安全更新管理

平安更新管理精誠恆逸資訊資深講師職念文議程談平安更新管理程序平安更新管理—四大主題：微軟平安更新機制MicrosoftUpdate〔MU〕微軟基準線平安分析工具2.0MicrosoftBaselineSecurityAnalyzer2.0〔MBSA〕微軟伺服器更新服務WindowsServerUpdateServices〔WSUS〕微軟系統管理伺服器SMS2003SMSInventoryToolforMicrosoftUpdates〔ITMU〕2修補管理流程1.評定要修補的環境週期性工作A.建立/維護系統的比較基準B.評定修補管理架構C.檢閱基礎結構/組態持續性的工作A.蒐集資產資訊B.清查用戶端1.

評定2.

識別4.

部署3.

評估與計劃2.識別新的補充程式工作A.識別新的補充程式B.判斷補充程式的相關性C.確認補充程式驗證和完整性3.評估與計劃

補充程式部署作業工作A.獲准部署補充程式B.執行風險評定C.計劃補充程式發行流程D.完成補充程式接受度測試4.部署補充程式工作A.發佈與安裝補充程式B.進度報告C.處理例外狀況D.檢閱部署作業3過去的平安更新管理

不同的來源，有限制性的產品支援Windows更新/Office更新用戶端的焦點著重在使用網頁連結SoftwareUpdateServices(SUS)1.0立場尷尬，介於Windows更新功能以及自動更新功能之間針對16種產品偵測平安更新針對7種產品掃描產品設定弱點SystemsManagementServer2003需外掛SUSFeaturePack(且只支援Windows更新)使用MBSA1.2.1執行系統平安偵測企業更新掃瞄工具EnterpriseUpdateScanTool(EST)彌補MBSA無法偵測的其他重大及重要平安更新相容於SMS4今日的平安更新管理

一致性的結果，並延伸產品支援MicrosoftUpdate(MU)『主機』型的更新服務提供用戶端主機可於網頁要求中選擇「自訂」更新安裝WindowsServerUpdateServices(WSUS)為企業架構而生的產品，可為所有用戶端更新大局部的平安套件可依照不同的微軟作業平台，分類平安更新套用對象執行MicrosoftBaselineSecurityAnalyzer(MBSA)2.0平安重點掃瞄不需要執行伺服器端SystemsManagementServer2003使用新版工具InventoryToolforMicrosoftUpdate整合使用MBSA2.0執行平安設定檢查5Office更新MSSecure.XML下載中心單機自動更新機制Office偵測工具HFNetChk企業更新掃瞄工具SMSMBSA1.2.1SUS自動更新MOM過去的平安更新運作Microsoft更新6WindowsUpdate單機自動更新機制SMSSUS自動更新MOMMBSA2.0Windows更新代理元件微軟平安更新資料庫離線資料庫(wsusscan.cab)今日的平安性整合更新運作7WindowsUpdate平安更新管理8MicrosoftUpdate(MU)微軟線上更新服務():針對要求更新的電腦偵測出Windows作業系統，Office，Exchange以及SQL的平安更新產生需要平安更新的建議清單安裝使用者所勾選的平安更新元件提供用戶更新歷史紀錄清單可經由設定自動更新方式執行自動下載並執行平安更新Productsupportgrowsovertime微軟的WindowsUpdateCatalog網站，還可提供：包含所有已被標示為「DesignedforWindows」logo的裝置驅動程式更新搜尋功能–可尋找所需的更新可手動下載所需要的更新提供用戶更新歷史紀錄清單*Windows2000+,OfficeXP+,Exchange2000+,SQL2000+Note:alsoupdates64-biteditionsofWindowsServerEvaluate&PlanIdentifyAssessNewUpdateDeploy9WindowsUpdate

