pack 4以上版本 所有Windows相關元件的更新（例如：MSXML、MDAC、Microsoft Virtual Machine等等） Microsoft SQL Server 2000 SP4以及SQL Server 2005 其它所有發佈到Windows Updates更新類別目錄中的產品項目

ITMU的安裝與設定 設定程式安裝路徑 設定同步更新類別目錄的電腦 設定SMS的MU管理物件名稱、指定測試電腦 設定Windows Update Agent的SMS集合、軟體封裝名稱

檢視ITMU安裝結果 預設只有英文的更新類別項目!

加入中文更新類別目錄 加入Addlocales=0x0404敘述 開啟\Program Files\Microsoft Updates Inventory Tool\PkgSource路徑下的Download.ini 新增個[Download1]段落名稱 加入Addlocales=0x0404敘述 再次執行Advertisements節點公告項目中的Microsoft Updates Tool Sync 其它語言的代碼查詢網址 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/intl/nls_238z.asp

Microsoft Update更新部署測試（1/4）

Microsoft Update更新部署測試（2/4） 可以輸入關鍵字來篩選更新項目!

Microsoft Update更新部署測試（3/4）

Microsoft Update更新部署測試（4/4） 選取更新部署的目標集合!

更新狀態查詢 可以在[Microsoft Updates Tool]的集合中，針對測是的SMS用戶端電腦項目，按下滑鼠右鍵點選[Resource Explorer] 。 請查看[Status]欄位值是否為Installed或是Applicable 或是經由[Reporting]\[Reports]節點下來開啟Software updates相關報表查詢。

正式上線使用之後… 請開啟[Microsoft Updates Tool]集合內容 針對預設的[Collection Query]規則項目點選右上方屬性按鈕 將預設的Collection limiting區域的設定項目變更為[Note collection limited]

講題大綱 企業IT對於更新管理的需求 WSUS與SMS 2003 R2的抉擇 ITMU全面管理微軟產品的更新 ITCU與CUPT聯手解決非微軟產品的更新管理 結合弱點管理工具STVA的使用 Q&A

解決非微軟產品的更新管理 ITCU（Inventory Tool for Custom Updates） 負責派送補強更新管理 CUPT（Custom Updates Publishing Tool） 負責下載與發佈最新更新類別清單至SMS主機

ITCU運作原理

關於更新類別目錄 現有整合ITCU的協力廠商 企業IT可以設計特定應用系統的類別目錄 http://www.microsoft.com/smserver/partners/itcucat.mspx 企業IT可以設計特定應用系統的類別目錄 參考CUPT安裝後的說明文件

安裝ITCU（1/2） 請在SMS伺服器上，點選安裝主選單中的Inventory Tool for Custom Updates連結。

安裝ITCU（2/2） 設定ITCU程式的安裝路徑 設定SMS物件名稱（集合 、封裝） 指定一部SMS Advanced Client 測試用電腦

安裝後的檢查 檢查Collections節點下 檢查Packages 與Advertisements節點下 已建立Custom Updates Tool 、Custom Updates Tool（pre-production） 檢查Packages 與Advertisements節點下 分別已建立Custom Updates Tool

關於CUPT 不一定要安裝在SMS相關的伺服器或用戶端 只要是Windows XP Professional SP2或Windows Server 2003 SP1 需要預先下載安裝MMC 3.0 其它Windows Installer 3.1 、.NET Framework 2.0 、SQL Server 2005 Express 都可以在CUPT安裝過程中自動補裝

安裝CUPT（1/2） 請在安裝主選單中點選Custom Updates Publishing Tool連結

安裝CUPT（2/2） 設定SQL Server連線 自動檢查缺少安裝的必要元件 設定程式安裝路徑 設定更新類別清單同步的SMS主機名稱 設定相對應的ITCU封裝路徑 Package ID 必須由SMS主控台來查看!

完成CUPT安裝 [開始]\[程式集]\[System Management Server]來開啟 [Custom Updates Publishing Tool]

下載與發佈更新類別清單（1） 在此以Adobe Flash Player產品為例 請點選位在[動作]視窗中的[Settings]連結 在[Settings]頁面的[Import List]頁籤中點選[Add] 在[Choose Path]欄位中輸入下載網址 http://fpdownload.adobe.com/get/flashplayer/current/licensing/win/AdobeFlashPlayerCatalog.cab

下載與發佈更新類別清單（2）

發佈類別清單至SMS主機 點選[Set All Publish Flags]連結 點選[Publish Updates]連結

部署Adobe Flash Player補強更新（1/4） 可以先建立軟體更新的分類資料夾 接著在[Software Update]節點上按下滑鼠右鍵點選[Move Folder Items] 新增自訂資料夾來進行分類管理! 這些都是非微軟產品的更新類別項目!

部署Adobe Flash Player補強更新（2/4）

部署Adobe Flash Player補強更新（3/4）

部署Adobe Flash Player補強更新（4/4） 確認更新程式下載完成 更新SMS派送站台 設定代理程式組態

部署Adobe Flash Player補強更新（5/5） 設定安裝前的倒數時間、允許延遲執行的時間、設定整體安裝的最長時間 更新通知使用者 設定更新派送對象 對於尚未更新的電腦，設定重複執行公告的週期

檢視派送結果

更新－Citrix Presentation Server CPS4EN_Catalog_For_SMS.cab 在CUPT的管理介面中點選位在[動作]窗格內的[Import Update]連結

講題大綱 企業IT對於更新管理的需求 WSUS與SMS 2003 R2的抉擇 ITMU全面管理微軟產品的更新 ITCU與CUPT聯手解決非微軟產品的更新管理 結合弱點管理工具STVA的使用 Q&A

STVA弱點評估的掃瞄工具 Scan Tool for Vulnerability Assessment 弱點資訊報告隨著每一次SMS用戶端進行資產清單回報時，更新到SMS資料庫 搭配MSBA 2.0引擎產生弱點報告 是否有哪一些系統不需要的服務被安裝或正在執行當中 用戶端電腦上所設定的檔案共享是否有設定適當的權限配置 Windows XP或Windows Vista中內建的防火牆功能是否已啟用 用戶端電腦上的自動更新功能是否已啟用 使用者的密碼配置原則是否有強制採用符合密碼複雜度原則 作業系統預設中未啟用的Guest帳戶是否有被啟用 本機電腦中是否有設定太多的使用者屬於Administrators的群組成員

安裝STVA 設定掃描項目 設定建立SMS相關物件 設定測試用的SMS Advanced Client電腦

可用的STVA報表

使用Resource Explorer

完成測試之後… 請開啟Collections節點下的Vulnerabilities Assessment Tool（default）集合內容 將成員規則的[Collection limiting]設定為[Not Collection limited]

下一堂課程重點 時間：2007 年 01 月 19 日 15:00-17:00 使用 SMS 2003 R2 大量部署 Windows Vista 大量部署Windows Vista的全新安裝與升級 結合RIS大量部署Windows XP安裝 DMFP套件管理PDA裝置資產

Q&A

For More Information… TechNet中文網站 SMS中文官方網站下載電子檔 http://www.microsoft.com/taiwan/technet SMS中文官方網站下載電子檔 http://download.microsoft.com/download/5/e/c/5ec84313-c5b1-419a-ae61-e08fe426843d/SMS_2003_R2.zip 中文System Management Server 官方網站 http://www.microsoft.com/taiwan/smserver SMS Technet Resource http://www.microsoft.com/technet/prodtechnol/sms/default.mspx