安全更新管理精誠恆逸資訊資深講師職念文.

安全更新管理精誠恆逸資訊資深講師職念文

議程談安全更新管理程序安全更新管理—四大主題：微軟安全更新機制微軟基準線安全分析工具 2.0 微軟伺服器更新服務
Microsoft Update（MU）微軟基準線安全分析工具 2.0 Microsoft Baseline Security Analyzer 2.0（MBSA）微軟伺服器更新服務 Windows Server Update Services（WSUS）微軟系統管理伺服器 SMS 2003 SMS Inventory Tool for Microsoft Updates（ITMU）

修補管理流程 1. 評定要修補的環境 2. 識別新的補充程式 1. 評定 2. 識別 4. 部署補充程式 4. 部署 3. 評估與計劃
週期性工作 A. 建立/維護系統的比較基準 B. 評定修補管理架構 C. 檢閱基礎結構/組態持續性的工作 A. 蒐集資產資訊 B. 清查用戶端 2. 識別新的補充程式工作 A. 識別新的補充程式 B. 判斷補充程式的相關性 C. 確認補充程式驗證和完整性 Microsoft 英文網站 ( 上提供了可以下載的《Microsoft 安全性修補管理指南》，其中為修補管理流程中每個步驟的定期與持續性工作，提供了詳細資料。請試著針對流程中的每個步驟，回答下列問題：步驟 1：評定您是否在目前環境中發現任何威脅或弱點？生產環境是否有任何變更？例如，您是否安裝了新的作業系統與應用程式，或者是變更了您的網路或管理基礎結構？您是否保留了最新、最正確的清查資訊？您的管理基礎結構是否能夠支援修補管理？步驟 2：識別推出新的補充程式時，您如何獲得通知？是否有某個補充程式與貴組織的關係特別密切？哪些系統需要進行修補？是否所有系統都具有同等重要性，必須在第一時間進行修補？哪些系統最容易遭受攻擊？您是否下載了補充程式？如果有的話，這個補充程式是否確認沒有病毒？步驟 3：評估與計劃在進行部署之前，您是否已測試過補充程式，確保企業重要功能在套用補充程式後，仍然能夠正常運作？您是否有一套變更管理流程，能夠確保所有部門與人員皆同意需要部署補充程式？(如果補充程式非常重要，請務必採取更快速的流程！) 您是否考慮到補充程式的安裝方法與時機？在伺服器與桌上型電腦裝置上安裝補充程式的流程可能會有所不同，您可能必須考慮到中斷視窗對維持正常商業運作所造成的影響。步驟 4：部署在安裝新的補充程式之前，您是否在生產環境中進行適當準備？您必須通知系統管理員與使用者可能的停機時間。您也可能必須提供訓練課程，協助技術支援人員完成工作。您必須檢查發佈點，確認補充程式與相關的二進位碼檔案皆存在。您是否能夠監視補充程式的發佈情形、檢查安裝進度，並且處理例外狀況？針對將補充程式發行到行動用戶端和慢速連線的電腦上，您是否有特殊的策略？補充程式的大小是一個重大的問題。若要解決這個問題，可以選擇將行動用戶端強制安置在辦公室中，或是透過網路發佈補充程式。 Microsoft 發展出相關的方針，可協助客戶思考並且執行良好的安全性與修補管理。這份流程指導方針取自 Microsoft 作業架構 (MOF)，該架構是以 IT 資訊庫 (ITIL) 中所訂立的最佳實務範例 (也就是 IT 最佳實務範例的標準) 做為基礎。 1. 評定 2. 識別 4. 部署補充程式工作 A. 發佈與安裝補充程式 B. 進度報告 C. 處理例外狀況 D. 檢閱部署作業 4. 部署 3. 評估與計劃 3. 評估與計劃補充程式部署作業工作 A. 獲准部署補充程式 B. 執行風險評定 C. 計劃補充程式發行流程 D. 完成補充程式接受度測試