如何運作：自動更新AU會驗證WU伺服器並取得「下載類別目錄」中繼資料AU會檢查WU服務是否有新的更新(每17至22個小時)AU會使用中繼資料識別尚未安裝的更新AU通知使用者，或使用BITS(幕後智慧型傳送服務)自動下載並驗證新的更新AU會通知使用者，或是自動安裝更新程式AU更新歷程記錄和統計資訊Windows

Update

服務10設定用戶端

AutomaticWindowsUpdate1112MBSA2.0平安更新管理13MBSA2.0版新功能使用Windows更新代理元件〔WindowsUpdateAgent,WUA〕執行更新偵測。支援更多的產品偵測與WSUS密切整合支援64bit作業系統平台AutomaticWUAupdate協助檢驗確認Windows系統弱點可掃瞄失敗的平安更新以及一般性的平安錯誤組態設定可掃瞄多種不同版本的Windows以及其他微軟的應用程式可使用圖形介面或文字介面掃瞄本機或同時掃瞄多台遠端系統可於每一個被掃瞄的系統上產生XML格式的檔案報告可執行於WindowsServer2003,Windows2000SP3以及WindowsXP作業平台Evaluate&PlanNewUpdateDeployAssess14MBSAConsole代理元件部署假设API無法啟用，則下載代理元件〔agentcomponent〕。執行

MBSA於管理系統端，並指定掃瞄目標。啟動代理元件，並重新嘗試啟動API。假设無法連結MicrosoftUpdate網站，則下載WSUSSCAN.CAB檔案。比較CAB檔案與WindowsUpdateAutomatic當中的代理元件版本。假设版本較舊，則回到步驟3，否則將使用已下載的WSUSSCAN.CAB檔案。MicrosoftUpdateWUSCltV5aX64.exeWUSCltV5aX86.exeWindowsUpdateAgent20-x86.exeTargetComputerWSUSSCAN.CABAPI嘗試執行掃瞄。15MBSAConsoleMBSA2.0掃瞄運作假设有指定WSUS伺服器，則目標電腦將嘗試使用預設指定的WSUS伺服器。執行MBSA於管理系統端，並指定掃瞄對象〔目標電腦〕。假设MicrosoftUpdate網站無法連結，則將嘗試使用CAB檔案。假设快取中的CAB檔案並非最新版本，則由MBSA管理系統端協助下載最新版本。使用API獲得適當的CAB檔案。MicrosoftUpdateOfflineCAB倘假设從WSUS下載清單當中的「未認可〔Unapprove〕」以及MicrosoftUpdate均獲得下載結果，則將合併並使用其結果。或嘗試連結MicrosoftUpdate網站〔預設值〕。MicrosoftUpdate網站WSUSTargetComputer16MBSA2.0支援藍圖目前所支援的平安更新項目：Windows2000SP3andlaterIIS5.0andlaterSQLServer2000/MSDEandlaterIE5.01SP3andlaterExchange2000,2003andlaterWindowsMediaPlayer6.4andlaterOfficeXP,2003andlaterMSXML2.5,2.6,3.0,4.0MDAC2.5,2.6,2.7,2.8MicrosoftVirtualMachine(JVM)支援新的作業平台：Remoteonly,updatesonlyXPEmbeddedIA64UpdatesonlyX64目前尚無立即支援：SQLandExchangeservicepacksOffice2000updatesCommerceServerContentMgtServerBizTalkHostIntegrationServer新版額外参加的平安更新項目：DirectX.NETFrameworkWindowsMessengerFrontPageServerExtensionsWindowsMediaPlayer10WindowsScript5.1,5.5,5.6WindowsServer2003,64-BitEditionWindowsXP64-BitEditionWindowsXPEmbeddedEdition17MBSA

