《安全更新管理.ppt》由会员分享,可在线阅读,更多相关《安全更新管理.ppt(105页珍藏版)》请在三一办公上搜索。
1、安全更新管理,精誠恆逸資訊 資深講師 職念文,2,議程,談安全更新管理程序安全更新管理四大主題:微軟安全更新機制Microsoft Update(MU)微軟基準線安全分析工具 2.0Microsoft Baseline Security Analyzer 2.0(MBSA)微軟伺服器更新服務Windows Server Update Services(WSUS)微軟系統管理伺服器 SMS 2003SMS Inventory Tool for Microsoft Updates(ITMU),3,修補管理流程,1.評定要修補的環境週期性工作A.建立/維護系統的比較基準B.評定修補管理架構C.檢閱基
2、礎結構/組態持續性的工作A.蒐集資產資訊B.清查用戶端,1.評定,2.識別,4.部署,3.評估與 計劃,2.識別新的補充程式工作A.識別新的補充程式B.判斷補充程式的相關性C.確認補充程式驗證和完整性,3.評估與計劃補充程式部署作業工作A.獲准部署補充程式B.執行風險評定C.計劃補充程式發行流程D.完成補充程式接受度測試,4.部署補充程式工作A.發佈與安裝補充程式B.進度報告C.處理例外狀況D.檢閱部署作業,4,過去的安全更新管理不同的來源,有限制性的產品支援,Windows 更新/Office 更新用戶端的焦點著重在使用網頁連結Software Update Services(SUS)1.0
3、立場尷尬,介於 Windows 更新功能以及自動更新功能之間Microsoft Baseline Security Analyzer(MBSA)1.2.1針對 16 種產品偵測安全更新針對 7 種產品掃描產品設定弱點Systems Management Server 2003需外掛 SUS Feature Pack(且只支援 Windows 更新)使用 MBSA 1.2.1 執行系統安全偵測企業更新掃瞄工具 Enterprise Update Scan Tool(EST)彌補 MBSA 無法偵測的其他重大及重要安全更新相容於 SMS,5,今日的安全更新管理一致性的結果,並延伸產品支援,Micr
4、osoft Update(MU)主機型的更新服務提供用戶端主機可於網頁要求中選擇自訂更新安裝Windows Server Update Services(WSUS)為企業架構而生的產品,可為所有用戶端更新大部分的安全套件可依照不同的微軟作業平台,分類安全更新套用對象執行Microsoft Baseline Security Analyzer(MBSA)2.0安全重點掃瞄不需要執行伺服器端Systems Management Server 2003使用新版工具 Inventory Tool for Microsoft Update整合使用 MBSA 2.0 執行安全設定檢查,6,Office 更
5、新,MSSecure.XML,下載中心,單機自動更新機制,Office 偵測工具,HFNetChk,企業更新掃瞄工具,SMS,MBSA 1.2.1,SUS,自動更新,MOM,過去的安全更新運作,Microsoft 更新,7,Windows Update,單機自動更新機制,SMS,SUS,自動更新,MOM,MBSA 2.0,Windows 更新代理元件,微軟安全更新資料庫,離線資料庫(wsusscan.cab),今日的安全性整合更新運作,8,Windows Update,安全更新管理,9,Microsoft Update(MU),微軟線上更新服務():針對要求更新的電腦偵測出 Windows 作
6、業系統,Office,Exchange 以及 SQL 的安全更新產生需要安全更新的建議清單安裝使用者所勾選的安全更新元件提供用戶更新歷史紀錄清單可經由設定自動更新方式執行自動下載並執行安全更新Product support grows over time微軟的 Windows Update Catalog 網站,還可提供:包含所有已被標示為Designed for Windowslogo 的裝置驅動程式更新 搜尋功能 可尋找所需的更新可手動下載所需要的更新提供用戶更新歷史紀錄清單,*Windows 2000+,Office XP+,Exchange 2000+,SQL 2000+Note:al