過去的安全更新管理不同的來源，有限制性的產品支援
Windows 更新 / Office 更新用戶端的焦點著重在使用網頁連結 Software Update Services (SUS) 1.0 立場尷尬，介於 Windows 更新功能以及自動更新功能之間 Microsoft Baseline Security Analyzer (MBSA) 1.2.1 針對 16 種產品偵測安全更新針對 7 種產品掃描產品設定弱點 Systems Management Server 2003 需外掛 SUS Feature Pack (且只支援 Windows 更新) 使用 MBSA 執行系統安全偵測企業更新掃瞄工具 Enterprise Update Scan Tool (EST) 彌補 MBSA 無法偵測的其他重大及重要安全更新相容於 SMS

今日的安全更新管理一致性的結果，並延伸產品支援
Microsoft Update (MU) 『主機』型的更新服務提供用戶端主機可於網頁要求中選擇「自訂」更新安裝 Windows Server Update Services (WSUS) 為企業架構而生的產品，可為所有用戶端更新大部分的安全套件可依照不同的微軟作業平台，分類安全更新套用對象執行 Microsoft Baseline Security Analyzer (MBSA) 2.0 安全重點掃瞄不需要執行伺服器端 Systems Management Server 2003 使用新版工具 Inventory Tool for Microsoft Update 整合使用 MBSA 2.0 執行安全設定檢查

過去的安全更新運作 SUS SMS MOM MBSA 1.2.1 單機自動更新機制自動更新 Office 偵測工具企業更新掃瞄工具
Microsoft 更新 Office 更新下載中心 MSSecure.XML SUS SMS MOM MBSA 1.2.1 單機自動更新機制自動更新 Office 偵測工具企業更新掃瞄工具 HFNetChk

今日的安全性整合更新運作單機自動更新機制 MOM SUS MBSA 2.0 SMS Windows 更新代理元件自動更新
微軟安全更新資料庫 Windows Update 離線資料庫 (wsusscan.cab) MOM 單機自動更新機制 SUS SMS MBSA 2.0 Windows 更新代理元件自動更新

Windows Update 安全更新管理

Microsoft Update (MU) 微軟線上更新服務 (update.microsoft.com):
針對要求更新的電腦偵測出 Windows 作業系統，Office，Exchange 以及 SQL 的安全更新產生需要安全更新的建議清單安裝使用者所勾選的安全更新元件提供用戶更新歷史紀錄清單可經由設定自動更新方式執行自動下載並執行安全更新 Product support grows over time 微軟的 Windows Update Catalog 網站，還可提供：包含所有已被標示為「Designed for Windows」logo 的裝置驅動程式更新搜尋功能 – 可尋找所需的更新可手動下載所需要的更新 New Update Assess Identify Evaluate & Plan Deploy *Windows 2000+, Office XP+, Exchange 2000+, SQL Note: also updates 64-bit editions of Windows Server

Windows Update 如何運作：自動更新
AU 會檢查 WU 服務是否有新的更新 (每 17 至 22 個小時) Windows Update 服務 AU 會驗證 WU 伺服器並取得「下載類別目錄」中繼資料「自動更新」(AU) 連結 Windows Update (WU) 服務時，會啟動「自動更新」程序。「自動更新」被設定為依據排程時間，每天檢查一次 Windows Update 是否有新的更新。每 17 至 22 個小時會隨機執行檢查。「自動更新」先透過自己的數位簽章檢查 Windows Update 網站的識別碼。然後「自動更新」會搜尋 Windows Update 伺服器，取得可用更新清單的中繼資料。注意：透過安全通訊端階層 (SSL) 交換的中繼資料，也包括用來驗證補充程式完整性的雜湊。「自動更新」使用中繼資料資訊判斷是否已經將所有更新安裝至用戶端機器。視「自動更新」服務的設定而定，它可以：使用 BTS (幕後智慧型傳送服務) 自動下載更新。通知您有新的更新可供下載。您可以檢閱並選取要下載的更新。然後，「自動更新」也可以：自動安裝更新。通知您有新的更新可供安裝；您可以檢閱並選取要安裝的更新。安裝完成後，「自動更新」會重新整理用戶端機器的安裝記錄檔。下載及安裝統計資訊會傳送到 Windows Update 網站伺服器。注意：Windows Update 不會收集個人識別資訊。如需詳細資料，請參閱 (英文)。 AU 會使用中繼資料識別尚未安裝的更新 AU 通知使用者，或使用 BITS (幕後智慧型傳送服務) 自動下載並驗證新的更新 AU 會通知使用者，或是自動安裝更新程式 AU 更新歷程記錄和統計資訊