文字介面參數比較/hf/hor/hf/i/cor/i/hf/x/hf/sus/hf/fip/hf/fh/vMBSA2.0/target/target/catalog/xmloutor/n*/wa/listfile/listfile/ld*=OS+IIS+SQL+Password18其它重點Metadata不再使用mssecure.xml檔案可使用MBSA文字介面或直接呼叫WSUSAPI使用輸入/輸出使用新的文字介面參數修改輸出架構使用.mbsa為副檔名/xmlout取代舊有的/hf模式掃瞄工作無須完整安裝只需要以下元件即可執行離線掃瞄： mbsacli.exe,wsusscan.dllandwusscan.cabMbsacli/xmlout/catalogc:\wsusscan.cab/unicode>result.xml效能支援同時掃瞄多台目標用戶端電腦19安裝與使用

MBSA2.02021WUS平安更新管理22什麼是

WindowsUpdateServices提供企業更新管理從MicrosoftUpdate〔MU〕service下載是一個WindowsServer的元件免費下載並不改變現行所提供的更新方式SUS1.0可以繼續從WU下載微軟更新的重大元件及更新管理的解決方案和準則23面對更新管理各種狀況主要著重於增強微軟產品的平安和將更新管理的痛苦降至最低WUS可以：無須付出額外本钱，就可提供以其為核心更新管理基礎架構提供單一更新微軟軟體的基礎架構以自動化方式更新部署運作，減少IT人員數量需求啟用即時、有效率的更新管理、建置簡單及低管理能力需求*SeethisSecurityWhitePaperformoreinformation24WUS目標帶來簡單使用、微軟產品更新的全功能解決方案儘量自動更新管理運作不只支援Windows更新依然擁有SUS1.0的功能已經針對管理者的體驗進行最正确化，非常適合一般IT人員操作。針對Windows平台建立根本補充更新基礎架構可利用其他工具加強架構，例如：SMS及其他周邊廠商的產品。25管理者定義更新的類別WUS伺服器從MicrosoftUpdate下載更新套件用戶端向伺服器註冊管理者將用戶端分成不同的targetgroups管理者審核更新套件MicrosoftUpdateWUS伺服器桌上型用戶端

TargetGroup1伺服器

TargetGroup2WUS管理者解決方案概觀代理程式安裝管理者審核過的更新套件26支援的產品與內容可更新所有微軟產品RTM階段Windows2000SP3及之後推出的視窗系統OfficeXPSP2及Office2003SQL2000及MSDE2000Exchange2003支援的平台及需求Windows2000SP3〔伺服器版需SP4〕或更新的版本WindowsXP或更新的版本WindowsServer或更新的版本以上系統的各個地區語系版本〔包含多語系套件〕27WUS更新管理特性〔一〕目標群組〔TargetGroups〕支援AD環境，採用Registry為基礎的原則管理針對非AD環境的伺服器端清單由管理者控制部署方式啟始電腦掃瞄，檢查可否套用更新套件審核後，決定安裝或移除

〔系統需要更新才有此功能〕以日期為基準的更新程式審核方式部署不同更新套件至不同的目標群組28WUS更新管理特性〔二〕代理程式設定輪詢的頻率通知和安裝動作重新開機的動作可設定埠號非管理者可以安裝更新套件〔如同管理者〕在關機時安裝〔僅XPSP2支援〕29WUS網路使用最正确化迅速及透通使用BITS*於〞用戶端對伺服器〞和〞伺服器對伺服器〞下載背景下載資料下載最小化更新預定〔依產品或類別〕使用“binarydeltacompression〞技術於client-server溝通僅下載審核過的更新套件選項*BackgroundIntelligentTransferService30WUS的部署與管理彈性伺服器部署的選擇MicrosoftUpdate伺服器儲存檔案WUS伺服器運作成一個控制點階層架構部署獨立伺服器〔管理者希望不要繼承〕“複寫〞的伺服器〔管理者希望繼承〕管理能力和延伸能力以.NET為基礎的伺服器APIs〔管理工作〕以COM基礎的用戶端APIs〔script和遠端支援〕自動更新套件部署指令行選項觸發更新偵測31觀念性的架構模式伺服器服務防火牆用戶端32WSUS的主要元件元件一：服務元件二：伺服器元件三：伺服器相依元件元件四：代理程式元件五：代理程式相關元件元件六：通訊協定伺服器對伺服器用戶端對伺服器33元件一：服務WindowsUpdate〔WU〕service微軟負責此服務，僅包含視窗更新套件WindowsUpdate