7、so updates 64-bit editions of Windows Server,Identify,New Update,Deploy,10,Windows Update如何運作:自動更新,AU 會驗證 WU 伺服器並取得下載類別目錄中繼 資料,AU 會檢查 WU 服務是否有新的更新(每 17 至 22 個小時),AU 會使用中繼資料識別尚未安裝的更新,AU 通知使用者,或使用 BITS(幕後智慧型傳送服務)自動下載並驗證新的更新,AU 會通知使用者,或是自動安裝更新程式,AU 更新歷程記錄和統計 資訊,Windows Update 服務,11,設定用戶端 Automatic Wind
8、ows Update,12,13,MBSA 2.0,安全更新管理,14,MBSA 2.0 版,新功能使用 Windows 更新代理元件(Windows Update Agent,WUA)執行更新偵測。支援更多的產品偵測與 WSUS 密切整合支援 64bit 作業系統平台Automatic WUA update協助檢驗確認 Windows 系統弱點可掃瞄失敗的安全更新以及一般性的安全錯誤組態設定可掃瞄多種不同版本的 Windows 以及其他微軟的應用程式可使用圖形介面或文字介面掃瞄本機或同時掃瞄多台遠端系統可於每一個被掃瞄的系統上產生 XML 格式的檔案報告可執行於 Windows Server
9、 2003,Windows 2000 SP3 以及 Windows XP 作業平台,15,MBSA Console,代理元件部署,若 API 無法啟用,則下載代理元件(agent component)。,執行 MBSA 於管理系統端,並指定掃瞄目標。,啟動代理元件,並重新嘗試啟動 API。,若無法連結 Microsoft Update 網站,則下載 WSUSSCAN.CAB 檔案。,比較 CAB 檔案與 Windows Update Automatic 當中的代理元件版本。,若版本較舊,則回到步驟3,否則將使用已下載的 WSUSSCAN.CAB 檔案。,Microsoft Update,WUS
10、CltV5aX64.exeWUSCltV5aX86.exeWindowsUpdateAgent20-x86.exe,Target Computer,WSUSSCAN.CAB,API 嘗試執行掃瞄。,16,MBSA Console,MBSA 2.0 掃瞄運作,若有指定 WSUS 伺服器,則目標電腦將嘗試使用預設指定的 WSUS 伺服器。,執行 MBSA 於管理系統端,並指定掃瞄對象(目標電腦)。,若 Microsoft Update 網站無法連結,則將嘗試使用 CAB 檔案。,若快取中的 CAB 檔案並非最新版本,則由 MBSA 管理系統端協助下載最新版本。,使用 API 獲得適當的CAB 檔案
11、。,Microsoft Update,Offline CAB,倘若從 WSUS 下載清單當中的未認可(Unapprove)以及 Microsoft Update 均獲得下載結果,則將合併並使用其結果。,或嘗試連結 Microsoft Update 網站(預設值)。,Microsoft Update 網站,WSUS,Target Computer,17,MBSA 2.0 支援藍圖,目前所支援的安全更新項目:Windows 2000 SP3 and laterIIS 5.0 and laterSQL Server 2000/MSDE and laterIE 5.01 SP3 and laterEx
12、change 2000,2003 and laterWindows Media Player 6.4 and laterOffice XP,2003 and laterMSXML 2.5,2.6,3.0,4.0MDAC 2.5,2.6,2.7,2.8Microsoft Virtual Machine(JVM),支援新的作業平台:Remote only,updates onlyXP EmbeddedIA64Updates onlyX64,目前尚無立即支援:SQL and Exchange service packsOffice 2000 updatesCommerce ServerContent