設定用戶端 Automatic Windows Update

MBSA 2.0 安全更新管理

MBSA 2.0 版新功能協助檢驗確認 Windows 系統弱點
使用 Windows 更新代理元件（Windows Update Agent, WUA）執行更新偵測。支援更多的產品偵測與 WSUS 密切整合支援 64bit 作業系統平台 Automatic WUA update 協助檢驗確認 Windows 系統弱點可掃瞄失敗的安全更新以及一般性的安全錯誤組態設定可掃瞄多種不同版本的 Windows 以及其他微軟的應用程式可使用圖形介面或文字介面掃瞄本機或同時掃瞄多台遠端系統可於每一個被掃瞄的系統上產生 XML 格式的檔案報告可執行於 Windows Server 2003, Windows 2000 SP3 以及 Windows XP 作業平台 New Update Assess Evaluate & Plan Deploy

代理元件部署 Microsoft Update WindowsUpdateAgent20-x86.exe
執行 MBSA 於管理系統端，並指定掃瞄目標。 API 嘗試執行掃瞄。若 API 無法啟用，則下載代理元件（agent component）。 Microsoft Update WSUSSCAN.CAB 啟動代理元件，並重新嘗試啟動 API。 WUSCltV5aX64.exe WUSCltV5aX86.exe WindowsUpdateAgent20-x86.exe 若無法連結 Microsoft Update 網站，則下載 WSUSSCAN.CAB 檔案。比較 CAB 檔案與 Windows Update Automatic 當中的代理元件版本。若版本較舊，則回到步驟3，否則將使用已下載的 WSUSSCAN.CAB 檔案。 MBSA Console Target Computer

MBSA 2.0 掃瞄運作 Microsoft Update 執行 MBSA 於管理系統端，並指定掃瞄對象（目標電腦）。
若有指定 WSUS 伺服器，則目標電腦將嘗試使用預設指定的 WSUS 伺服器。 Offline CAB Microsoft Update 網站或嘗試連結 Microsoft Update 網站（預設值）。若 Microsoft Update 網站無法連結，則將嘗試使用 CAB 檔案。 WSUS 若快取中的 CAB 檔案並非最新版本，則由 MBSA 管理系統端協助下載最新版本。使用 API 獲得適當的CAB 檔案。倘若從 WSUS 下載清單當中的「未認可（Unapprove）」以及 Microsoft Update 均獲得下載結果，則將合併並使用其結果。 MBSA Console Target Computer

MBSA 2.0 支援藍圖目前尚無立即支援： SQL and Exchange service packs XP Embedded
目前所支援的安全更新項目： Windows 2000 SP3 and later IIS 5.0 and later SQL Server 2000 / MSDE and later IE 5.01 SP3 and later Exchange 2000, 2003 and later Windows Media Player 6.4 and later Office XP, 2003 and later MSXML 2.5, 2.6, 3.0, 4.0 MDAC 2.5, 2.6, 2.7, 2.8 Microsoft Virtual Machine (JVM) 新版額外加入的安全更新項目： DirectX .NET Framework Windows Messenger FrontPage Server Extensions Windows Media Player 10 Windows Script 5.1, 5.5, 5.6 Windows Server 2003, 64-Bit Edition Windows XP 64-Bit Edition Windows XP Embedded Edition 支援新的作業平台： Remote only, updates only XP Embedded IA64 Updates only X64 目前尚無立即支援： SQL and Exchange service packs Office 2000 updates Commerce Server Content Mgt Server BizTalk Host Integration Server

