选择正确的软件更新解决.ppt

MGT 231 选择正确的软件更新解决方案: SMS 2003与Update Services,周利华 技术方案专家 专业解决方案部 微软(中国)有限公司,我们将涉及到哪些内容,更新管理面临的问题？ 微软提供了哪些技术？ 如何选择合适的更新管理解决方案？ 何处能够得到帮助信息？,大纲,为何需要更新管理 微软更新管理的昨天和今日 Microsoft Update Windows Server Update Services Systems Management Server 2003 常见场景,现今信息安全的问题,1 Source: Forrester Research 2 Source: Information Week, 26 November 2001 3 Source: Netcraft summary 4 Source: CERT, 2003 5 Source: CSI/FBI Computer Crime and Security Survey 6 Source: Computer Security Institute (CSI) Computer Crime and Security Survey 2002 7 Source: CERT, 2002 8 Source: Gartner Group,1,2,3,4,5,6,6,7,8,安全更新管理,业务需要,工具和流程来 识别严重级别的更新 发现易受攻击的系统 快速稳定的分发更新 准确的报告分发的状态,更新管理流程,1. 评估准备更新的环境 周期性任务 A. 创建/维护系统基线 B. 评估更新管理架构 (是否符合期望) C. 回顾基础架构/配置 进行中的任务 A. 发现资产 B. 客户端资产清单收集,1. 评估,2. 识别,4. 部署,3. 评测& 规划,2. 识别新的更新 任务 A. 识别新的更新 B. 判断更新的适用性 (包括威胁评估) C. 校验更新的真实性和完整性,3. 评测 & 规划更新部署 任务 A. 批准分发更新 B. 执行风险评估 C. 规划更新发布流程 D. 完成更新测试,4. 部署更新 任务 A. 分发安装更新 B. 过程报告 C. 异常处理 D. 部署回顾,微软安全更新管理之昨天,完全不同的内容源，有限的产品支持 Windows Update/Office Update 基于Web的用户解决方案 Software Update Services (SUS) 1.0 介于Windows Update和Automatic Updates (globally control updates) Microsoft Baseline Security Analyzer (MBSA) 1.2.1 支持检测16个产品的安全更新 支持检测7个产品的安全配置漏洞 Systems Management Server 2003 SUS Feature Pack (仅Windows更新) 使用MBSA 1.2.1检测其它安全更新 Enterprise Update Scan Tool (EST) 检测MBSA未涉及的紧急和重要的安全更新 兼容SMS,检测&更新内容,检测&更新内容,仅检测,仅更新内容,仅检测基础架构,Windows Update,MSSecure.XML,Office Update,Download Center,HFNetChk,ODT,EUST,检测和安装 基础架构,自动更新,SMS,SUS,Windows Update & Automatic Updates,MBSA 1.2.1,MBSA 1.2.1,Limited to certain products,Office Update,Download Center,SUS,SMS 2003,VS Update,Windows Update,Windows only,Windows only,Limited to certain products,MBSA 2.0,Windows Server Update Services,AutoUpdate,Windows 2000+ SQL 2000+ Office XP+ Exchange 2000+ Eventually all Microsoft Products,一致的结果，扩展的产品支持 Microsoft Update (MU) “Hosted” 更新服务版本 基于Web的用户解决方案 Windows Server Update Services (WSUS) 其它所有更新产品和工具的基础 微软平台的更新管理解决方案 Microsoft Baseline Security Analyzer (MBSA) 2.0 不需要服务器的安全扫描工具 Systems Management Server 2003 Inventory Tool for Microsoft Updates,微软安全更新管理之今天,Microsoft Update Catalog,WSUS,SMS,自动更新& 微软更新网站,MBSA 2.0,检测&更新内容,检测和安装基础,Microsoft Update (MU),微软在线更新服务()： 识别缺少的Windows、Office、Exchange和SQL更新 生成缺失更新的目标清单 安装用户选择的所缺更新 提供更新安装历史 使用自动更新能够自动下载微软更新的内容 支持的产品不断增加 Windows Update目录站点提供： 全面的所有Windows系统和“Designed for Windows”设备驱动更新 driver updates 搜索 寻找所需的更新 人工下载所需的更新 下载历史,*Windows 2000+, Office XP+, Exchange 2000+, SQL 2000 SP4+ Note: also updates 64-bit editions of Windows Server,识别,新更新,部署,Microsoft Update：如何更新 场景1：用户初始化访问 场景2：通过自动更新访问,Microsoft Update,浏览器中的客户端代码(或自动更新)验证微软更新服务器，下载目录元数据,用户访问微软更新站点或自动更新(AU)客户端 自动检查更新 (每17-22 小时),客户端代码(或自动更新) 使用目录元数据识别缺少的更新,微软更新页面(或自动更新)列出所缺少的更新，用户选择所需的更新下载,客户端代码(或自动更新)下载、校验、安装更新。