Services的自訂版本MicrosoftUpdate〔MU〕service微軟負責此服務，包含所有微軟的更新套件〔WU的超級集合〕WindowsUpdate

Services的自訂版本WindowsUpdateServices伺服器由此服務獲得更新套件34元件二：伺服器企業提供伺服器由管理者控制更新項目調整階層架構設定以符合各種網路拓樸SQL為基礎的資料庫可以儲存所有資料，但不含內容建構於.NETFramework之上內建平安特性使用微軟憑證驗證所有下載的內容所下載的儲存位置使用NTFS的權限控制35元件三：伺服器相依元件WinHTTP,MSXML網路連結與網站服務建置.NETFramework1.1網站應用程式建置、APIs及網站服務MSDE或SQL及MDAC2.8針對更新通用資訊,管理者期望與事件的儲存解決方案

BITS2.0可由MicrosoftWindowsUpdate伺服器及其他伺服器進行背景、可重新開始的下載更新作業36元件四：代理程式Win32服務〔代理程式〕執行大局部的功能UpdateHandlers伺服器提供由原有用戶端自動自我更新至新版本自動更新特性可由原則控制內建平安特性與MU/WU溝通時，通用資訊可透過HTTPS/SSL傳送使用微軟憑證驗證所有下載的內容所下載的儲存位置使用NTFS的權限控制37元件五：代理程式相依元件WinHTTP,MSXML網路連結與網站服務建置Windows資料庫技術更新通用資訊快取的資料儲存〔提升經由有線網路的資料使用〕BITS2.0支援“deltacompression〞進行背景、可重新開始的下載更新作業MSI3.0決定可用性、安裝及移除MSI為基礎的更新程式〔例如：Office的更新程式〕38設定回應元件六：通訊協定

伺服器/伺服器下層伺服器設定請求搜尋過濾更新IDs請求地區化資訊地區化資訊透過HTTP〔s〕通訊上層伺服器或MU39元件六：通訊協定

用戶端/伺服器設定回應電腦註冊同步請求驅動程式同步請求請求地區化資訊回應驅動程式資料地區化資訊Repeated設定請求用戶端伺服器40建置WUS前置準備〔一〕

—安裝IIS4142建置WUS前置準備〔二〕

—升級.NETFramework1.1SP14344建置WUS前置準備〔三〕

—升級BITS2.04546建置WUS

—安裝WUS4748進入WUS管理畫面

://伺服器/WUSadmin

設定WUS同步選項

4950WUS

手動立即同步5152WUS同步後

可更新更多的軟體5354WUS

自動審核更新套件5556WUS建置架構

伺服器選項單一伺服器多台伺服器中斷連線的伺服器用戶端選項偵測頻率用戶端與伺服器端目標模式〔targetingmode〕57MicrosoftUpdateWUSServerDesktopClients

TargetGroup1ServerClients

TargetGroup2WUSAdministrator單一WUS伺服器58單一WUS伺服器

小企業或簡單網路設定一台伺服器與MU溝通同步所有相關更新套件〔例如：WindowsXP重大與平安更新〕設定代理程式指向WUS伺服器其他：針對不同群組的電腦建立targetgroups設定代理程式成為target

group的成員59WUS

建立目標群組〔TargetGroup〕6061WUS

指定用戶端参加目標群組6263桌上型用戶端多台WUS伺服器MicrosoftUpdateWUSServer桌上型用戶端WUSServer

〔replica〕64多台WUS伺服器

大企業或複雜網路設定單一台或多台伺服器與MU溝通同步所有相關更新套件〔例如：Windows2000、XP、2003重大與平安更新〕建立伺服器的階層架構在企業內部網路有獨立的WUS伺服器“複寫〞的WUS伺服器所有下層的伺服器觸發事件至上層伺服器設定代理程式指向指定的WUS伺服器其他：針對不同群組的電腦建立targetgroups設定代理程式成為target

group的成員65建立複寫的WUS

(與另一台WUS同步)

