安全更新管理

1、安全更新管理,精誠恆逸資訊 資深講師 職念文,2,議程,談安全更新管理程序 安全更新管理四大主題： 微軟安全更新機制 Microsoft Update（MU） 微軟基準線安全分析工具 2.0 Microsoft Baseline Security Analyzer 2.0（MBSA） 微軟伺服器更新服務 Windows Server Update Services（WSUS） 微軟系統管理伺服器 SMS 2003 SMS Inventory Tool for Microsoft Updates（ITMU,3,修補管理流程,1. 評定要修補的環境 週期性工作 A. 建立/維護系統的比較基準 B.

2、 評定修補管理架構 C. 檢閱基礎結構/組態 持續性的工作 A. 蒐集資產資訊 B. 清查用戶端,1. 評定,2. 識別,4. 部署,3. 評估與 計劃,2. 識別新的補充程式 工作 A. 識別新的補充程式 B. 判斷補充程式的相關性 C. 確認補充程式驗證和完整性,3. 評估與計劃補充程式部署作業 工作 A. 獲准部署補充程式 B. 執行風險評定 C. 計劃補充程式發行流程 D. 完成補充程式接受度測試,4. 部署補充程式 工作 A. 發佈與安裝補充程式 B. 進度報告 C. 處理例外狀況 D. 檢閱部署作業,4,過去的安全更新管理不同的來源，有限制性的產品支援,Windows 更新 / O

3、ffice 更新 用戶端的焦點著重在使用網頁連結 Software Update Services (SUS) 1.0 立場尷尬，介於 Windows 更新功能以及自動更新功能之間 Microsoft Baseline Security Analyzer (MBSA) 1.2.1 針對 16 種產品偵測安全更新 針對 7 種產品掃描產品設定弱點 Systems Management Server 2003 需外掛 SUS Feature Pack (且只支援 Windows 更新) 使用 MBSA 1.2.1 執行系統安全偵測 企業更新掃瞄工具 Enterprise Update Scan T

4、ool (EST) 彌補 MBSA 無法偵測的其他重大及重要安全更新 相容於 SMS,5,今日的安全更新管理一致性的結果，並延伸產品支援,Microsoft Update (MU) 主機型的更新服務 提供用戶端主機可於網頁要求中選擇自訂更新安裝 Windows Server Update Services (WSUS) 為企業架構而生的產品，可為所有用戶端更新大部分的安全套件 可依照不同的微軟作業平台，分類安全更新套用對象執行 Microsoft Baseline Security Analyzer (MBSA) 2.0 安全重點掃瞄不需要執行伺服器端 Systems Management S

5、erver 2003 使用新版工具 Inventory Tool for Microsoft Update 整合使用 MBSA 2.0 執行安全設定檢查,6,Office 更新,MSSecure.XML,下載中心,單機自動更新機制,Office 偵測工具,HFNetChk,企業更新掃瞄工具,SMS,MBSA 1.2.1,SUS,自動更新,MOM,過去的安全更新運作,Microsoft 更新,7,Windows Update,單機自動更新機制,SMS,SUS,自動更新,MOM,MBSA 2.0,Windows 更新代理元件,微軟安全更新資料庫,離線資料庫 (wsusscan.cab,今日的安全性

6、整合更新運作,8,Windows Update,安全更新管理,9,Microsoft Update (MU,微軟線上更新服務 (): 針對要求更新的電腦偵測出 Windows 作業系統，Office，Exchange 以及 SQL 的安全更新 產生需要安全更新的建議清單 安裝使用者所勾選的安全更新元件 提供用戶更新歷史紀錄清單 可經由設定自動更新方式執行自動下載並執行安全更新 Product support grows over time 微軟的 Windows Update Catalog 網站，還可提供： 包含所有已被標示為Designed for Windowslogo 的裝置驅動程式更