自动更新使用BITS技术下载,客户端代码(或自动更新) 的更新历史和满意度信息*,*注意： 没有个人的身份标识信息被收集. 访问 .,Windows Server Update Services,提供企业更新管理 从Microsoft Update获得更新（MU） Windows Server的RTW组件 不需要Windows服务器许可(2000 and above) 需要Windows服务器/核心 CAL 继续提供当前产品的支持 SUS 1.0 能够继续从WU得到更新内容 微软更新解决方案&路线图的核心组件,管理员订阅更新种类,服务器从Microsoft Update下载更新,客户端在服务器上注册,管理员将客户端归入不同的目标组,管理员批准更新,客户端代理安装管理员批准的更新,Microsoft Update,WSUS Server,桌面客户端 目标组1,服务器客户端 目标组2,WSUS 管理员,解决方案概述,Windows Server Update Services,提供高级的更改和配置管理 可扩展的客户端和服务器管理企业解决方案 软件分发 操作系统部署 移动设备管理 硬件资产管理 软件资产管理 应用使用情况追踪 远程Help Desk功能,SMS 2003,SMS 2003：如何工作,使用软件更新管理功能在目标系统上识别和部署缺少的Windows和Office更新 使用软件分发技术能够部署任何Windows环境下的安全更新和应用程序 资产管理 & 基于资产管理的有目标的更新和软件安装 安装确认，详细报表 灵活的内容同步，扫描和安装时间安排 集中，完整的安装管理控制 带宽优化的内容分发,识别,新更新,部署,评估,评测&计划,系统扫描和更新内容下载 从微软下载中心下载更新内容 支持更新移动和远程设备 支持更新多种版本的Windows, Office, SQL, Exchange, Windows Media Player 管理控制 通过基于AD，非AD工作组，WMI属性实现更新；通过脚本实现额外选项 管理员初始化分发过程后，更新的内容将从集中的SMS资料文档库中下载 指定开始和结束时间 方便的将测试过程更改为生产过程 相关的系统更新配置可作为模版用于校验和强制系统一致性,SMS 2003 更新管理：功能,更新下载和安装 更新采用Delta复制(站点-站点，服务器-服务器) 为移动/远程客户端-服务器使用后台智能传输(BITS*)技术 在局域网中优先使用SMB 提醒&重新计划安装/重启和强制执行时间 优化系统重启，但当强制执行日期到达后强制执行 检测每一个更新的重启需求来减少系统重启的次数 状态和结果报告 评估更新的部署状态 通过只读的SQL视图定义标准和自定义的报表 在改变当前系统环境之前获得当前实际的系统环境基线 SLA度量和传播速度,SMS 2003 更新管理：功能 (2),*需要SMS高级客户端,SMS 2003 更新管理：工作原理,防火墙,SMS 站点服务器,SMS 分发点,SMS 客户端,SMS 客户端,Microsoft 下载中心,SMS 分发点,扫描程序组件分发到SMS 客户端,安装： 下载安全更新扫描工具和Office更新扫描工具；运行扫描工具安装程序,客户端扫描；扫描结果合并到硬件资产扫描结果中,管理员使用软件更新分发向导批准更新,客户端的Windows Update 安装代理安装更新,周期性的：同步组件检查是否有新的更新；扫描客户端；部署需要的更新,更新文件下载；创建包， 程序 & 通告 ； 包复制 & 程序通告到客户端,SMS 客户端,SMS Inventory Tool for Microsoft Updates,SMS Inventory Tool for Microsoft Updates (ITMU) 架构于Windows Update代理实现扫描和安装更新 单独的扫描工具 不需要WSUS服务器和Internet连接 WU代理内置于Windows Server 2003 SP1之后的所有新操作系统中 SMS在旧版操作系统上作为独立安装分发 提供和Microsoft Update关于critical security updates, update rollups and service packs的一致性 2005八月已发布,ITMU 增强,标准化微软的安全更新扫描和部署技术以便将来可以启用更好更完整的检测 无需人工为分发包中的每个更新指定正确的命令行选项。更好的管理体验，中文系统更新亦不再是问题。 增加了额外的报告，获得更多完整的一致性信息 。,ITMU 系统要求,SMS 站点要求: SMS 2003 SP1 三个产品hotfixes (KB900257、KB900401、KB901304） 高级客户端要求: SMS 2003 SP1 Windows 2000 SP3 或以上 MSXML 3.0 MSI 3.1,SMS Inventory Tool for Microsoft Updates,安装扫描工具,在站点服务器上安装 创建为分发最新的安全更新扫描计算机所需的所有SMS对象 (Package, Program, Advertisement and Collection) 可选安装最新的WSUS客户端,欢迎页面,接受最终用户许可,目标文件夹,获得WSUS目录,分发选项,分发选项，继续,开始安装,目录同步,安装结束,安装结束，继续,默认设置,，首次扫描将立即进行，之后每隔7天自动运行 在扫描之前所有未安装最新版本的Windows更新代理的计算机将被自动安装最新版本的代理 要立即得到客户端计算的扫描清单结果, 请使用“expedited”(加速) 程序,评估扫描结果,19种软件更新报告可供选择