6667群組原則中的管理範本電腦設定 ->系統管理範本 ->Windows元件 ->WindowsUpdate使用新的Wuau.adm範本檔〔強烈建議〕範本檔存在於已安裝WUS的伺服器上及WindowsXPSP2上68更新

GPO的WindowsUpdate範本6970新版WUS群組原則〔一〕設定自動更新

設定下載、更新方式與排程。指定內部網路Microsoft更新服務的位置啟用用戶端目標鎖定重新排程自動安裝更新排定的安裝71新版WUS群組原則〔二〕不自動重新啟動排定的自動更新安裝自動更新偵測頻率指定的時數減去指定的0%到20%的時數

允許立即安裝自動更新延遲排程安裝的重新啟動預設的等候時間是5分鐘

再次提示排程安裝所需的重新啟動預設頻率為10分鐘

72設定群組原則

7374確認

用戶端套用群組原則7576SUS1.0升級成WUS

wusutilmigratesus/content<套件的路徑>/approvals<SUS名稱>/log<記錄檔>

7778WUS建置考量硬體需求用戶端數量及用戶端查詢伺服器的頻率資料庫與儲存本機或遠端的SQLServer或MSDE頻寬單一地點多個地點、分公司低頻寬：下載的原則79WUS伺服器硬體需求項目基本配備建議配備CPU300MHz1GHz或更快記憶體256MB1GB硬體需求500人以下硬體需求500人以上項目基本配備建議配備CPU1GHz或更快2GHz或更快記憶體1GB1GB80WUS軟體需求〔一〕項目需求作業系統可安裝於：WindowsServer2003Windows2000ServerSP4IIS5.0或6.0背景智慧型傳輸服務必須升級成BITS2.0.NetFramework必須安裝.NetFramework1.1版並修正為.NetFramework1.1ServicePack181WUS軟體需求〔二〕項目需求網際網路瀏覽器InternetExplorer6.0SP1資料庫軟體WindowsSQLServer2000DesktopEngine（WMSDE）－WUS軟體中內建的資料庫。SQLServer2000DesktopEngine（MSDE）－可免費由微軟的網站下載。SQLServer2000－這是微軟發行的全功能資料庫應用軟體伺服器。82WUS可提升網路效能WUS階層架構NLB叢集有共同的叢集IP一個叢集的FQDNDNS的輪詢機制〔Round-Robin〕一個FQDN對應至多個IP位址循環解析不提供容錯83SMS2003平安更新管理84提供企業級的絕佳網路伺服器以及用戶端管理解決方案：軟體派送作業系統部署行動裝置管理用戶端硬體資產蒐集管理分類用戶端軟體資產蒐集管理分類應用程式使用狀況追蹤遠端協助及監控功能完整的用戶端回報功能用戶端系統平安更新管理及部署SMS200385SMS2003:WhatitDoes應用軟體更新〔softwareupdatemanagement〕管理功能來達到指定並部署用戶端上作業系統以及Office的更新功能。應用軟體派送〔softwaredistribution〕功能，能部署及安裝任何作業系統所需的系統平安更新，以及任何應用程式的平安更新。平安更新的對象標的，可以以資產管理資料庫作為參考準則。平安更新安裝成功於否，可於管理系統端產生詳細報表。可擁有彈性化的平安更新時程。集中式，完全掌握及控制安裝流程。可做頻寬最正确化考量。準確更新部署範圍評估

