1 / 56

SMS 2003 R2 做好企業更新與弱點管理

SMS 2003 R2 做好企業更新與弱點管理. 顧武雄 Jovi Ku Microsoft 特約資深講師 jovi@cogate.com.tw. 講師介紹. 高傑信公司 技術顧問 Microsoft CTEC 教育中心講師 Microsoft MVP & 特約講師 Windows &.NET Magazine – 特約作者 Information Security Magazine - 專欄作家 網路資訊 、 Run!PC 、 NetAdmin 電腦雜誌 – 專欄作家 旗標、文魁以及碁鋒圖書作者 個人著作 :

kaemon
Download Presentation

SMS 2003 R2 做好企業更新與弱點管理

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SMS 2003 R2 做好企業更新與弱點管理 顧武雄 Jovi Ku Microsoft特約資深講師 jovi@cogate.com.tw

  2. 講師介紹 • 高傑信公司 技術顧問 • Microsoft CTEC 教育中心講師 • Microsoft MVP & 特約講師 • Windows &.NET Magazine –特約作者 • Information Security Magazine -專欄作家 • 網路資訊、Run!PC、NetAdmin 電腦雜誌–專欄作家 • 旗標、文魁以及碁鋒圖書作者 • 個人著作: • Microsoft ISA Server 建置與管理 • SharePoint Portal Server徹底研究 • Microsoft Access Project with SQL Server • ISA SERVER 2004 系統安全整合實務 • Small Business Server 2003 系統整合管理實務 • Microsoft Operations Manager 2005 IT智慧整合管理實務 • SharePoint Portal Server 2003 技術問答精選實錄 新上市!

  3. 預備知識 • Windows Server 2003 基礎概念 • Active Directory 基礎概念 • SMS 2003 功能與架構基礎概念 Level 200

  4. 講題大綱 • 企業IT對於更新管理的需求 • WSUS與SMS 2003 R2的抉擇 • ITMU全面管理微軟產品的更新 • ITCU與CUPT聯手解決非微軟產品的更新管理 • 結合弱點管理工具STVA的使用 • Q&A

  5. 企業IT對於更新管理的需求 • 降低IT管理成本(人力、預算) • 支援跨地理位置的佈署架構 • 支援單一介面多點集中管理 • 解決有限頻寬的使用問題 • 可根據不同電腦需求,派送指定的更新程式 • 避免應用程式不相容的問題

  6. IT 期望: 以更少做更多

  7. SMS 2003 R2的功能 更新管理 (包含非微軟產品) 資產管理 弱點管理 支援行動用戶者 支援PDA裝置 應用程式部署 作業系統部署 整合Windows 管理服務

  8. 講題大綱 • 企業IT對於更新管理的需求 • WSUS與SMS 2003 R2的抉擇 • ITMU全面管理微軟產品的更新 • ITCU與CUPT聯手解決非微軟產品的更新管理 • 結合弱點管理工具STVA的使用 • Q&A

  9. SMS 2003 SP2 更新資訊 • SMS各站台伺服器的命名可以使用FQDN格式 • SMS Advanced Client 支援IA64、x64、x86平台 • 在軟體更新(Software Updates)節點上的操作,支援管理員自行建立資料夾來作為更新管理的分類。 • SMS Executive 採用多執行緒的軟硬體資產清查處理 • 增加傳送用戶端刪除記錄到SMS父站台 • 下載網址:http://www.microsoft.com/technet/downloads/sms/2003/servicepacks/default.mspx

  10. SMS 2003 R2 關鍵新功能 • ITCU、CUPT-解決非微軟產品的更新管理 • OSD-作業系統的大量部署與管理 • STVA-結合資產管理的弱點報告套件 • DMFP-PDA、智慧型手機裝置的管理

  11. WSUS vs SMS • Windows Server Update Services(WSUS) • 需結合Active Directory群組原則的集中管理 • 僅支援Windows 2000以上的作業系統 • 提供簡易報表查詢 • System Management Server • 使用SMS代理程式集中更新管理 • 支援Windows 98、NT4.0以上的作業系統 • 提供進階的更新報表管理 • 結合軟硬體資產的管理

