规划和实现软件更服务.ppt

第9章规划和实现软件更新服务 第1章规划和配置授权和身份验证策略第2章安装 配置和管理证书颁发机构第3章配置 部署和管理证书第4章智能卡证书的规划 实现和故障诊断第5章加密文件系统的规划 实现和故障排除第6章规划 配置和部署安全的成员服务器基线第7章为服务器角色规划 配置和部署安全基线第8章规划 配置 实现和部署安全客户端计算机基线第9章规划和实现软件更新服务第10章数据传输安全性的规划 部署和故障排除第11章部署配置和管理SSL第12章规划和实施无线网络的安全措施第13章保护远程访问安全 网络安全的实现和管理 以WindowsServer2003和ISAServer2004为例 网络安全的实现和管理 以WindowsServer2003和ISAServer2004为例 第14章MicrosoftISAServer概述第15章安装和维护ISAServer第16章允许对Internet资源的访问第17章配置ISAServer作为防火墙第18章配置对内部资源的访问第19章集成ISAServer2004和MicrosoftExchangeServer第20章高级应用程序和Web筛选第21章为远程客户端和网络配置虚拟专用网络访问第22章实现缓存第23章监视ISAServer2004 第9章规划和实现软件更新服务 软件更新服务和更新管理介绍规划更新管理战略实现SUS基本架构 06级学生在工作中遇到的问题 计算机系统经常会感染病毒 被黑客入侵而遭到破坏 其主要原因有哪些 个人计算机是如何进行系统补丁更新的 对于企业大量的计算机如果也用个人计算机一样的方式进行更新存在哪些问题 问题的提出 软件更新服务和更新管理介绍 更新管理的优点更新管理基本架构的基本要素操作系统的更新管理工具应用程序的更新管理工具SUS组件更新管理中使用的文件 9 1软件更新服务和更新管理介绍 减少停机时间减少数据丢失减少成本 管理成本 增加了对知识产权的保护 更新管理的优点 9 1 1更新管理的优点 计算机系统中 经常更新的内容有哪些 更新的内容又是如何获得的呢 操作系统的更新管理工具 9 1 3操作系统的更新管理工具 MBSA microsoftbaselinesecurityanalyzerSUS softwareupdateservice 应用程序的更新管理工具 9 1 4应用程序的更新管理工具 Windowsupdate OfficeUpdate网址 Microsoftupdate SUS所需组件 9 1 5SUS组件 计算机配置 管理模板 windows组件 windowsupdate 更新管理中使用的文件 9 1 6更新管理中使用的文件 更新文件命名 Product KBArticle cpu language exe如 WindowsXP KB828035 X86 ENU EXE 第9章规划和实现软件更新服务 软件更新服务和更新管理介绍规划更新管理战略实现SUS基本架构 在企业的生产环境中 如何去管理更新 请谈谈你的想法 规划更新管理战略 更新管理生命周期分析更新状态的网络环境的方法使用MBSA分析网络环境的方法MSRC漏洞严重程度系统测试更新阶段部署更新的场景规划SUS基本架构的指导方针 9 2规划更新管理战略 更新管理生命周期 分析所有服务器确保它们完全安装了最新的更新 评估这些漏洞是否适用于你的特定环境 全面测试将要安装在环境中的更新确保更新不会影响现有系统的操作 一旦所有测试完成 就可以进行部署 在生产环境中安装好更新后需要继续监视服务器 复查每台计算机 确保它们都被正确部署且所有程序都运行正确 9 2 1更新管理生命周期 分析更新状态的网络环境的方法 MBSA图形用户界面允许扫描单台或多台计算机MBSA命令行界面通过使用命令参数支持和图形化界面提供的同样功能Systeminfo实用程序提供计算机状态的细节信息 9 2 2分析更新状态的网络环境的方法 使用MBSA分析网络环境的方法 演示 如何使用MBSA分析网络环境的方法 9 2 3使用MBSA分析网络环境的方法 实验9 1安装和运行MBSA 9 2 4实验9 1安装和运行MBSA MSRC漏洞严重程度系统 9 2 5MSRC漏洞严重程度系统 MSRC microsoftsecurityresponsecenter 测试更新阶段 测试周期评估 对更新所影响的系统进行评估 有何副作用评估服务器操作 受限制的 