規劃86SMS2003更新管理

功能性〔1〕系統掃瞄&更新內容下載從微軟下載中心下載更新內容支援更新遠端及行動裝置可更新Windows，Office，SQL，Exchange以及WindowsMediaPlayer等許多相關產品，而不需要使用特殊更新套件或撰寫script管理控制可於AD環境，無AD環境的工作群組以及應用WMI屬性，甚至可經由Script協助控制。安裝部署更新管理時，管理者可指定使用SMS作為集中下載更新內容參考。可指定起始以及結束時間。可輕易的從測試環境轉移至線上工作環境。可使用臨時的參考測試環境設定來確認平安更新運作程序。87SMS2003更新管理

功能性〔2〕更新下載&安裝site-site,server-server之間使用Deltareplication機制。使用BITS*傳輸技術於行動用戶端/遠端用戶端與伺服器之間。擁有安裝前，重新開機，強制安裝警示功能，以及重新排程能力。擁有最正确的強制重新開機或重新登出功能。每次更新後的重新開機偵測可減少重新開機次數。狀態&完成報表平安更新安裝狀態回報經由資料庫SQL產生標準以及客製化報表*RequiresSMSAdvancedClient88SMS2003平安更新運作防火牆SMS

SiteServerSMS發佈點SMS用戶端SMS用戶端Microsoft

DownloadCenterSMS發佈點將掃瞄元件複製到SMS用戶端。安裝：下載軟體更新掃瞄工具〔包含作業系統以及Office〕並執行安裝軟體更新工具。用戶端開始執行掃瞄，並將掃瞄結果回送至SMSSiteServer，以硬體資產資料形式回報於SMSSiteServer。管理者使用DistributeSoftwareUpdatesWizard執行授權更新。用戶端啟動軟體更新安裝代理元件以執行更新程序。下載更新檔案的封裝或應用程式，並建立發佈軟體更新通知的packages,programs以及

advertisements。SMS用戶端89SMS2003

InventoryToolforMicrosoftUpdatesSMSInventoryToolforMicrosoftUpdates(ITMU)架構於WindowsUpdateAgent(WUAgent)並此提供掃瞄以及安裝更新。獨立的掃瞄工具–可不需連結WSUS伺服器或網際網路。WUAgent代理工具已內建於所有已經安裝SP1的WindowsServer2003當中。Server2003SP1以外的作業系統，可使用SMS軟體派送功能，執行派送並安裝。提供一致持續性的MicrosoftUpdate並著重於重大平安性更新，更新套件匯總〔rollup〕以及servicepack。預期公告時間七月200590ITMU

取代SoftwareUpdateTool標準化微軟平安更新掃瞄及部署技術，以期更完整的平安更新偵測機制。不需要再為每一個安裝派送的軟體更新，手動輸入適當的安裝參數，以提供更好的軟體派送更新管理機制。参加更多的報表，以提供更完整的平安更新回報機制。91ITMU環境建置需求SMSSite需求條件：SMS2003SP1AdvancedClient需求條件：SMS2003SP1Windows2000SP3版本以上MSXML3.0版MSI3.1版92安裝

SMSInventoryToolforMicrosoftUpdate〔ITMU〕9394ITMU

安裝後檢查9596使用DistributeSoftwareUpdateWizard

派送平安更新至用戶端9798MicrosoftUpdate以及MBSAWindowsServerUpdateServices（WSUS）SMS2003支援作業系統能力及更新能力比較作業平台更新支援與WSUS相同+WinXPHomeWin2K,WS2003,WinXPPro,Office2003,OfficeXP,Exchange2000,SQLServer2000,MSDE與WSUS相同+Win98*以及任何其它以Windows為平台的軟體更新應用程式更新以及軟體更新支援所有的軟體更新，重大驅動程式更新servicepack以featurepack。所有的軟體更新，重大驅動程式更新servicepack以及featurepack。所有的軟體更新，重大驅動程式更新servicepack以及featurepack，外加支援以及任何其它以Windows為平台的軟體