SMS安全补丁管理.docx
- 文档编号:30382011
- 上传时间:2023-08-14
- 格式:DOCX
- 页数:20
- 大小:1.16MB
SMS安全补丁管理.docx
《SMS安全补丁管理.docx》由会员分享,可在线阅读,更多相关《SMS安全补丁管理.docx(20页珍藏版)》请在冰豆网上搜索。
SMS安全补丁管理
SMS安全补丁管理文档
Microsoft(China)Co.,Ltd.
Sept.2004
SMS安全补丁管理文档
文档介绍3
补丁管理方案3
服务器端部署3
下载3
在中央服务器上安装SMS2003安全管理扫描工具3
检查服务器端安装结果5
配置分发扫描工具到客户端5
察看系统内安全补丁状态7
使用ResourceExplorer察看单个计算机的补丁状态7
使用Web报表察看很多计算机的整体安全补丁信息8
搭建测试实验室10
使用向导分发补丁10
察看补丁分发结果17
补丁管理日常工作18
文档介绍
这篇文档描述LAB环境中有效地部署和实施SMS2003补丁管理方案。
当企业需求或技术需求变化时该设计可能会被修改和优化。
参考:
OperationsGuideforSMS2003->Chapter6ManagingSoftwareUpdates(
补丁管理方案
服务器端部署
下载
1.下载SMS2003安全管理扫描工具:
并将该文件解压缩
2.如果你的SMS服务器不能直接连接Internet,请从下载最新的安全补丁列表
在中央服务器上安装SMS2003安全管理扫描工具
1.在SMS中央服务器上运行SecurityPatch_ENU.EXE
2.在点击”next”过掉前面几页后,进入”selectDestinationDirectory”页面。
输入安装路径或使用默认路径
3.点击”next”进入下一页”ScanToolDownload”。
●如果你的SMS服务器能够连接Internet,直接点击”Download”,SMS将自动下载最新的补丁列表Mssecure.cab。
●如果你的SMS服务器不能连接Internet,请把前面下载的Mssecure.cab复制到C:
\ProgramFiles\SecurityPatch\PkgSource\1033
4.再点击2次”next”进入到”DistributionSettings”的窗口,输入你想给扫描工具起的软件包名称(下图中用的是SecuriyScanTool)。
默认情况下3个复选框都是选中的:
●CreateCollection
●CreateAdvertisement
●AssignPackagetoallDistributionPoints
CreateCollection和CreateAdverisement将会创建出一个测试Collection(初始情况下只包含一台测试客户机),并将安全补丁扫描工具发给这个Collection。
为更灵活考虑(我们在后面将创建自己的Collection),我们在这里清空这两个选项,只保留”AssignPackagetoallDistributionPoints”。
5.点击”Ok”进入下一页”DatabaseUpdates”,在这里输入你想用来连接Internet更新安全补丁列表Mssecure.cab的电脑(这台电脑必须安装上SMS客户端)。
这台电脑将定期连接微软网站下载最新的安全补丁列表Mssecure.cab
●如果你的SMS服务器能够连接Internet,一般建议使用SMS服务器自己
●如果你的SMS服务器不能连接Internet,你可以在这里清空,然后自己定期从下载最新的安全补丁列表并复制到C:
\ProgramFiles\SecurityPatch\PkgSource\1033,同时设置SecurityScanTool这个软件包定期自动更新DP
6.点击”next”直至安装完成。
检查服务器端安装结果
注意:
下面的名称根据前面第4步选择的不同而有区别。
本例中前面是使用的SecurityScanTool作为软件包名称。
1.新建的Package:
SecurityScanTool
Program:
●SecurityScanTool:
在客户端扫描安全补丁信息,但不立刻发给服务器直到下一次硬件信息收集
●SecurityScanTool(expedited):
在客户端扫描安全补丁信息并立刻发给服务器
●SecurityScanToolSync:
用来连接Internet下载最新的安全补丁列表Mssecure.cab
2.新建的Collection
当你在前面第5步输入了一台计算机的名称后,这里会建立一个SecurityScanToolSyncHost的Collection,包含了你所输入的计算机。
3.新建的Advertisement
当你在前面第5步输入了一台计算机的名称后,这里会建立一个SecurityScanToolSync的Advertisement。