7、新 搜尋功能 可尋找所需的更新 可手動下載所需要的更新 提供用戶更新歷史紀錄清單,Windows 2000+, Office XP+, Exchange 2000+, SQL 2000+ Note: also updates 64-bit editions of Windows Server,Identify,New Update,Deploy,10,Windows Update如何運作：自動更新,AU 會驗證 WU 伺服器並取得下載類別目錄中繼 資料,AU 會檢查 WU 服務是否有新的更新 (每 17 至 22 個小時,AU 會使用中繼資料識別尚未安裝的更新,AU 通知使用者，或使用 BIT

8、S (幕後智慧型傳送服務) 自動下載並驗證新的更新,AU 會通知使用者，或是自動安裝更新程式,AU 更新歷程記錄和統計 資訊,Windows Update 服務,11,設定用戶端 Automatic Windows Update,12,13,MBSA 2.0,安全更新管理,14,MBSA 2.0 版,新功能 使用 Windows 更新代理元件（Windows Update Agent, WUA）執行更新偵測。 支援更多的產品偵測 與 WSUS 密切整合 支援 64bit 作業系統平台 Automatic WUA update 協助檢驗確認 Windows 系統弱點 可掃瞄失敗的安全更新以及一般

9、性的安全錯誤組態設定 可掃瞄多種不同版本的 Windows 以及其他微軟的應用程式 可使用圖形介面或文字介面掃瞄本機或同時掃瞄多台遠端系統 可於每一個被掃瞄的系統上產生 XML 格式的檔案報告 可執行於 Windows Server 2003, Windows 2000 SP3 以及 Windows XP 作業平台,15,MBSA Console,代理元件部署,若 API 無法啟用，則下載代理元件（agent component,執行 MBSA 於管理系統端，並指定掃瞄目標,啟動代理元件，並重新嘗試啟動 API,若無法連結 Microsoft Update 網站，則下載 WSUSSCAN.CA

10、B 檔案,比較 CAB 檔案與 Windows Update Automatic 當中的代理元件版本,若版本較舊，則回到步驟3，否則將使用已下載的 WSUSSCAN.CAB 檔案,Microsoft Update,WUSCltV5aX64.exe WUSCltV5aX86.exe WindowsUpdateAgent20-x86.exe,Target Computer,WSUSSCAN.CAB,API 嘗試執行掃瞄,16,MBSA Console,MBSA 2.0 掃瞄運作,若有指定 WSUS 伺服器，則目標電腦將嘗試使用預設指定的 WSUS 伺服器,執行 MBSA 於管理系統端，並指定掃瞄對

11、象（目標電腦,若 Microsoft Update 網站無法連結，則將嘗試使用 CAB 檔案,若快取中的 CAB 檔案並非最新版本，則由 MBSA 管理系統端協助下載最新版本,使用 API 獲得適當的CAB 檔案,Microsoft Update,Offline CAB,倘若從 WSUS 下載清單當中的未認可（Unapprove）以及 Microsoft Update 均獲得下載結果，則將合併並使用其結果,或嘗試連結 Microsoft Update 網站（預設值,Microsoft Update 網站,WSUS,Target Computer,17,MBSA 2.0 支援藍圖,目前所支援的安

12、全更新項目： Windows 2000 SP3 and later IIS 5.0 and later SQL Server 2000 / MSDE and later IE 5.01 SP3 and later Exchange 2000, 2003 and later Windows Media Player 6.4 and later Office XP, 2003 and later MSXML 2.5, 2.6, 3.0, 4.0 MDAC 2.5, 2.6, 2.7, 2.8 Microsoft Virtual Machine (JVM,支援新的作業平台： Remote only,

13、 updates only XP Embedded IA64 Updates only X64,目前尚無立即支援： SQL and Exchange service packs Office 2000 updates Commerce Server Content Mgt Server BizTalk Host Integration Server,新版額外加入的安全更新項目： DirectX .NET Framework Windows Messenger FrontPage Server Extensions Windows Media Player 10 Windows Script 5

14、.1, 5.5, 5.6 Windows Server 2003, 64-Bit Edition Windows XP 64-Bit Edition Windows XP Embedded Edition,18,MBSA 文字介面參數比較,MBSA 1.2.x /hf /h or /hf /i /c or /i /hf /x /hf /sus /hf /fip /hf /fh /v,MBSA 2.0 /target /target /catalog /xmlout or /n * /wa /listfile /listfile /ld,= OS+IIS+SQL+Password,19,其它重點