MBSA 文字介面參數比較 MBSA 1.2.x /hf /h or /hf /i /c or /i /hf /x /hf /sus
/hf /fip /hf /fh /v MBSA 2.0 /target /catalog /xmlout or /n * /wa /listfile /ld * = OS+IIS+SQL+Password

其它重點效能 Metadata 輸入/輸出掃瞄工作無須完整安裝不再使用 mssecure.xml 檔案
可使用 MBSA 文字介面或直接呼叫 WSUS API 使用輸入/輸出使用新的文字介面參數修改輸出架構使用 .mbsa 為副檔名 /xmlout 取代舊有的 /hf 模式掃瞄工作無須完整安裝只需要下列元件即可執行離線掃瞄： mbsacli.exe, wsusscan.dll and wusscan.cab Mbsacli /xmlout /catalog c:\wsusscan.cab /unicode > result. xml 效能支援同時掃瞄多台目標用戶端電腦

安裝與使用 MBSA 2.0

WUS 安全更新管理

什麼是 Windows Update Services
提供企業更新管理從 Microsoft Update（MU）service下載是一個Windows Server的元件免費下載並不改變現行所提供的更新方式 SUS 1.0 可以繼續從 WU下載微軟更新的重大元件及更新管理的解決方案和準則

面對更新管理各種狀況主要著重於增強微軟產品的安全和將更新管理的痛苦降至最低 WUS可以：
無須付出額外成本，就可提供以其為核心更新管理基礎架構提供單一更新微軟軟體的基礎架構以自動化方式更新部署運作，減少IT人員數量需求啟用即時、有效率的更新管理、建置簡單及低管理能力需求 *See this Security White Paper for more information

WUS 目標帶來簡單使用、微軟產品更新的全功能解決方案針對Windows平台建立基本補充更新基礎架構儘量自動更新管理運作
依然擁有 SUS 1.0的功能已經針對管理者的體驗進行最佳化，非常適合一般IT人員操作。針對Windows平台建立基本補充更新基礎架構可利用其他工具加強架構，例如：SMS及其他周邊廠商的產品。

解決方案概觀 Microsoft Update WUS 伺服器桌上型用戶端 Target Group 1
管理者審核更新套件 WUS伺服器從Microsoft Update下載更新套件管理者將用戶端分成不同的target groups 用戶端向伺服器註冊管理者定義更新的類別代理程式安裝管理者審核過的更新套件

支援的產品與內容可更新支援的平台及需求所有微軟產品 RTM階段 Windows 2000 SP3（伺服器版需SP4）或更新的版本
Office XP SP2及Office 2003 SQL 2000及MSDE 2000 Exchange 2003 支援的平台及需求 Windows 2000 SP3（伺服器版需SP4）或更新的版本 Windows XP或更新的版本 Windows Server或更新的版本以上系統的各個地區語系版本（包含多語系套件）

WUS 更新管理特性（一）目標群組（Target Groups）由管理者控制部署方式支援AD環境，採用Registry為基礎的原則管理
啟始電腦掃瞄，檢查可否套用更新套件審核後，決定安裝或移除（系統需要更新才有此功能）以日期為基準的更新程式審核方式部署不同更新套件至不同的目標群組

WUS 更新管理特性（二）代理程式設定輪詢的頻率通知和安裝動作重新開機的動作可設定埠號非管理者可以安裝更新套件（如同管理者）
在關機時安裝（僅XP SP2支援）

WUS 網路使用最佳化迅速及透通資料下載最小化使用BITS*於”用戶端對伺服器”和”伺服器對伺服器”下載背景下載
更新預定（依產品或類別）使用“binary delta compression”技術於client-server溝通僅下載審核過的更新套件選項 *Background Intelligent Transfer Service

