安全性更新管理最佳實(shí)務(wù)

(PatchManagement)第一頁(yè)，共三十三頁(yè)。講座大綱安全補(bǔ)充程式管理程序各種安全補(bǔ)充程式方法簡(jiǎn)介SystemManagementServer2003安全補(bǔ)充程式的部署新功能介紹各種安裝部署安全補(bǔ)充程式方法比較第二頁(yè)，共三十三頁(yè)。講座大綱安全補(bǔ)充程式管理程序各種安全補(bǔ)充程式方法簡(jiǎn)介SystemManagementServer2003安全補(bǔ)充程式的部署新功能介紹各種安裝部署安全補(bǔ)充程式方法比較第三頁(yè)，共三十三頁(yè)。安全補(bǔ)充程式管理程序1.分析環(huán)境中是否有遺漏的補(bǔ)充程式定期的工作A.建立及維護(hù)系統(tǒng)的基準(zhǔn)B.已知的威脅及安全弱點(diǎn)為何?如何降低威脅及安全弱點(diǎn).C.環(huán)境中有那些系統(tǒng)及設(shè)定?持續(xù)的工作A.有那些資產(chǎn)，其價(jià)值?B.有那些用戶端?1.分析2.確認(rèn)4.部署3.測(cè)試及

計(jì)劃2.確認(rèn)新的安全補(bǔ)充程式工作A.確認(rèn)新的安全補(bǔ)充程式B.安全補(bǔ)充程序間關(guān)聯(lián)(威脅評(píng)估)C.確認(rèn)補(bǔ)充程式的來源及完整性3.測(cè)試及建立計(jì)劃工作A.取得要部屬的安全補(bǔ)充程式B.執(zhí)行風(fēng)險(xiǎn)評(píng)估C.建立部署及還原計(jì)劃D.完整的安全補(bǔ)充程式測(cè)試4.部署安全補(bǔ)充程式工作A.分配及安裝安全補(bǔ)充程式B.產(chǎn)生報(bào)告C.例外處理D.審查修補(bǔ)程式的執(zhí)行情況第四頁(yè)，共三十三頁(yè)。講座大綱安全補(bǔ)充程式管理程序各種安全補(bǔ)充程式方法簡(jiǎn)介SystemManagementServer2003安全補(bǔ)充程式的部署新功能介紹各種安裝部署安全補(bǔ)充程式方法比較第五頁(yè)，共三十三頁(yè)。各種安全補(bǔ)充程式方法簡(jiǎn)介利用WindowsUpdate部署補(bǔ)充程式利用群組原則進(jìn)行ServicePack與安全補(bǔ)充程式的部署利用AutomaticUpdate部署補(bǔ)充程式利用SoftwareUpdateServices進(jìn)行安全補(bǔ)充程式部署利用MBSA作弱點(diǎn)分析第六頁(yè)，共三十三頁(yè)。利用WindowsUpdate讓用戶端能在安全性更新檔發(fā)佈進(jìn)行即時(shí)的更新用戶端的相關(guān)設(shè)定InternetExplorer需允許cookiesInternetExplorer需允許ActiveXcontrols須有本機(jī)管理員的權(quán)限經(jīng)常性與MicrosoftWindowsUpdateServer進(jìn)行同步需要使用者人為被動(dòng)式啟用

第七頁(yè)，共三十三頁(yè)。利用群組原則部署利用群組原則安裝部署

ServicePack先解壓縮

Ex.W2KSP4_tw.exe/x透過update.msi進(jìn)行部署針對(duì)電腦設(shè)定作指派

(Assign)利用.zap

檔進(jìn)行安裝部署補(bǔ)充程式利用開機(jī)/關(guān)機(jī)指令檔進(jìn)行部署補(bǔ)充程式需加入Domain且用戶端作業(yè)系統(tǒng)需W2K以上第八頁(yè)，共三十三頁(yè)。AutomaticUpdates當(dāng)有安全性更新檔發(fā)佈時(shí)發(fā)出自動(dòng)通知更新運(yùn)作模式下載前通知,安裝更新程式前也通知自動(dòng)下載,安裝更新程式前通知定期自動(dòng)更新企業(yè)的政策不允許使用者，連到微軟網(wǎng)站直接進(jìn)行安全性更新企業(yè)的政策不允許使用者，在沒經(jīng)過相容性測(cè)試及企業(yè)資訊環(huán)境的統(tǒng)一性，就進(jìn)行安全性更新對(duì)外頻寬的考量需W2KSP3以上，XPSP1以上第九頁(yè)，共三十三頁(yè)。SoftwareUpdateServiceSP1部署重大更新及系統(tǒng)更新用戶端需有自動(dòng)更新(AutomaticUpdate)能力SUS伺服器端讓企業(yè)應(yīng)用於內(nèi)部網(wǎng)路環(huán)境讓內(nèi)部伺服器自動(dòng)與WindowsUpdate同步管理員能視公司需求自定部署內(nèi)容用戶端需W2KSP3以上，XPSP1以上第十頁(yè)，共三十三頁(yè)。SUS運(yùn)作原理

SUSServer設(shè)定與微軟WindowsUpdate網(wǎng)站同步更新

第十一頁(yè)，共三十三頁(yè)。SUS運(yùn)作原理第十二頁(yè)，共三十三頁(yè)。SUS運(yùn)作原理

InternetSUSServerWindowsUpdateServerAdministrator同步更新防火牆第十三頁(yè)，共三十三頁(yè)。SUS運(yùn)作原理第十四頁(yè)，共三十三頁(yè)。SUS運(yùn)作原理第十五頁(yè)，共三十三頁(yè)。SUS運(yùn)作原理