仅对核心功能进行测试评估服务器操作 完全 高安全环境评估应用程序操作 对用户的影响 9 2 6测试更新阶段 规划SUS服务器的配置 规划SUS基本架构的指导方针 规划SUS服务器的数量和位置 将一台SUS服务器连接到Internet创建SUS服务器链 分层次级别的SUS 将服务器放在靠近客户端计算机的地方 根据需要的语言下载更新使用本地数据库或WindowsUpdate创建同步计划 9 2 8规划SUS基本架构的指导方针 第9章规划和实现软件更新服务 软件更新服务和更新管理介绍规划更新管理战略实现SUS基本架构 实现SUS基本架构 安装SUS1 0SP1的方法安装后的任务AutomaticUpdates客户端AutomaticUpdates客户端配置选项管理SUS服务器的方法保护SUS服务器安全的最佳实践备份SUS服务器的方法更新管理的最佳实践 9 3实现SUS基本架构 安装SUS1 0SP1的方法 演示 如何安装SUS1 0SP1 9 3 1安装SUS1 0SP1的方法 安装后的任务 配置代理服务器配置SUS服务器名称配置内容同步控制更新版本 对新版的补丁更新如何控制 配置更新存储 9 3 2安装后的任务 软件更新包的使用方法 1 在IIS中将Content虚拟目录指向更新包相应位置2 通过IE打开SUS管理界面 在SetOptions中 在Selectwhichservertosynchronizecontentfrom 处选择 SynchronizefromalocalSoftwareUpdateServicesserver 并输入相应服务器名 AutomaticUpdates客户端 支持从运行SUS的服务器上下载批准的内容支持下载内容的计划安装通过使用组策略对象编辑器或编辑注册表可以配置所有AutomaticUpdates选项 功能 9 3 3AutomaticUpdates客户端 9 3 4AutomaticUpdates客户端配置选项 AutomaticUpdates客户端配置选项 通过组策略配置客户端配置选项 通过组策略配置 通过组策略配置 管理SUS服务器的方法 演示 计划更新更新SUS服务器批准SUS服务器上的更新检查日志文件 9 3 5管理SUS服务器的方法 SUS同步过程 SUS批准更新 查看SUS同步日志 备份SUS服务器的方法 演示 备份管理Web站点和内容数据库备份IIS元数据库 9 3 7备份SUS服务器的方法 完全备份或 systemroot sus和inetpub wwwroot SUSAdmin及IIS元数据备份 更新管理的最佳实践 在实现更新管理战略时评估操作规程 部署更新之前维护测试更新的测试环境 订阅与安全相关的邮件列表和Microsoft安全公告 配置SUS服务器为有专用Internet连接的客户端 实施安全保护最佳实践 保护SUS服务器的安全 确保只有管理员可以控制AutomaticUpdatesService 9 3 8更新管理的最佳实践 实验9 2配置SUS服务器 目的 配置SUS服务器 9 3 9实验9 2配置SUS服务器 实验9 3安装 配置和维护更新管理基本架构 练习1安装和配置SUS服务器链练习2管理SUS服务器练习3使用组策略和Microsoft基线安全分析器部署软件更新 9 4实验9 3安装 配置和维护更新管理基本架构 回顾 学习完本章后 将能够 掌握更新管理需要和用于实现更新管理战略的工具规划更新管理战略实现SUS基本架构 随堂练习1 你是的安全管理员 网络由一个叫做的单一活动目录域组成 域包含WindowsServer2003服务器计算机 其中有12台计算机被配置为网络服务器 你需要制定一份报告来确定这些文件服务器上没有安装哪些Microsoft安全补丁 你该怎么做 A 在文件服务器上运行Gpresult exe命令 B 在文件服务器上运行Mbsacli exe命令 C 在文件服务器上运行Secedit exe命令 D 在文件服务器上运行Qfecheck exe命令 E 在文件服务器上运行Qchain exe命令 随堂练习2 你是shixun的安全管理员 网络由一个叫做的单一活动目录域组成 所有服务器运行WindowsServer2003 一个叫做shixun3的服务器不是域成员 其他服务器是域成员 S写安全策略规定所有服务器必须具有一些安全设置 包括特定事件日志设置 注册权限设置 所要求的安全设置在一个叫做shixun