WUS的部署與管理彈性伺服器部署的選擇管理能力和延伸能力 Microsoft Update伺服器儲存檔案 WUS伺服器運作成一個控制點
階層架構部署獨立伺服器（管理者希望不要繼承） “複寫”的伺服器（管理者希望繼承）管理能力和延伸能力以.NET為基礎的伺服器APIs （管理工作）以COM基礎的用戶端APIs （script和遠端支援）自動更新套件部署指令行選項觸發更新偵測

觀念性的架構模式服務防火牆伺服器用戶端

WSUS 的主要元件元件一：服務元件二：伺服器元件三：伺服器相依元件元件四：代理程式元件五：代理程式相關元件元件六：通訊協定
伺服器對伺服器用戶端對伺服器

元件一：服務 Windows Update （WU） service Microsoft Update （MU） service
微軟負責此服務，僅包含視窗更新套件 Windows Update Services的自訂版本 Microsoft Update （MU） service 微軟負責此服務，包含所有微軟的更新套件（WU的超級集合） Windows Update Services伺服器由此服務獲得更新套件

元件二：伺服器企業提供伺服器由管理者控制更新項目調整階層架構設定以符合各種網路拓樸 SQL為基礎的資料庫可以儲存所有資料，但不含內容
建構於 .NET Framework之上內建安全特性使用微軟憑證驗證所有下載的內容所下載的儲存位置使用NTFS的權限控制

元件三：伺服器相依元件 WinHTTP, MSXML .NET Framework 1.1 MSDE或SQL及MDAC 2.8
網路連結與網站服務建置 .NET Framework 1.1 網站應用程式建置、APIs及網站服務 MSDE或SQL及MDAC 2.8 針對更新通用資訊, 管理者期望與事件的儲存解決方案 BITS 2.0 可由Microsoft Windows Update伺服器及其他伺服器進行背景、可重新開始的下載更新作業

元件四：代理程式 Win32服務（代理程式）執行大部分的功能 Update Handlers 伺服器提供由原有用戶端自動自我更新至新版本
自動更新特性可由原則控制內建安全特性與MU/WU溝通時，通用資訊可透過HTTPS/SSL傳送使用微軟憑證驗證所有下載的內容所下載的儲存位置使用NTFS的權限控制

元件五：代理程式相依元件 WinHTTP, MSXML Windows 資料庫技術 BITS 2.0 MSI 3.0 網路連結與網站服務建置
更新通用資訊快取的資料儲存（提升經由有線網路的資料使用） BITS 2.0 支援 “delta compression” 進行背景、可重新開始的下載更新作業 MSI 3.0 決定可用性、安裝及移除MSI為基礎的更新程式（例如：Office的更新程式）

元件六：通訊協定伺服器/伺服器上層伺服器或MU 下層伺服器設定請求設定回應搜尋過濾更新IDs 請求地區化資訊地區化資訊
透過 HTTP（s）通訊

元件六：通訊協定用戶端/伺服器用戶端伺服器設定請求設定回應電腦註冊同步請求 Repeated 回應驅動程式同步請求
驅動程式資料請求地區化資訊地區化資訊

建置 WUS 前置準備（一） — 安裝 IIS

建置 WUS 前置準備（二） — 升級.NET Framework 1.1 SP1

建置 WUS 前置準備（三） — 升級BITS 2.0

建置 WUS — 安裝WUS

進入WUS管理畫面 http://伺服器/WUSadmin 設定WUS同步選項

WUS 手動立即同步

WUS同步後可更新更多的軟體

WUS 自動審核更新套件

WUS 建置架構伺服器選項用戶端選項單一伺服器多台伺服器中斷連線的伺服器偵測頻率
用戶端與伺服器端目標模式（targeting mode）

Desktop Clients Target Group 1 Server Clients Target Group 2
單一 WUS 伺服器 WUS Server Microsoft Update Desktop Clients Target Group 1 Server Clients Target Group 2 WUS Administrator

