选择正确的软件更新解决.ppt

MGT 231选择正确的软件更新解决方案:SMS 2003与Update Services,周利华技术方案专家专业解决方案部微软(中国)有限公司,我们将涉及到哪些内容.,更新管理面临的问题？微软提供了哪些技术？如何选择合适的更新管理解决方案？何处能够得到帮助信息？,大纲,为何需要更新管理微软更新管理的昨天和今日Microsoft UpdateWindows Server Update ServicesSystems Management Server 2003常见场景,现今信息安全的问题,1 Source:Forrester Research2 Source:Information Week,26 November 20013 Source:Netcraft summary4 Source:CERT,20035 Source:CSI/FBI Computer Crime and Security Survey6 Source:Computer Security Institute(CSI)Computer Crime and Security Survey 20027 Source:CERT,20028 Source:Gartner Group,1,2,3,4,5,6,6,7,8,安全更新管理,业务需要,工具和流程来识别严重级别的更新发现易受攻击的系统快速稳定的分发更新准确的报告分发的状态,更新管理流程,1.评估准备更新的环境周期性任务A.创建/维护系统基线B.评估更新管理架构(是否符合期望)C.回顾基础架构/配置进行中的任务A.发现资产B.客户端资产清单收集,1.评估,2.识别,4.部署,3.评测&规划,2.识别新的更新任务A.识别新的更新B.判断更新的适用性(包括威胁评估)C.校验更新的真实性和完整性,3.评测&规划更新部署任务A.批准分发更新B.执行风险评估C.规划更新发布流程D.完成更新测试,4.部署更新任务A.分发安装更新B.过程报告C.异常处理D.部署回顾,微软安全更新管理之昨天,完全不同的内容源，有限的产品支持Windows Update/Office Update基于Web的用户解决方案Software Update Services(SUS)1.0介于Windows Update和Automatic Updates(globally control updates)支持检测16个产品的安全更新支持检测7个产品的安全配置漏洞Systems Management Server 2003SUS Feature Pack(仅Windows更新)使用MBSA 1.2.1检测其它安全更新Enterprise Update Scan Tool(EST)检测MBSA未涉及的紧急和重要的安全更新兼容SMS,检测&更新内容,检测&更新内容,仅检测,仅更新内容,仅检测基础架构,Windows Update,MSSecure.XML,Office Update,Download Center,HFNetChk,ODT,EUST,检测和安装基础架构,自动更新,SMS,SUS,Windows Update&Automatic Updates,Limited to certain products,Office Update,Download Center,SUS,SMS 2003,VS Update,Windows Update,Windows only,Windows only,Limited to certain products,MBSA 2.0,WindowsServerUpdateServices,AutoUpdate,Windows 2000+SQL 2000+Office XP+Exchange 2000+Eventually all Microsoft Products,一致的结果，扩展的产品支持Microsoft Update(MU)“Hosted”更新服务版本基于Web的用户解决方案Windows Server Update Services(WSUS)其它所有更新产品和工具的基础微软平台的更新管理解决方案Microsoft Baseline Security Analyzer(MBSA)2.0不需要服务器的安全扫描工具Systems Management Server 2003Inventory Tool for Microsoft Updates,微软安全更新管理之今天,Microsoft Update Catalog,WSUS,SMS,自动更新&微软更新网站,MBSA 2.0,检测&更新内容,检测和安装基础,Microsoft Update(MU),微软在线更新服务()：识别缺少的Windows、Office、Exchange和SQL更新生成缺失更新的目标清单安装用户选择的所缺更新提供更新安装历史使用自动更新能够自动下载微软更新的内容支持的产品不断增加Windows Update目录站点提供：全面的所有Windows系统和“Designed for Windows”设备驱动更新 driver updates 搜索 寻找所需的更新人工下载所需的更新下载历史,*Windows 2000+,Office XP+,Exchange 2000+,SQL 2000 SP4+Note:also updates 64-bit editions of Windows Server,识别,新更新,部署,Microsoft Update：如何更新场景1：用户初始化访问场景2：通过自动更新访问,Microsoft Update,浏览器中的客户端代码(或自动更新)验证微软更新服务器，下载目录元数据,用户访问微软更新站点或自动更新(AU)客户端 自动检查更新(每17-22 小时),客户端代码(或自动更新)使用目录元数据识别缺少的更新,微软更新页面(或自动更新)列出所缺少的更新，用户选择所需的更新下载,客户端代码(或自动更新)下载、校验、安装更新。