13、 Mgt ServerBizTalkHost Integration Server,新版額外加入的安全更新項目:DirectX.NET FrameworkWindows MessengerFrontPage Server ExtensionsWindows Media Player 10Windows Script 5.1,5.5,5.6Windows Server 2003,64-Bit EditionWindows XP 64-Bit EditionWindows XP Embedded Edition,18,MBSA 文字介面參數比較,MBSA 1.2.x/hf/h or/hf/i/c
14、or/i/hf/x/hf/sus/hf/fip/hf/fh/v,MBSA 2.0/target/target/catalog/xmlout or/n*/wa/listfile/listfile/ld,*=OS+IIS+SQL+Password,19,其它重點,Metadata不再使用 mssecure.xml 檔案可使用 MBSA 文字介面或直接呼叫 WSUS API 使用輸入/輸出使用新的文字介面參數修改輸出架構使用.mbsa 為副檔名/xmlout 取代舊有的/hf 模式掃瞄工作無須完整安裝只需要下列元件即可執行離線掃瞄:mbsacli.exe,wsusscan.dll and wussc
15、an.cabMbsacli/xmlout/catalog c:wsusscan.cab/unicode result.xml效能支援同時掃瞄多台目標用戶端電腦,20,安裝與使用MBSA 2.0,21,22,WUS,安全更新管理,23,什麼是 Windows Update Services,提供企業更新管理從 Microsoft Update(MU)service下載是一個Windows Server的元件免費下載並不改變現行所提供的更新方式SUS 1.0 可以繼續從 WU下載微軟更新的重大元件及更新管理的解決方案和準則,24,面對更新管理各種狀況,主要著重於增強微軟產品的安全和將更新管理的痛苦
16、降至最低WUS可以:無須付出額外成本,就可提供以其為核心更新管理基礎架構提供單一更新微軟軟體的基礎架構 以自動化方式更新部署運作,減少IT人員數量需求啟用即時、有效率的更新管理、建置簡單及低管理能力需求,*See this Security White Paper for more information,25,WUS 目標,帶來簡單使用、微軟產品更新的全功能解決方案儘量自動更新管理運作不只支援Windows 更新依然擁有 SUS 1.0的功能已經針對管理者的體驗進行最佳化,非常適合一般IT人員操作。針對Windows平台建立基本補充更新基礎架構可利用其他工具加強架構,例如:SMS及其他周邊廠
17、商的產品。,26,管理者定義更新的類別,WUS伺服器從Microsoft Update下載更新套件,用戶端向伺服器註冊,管理者將用戶端分成不同的target groups,管理者審核更新套件,Microsoft Update,WUS 伺服器,桌上型用戶端Target Group 1,伺服器Target Group 2,WUS 管理者,解決方案概觀,代理程式安裝管理者審核過的更新套件,27,支援的產品與內容,可更新 所有微軟產品RTM階段Windows 2000 SP3及之後推出的視窗系統Office XP SP2及Office 2003SQL 2000及MSDE 2000Exchange 20
18、03支援的平台及需求Windows 2000 SP3(伺服器版需SP4)或更新的版本Windows XP或更新的版本Windows Server或更新的版本以上系統的各個地區語系版本(包含多語系套件),28,WUS 更新管理特性(一),目標群組(Target Groups)支援AD環境,採用Registry為基礎的原則管理針對非AD環境的伺服器端清單由管理者控制部署方式啟始電腦掃瞄,檢查可否套用更新套件審核後,決定安裝或移除(系統需要更新才有此功能)以日期為基準的更新程式審核方式部署不同更新套件至不同的目標群組,29,WUS 更新管理特性(二),代理程式設定 輪詢的頻率通知和安裝動作重新開機的
19、動作可設定埠號 非管理者可以安裝更新套件(如同管理者)在關機時安裝(僅XP SP2支援),30,WUS 網路使用最佳化,迅速及透通使用BITS*於”用戶端對伺服器”和”伺服器對伺服器”下載背景下載資料下載最小化更新預定(依產品或類別)使用“binary delta compression”技術於client-server溝通僅下載審核過的更新套件選項,*Background Intelligent Transfer Service,31,WUS的部署與管理彈性,伺服器部署的選擇Microsoft Update伺服器儲存檔案WUS伺服器運作成一個控制點階層架構部署獨立伺服器(管理者希望不要繼承)
20、“複寫”的伺服器(管理者希望繼承)管理能力和延伸能力以.NET為基礎的伺服器APIs(管理工作)以COM基礎的用戶端APIs(script和遠端支援)自動更新套件部署指令行選項觸發更新偵測,32,觀念性的架構模式,伺服器,服務,防火牆,用戶端,33,WSUS 的主要元件,元件一:服務元件二:伺服器元件三:伺服器相依元件元件四:代理程式元件五:代理程式相關元件元件六:通訊協定伺服器對伺服器用戶端對伺服器,34,元件一:服務,Windows Update(WU)service微軟負責此服務,僅包含視窗更新套件 Windows UpdateServices的自訂版本Microsoft Update(
21、MU)service微軟負責此服務,包含所有微軟的更新套件(WU的超級集合)Windows UpdateServices的自訂版本Windows Update Services伺服器由此服務獲得更新套件,35,元件二:伺服器,企業提供伺服器由管理者控制更新項目調整階層架構設定以符合各種網路拓樸SQL為基礎的資料庫可以儲存所有資料,但不含內容建構於.NET Framework之上內建安全特性使用微軟憑證驗證所有下載的內容所下載的儲存位置使用NTFS的權限控制,36,元件三:伺服器相依元件,WinHTTP,MSXML網路連結與網站服務建置.NET Framework 1.1網站應用程式建置、API
22、s及網站服務MSDE或SQL及MDAC 2.8 針對更新通用資訊,管理者期望與事件的儲存解決方案 BITS 2.0可由Microsoft Windows Update伺服器及其他伺服器進行背景、可重新開始的下載更新作業,37,元件四:代理程式,Win32服務(代理程式)執行大部分的功能Update Handlers伺服器提供由原有用戶端自動自我更新至新版本自動更新特性可由原則控制內建安全特性與MU/WU溝通時,通用資訊可透過HTTPS/SSL傳送使用微軟憑證驗證所有下載的內容所下載的儲存位置使用NTFS的權限控制,38,元件五:代理程式相依元件,WinHTTP,MSXML網路連結與網站服務建置
23、Windows 資料庫技術更新通用資訊快取的資料儲存(提升經由有線網路的資料使用)BITS 2.0支援“delta compression”進行背景、可重新開始的下載更新作業MSI 3.0 決定可用性、安裝及移除MSI為基礎的更新程式(例如:Office的更新程式),39,設定回應,元件六:通訊協定伺服器/伺服器,下層伺服器,設定請求,搜尋過濾,更新IDs,請求地區化資訊,地區化資訊,透過 HTTP(s)通訊,上層伺服器或MU,40,元件六:通訊協定用戶端/伺服器,設定回應,電腦註冊,同步請求,驅動程式同步請求,請求地區化資訊,回應,驅動程式資料,地區化資訊,Repeated,設定請求,用戶端
24、,伺服器,41,建置 WUS 前置準備(一)安裝 IIS,42,43,建置 WUS 前置準備(二)升級.NET Framework 1.1 SP1,44,45,建置 WUS 前置準備(三)升級BITS 2.0,46,47,建置 WUS 安裝WUS,48,49,進入WUS管理畫面http:/伺服器/WUSadmin設定WUS同步選項,50,51,WUS手動立即同步,52,53,WUS同步後可更新更多的軟體,54,55,WUS自動審核更新套件,56,57,WUS 建置架構,伺服器選項單一伺服器多台伺服器中斷連線的伺服器用戶端選項偵測頻率用戶端與伺服器端目標模式(targeting mode),58
25、,Microsoft Update,WUS Server,Desktop ClientsTarget Group 1,Server ClientsTarget Group 2,WUS Administrator,單一 WUS 伺服器,59,單一 WUS 伺服器 小企業或簡單網路,設定一台伺服器與MU溝通同步所有相關更新套件(例如:Windows XP 重大與安全更新)設定代理程式指向WUS伺服器其他:針對不同群組的電腦建立 target groups 設定代理程式成為 targetgroup的成員,60,WUS建立目標群組(Target Group),61,62,WUS指定用戶端加入目標群組,
26、63,64,多台 WUS 伺服器,Microsoft Update,WUS Server,WUS Server(replica),65,多台 WUS 伺服器大企業或複雜網路,設定單一台或多台伺服器與MU溝通同步所有相關更新套件(例如:Windows 2000、XP、2003 重大與安全更新)建立伺服器的階層架構在企業內部網路有獨立的WUS伺服器“複寫”的WUS伺服器所有下層的伺服器觸發事件至上層伺服器設定代理程式指向指定的 WUS伺服器其他:針對不同群組的電腦建立target groups 設定代理程式成為targetgroup的成員,66,建立複寫的WUS(與另一台WUS同步),67,68,
27、群組原則中的管理範本,電腦設定-系統管理範本-Windows元件-Windows Update使用新的Wuau.adm範本檔(強烈建議)範本檔存在於已安裝WUS的伺服器上及Windows XP SP2上,69,更新GPO 的 Windows Update範本,70,71,新版 WUS 群組原則(一),設定自動更新設定下載、更新方式與排程。指定內部網路Microsoft更新服務的位置啟用用戶端目標鎖定重新排程自動安裝更新排定的安裝,72,新版 WUS 群組原則(二),不自動重新啟動排定的自動更新安裝自動更新偵測頻率指定的時數減去指定的0%到20%的時數 允許立即安裝自動更新延遲排程安裝的重新啟動
28、預設的等候時間是5分鐘 再次提示排程安裝所需的重新啟動預設頻率為10分鐘,73,設定群組原則,74,75,確認用戶端套用群組原則,76,77,SUS 1.0升級成WUSwusutil migratesus/content/approvals/log,78,79,WUS 建置考量,硬體需求用戶端數量及用戶端查詢伺服器的頻率資料庫與儲存本機或遠端的SQL Server或MSDE頻寬單一地點多個地點、分公司低頻寬:下載的原則,80,WUS 伺服器硬體需求,硬體需求500人以下,硬體需求500人以上,81,WUS 軟體需求(一),82,WUS 軟體需求(二),83,WUS 可提升網路效能,WUS階層架
29、構NLB叢集有共同的叢集IP一個叢集的FQDNDNS的輪詢機制(Round-Robin)一個FQDN對應至多個IP位址循環解析不提供容錯,84,SMS 2003,安全更新管理,85,提供企業級的絕佳網路伺服器以及用戶端管理解決方案:軟體派送作業系統部署行動裝置管理用戶端硬體資產蒐集管理分類用戶端軟體資產蒐集管理分類應用程式使用狀況追蹤遠端協助及監控功能完整的用戶端回報功能用戶端系統安全更新管理及部署,SMS 2003,86,SMS 2003:What it Does,應用軟體更新(software update management)管理功能來達到指定並部署用戶端上作業系統以及 Office
30、的更新功能。應用軟體派送(software distribution)功能,能部署及安裝任何作業系統所需的系統安全更新,以及任何應用程式的安全更新。安全更新的對象標的,可以以資產管理資料庫作為參考準則。安全更新安裝成功於否,可於管理系統端產生詳細報表。可擁有彈性化的安全更新時程。集中式,完全掌握及控制安裝流程。可做頻寬最佳化考量。,準確,更新,部署,範圍,評估規劃,87,SMS 2003 更新管理功能性(1),系統掃瞄&更新內容下載從微軟下載中心下載更新內容支援更新遠端及行動裝置可更新 Windows,Office,SQL,Exchange 以及 Windows Media Player 等許
31、多相關產品,而不需要使用特殊更新套件或撰寫 script管理控制可於 AD 環境,無 AD 環境的工作群組以及應用 WMI 屬性,甚至可經由 Script 協助控制。安裝部署更新管理時,管理者可指定使用 SMS 作為集中下載更新內容參考。可指定起始以及結束時間。可輕易的從測試環境轉移至線上工作環境。可使用臨時的參考測試環境設定來確認安全更新運作程序。,88,SMS 2003 更新管理功能性(2),更新下載&安裝site-site,server-server 之間使用 Delta replication 機制。使用 BITS*傳輸技術於行動用戶端/遠端用戶端與伺服器之間。擁有安裝前,重新開機,強
32、制安裝警示功能,以及重新排程能力。擁有最佳的強制重新開機或重新登出功能。每次更新後的重新開機偵測可減少重新開機次數。狀態&完成報表安全更新安裝狀態回報經由資料庫 SQL 產生標準以及客製化報表,*Requires SMS Advanced Client,89,SMS 2003 安全更新運作,防火牆,SMS Site Server,SMS 發佈點,SMS 用戶端,SMS 用戶端,MicrosoftDownload Center,SMS 發佈點,將掃瞄元件複製到 SMS 用戶端。,安裝:下載軟體更新掃瞄工具(包含作業系統以及 Office)並執行安裝軟體更新工具。,用戶端開始執行掃瞄,並將掃瞄結果
33、回送至 SMS Site Server,以硬體資產資料形式回報於 SMS Site Server。,管理者使用 Distribute Software Updates Wizard 執行授權更新。,用戶端啟動軟體更新安裝代理元件以執行更新程序。,下載更新檔案的封裝或應用程式,並建立發佈軟體更新通知的packages,programs 以及 advertisements。,SMS 用戶端,90,SMS 2003Inventory Tool for Microsoft Updates,SMS Inventory Tool for Microsoft Updates(ITMU)架構於 Windows
34、 Update Agent(WU Agent)並此提供掃瞄以及安裝更新。獨立的掃瞄工具 可不需連結 WSUS 伺服器或網際網路。WU Agent 代理工具已內建於所有已經安裝 SP1 的 Windows Server 2003 當中。Server 2003 SP1 以外的作業系統,可使用 SMS 軟體派送功能,執行派送並安裝。提供一致持續性的 Microsoft Update 並著重於重大安全性更新,更新套件匯總(rollup)以及service pack。預期公告時間-七月 2005,91,ITMU 取代 Software Update Tool,標準化微軟安全更新掃瞄及部署技術,以期更完整
35、的安全更新偵測機制。不需要再為每一個安裝派送的軟體更新,手動輸入適當的安裝參數,以提供更好的軟體派送更新管理機制。加入更多的報表,以提供更完整的安全更新回報機制。,92,ITMU 環境建置需求,SMS Site 需求條件:SMS 2003 SP1Advanced Client 需求條件:SMS 2003 SP1Windows 2000 SP3 版本以上MSXML 3.0 版MSI 3.1 版,93,安裝SMS Inventory Tool for Microsoft Update(ITMU),94,95,ITMU安裝後檢查,96,97,使用Distribute Software Update
36、Wizard派送安全更新至用戶端,98,99,*MBSA 不支援 Win98,但 Win98 可使用 SMS2003 軟體派送功能取代 MBSA。,100,如何選擇最佳解決方案,101,結論(一),Microsoft Update 是一個最基礎的解決方案基礎架構Windows Update Services 的解決方案基礎架構比 SUS 1.0 提供更多功能與彈性預設的建置方式是很簡單的若複雜的建置方式則需要事先規劃參看 http:/www.SUS,102,結論(二),WUS 將帶來定位為核心更新管理需求的全功能解決方案。第一個建於視窗系統的核心更新管理基礎架構。WUS 定位為簡單需求;而 S
37、MS 2003 則定位為進階需求及包含整合的資產管理。可至為軟網站 Evaluation Program。如果現今你沒有更新管理解決方案,可以考慮使用SUS 1.0 或 SMS 2003。,103,WUS和SMS比較,簡單與進階用戶端的支援更新套件/應用程式部署報表特性WUS:只要更新管理的解決方案,僅提供微軟軟體簡單更新功能 SMS 2003:能提供單一彈性的更新管理解決方案,並延伸不同的控制層次於更新工作上,所有視窗系統及應用程式皆可整合成資產管理解決方案。,104,相關參考資源,105,2005 Microsoft Corporation.All rights reserved.This presentation is for informational purposes only.Microsoft makes no warranties,express or implied,in this summary.,
链接地址:https://www.31ppt.com/p-6205354.html