單一 WUS 伺服器小企業或簡單網路設定一台伺服器與MU溝通同步所有相關更新套件（例如：Windows XP 重大與安全更新）
其他：針對不同群組的電腦建立 target groups 設定代理程式成為 target group的成員

WUS 建立目標群組（Target Group）

WUS 指定用戶端加入目標群組

多台 WUS 伺服器 Microsoft Update WUS Server WUS Server （replica）桌上型用戶端

多台 WUS 伺服器大企業或複雜網路設定單一台或多台伺服器與MU溝通
同步所有相關更新套件（例如：Windows 2000、XP、2003 重大與安全更新）建立伺服器的階層架構在企業內部網路有獨立的WUS伺服器 “複寫” 的WUS伺服器所有下層的伺服器觸發事件至上層伺服器設定代理程式指向指定的 WUS伺服器其他：針對不同群組的電腦建立target groups 設定代理程式成為target group的成員

建立複寫的WUS (與另一台WUS同步)

群組原則中的管理範本電腦設定 ->系統管理範本 ->Windows元件 ->Windows Update
使用新的Wuau.adm範本檔（強烈建議）範本檔存在於已安裝WUS的伺服器上及Windows XP SP2上

更新 GPO 的 Windows Update範本

新版 WUS 群組原則（一）設定下載、更新方式與排程。設定自動更新指定內部網路Microsoft更新服務的位置啟用用戶端目標鎖定
重新排程自動安裝更新排定的安裝

新版 WUS 群組原則（二）不自動重新啟動排定的自動更新安裝自動更新偵測頻率允許立即安裝自動更新延遲排程安裝的重新啟動
指定的時數減去指定的0%到20%的時數允許立即安裝自動更新延遲排程安裝的重新啟動預設的等候時間是5分鐘再次提示排程安裝所需的重新啟動預設頻率為10分鐘

設定群組原則

確認用戶端套用群組原則

SUS 1.0升級成WUS wusutil migratesus /content <套件的路徑> /approvals <SUS名稱> /log <記錄檔>

WUS 建置考量硬體需求資料庫與儲存頻寬用戶端數量及用戶端查詢伺服器的頻率本機或遠端的SQL Server或MSDE 單一地點
多個地點、分公司低頻寬：下載的原則

WUS 伺服器硬體需求項目基本配備建議配備 CPU 300MHz 1GHz 或更快記憶體 256 MB 1GB 項目基本配備
硬體需求500人以下項目基本配備建議配備 CPU 300MHz 1GHz 或更快記憶體 256 MB 1GB 硬體需求500人以上項目基本配備建議配備 CPU 1GHz 或更快 2GHz 或更快記憶體 1GB

WUS 軟體需求（一）項目需求作業系統可安裝於： Windows Server 2003
Windows 2000 Server SP4 IIS 5.0或6.0 背景智慧型傳輸服務必須升級成BITS 2.0 .Net Framework 必須安裝.Net Framework 1.1版並修正為.Net Framework 1.1 Service Pack 1

WUS 軟體需求（二）項目需求網際網路瀏覽器 Internet Explorer 6.0 SP 1 資料庫軟體
Windows SQL Server 2000 Desktop Engine（WMSDE）－WUS軟體中內建的資料庫。 SQL Server 2000 Desktop Engine（MSDE）－可免費由微軟的網站下載。 SQL Server 2000－這是微軟發行的全功能資料庫應用軟體伺服器。

WUS 可提升網路效能 WUS階層架構 NLB叢集 DNS的輪詢機制（Round-Robin）有共同的叢集IP 一個叢集的FQDN
一個FQDN對應至多個IP位址循環解析不提供容錯