  12. 軟體和內容的支援

  13. 比較更新管理的能力

  14. 講題大綱 • 企業IT對於更新管理的需求 • WSUS與SMS 2003 R2的抉擇 • ITMU全面管理微軟產品的更新 • ITCU與CUPT聯手解決非微軟產品的更新管理 • 結合弱點管理工具STVA的使用 • Q&A

  15. ITMU更新管理特色(Inventory Tool for Microsoft Updates) • 不再需要分開使用Security Update Inventory Tool與Microsoft Office Inventory Tool • 整合Windows Update與Microsoft Updates的更新管理 • 更新範圍的類型相同於WSUS,包含了所有的安全更新、Update rollup、Service Pack 。 • 會針對更新對象部署Windows Update Agent 5.8元件 • 此套件可以安裝在SMS 2003 SP1 、SP2以及R2的版本上 • ITMU下載網址: • http://www.microsoft.com/smserver/downloads/2003/tools/msupdates.mspx

  16. 支援更新的目標 • Microsoft Windows XP Embedded • Microsoft Windows 64-bit edition (架構在Windows Server 2003 SP1更新上) • Microsoft Office XP and Office 2003 • Microsoft Exchange 2000 and Exchange 2003 • Microsoft Windows 2000 Service Pack 4以上版本 • 所有Windows相關元件的更新(例如:MSXML、MDAC、Microsoft Virtual Machine等等) • Microsoft SQL Server 2000 SP4以及SQL Server 2005 • 其它所有發佈到Windows Updates更新類別目錄中的產品項目

  17. ITMU的安裝與設定 • 設定程式安裝路徑 • 設定同步更新類別目錄的電腦 • 設定SMS的MU管理物件名稱、指定測試電腦 • 設定Windows Update Agent的SMS集合、軟體封裝名稱

  18. 檢視ITMU安裝結果 預設只有英文的更新類別項目!

  19. 加入中文更新類別目錄 • 開啟\Program Files\Microsoft Updates Inventory Tool\PkgSource路徑下的Download.ini • 新增個[Download1]段落名稱 • 加入Addlocales=0x0404敘述 • 再次執行Advertisements節點公告項目中的Microsoft Updates Tool Sync • 其它語言的代碼查詢網址 • http://msdn.microsoft.com/library/default.asp?url=/library/en-us/intl/nls_238z.asp

  20. Microsoft Update更新部署測試(1/4)

  21. Microsoft Update更新部署測試(2/4) 可以輸入關鍵字來篩選更新項目!

  22. Microsoft Update更新部署測試(3/4)

  23. Microsoft Update更新部署測試(4/4) 選取更新部署的目標集合!

  24. 更新狀態查詢 • 可以在[Microsoft Updates Tool]的集合中,針對測是的SMS用戶端電腦項目,按下滑鼠右鍵點選[Resource Explorer] 。 • 請查看[Status]欄位值是否為Installed或是Applicable • 或是經由[Reporting]\[Reports]節點下來開啟Software updates相關報表查詢。

  25. 正式上線使用之後… • 請開啟[Microsoft Updates Tool]集合內容 • 針對預設的[Collection Query]規則項目點選右上方屬性按鈕 • 將預設的Collection limiting區域的設定項目變更為[Note collection limited]

  26. 講題大綱 • 企業IT對於更新管理的需求 • WSUS與SMS 2003 R2的抉擇 • ITMU全面管理微軟產品的更新 • ITCU與CUPT聯手解決非微軟產品的更新管理 • 結合弱點管理工具STVA的使用 • Q&A

  27. 解決非微軟產品的更新管理 • ITCU(Inventory Tool for Custom Updates) • 負責派送補強更新管理 • CUPT(Custom Updates Publishing Tool) • 負責下載與發佈最新更新類別清單至SMS主機

  28. ITCU運作原理

  29. 關於更新類別目錄 • 現有整合ITCU的協力廠商 • http://www.microsoft.com/smserver/partners/itcucat.mspx • 企業IT可以設計特定應用系統的類別目錄 • 參考CUPT安裝後的說明文件

  30. 安裝ITCU(1/2) • 請在SMS伺服器上,點選安裝主選單中的Inventory Tool for Custom Updates連結。

  31. 安裝ITCU(2/2) • 設定ITCU程式的安裝路徑 • 設定SMS物件名稱(集合 、封裝) • 指定一部SMS Advanced Client 測試用電腦

  32. 安裝後的檢查 • 檢查Collections節點下 • 已建立Custom Updates Tool 、Custom Updates Tool(pre-production) • 檢查Packages 與Advertisements節點下 • 分別已建立Custom Updates Tool

  33. 關於CUPT • 不一定要安裝在SMS相關的伺服器或用戶端 • 只要是Windows XP Professional SP2或Windows Server 2003 SP1 • 需要預先下載安裝MMC 3.0 • 其它Windows Installer 3.1 、.NET Framework 2.0 、SQL Server 2005 Express 都可以在CUPT安裝過程中自動補裝

  34. 安裝CUPT(1/2) • 請在安裝主選單中點選Custom Updates Publishing Tool連結

  35. 安裝CUPT(2/2) • 設定SQL Server連線 • 自動檢查缺少安裝的必要元件 • 設定程式安裝路徑 • 設定更新類別清單同步的SMS主機名稱 • 設定相對應的ITCU封裝路徑 Package ID 必須由SMS主控台來查看!

  36. 完成CUPT安裝 • [開始]\[程式集]\[System Management Server]來開啟 [Custom Updates Publishing Tool]

  37. 下載與發佈更新類別清單(1) • 在此以Adobe Flash Player產品為例 • 請點選位在[動作]視窗中的[Settings]連結 • 在[Settings]頁面的[Import List]頁籤中點選[Add] • 在[Choose Path]欄位中輸入下載網址 • http://fpdownload.adobe.com/get/flashplayer/current/licensing/win/AdobeFlashPlayerCatalog.cab

  38. 下載與發佈更新類別清單(2)

  39. 發佈類別清單至SMS主機 • 點選[Set All Publish Flags]連結 • 點選[Publish Updates]連結

  40. 部署Adobe Flash Player補強更新(1/4) • 可以先建立軟體更新的分類資料夾 • 接著在[Software Update]節點上按下滑鼠右鍵點選[Move Folder Items] 新增自訂資料夾來進行分類管理! 這些都是非微軟產品的更新類別項目!

  41. 部署Adobe Flash Player補強更新(2/4)

  42. 部署Adobe Flash Player補強更新(3/4)

  43. 部署Adobe Flash Player補強更新(4/4) • 確認更新程式下載完成 • 更新SMS派送站台 • 設定代理程式組態

  44. 部署Adobe Flash Player補強更新(5/5) • 設定安裝前的倒數時間、允許延遲執行的時間、設定整體安裝的最長時間 • 更新通知使用者 • 設定更新派送對象 • 對於尚未更新的電腦,設定重複執行公告的週期

  45. 檢視派送結果

  46. 更新-Citrix Presentation Server • 必須先到Citrix網站上下載類別目錄檔案 • CPS4EN_Catalog_For_SMS.cab • 在CUPT的管理介面中點選位在[動作]窗格內的[Import Update]連結

  47. 講題大綱 • 企業IT對於更新管理的需求 • WSUS與SMS 2003 R2的抉擇 • ITMU全面管理微軟產品的更新 • ITCU與CUPT聯手解決非微軟產品的更新管理 • 結合弱點管理工具STVA的使用 • Q&A

  48. STVA弱點評估的掃瞄工具Scan Tool for Vulnerability Assessment • 使用STVA的優點 • 弱點資訊報告隨著每一次SMS用戶端進行資產清單回報時,更新到SMS資料庫 • 搭配MSBA 2.0引擎產生弱點報告 • 是否有哪一些系統不需要的服務被安裝或正在執行當中 • 用戶端電腦上所設定的檔案共享是否有設定適當的權限配置 • Windows XP或Windows Vista中內建的防火牆功能是否已啟用 • 用戶端電腦上的自動更新功能是否已啟用 • 使用者的密碼配置原則是否有強制採用符合密碼複雜度原則 • 作業系統預設中未啟用的Guest帳戶是否有被啟用 • 本機電腦中是否有設定太多的使用者屬於Administrators的群組成員

  49. 安裝STVA • 設定掃描項目 • 設定建立SMS相關物件 • 設定測試用的SMS Advanced Client電腦

  50. 可用的STVA報表

More Related