inf的安全模板中指定 你需要把这些设置应用到shixun info安全模板和shixun3 但是你不想把shixun3添加到域中 你该怎么做 A 在shixun3服务器上 从管理工具菜单中打开本地安全策略对话框 然后使用import策略命令输入shixun inf B 在shixun3服务器上 打开本地安全策略 然后选择安全设置 使用import策略命令输入shixun inf C 在shixun3服务器上 打开安全配置和分析对话框 使用import模板命令输入shixun inf 然后使用现在配置计算机命令 D 在shixun3服务器上 把shixun inf复制到Systemroot Security Templates文件夹 E 在shixun3服务器上 把shixun inf复制到Systemroot System32 GroupPolicy Machine文件夹 随堂练习3 你是shixun的安全管理员 网络由两个分别叫做segmentA和segmentB的部分组成 网络中的客户机运行WindowsXPProfessional 服务器运行WindowsServer2003 SegmentA包含一个叫做shixun1的单一服务器 SegmentB包含所有其他的计算机 其中含有一个叫做shixun2的服务器 Shixun的写安全策略规定segmentB不能和Internet连接 但允许SegmentA和Internet连接 在segmentA和segmentB之间没有网络连接 你可以使用CD ROM把segmentA的文件复制到segmentB 实现两段之间的文件传输 网络拓扑如图所示 随堂练习3 续 你正策划一个补丁管理架构 在segmentB中 你在shixun2上安装软件更新服务 SUS 你配置segmentB中的所有服务器上的自动更新 使其使用http TestKing2和安装安全补丁 你需要确认segmentB中的所有服务器可以自动安装安全补丁 你该怎么做 A 在shixun1上安装SUS 周期把shixun1上的Content文件夹和SUS根文件夹中的文件复制到shixun2上 B 在shixun1上安装SUS 周期把shixun1上的Content文件夹中的文件复制到shixun2上 把shixun1中的Approveditems txt文件复制到shixun2的Windows文件夹中 C 在shixun1上 周期性的连接到MicrosoftWindows更新目录网络站点 同时下载新安全补丁 把文件复制到shixun2中的Content文件夹中 D在shixun上 配置自动更新 使其可以使用MicrosoftWindows更新网络站点的URL 周期性地将下载的文件和Mssecure xml文件复制到shixun2上的Content文件夹中 随堂练习4 网络拓扑如图 你是的安全管理员 网络由一个叫做的单一活动目录域组成 S域包含WindowsServer2003计算机和WindowsXPProfessional客户机 网络相关部分如图所示 S的写安全策略规定所有对Internet的请求必须是经过验证的 你在一个叫做shixun6的计算机上安装了软件更新服务 SUS 随堂练习4 续 当你试图把shixun6和Microsoft更新服务器同步时 你失败了 你查看错误日志来同步shixun6 接收到以下错误信息 80072efdERROR INTERNET CANNOT CONNECT不能和Internet服务器连接 你需要确认shixun6能够连接到MicrosoftWindows更新服务器 你该怎么做 A 配置MicrosoftInternetSecurityandAcceleration ISA 服务器 使用8080端口通信 B 在shixun6上安装Microsoft客户端防火墙 C 配置MicrosoftInternetSecurityandAcceleration ISA 服务器 在shixun6上发布SUS D 配置shixun6上的SUS 来验证MicrosoftInternetSecurityandAcceleration ISA 服务器 随堂练习5 你是的安全管理员 网络由一个叫做的单一活动目录域组成 所有服务器运行WindowsServer2003 客户机有的运行WindowsXPProfessional 有的运行W