SUSServerAdministratorCheckingforapprovedupdatesDownloadingupdates第十六頁(yè)，共三十三頁(yè)。MBSA(MicrosoftBaselineSecurityAdvisor)最新版本

MBSAVersion1.1.1特色:Exchange及WindowsMediaPlayer安全性更新檢測(cè)

支援以SUS為安全性描基準(zhǔn)

自動(dòng)偵測(cè)多重SQLServerinstances

支援

WindowsServer2003已簽署的

mssecure.XML單一電腦IP或電腦名稱Workstationservice及Serverservice多部電腦IP網(wǎng)段或網(wǎng)域掃描端主機(jī)Workstationservice/ClientforMicrosoftNetworks被掃描端主機(jī)Serverservice/RemoteRegistryservice/File&PrintSharing第十七頁(yè)，共三十三頁(yè)。MBSA(MicrosoftBaselineSecurityAdvisor)第十八頁(yè)，共三十三頁(yè)。講座大綱安全補(bǔ)充程式管理程序各種安全補(bǔ)充程式方法簡(jiǎn)介SystemManagementServer2003安全補(bǔ)充程式的部署新功能介紹各種安裝部署安全補(bǔ)充程式方法比較第十九頁(yè)，共三十三頁(yè)。SMS2003運(yùn)作原理FirewallSMS

SiteServerSMSDistribution

PointSMSClientsSMSClientsMicrosoft

DownloadCenterSMSDistribution

Point下載SecurityUpdateInventory及OfficeInventoryTools;安裝inventorytoolSMSClients第二十頁(yè)，共三十三頁(yè)。SMS2003運(yùn)作原理第二十一頁(yè)，共三十三頁(yè)。SMS2003運(yùn)作原理FirewallSMS

SiteServerSMSDistribution

PointSMSClientsSMSClientsMicrosoft

DownloadCenterSMSDistribution

Point2.Scan元件複製到SMS用戶端，用戶端將Scan結(jié)果合併至SMS2003

hardwareinventory資料中，並產(chǎn)生Web報(bào)表SMSClients第二十二頁(yè)，共三十三頁(yè)。SMS2003運(yùn)作原理第二十三頁(yè)，共三十三頁(yè)。SMS2003運(yùn)作原理第二十四頁(yè)，共三十三頁(yè)。SMS2003運(yùn)作原理FirewallSMS

SiteServerSMSDistribution

PointSMSClientsSMSClientsMicrosoft

DownloadCenterSMSDistribution

Point管理者使用DistributeSoftwareUpdates精靈部署,之後下載安全補(bǔ)充程式下載;產(chǎn)生packages,programs及advertisedSMS用戶端,用戶端的SoftwareUpdateInstallationAgent進(jìn)行佈署SMSClients第二十五頁(yè)，共三十三頁(yè)。SMS2003運(yùn)作原理第二十六頁(yè)，共三十三頁(yè)。SMS2003運(yùn)作原理第二十七頁(yè)，共三十三頁(yè)。SMS2003運(yùn)作原理第二十八頁(yè)，共三十三頁(yè)。透過SMS2003進(jìn)行安全補(bǔ)充程式佈署第二十九頁(yè)，共三十三頁(yè)。講座大綱安全補(bǔ)充程式管理程序各種安全補(bǔ)充程式方法簡(jiǎn)介SystemManagementServer2003安全補(bǔ)充程式的部署新功能介紹各種安裝部署安全補(bǔ)充程式方法比較第三十頁(yè)，共三十三頁(yè)。各種部署補(bǔ)充程式方法比較安裝方法WindowsUpdateAutoUpdate群組原軟體派送功能支援的作業(yè)系統(tǒng)良好。Windows98WindowsMEWindowsXPWindows2000Windows2003中等。Windows2000SP3WindowsXPSP1Windows2003中等。Windows2000Windows

XPWindows2003支援安全補(bǔ)充程式集中式管理程度不佳。僅在電腦上安裝使用者所選取的更新不佳。僅在電腦上安裝使用者所選取的更新良好。由系統(tǒng)管理員核準(zhǔn)更新，並指定明確的目標(biāo)。支援安裝的補(bǔ)充程式類型良好。所有類型的Windows更新。※限Windows平臺(tái)中等。安全性補(bǔ)充程式、重大更新、更新及積存更新※限Windows平臺(tái)中等。安全性補(bǔ)充程式、重大更新、更新及積存更新※僅限Windows平臺(tái)安裝安全補(bǔ)充程式所需權(quán)限需有管理員權(quán)限需有管理員權(quán)限需有管理員權(quán)限第三十一頁(yè)，共三十三頁(yè)。各種部署補(bǔ)充程式方法比較安裝方法SUS1.0SP1

SMS2003支援的作業(yè)系統(tǒng)中等。Windows2000SP3WindowsXPSP1Windows2003最佳。Windows98Windows

NT4.0Windows

XP/2000/2003支援安全補(bǔ)充程式集中式管理程度良好。由系統(tǒng)管理員核準(zhǔn)更新。最佳。由系統(tǒng)管理員核準(zhǔn)更新，並指定明確的目標(biāo)。支援的補(bǔ)充程式類型中等。安全性補(bǔ)充程式、重大更新、更新及積存更新?！鶅H限Windows平臺(tái)最佳。將所有軟體或軟體更新發(fā)佈到SMS用戶端。安裝安全補(bǔ)充程式所需權(quán)限需有管理員權(quán)限一般使用者第三十二頁(yè)，共三十三頁(yè)。內(nèi)容總結(jié)安全性更新管理最佳實(shí)務(wù)

(PatchManagement)。安全性更新管理最佳實(shí)務(wù)

(PatchManagement)。B.安全補(bǔ)充程序間關(guān)聯(lián)(威脅評(píng)估)