15、,Metadata 不再使用 mssecure.xml 檔案 可使用 MBSA 文字介面或直接呼叫 WSUS API 使用 輸入/輸出 使用新的文字介面參數 修改輸出架構 使用 .mbsa 為副檔名 /xmlout 取代舊有的 /hf 模式 掃瞄工作無須完整安裝 只需要下列元件即可執行離線掃瞄： mbsacli.exe, wsusscan.dll and wusscan.cab Mbsacli /xmlout /catalog c:wsusscan.cab /unicode result. xml 效能 支援同時掃瞄多台目標用戶端電腦,20,安裝與使用MBSA 2.0,21,22,WUS,安全

16、更新管理,23,什麼是 Windows Update Services,提供企業更新管理 從 Microsoft Update（MU）service下載 是一個Windows Server的元件 免費下載 並不改變現行所提供的更新方式 SUS 1.0 可以繼續從 WU下載 微軟更新的重大元件及更新管理的解決方案和準則,24,面對更新管理各種狀況,主要著重於增強微軟產品的安全和將更新管理的痛苦降至最低 WUS可以： 無須付出額外成本，就可提供以其為核心更新管理基礎架構 提供單一更新微軟軟體的基礎架構 以自動化方式更新部署運作，減少IT人員數量需求 啟用即時、有效率的更新管理、建置簡單及低管理能力

17、需求,See this Security White Paper for more information,25,WUS 目標,帶來簡單使用、微軟產品更新的全功能解決方案 儘量自動更新管理運作 不只支援Windows 更新 依然擁有 SUS 1.0的功能 已經針對管理者的體驗進行最佳化，非常適合一般IT人員操作。 針對Windows平台建立基本補充更新基礎架構 可利用其他工具加強架構，例如：SMS及其他周邊廠商的產品,26,管理者定義更新的類別,WUS伺服器從Microsoft Update下載更新套件,用戶端向伺服器註冊,管理者將用戶端分成不同的target groups,管理者審核更新套件

18、,Microsoft Update,WUS 伺服器,桌上型用戶端Target Group 1,伺服器Target Group 2,WUS 管理者,解決方案概觀,代理程式安裝管理者審核過的更新套件,27,支援的產品與內容,可更新 所有微軟產品 RTM階段 Windows 2000 SP3及之後推出的視窗系統 Office XP SP2及Office 2003 SQL 2000及MSDE 2000 Exchange 2003 支援的平台及需求 Windows 2000 SP3（伺服器版需SP4）或更新的版本 Windows XP或更新的版本 Windows Server或更新的版本 以上系統的各個

19、地區語系版本 （包含多語系套件,28,WUS 更新管理特性（一,目標群組（Target Groups） 支援AD環境，採用Registry為基礎的原則管理 針對非AD環境的伺服器端清單 由管理者控制部署方式 啟始電腦掃瞄，檢查可否套用更新套件 審核後，決定安裝或移除 （系統需要更新才有此功能） 以日期為基準的更新程式審核方式 部署不同更新套件至不同的目標群組,29,WUS 更新管理特性（二,代理程式設定 輪詢的頻率 通知和安裝動作 重新開機的動作 可設定埠號 非管理者可以安裝更新套件 （如同管理者） 在關機時安裝（僅XP SP2支援,30,WUS 網路使用最佳化,迅速及透通 使用BITS*於”

20、用戶端對伺服器”和”伺服器對伺服器”下載 背景下載 資料下載最小化 更新預定（依產品或類別） 使用“binary delta compression”技術於client-server溝通 僅下載審核過的更新套件選項,Background Intelligent Transfer Service,31,WUS的部署與管理彈性,伺服器部署的選擇 Microsoft Update伺服器儲存檔案 WUS伺服器運作成一個控制點 階層架構部署 獨立伺服器 （管理者希望不要繼承） “複寫”的伺服器 （管理者希望繼承） 管理能力和延伸能力 以.NET為基礎的伺服器APIs （管理工作） 以COM基礎的用戶端A