SMS 2003 安全更新管理

SMS 2003 提供企業級的絕佳網路伺服器以及用戶端管理解決方案：軟體派送作業系統部署行動裝置管理用戶端硬體資產蒐集管理分類
用戶端軟體資產蒐集管理分類應用程式使用狀況追蹤遠端協助及監控功能完整的用戶端回報功能用戶端系統安全更新管理及部署

SMS 2003: What it Does 更新應用軟體更新（software update management）管理功能來達到指定並部署用戶端上作業系統以及 Office 的更新功能。應用軟體派送（software distribution）功能，能部署及安裝任何作業系統所需的系統安全更新，以及任何應用程式的安全更新。安全更新的對象標的，可以以資產管理資料庫作為參考準則。安全更新安裝成功於否，可於管理系統端產生詳細報表。可擁有彈性化的安全更新時程。集中式，完全掌握及控制安裝流程。可做頻寬最佳化考量。範圍準確評估規劃部署

SMS 2003 更新管理功能性（1）系統掃瞄 & 更新內容下載管理控制從微軟下載中心下載更新內容支援更新遠端及行動裝置
可更新 Windows，Office，SQL， Exchange 以及 Windows Media Player 等許多相關產品，而不需要使用特殊更新套件或撰寫 script 管理控制可於 AD 環境，無 AD 環境的工作群組以及應用 WMI 屬性，甚至可經由 Script 協助控制。安裝部署更新管理時，管理者可指定使用 SMS 作為集中下載更新內容參考。可指定起始以及結束時間。可輕易的從測試環境轉移至線上工作環境。可使用臨時的參考測試環境設定來確認安全更新運作程序。

SMS 2003 更新管理功能性（2）更新下載 & 安裝狀態 & 完成報表
site-site, server-server 之間使用 Delta replication 機制。使用 BITS* 傳輸技術於行動用戶端 / 遠端用戶端與伺服器之間。擁有安裝前，重新開機，強制安裝警示功能，以及重新排程能力。擁有最佳的強制重新開機或重新登出功能。每次更新後的重新開機偵測可減少重新開機次數。狀態 & 完成報表安全更新安裝狀態回報經由資料庫 SQL 產生標準以及客製化報表 *Requires SMS Advanced Client

Microsoft Download Center
SMS 2003 安全更新運作安裝：下載軟體更新掃瞄工具（包含作業系統以及 Office）並執行安裝軟體更新工具。 Microsoft Download Center 將掃瞄元件複製到 SMS 用戶端。防火牆用戶端開始執行掃瞄，並將掃瞄結果回送至 SMS Site Server，以硬體資產資料形式回報於 SMS Site Server。 SMS 發佈點 SMS Site Server 管理者使用 Distribute Software Updates Wizard 執行授權更新。 SMS 用戶端下載更新檔案的封裝或應用程式，並建立發佈軟體更新通知的packages, programs 以及 advertisements。 SMS 發佈點 SMS 用戶端用戶端啟動軟體更新安裝代理元件以執行更新程序。 SMS 用戶端

SMS 2003 Inventory Tool for Microsoft Updates
SMS Inventory Tool for Microsoft Updates (ITMU) 架構於 Windows Update Agent (WU Agent) 並此提供掃瞄以及安裝更新。獨立的掃瞄工具 – 可不需連結 WSUS 伺服器或網際網路。 WU Agent 代理工具已內建於所有已經安裝 SP1 的 Windows Server 2003 當中。 Server 2003 SP1 以外的作業系統，可使用 SMS 軟體派送功能，執行派送並安裝。提供一致持續性的 Microsoft Update 並著重於重大安全性更新，更新套件匯總（rollup）以及service pack。預期公告時間 --- 七月 2005

ITMU 取代 Software Update Tool
標準化微軟安全更新掃瞄及部署技術，以期更完整的安全更新偵測機制。不需要再為每一個安裝派送的軟體更新，手動輸入適當的安裝參數，以提供更好的軟體派送更新管理機制。加入更多的報表，以提供更完整的安全更新回報機制。