自动更新使用BITS技术下载,客户端代码(或自动更新)的更新历史和满意度信息*,*注意：没有个人的身份标识信息被收集.访问.,Windows Server Update Services,提供企业更新管理从Microsoft Update获得更新（MU）Windows Server的RTW组件不需要Windows服务器许可(2000 and above)需要Windows服务器/核心 CAL继续提供当前产品的支持SUS 1.0 能够继续从WU得到更新内容微软更新解决方案&路线图的核心组件,管理员订阅更新种类,服务器从Microsoft Update下载更新,客户端在服务器上注册,管理员将客户端归入不同的目标组,管理员批准更新,客户端代理安装管理员批准的更新,Microsoft Update,WSUS Server,桌面客户端目标组1,服务器客户端目标组2,WSUS 管理员,解决方案概述,Windows Server Update Services,提供高级的更改和配置管理可扩展的客户端和服务器管理企业解决方案软件分发操作系统部署移动设备管理硬件资产管理软件资产管理应用使用情况追踪远程Help Desk功能,SMS 2003,SMS 2003：如何工作,使用软件更新管理功能在目标系统上识别和部署缺少的Windows和Office更新使用软件分发技术能够部署任何Windows环境下的安全更新和应用程序资产管理&基于资产管理的有目标的更新和软件安装安装确认，详细报表灵活的内容同步，扫描和安装时间安排集中，完整的安装管理控制带宽优化的内容分发,识别,新更新,部署,评估,评测&计划,系统扫描和更新内容下载从微软下载中心下载更新内容支持更新移动和远程设备支持更新多种版本的Windows,Office,SQL,Exchange,Windows Media Player管理控制通过基于AD，非AD工作组，WMI属性实现更新；通过脚本实现额外选项管理员初始化分发过程后，更新的内容将从集中的SMS资料文档库中下载指定开始和结束时间 方便的将测试过程更改为生产过程相关的系统更新配置可作为模版用于校验和强制系统一致性,SMS 2003 更新管理：功能,更新下载和安装更新采用Delta复制(站点-站点，服务器-服务器)为移动/远程客户端-服务器使用后台智能传输(BITS*)技术在局域网中优先使用SMB 提醒&重新计划安装/重启和强制执行时间优化系统重启，但当强制执行日期到达后强制执行检测每一个更新的重启需求来减少系统重启的次数状态和结果报告评估更新的部署状态通过只读的SQL视图定义标准和自定义的报表在改变当前系统环境之前获得当前实际的系统环境基线SLA度量和传播速度,SMS 2003 更新管理：功能(2),*需要SMS高级客户端,SMS 2003 更新管理：工作原理,防火墙,SMS 站点服务器,SMS 分发点,SMS 客户端,SMS 客户端,Microsoft下载中心,SMS 分发点,扫描程序组件分发到SMS 客户端,安装：下载安全更新扫描工具和Office更新扫描工具；运行扫描工具安装程序,客户端扫描；扫描结果合并到硬件资产扫描结果中,管理员使用软件更新分发向导批准更新,客户端的Windows Update 安装代理安装更新,周期性的：同步组件检查是否有新的更新；扫描客户端；部署需要的更新,更新文件下载；创建包，程序&通告；包复制&程序通告到客户端,SMS 客户端,SMS Inventory Tool for Microsoft Updates,SMS Inventory Tool for Microsoft Updates(ITMU)架构于Windows Update代理实现扫描和安装更新单独的扫描工具 不需要WSUS服务器和Internet连接WU代理内置于Windows Server 2003 SP1之后的所有新操作系统中SMS在旧版操作系统上作为独立安装分发提供和Microsoft Update关于critical security updates,update rollups and service packs的一致性2005八月已发布,ITMU 增强,标准化微软的安全更新扫描和部署技术以便将来可以启用更好更完整的检测无需人工为分发包中的每个更新指定正确的命令行选项。更好的管理体验，中文系统更新亦不再是问题。增加了额外的报告，获得更多完整的一致性信息。,ITMU 系统要求,SMS 站点要求:SMS 2003 SP1三个产品hotfixes(KB900257、KB900401、KB901304）高级客户端要求:SMS 2003 SP1Windows 2000 SP3 或以上MSXML 3.0MSI 3.1,SMS Inventory Tool for Microsoft Updates,安装扫描工具,在站点服务器上安装创建为分发最新的安全更新扫描计算机所需的所有SMS对象(Package,Program,Advertisement and Collection)可选安装最新的WSUS客户端,欢迎页面,接受最终用户许可,目标文件夹,获得WSUS目录,分发选项,分发选项，继续.,开始安装,目录同步,安装结束,安装结束，继续.,默认设置,，首次扫描将立即进行，之后每隔7天自动运行在扫描之前所有未安装最新版本的Windows更新代理的计算机将被自动安装最新版本的代理要立即得到客户端计算的扫描清单结果,请使用“expedited”(加速)程序,评估扫描结果,19种软件更新报告可供选择高层次的综合报告和独立系统的详细报告顺从性、分发和基础架构健康状态评估,软件更新的顺从性报告,更新适用性,更新分发,只要更新的要求被确定，更新就能部署到需要的客户端上分发基于更新适用性提供高级的安装和配置选项,分发软件更新向导,获取和配置选项,执行选项,部署选项,软件更新安装代理,评估部署状态,提供部署状态报告,部署状态报告,采用最适合您企业需求的解决方案,MBSA、MU、WSUS、和SMS 2003比较,选择更新管理解决方案典型的客户选择,相关资源,问题,更新管理的主要流程？微软更新管理技术的主要变化？使用ITMU的条件？,