智能化企业补丁更新高手攻略

Slide Title,Body Text,Second Level,Third Level,Fourth Level,Fifth Level,http:/ 2000/Windows Server 2003,的日常操作,熟悉,WSUS,（,Windows Server Update Service,）或者,SUS,日常操作,如果能够了解,SMS 2003,相关内容更佳,级别,200,概览,补丁更新与管理是成功的企业安全策略的最重要组成部分之一。,如何快速更新安全补丁，如何有效设计、部署规划企业安全补丁？,本讨论主要集中在如何理解、定义和建立企业中补丁更新管理流程、如何利用安全工具评估安全漏洞查找缺少的更新、如何使用,WSUS,技术建立企业内部补丁更新的集中分发、管理与部署解决方案,内容安排,企业补丁管理的流程与架构,MBSA,安全扫描,WSUS,的部署,常见问题,场景学习,总结,参考资源,企业补丁管理的流程与架构,我们先看一个实例,商业价值,漏洞攻击时间表实例：冲击波,我们已经收到漏洞报告,/,正在开发安全更新,公告和安全更新都可以得到,/,没有可以利用的蠕虫,向公众发布代码,蠕虫,July 1,July 16,July 25,Aug 11,报告,RPC/DDOM,中的漏洞被报告,MS,激活最高级别的应急响应过程,公告,MS03-026,告诉用户这个漏洞,(7/16/03),继续把服务扩大到分析者、媒体、社会、合作伙伴以及政府机构,利用,X-focus,发布漏洞利用工具,MS,加大力量来告知用户,蠕虫,冲击波被发现，不同的病毒共同攻击,(,比如：,SoBig),如何赶在蠕虫发作之前为系统安装上,安全补丁将成为解决问题的关键,开始与时间赛跑，要赶在攻击开始之前保护您的系统并为其安装上软件安全更新,151,180,331,Blaster,Welchia/Nachi,Nimda,25,SQL Slammer,从公告发布到病毒攻击的天数,更新管理解决方案,支持的软件及内容,产品,MBSA,Microsoft Update,WSUS,SMS 2003,支持的软件,Same as MU for security update detection.Windows,IE,Exchange and SQL configuration checks,Windows 2000+,Exchange 2000+,SQL Server 2000+,Office XP+with expanding support,Same as MU,Same as WSUS+NT 4.0&Win98*+can update any other Windows based software,支持内容类型,Service Packs and Security Updates,All software updates,driver updates,service packs(SPs),and feature packs(FPs,),Same as MU with only critical driver updates,All updates,SPs,&FPs+supports update&app installs for any Windows based software,更新管理解决方案,安全更新管理能力,产品,MBSA,Microsoft Update,WSUS,SMS 2003,支持的软件及内容,简单,否,简单,高级,网络带宽优化,否,是,是,是,更新分发控制,否,否,简单,高级,更新安装及调度灵活性,否,手工，最终用户控制,简单,高级,更新安装状态报告,简单,安装错误报告，罗列丢失更新,简单,高级,部署计划,否,否,简单,高级,清单管理,否,否,否,高级,依从性检查,否,否,否,高级,考虑,针对前面的描述您认为你应该选择哪个产品？,补丁管理流程,客户端的软件更新,服务器的软件更新,企业补丁管理的流程与架构,评估阶段,确定阶段,审查和规划阶段,部署阶段,MBSA,工欲善其事，必先利其器,MBSA,作用：,确定组织内的服务器和工作站上是否已安装了软件更新,MBSA,会报告计算机应遵守的常见安全最佳操作（比如：强密码），并且确定使计算机暴露出潜在安全漏洞的任意配置选项,MBSA,还可以配置为报告已经在,WSUS,服务器上得到批准但尚未安装的更新,建议：,管理员可以定期使用,MBSA,。