ITMU 環境建置需求 SMS Site 需求條件： Advanced Client 需求條件： SMS 2003 SP1
Windows 2000 SP3 版本以上 MSXML 3.0 版 MSI 3.1 版

安裝 SMS Inventory Tool for Microsoft Update（ITMU）

ITMU 安裝後檢查

使用Distribute Software Update Wizard 派送安全更新至用戶端

Microsoft Update 以及 MBSA Windows Server Update Services（WSUS）
SMS 2003 支援作業系統能力及更新能力比較作業平台更新支援與 WSUS 相同 + WinXP Home Win2K, WS2003, WinXP Pro, Office 2003, Office XP, Exchange 2000, SQL Server 2000, MSDE 與 WSUS 相同 + Win98* 以及任何其它以 Windows 為平台的軟體更新應用程式更新以及軟體更新支援所有的軟體更新，重大驅動程式更新 service pack 以feature pack。所有的軟體更新，重大驅動程式更新 service pack 以及feature pack。所有的軟體更新，重大驅動程式更新 service pack 以及feature pack，外加支援以及任何其它以 Windows 為平台的軟體更新。安全更新管理能力比較以作業系統內容為更新標的無簡單進階網路頻寬最佳化有發佈安全更新控制安裝更新排程控制手動或由使用者控制更新結果回報部署及規劃資產管理更新完成後檢查無 – 只提供狀態報告 *MBSA 不支援 Win98 ，但 Win98 可使用 SMS2003 軟體派送功能取代 MBSA。

如何選擇最佳解決方案客戶類型環境概述建議解決方案 SMS 2003 中大型企業環境 Update Services 小型企業環境
需要針對所有 Windows 作業系統以及應用程式，提供單一固定的管理解決方案，外加更新功能等級控制，並需要整合資產管理的企業環境。 SMS 2003 只需要單一的更新管理解決方案，以提供單純的更新 Windows 作業系統 (Win2K 以上的作業系統版本), Office (2003 及 XP 版本), Exchange 2003, SQL Server 2000, 以及 MSDE 2000 Update Services 擁有其它用戶端管理軟體，或希望降低安全更新管理的維護成本。小型企業環境至少擁有一部 Windows Server 以及一個 IT 管理人員其它所有狀況 MBSA Microsoft Update 依客戶需求最低目標

結論（一）參看 http://www.SUSserver.com Microsoft Update 是一個最基礎的解決方案基礎架構
Windows Update Services 的解決方案基礎架構比 SUS 1.0 提供更多功能與彈性預設的建置方式是很簡單的若複雜的建置方式則需要事先規劃參看

結論（二） WUS 將帶來定位為核心更新管理需求的全功能解決方案。第一個建於視窗系統的核心更新管理基礎架構。
WUS 定位為『簡單』需求；而 SMS 2003 則定位為『進階』需求及包含整合的資產管理。可至為軟網站 Evaluation Program 。如果現今你沒有更新管理解決方案,可以考慮使用SUS 1.0 或 SMS 2003。

WUS和SMS比較簡單與進階用戶端的支援更新套件 / 應用程式部署報表特性

相關參考資源微軟更新： http://update.microsoft.com/
MBSA 2.0: 安全更新服務： SMS:

安全更新管理精誠恆逸資訊資深講師職念文.

Similar presentations

Presentation on theme: "安全更新管理精誠恆逸資訊資深講師職念文."— Presentation transcript:

Similar presentations

About project

反馈

请登录

Auth with social network:

安全更新管理 精誠恆逸資訊 資深講師 職念文.

Similar presentations

Presentation on theme: "安全更新管理 精誠恆逸資訊 資深講師 職念文."— Presentation transcript:

Similar presentations

About project

反馈

安全更新管理精誠恆逸資訊資深講師職念文.

Presentation on theme: "安全更新管理精誠恆逸資訊資深講師職念文."— Presentation transcript: