1 / 58

MGT 231 选择正确的软件更新解决方案 : SMS 2003 与 Update Services

MGT 231 选择正确的软件更新解决方案 : SMS 2003 与 Update Services. 周利华 技术方案专家 专业解决方案部 微软 ( 中国 ) 有限公司. 我们将涉及到哪些内容. 更新管理面临的问题? 微软提供了哪些技术? 如何选择合适的更新管理解决方案? 何处能够得到帮助信息?. 大纲. 为何需要更新管理 微软更新管理的昨天和今日 Microsoft Update Windows Server Update Services Systems Management Server 2003 常见场景.

kaden
Download Presentation

MGT 231 选择正确的软件更新解决方案 : SMS 2003 与 Update Services

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. MGT 231选择正确的软件更新解决方案: SMS 2003与Update Services 周利华 技术方案专家 专业解决方案部 微软(中国)有限公司

  2. 我们将涉及到哪些内容.... • 更新管理面临的问题? • 微软提供了哪些技术? • 如何选择合适的更新管理解决方案? • 何处能够得到帮助信息?

  3. 大纲 • 为何需要更新管理 • 微软更新管理的昨天和今日 • Microsoft Update • Windows Server Update Services • Systems Management Server 2003 • 常见场景

  4. 公元2010年会有一百四十亿台主机接入Internet • 公元2005年有三百五十万个远程用户 • 有65%网站会有动态页面 • 从2000年到2002年发生安全性事件的次数由21,756 增加到82,094 • 从Internet进行的攻击行为已经从四年前的57%增加到了80% 潜在风险 • 90% 已侦测到的安全性漏洞 • 85% 已知的电脑病毒 • 95% 的安全性漏洞可通过正确的设置排除 • 有70% 的网站攻击发生在应用程序层 看不见的 弱点 现今信息安全的问题 1 2 3 4 5 6 6 7 8 1 Source: Forrester Research 2 Source: Information Week, 26 November 2001 3 Source: Netcraft summary 4 Source: CERT, 2003 5 Source: CSI/FBI Computer Crime and Security Survey 6 Source: Computer Security Institute (CSI) Computer Crime and Security Survey 2002 7 Source: CERT, 2002 8 Source: Gartner Group

  5. 一个安全的Windows环境通过 • 严重更新的信息的集合 • 现有环境的安全助手 • 简单、快速的部署更新 • 有目标的部署更新 • 完整的更新部署校验和报告 微软提供 安全更新管理 • 工具和流程来 • 识别严重级别的更新 • 发现易受攻击的系统 • 快速稳定的分发更新 • 准确的报告分发的状态 业务需要

  6. 更新管理流程 2. 识别新的更新 任务 A. 识别新的更新 B. 判断更新的适用性 (包括威胁评估) C. 校验更新的真实性和完整性 1. 评估准备更新的环境 周期性任务 A. 创建/维护系统基线 B. 评估更新管理架构 (是否符合期望) C. 回顾基础架构/配置 进行中的任务 A. 发现资产 B. 客户端资产清单收集 2. 识别 1. 评估 3. 评测& 规划 4. 部署 4. 部署更新 任务 A. 分发安装更新 B. 过程报告 C. 异常处理 D. 部署回顾 3. 评测 & 规划更新部署 任务 A. 批准分发更新 B. 执行风险评估 C. 规划更新发布流程 D. 完成更新测试

  7. 微软安全更新管理之昨天 完全不同的内容源,有限的产品支持 Windows Update/Office Update • 基于Web的用户解决方案 Software Update Services (SUS) 1.0 • 介于Windows Update和Automatic Updates (globally control updates) Microsoft Baseline Security Analyzer (MBSA) 1.2.1 • 支持检测16个产品的安全更新 • 支持检测7个产品的安全配置漏洞 Systems Management Server 2003 • SUS Feature Pack (仅Windows更新) • 使用MBSA 1.2.1检测其它安全更新 • Enterprise Update Scan Tool (EST) • 检测MBSA未涉及的紧急和重要的安全更新 • 兼容SMS

  8. 大型企业 中小型企业 (有合作伙伴支持) 用户 检测&更新内容 仅检测 检测&更新内容 仅更新内容 Download Center Windows Update MSSecure.XML Office Update MBSA 1.2.1 Windows Update & Automatic Updates SMS SUS 检测和安装 基础架构 仅检测基础架构 自动更新 HFNetChk ODT EUST

  9. Windows Update Download Center Office Update VS Update AutoUpdate Windows only MBSA 1.2.1 MBSA 2.0 Windows Server Update Services SMS 2003 SUS Limited to certain products Windows 2000+ SQL 2000+ Office XP+ Exchange 2000+ Eventually all Microsoft Products Windows only Limited to certain products

  10. 微软安全更新管理之今天 一致的结果,扩展的产品支持 Microsoft Update (MU) “Hosted”更新服务版本 基于Web的用户解决方案 Windows Server Update Services (WSUS) 其它所有更新产品和工具的基础 微软平台的更新管理解决方案 Microsoft Baseline Security Analyzer (MBSA) 2.0 不需要服务器的安全扫描工具 Systems Management Server 2003 Inventory Tool for Microsoft Updates

  11. Microsoft Update Catalog 中型企业 大型企业 用户 小型企业 Windows Update Agent 检测&更新内容 自动更新& 微软更新网站 MBSA 2.0 WSUS SMS 检测和安装基础

  12. 评估 识别 新更新 部署 评测 & 计划 Microsoft Update (MU) 微软在线更新服务(update.microsoft.com): • 识别缺少的Windows、Office、Exchange和SQL更新 • 生成缺失更新的目标清单 • 安装用户选择的所缺更新 • 提供更新安装历史 • 使用自动更新能够自动下载微软更新的内容 • 支持的产品不断增加 Windows Update目录站点提供: • 全面的所有Windows系统和“Designed for Windows”设备驱动更新 driver updates • 搜索 –寻找所需的更新 • 人工下载所需的更新 • 下载历史 *Windows 2000+, Office XP+, Exchange 2000+, SQL 2000 SP4+ Note: also updates 64-bit editions of Windows Server

  13. Microsoft Update:如何更新场景1:用户初始化访问场景2:通过自动更新访问 • 用户访问微软更新站点或自动更新(AU)客户端 自动检查更新 (每17-22 小时) Microsoft Update • 浏览器中的客户端代码(或自动更新)验证微软更新服务器,下载目录元数据 • 客户端代码(或自动更新)使用目录元数据识别缺少的更新 • 微软更新页面(或自动更新)列出所缺少的更新,用户选择所需的更新下载 • 客户端代码(或自动更新)下载、校验、安装更新。自动更新使用BITS技术下载 • 客户端代码(或自动更新)的更新历史和满意度信息* *注意:没有个人的身份标识信息被收集. 访问 http://update.microsoft.com.

  14. 识别 评估 新更新 部署 评测&计划 Windows Server Update Services • 提供企业更新管理 • 从Microsoft Update获得更新(MU) • Windows Server的RTW组件 • 不需要Windows服务器许可(2000 and above) • 需要Windows服务器/核心 CAL • 继续提供当前产品的支持 • SUS 1.0 能够继续从WU得到更新内容 • 微软更新解决方案&路线图的核心组件

  15. 解决方案概述 Microsoft Update WSUS Server 桌面客户端目标组1 服务器客户端目标组2 WSUS 管理员 客户端代理安装管理员批准的更新 管理员批准更新 客户端在服务器上注册 管理员将客户端归入不同的目标组 管理员订阅更新种类 服务器从Microsoft Update下载更新

  16. Windows Server Update Services

  17. SMS 2003 • 提供高级的更改和配置管理 • 可扩展的客户端和服务器管理企业解决方案 • 软件分发 • 操作系统部署 • 移动设备管理 • 硬件资产管理 • 软件资产管理 • 应用使用情况追踪 • 远程Help Desk功能

  18. 识别 新更新 部署 评估 评测&计划 SMS 2003:如何工作 • 使用软件更新管理功能在目标系统上识别和部署缺少的Windows和Office更新 • 使用软件分发技术能够部署任何Windows环境下的安全更新和应用程序 • 资产管理 & 基于资产管理的有目标的更新和软件安装 • 安装确认,详细报表 • 灵活的内容同步,扫描和安装时间安排 • 集中,完整的安装管理控制 • 带宽优化的内容分发

  19. SMS 2003 更新管理:功能 • 系统扫描和更新内容下载 • 从微软下载中心下载更新内容 • 支持更新移动和远程设备 • 支持更新多种版本的Windows, Office, SQL, Exchange, Windows Media Player • 管理控制 • 通过基于AD,非AD工作组,WMI属性实现更新;通过脚本实现额外选项 • 管理员初始化分发过程后,更新的内容将从集中的SMS资料文档库中下载 • 指定开始和结束时间 • 方便的将测试过程更改为生产过程 • 相关的系统更新配置可作为模版用于校验和强制系统一致性

  20. SMS 2003 更新管理:功能 (2) • 更新下载和安装 • 更新采用Delta复制(站点-站点,服务器-服务器) • 为移动/远程客户端-服务器使用后台智能传输(BITS*)技术 • 在局域网中优先使用SMB • 提醒&重新计划安装/重启和强制执行时间 • 优化系统重启,但当强制执行日期到达后强制执行 • 检测每一个更新的重启需求来减少系统重启的次数 • 状态和结果报告 • 评估更新的部署状态 • 通过只读的SQL视图定义标准和自定义的报表 • 在改变当前系统环境之前获得当前实际的系统环境基线 • SLA度量和传播速度 *需要SMS高级客户端

  21. SMS 2003 更新管理:工作原理 • 安装:下载安全更新扫描工具和Office更新扫描工具;运行扫描工具安装程序 Microsoft下载中心 • 扫描程序组件分发到SMS 客户端 防火墙 • 客户端扫描;扫描结果合并到硬件资产扫描结果中 SMS 分发点 • 管理员使用软件更新分发向导批准更新 SMS 站点服务器 SMS 客户端 • 更新文件下载;创建包,程序 & 通告 ;包复制 & 程序通告到客户端 SMS 分发点 • 客户端的Windows Update安装代理安装更新 SMS 客户端 • 周期性的:同步组件检查是否有新的更新;扫描客户端;部署需要的更新 SMS 客户端

  22. SMS Inventory Tool for Microsoft Updates • SMS Inventory Tool for Microsoft Updates (ITMU) 架构于WindowsUpdate代理实现扫描和安装更新 • 单独的扫描工具 –不需要WSUS服务器和Internet连接 • WU代理内置于Windows Server 2003 SP1之后的所有新操作系统中 • SMS在旧版操作系统上作为独立安装分发 • 提供和Microsoft Update关于critical security updates, update rollups and service packs的一致性 • 2005八月已发布

  23. ITMU 增强 • 标准化微软的安全更新扫描和部署技术以便将来可以启用更好更完整的检测 • 无需人工为分发包中的每个更新指定正确的命令行选项。更好的管理体验,中文系统更新亦不再是问题。 • 增加了额外的报告,获得更多完整的一致性信息 。

  24. ITMU 系统要求 • SMS 站点要求: • SMS 2003 SP1 • 三个产品hotfixes(KB900257、KB900401、KB901304) • 高级客户端要求: • SMS 2003 SP1 • Windows 2000 SP3 或以上 • MSXML 3.0 • MSI 3.1

  25. SMS Inventory Tool for Microsoft Updates

  26. 安装扫描工具 • 在站点服务器上安装 • 创建为分发最新的安全更新扫描计算机所需的所有SMS对象 (Package, Program, Advertisement and Collection) • 可选安装最新的WSUS客户端

  27. 欢迎页面

  28. 接受最终用户许可

  29. 目标文件夹

  30. 获得WSUS目录

  31. 分发选项

  32. 分发选项,继续..

  33. 开始安装

  34. 目录同步

  35. 安装结束

  36. 安装结束,继续.. • 默认设置,,首次扫描将立即进行,之后每隔7天自动运行 • 在扫描之前所有未安装最新版本的Windows更新代理的计算机将被自动安装最新版本的代理 • 要立即得到客户端计算的扫描清单结果, 请使用“expedited”(加速) 程序

  37. 评估扫描结果 • 19种软件更新报告可供选择 • 高层次的综合报告和独立系统的详细报告 • 顺从性、分发和基础架构健康状态评估

  38. 软件更新的顺从性报告

  39. 更新适用性

  40. 更新分发 • 只要更新的要求被确定,更新就能部署到需要的客户端上 • 分发基于更新适用性 • 提供高级的安装和配置选项

  41. 分发软件更新向导

  42. 获取和配置选项

  43. 执行选项

  44. 部署选项

  45. 软件更新安装代理

  46. 评估部署状态 • 提供部署状态报告

More Related