它将”SecurityScanTool”package中的”SecurityScanToolSync”program分发给”SecurityScanToolSyncHost”这个Collection。
其结果就是”SecurityScanToolSyncHost”这个Collection中的计算机将定期连接Internet下载最新的安全补丁列表Mssecure.cab。
当你每次从Internet上手工下载最新的安全补丁列表
1.直接将mssecure.cab复制到所有DP上为SecurityScanTool准备的目录上
2.初始时配置SecurityScanTool定期自动将源文件复制到DP上,然后每次你复制mssecure.cab到SMS服务器的C:
\ProgramFiles\SecurityPatch\PkgSource\1033。
下面是如何配置SecurityScanTool定期自动将源文件复制到DP上。
设置补丁包的自动更新DP
1.在SMSConsole中,选择”Packages->SecurityScanTool”
2.右键点击”SecurityScanTool”这个Package并选择”Properties”
3.点击”DataSource”,你会看到这个软件包的数据源设置。
选择”UpdateDistributionPointsonaschedule”。
默认配置是每天一次,你也可以更改这个计划。
配置分发扫描工具到客户端
1.创建出一个Collection包含能够运行SecurityScanTool的客户端。
客户端只有满足以下条件才能运行安全补丁扫描工具
●WindowsNT4.0SP5orlater(SMSclientcomputers)
●MSXML3.0SP4orlater(SMSclientcomputers)
如果你的电脑都是Win2000或者XP,那么你可以直接使用所有客户端的Collection
LAB配置:
由于所有的计算机都是Win2000或XP,这里可以直接使用所有SMS客户端的Collection
2.使用SMS软件分发机制,创建一个Advertisement,将”SecurityScanTool”package中的”SecurityScanTool(expedited)”program分发给上面的Collection并使用下面的建议配置:
●Schedule:
Assoonaspossible+每周一次
●Allowuserstoruntheprogramindependentlyoftheassignment
3.等候一段时间(根据软件分发客户端查询间隔而不同)后,察看AdvertisementStatus并确认客户端已经成功运行完这个Advertisement
察看系统内安全补丁状态
使用ResourceExplorer察看单个计算机的补丁状态
1.在SMSconsole中,选择一台已经运行了扫描工具的计算机,右键单击它并选择”alltasks->startresourceExplorer”
2.在ResourceExplorer中,打开”hardware”,可以看到一个”softwareupdates”的分支。
在这里,你可以看到这台计算机上所有安全补丁的信息
3.双击右边的任何一个项目,你可以看到关于这个安全补丁在这台计算机上的详细信息。
下图的示例中显示MS03-043在这台计算机上已安装。
使用Web报表察看很多计算机的整体安全补丁信息
1.在SMSconsole中,右键点击”reporting”并选择”Alltasks->Run->本服务器”。
这样将启动SMSWeb报表。
你也可以直接在IE浏览器中输入地址,默认为http:
//SMSServerName/SMSReporting_XXX。
这里SMSServerName请改为你的SMS服务器名称,XXX请改为你的站点的SiteCode
2.在左边的树状列表中,选择”Softwareupdates–Compliance->Compliancebyproduct”
3.可以选择产品,也可以直接点击”display”显示所有产品的安全补丁信息。
这个报表中会显示每个安全补丁有多少台计算机已经安装,有多少台计算机应该安装但还没有安装。
4.如果要察看某个特定的安全补丁有哪些电脑还没安装,可以查看报表”Softwareupdates–Compliance->Computerswhereaspecificsoftwareupdateisapplicable”。
Applicable就是指应该安但是没有安装。
5.下图列出了所有默认的安全补丁状态报表。
客户还可根据需要自订制报表。
搭建测试实验室
测试实验室是安全补丁管理的重要一环。
在该测试实验室中,使用和真实环境相同的硬件和软件,安装企业内部所有的应用程序,对于不同的操作系统以及ServicePack都要模拟。
每次在向企业内部大规模发布安全补丁前,应该先往测试实验室中发布,确认不会破坏任何现有应用后再大规模发布到全企业。
使用向导分发补丁
注意:
每次在向企业内部大规模发布安全补丁前,应该先使用向导往测试实验室中发布,确认不会破坏任何现有应用后再大规模发布到全企业。