,MBSA,使用演示,WSUS,概览,通过,Windows Server Update Services(WSUS),可以全面管理获取,Microsoft Update,发布的更新的过程，然后将这些更新分发到您网络中的服务器和客户端计算机,WSUS,的部署,硬件要求,软件要求,部署方法介绍,演示,WSUS,的部署,_,之硬件要求,客户机,=500,500,客户机,15000,要求,最小,推荐,CPU,750 MHz,1 GHz or faster,RAM,512 MB,1 GB,Database,WMSDE/MSDE,WMSDE/MSDE,要求,最小,推荐,CPU,1 GHz or faster,3 GHz dual processor computer or faster(use dual processors for over 10,000 clients),RAM,1 GB,1 GB,Database,SQL Server2000 with SP4,SQL Server2000 with Service Pack 4,WSUS,的部署,_,之软件要求,Microsoft Internet,信息服务,(IIS)6.0,用于,WindowsServer2003,的,Microsoft.NET Framework 1.1 Service Pack 1,Background Intelligent Transfer Service(BITS)2.0,MSDE/SQL Server,系统分区和安装 WSUS 的分区都必须使用 NTFS 文件系统进行格式化。,系统分区至少需要 1 GB 的可用空间。,WSUS 用于存储内容的卷至少需要 6 GB 的可用空间，建议预留空间为 30 GB。,WSUS 安装程序用于安装 Windows SQL Server 2000 Desktop Engine(WMSDE)的卷至少需要 2 GB 的可用空间,WSUS,的部署,_,之部署方法介绍,简单部署,WSUS,的部署,_,之部署方法介绍,包含计算机组的简单,WSUS,部署,WSUS,的部署,_,之部署方法介绍,WSUS,服务器协同链路,WSUS,的部署,_,之部署方法介绍,没有,Internet,连接的网络,WSUS,的部署,_,之部署安装,WSUS,的部署,_,之部署管理,本地管理员组或,WSUS,管理员组成员,访问方式,管理工具,“Microsoft WSUS”,快捷方式,IE,：,http:/,WSUSServerName,:,portnumber,/WSUSAdmin/,管理,WSUS,管理更新,演示,WSUS,安装,WSUS,管理,常见问题,ISA,防火墙针对企业内部应该开启哪些内容？,如何确定在何处存储更新？,如何决定带宽选项？,如何过滤更新？,WSUS,对于客户端的要求？,WSUS,配置完成后无法进行正常更新？,非域环境下如何部署,WSUS,？,WSUS,常见排错工具都有哪些？,如何从,SUS,迁移到,WSUS,演示,场景学习,你是一家企业网络管理员，目前使用的网络环境基本如下：,基于,Windows Server 2003,的服务器系统,客户端基本上是,Windows 2000 Professional,和,Windows XP Professional 200,台计算机，目前要求生产部的,200,台计算机不能连接上网，请问应该如何快速部署安全补丁方案,场景回顾,步骤,1,：复查,WSUS,安装要求,步骤,2,：在服务器上安装,WSUS,步骤,3,：配置网络连接,步骤,4,：同步服务器,步骤,5,：更新和配置自动更新,步骤,6,：创建计算机组,步骤,7,：批准和部署更新,总结,部署企业安全补丁管理方案,安装,WSUS,访问,WSUS,管理控制台,配置,WSUS,使用一台代理服务器,选择产品和分类,同步,WSUS,服务器,配置高级同步选项,WSUS,服务器协同链路,创建一个复制组,为计算机创建计算机组,批准更新文件,核实更新部署,防护您的,WSUS,部署,答疑,参考资源,http:/ Windows Server Update Services,入门循序渐进指南,http:/ Microsoft Windows Server Update Services,http:/ Download,http:/ Server Update Services,成功部署的,29,个技巧,TECHNET,中文资源包,参考资源,Internet Explorer 6 Service Pack 1,http:/ 5.1 Windows Server 2003,的更新程序,(KB842773),http:/ 5.1 Windows 2000,的更新程序,(KB842773),http:/ Home,http:/ Services Communities Homepage,http:/