1.在SMSConsole中,右键点击任何一个Collection并选择”Alltasks->DistributeSoftwareUpdate”
2.点击”next”过掉第一页,进入”SpecifyaSoftwareUpdateType”页面,选择”MBSA”。
3.点击”next”进入下一页,选择”new”来新建一个安全补丁分发包。
注意:
如果你不是第一次运行这个向导创建安全补丁分发包,你可以在这里看到以前建立的安全补丁分发包并选择他们,这样你就可以修改他们。
4.在下一页中输入安全补丁分发包的名字
5.在下一页中输入你的名字。
在这里你可以把你的安全补丁政策写入到一个rtf文件中,再点击”import”来导入。
这部分信息会在客户端安装安全补丁时显示在客户端。
6.在下一页中,选择扫描工具。
为防止错误安装,SMS客户端在安装安全补丁时会再次检查自身的安全补丁状态,确保不会装上错误的补丁或重复安装已装上的补丁。
这里我们只要选择默认的”SecurityScanTool”package的”SecurityScanTool”program即可。
不要选择”expecited”program。
7.下一页会显示所有侦测到的需要分发的安全补丁。
点击”QNumber”来排序。
注意:
同一个安全补丁可能会由于产品或语言的不同而有多个条目。
如果你需要对所有受影响的系统都安装此安全补丁,你需要将他们都选上。
这里你也可以选择多个安全补丁。
8.下一页会让你输入补丁软件包的源文件路径。
建议先在某一个盘上建立一个PatchSource的目录,以后所有的安全补丁软件包的源文件路径都放在它下面。
9.当前所有中文补丁还都不能自动下载,因此选择”Iwilldownloadthesourcefilesmyself”。
你必须将相关的中文补丁从微软网站上下载下来,我们会在后面的页面中导入
10.下一页显示你选择的安全补丁包以及他们的状态。
注意这时”ready”显示为”no”
11.一个一个选择这些安全补丁包,点击”properties”按钮。
在新窗口中点击”Import”来导入这个安全补丁,再在”parameters”中设置运行参数。
一般建议设置”/z/q”
12.点击”OK”关闭此窗口后,注意到”ready”已经显示”yes”
13.下一页会让你选择DP。
一般我们都是会把补丁发到所有DP的。
14.下一页会配置客户端。
CollectClientInventoryimmediately:
在补丁装好后,立刻将最新补丁状态发给服务器。
建议选中。
如不选中,客户端会等到下次收集硬件信息时再发补丁信息给服务器。
Postponerestartsfor:
对于特定的机器类型自动压制重新启动。
该选项取决于具体需求。
如果你不希望SMS在安装补丁后自动重启计算机(不管是服务器类型还是客户端类型),你可以选择”Bothserversandworkstations”。
注意:
很多安全补丁必须重启才能生效。
15.下一页仍然配置客户端行为。
Performunattendedinstallationofsoftwareupdates:
完全静态的安装补丁,终端用户不会得到任何的提示。
是否选上取决于各个企业不同的政策而定。
Countdown:
如果”Performunattendedinstallationofsoftwareupdates”不选上,那么会提供给终端用户一个倒计时框。
这里可以设置倒计时框的时间。
16.下一页仍然设置客户端行为。
在这里你可以设置是否允许终端用户推迟安全补丁的安装。
17.下一页设定你想把这个安全补丁包发给哪个Collection。
请选择”Advertise”并选择相应的collection。
18.下一页结束整个向导并创建Advertisement来分发这个补丁软件包。
察看补丁分发结果
1.察看Advertisementstatus来检查客户端是否已成功运行安全补丁分发程序
2.使用Web报表察看很多计算机的整体安全补丁信息,具体见上文所示。
特别可以查看”SoftwareUpdate–DistributionStatus”下的报表和”SoftwareUpdate–Infrastructurehealth”下的报表。
补丁管理工作流程
1.在订阅安全公告的电子邮件通知(你可以选择中文电子邮件通知)
2.定期查阅最新的安全公告
3.如果SMS服务器不能连接Internet,需要定期下载最新的安全补丁列表
4.当有新的安全公告发布后,评估它对企业内部环境的影响并决定是否安装该安全补丁。
5.若决定安装该安全补丁,下载该安全补丁(若该补丁对不同的操作系统有不同的文件,则不同操作系统的补丁都要下载)并先往测试实验室中的计算机上部署。
6.该安全补丁通过测试后,正式部署到企业中所有计算机。
7.检查安全补丁分发结果,定期生成报表
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SMS 安全补丁 管理