21、PIs （script和遠端支援） 自動更新套件部署 指令行選項觸發更新偵測,32,觀念性的架構模式,伺服器,服務,防火牆,用戶端,33,WSUS 的主要元件,元件一：服務 元件二：伺服器 元件三：伺服器相依元件 元件四：代理程式 元件五：代理程式相關元件 元件六：通訊協定 伺服器對伺服器 用戶端對伺服器,34,元件一：服務,Windows Update （WU） service 微軟負責此服務，僅包含視窗更新套件 Windows UpdateServices的自訂版本 Microsoft Update （MU） service 微軟負責此服務，包含所有微軟的更新套件 （WU的超級集合） Wi

22、ndows UpdateServices的自訂版本 Windows Update Services伺服器由此服務獲得更新套件,35,元件二：伺服器,企業提供伺服器由管理者控制更新項目 調整階層架構設定以符合各種網路拓樸 SQL為基礎的資料庫可以儲存所有資料，但不含內容 建構於 .NET Framework之上 內建安全特性 使用微軟憑證驗證所有下載的內容 所下載的儲存位置使用NTFS的權限控制,36,元件三：伺服器相依元件,WinHTTP, MSXML 網路連結與網站服務建置 .NET Framework 1.1 網站應用程式建置、APIs及網站服務 MSDE或SQL及MDAC 2.8 針對更

23、新通用資訊, 管理者期望與事件的儲存解決方案 BITS 2.0 可由Microsoft Windows Update伺服器及其他伺服器進行背景、可重新開始的下載更新作業,37,元件四：代理程式,Win32服務（代理程式）執行大部分的功能 Update Handlers 伺服器提供由原有用戶端自動自我更新至新版本 自動更新特性可由原則控制 內建安全特性 與MU/WU溝通時，通用資訊可透過HTTPS/SSL傳送 使用微軟憑證驗證所有下載的內容 所下載的儲存位置使用NTFS的權限控制,38,元件五：代理程式相依元件,WinHTTP, MSXML 網路連結與網站服務建置 Windows 資料庫技術 更

24、新通用資訊快取的資料儲存（提升經由有線網路的資料使用） BITS 2.0 支援 “delta compression” 進行背景、可重新開始的下載更新作業 MSI 3.0 決定可用性、安裝及移除MSI為基礎的更新程式（例如：Office的更新程式,39,設定回應,元件六：通訊協定伺服器/伺服器,下層伺服器,設定請求,搜尋過濾,更新IDs,請求地區化資訊,地區化資訊,透過 HTTP（s）通訊,上層伺服器或MU,40,元件六：通訊協定用戶端/伺服器,設定回應,電腦註冊,同步請求,驅動程式同步請求,請求地區化資訊,回應,驅動程式資料,地區化資訊,Repeated,設定請求,用戶端,伺服器,41,建置

25、 WUS 前置準備（一） 安裝 IIS,42,43,建置 WUS 前置準備（二） 升級.NET Framework 1.1 SP1,44,45,建置 WUS 前置準備（三） 升級BITS 2.0,46,47,建置 WUS 安裝WUS,48,49,進入WUS管理畫面http:/伺服器/WUSadmin設定WUS同步選項,50,51,WUS手動立即同步,52,53,WUS同步後可更新更多的軟體,54,55,WUS自動審核更新套件,56,57,WUS 建置架構,伺服器選項 單一伺服器 多台伺服器 中斷連線的伺服器 用戶端選項 偵測頻率 用戶端與伺服器端目標模式（targeting mode,58,M

26、icrosoft Update,WUS Server,Desktop ClientsTarget Group 1,Server ClientsTarget Group 2,WUS Administrator,單一 WUS 伺服器,59,單一 WUS 伺服器 小企業或簡單網路,設定一台伺服器與MU溝通 同步所有相關更新套件（例如：Windows XP 重大與安全更新） 設定代理程式指向WUS伺服器 其他： 針對不同群組的電腦建立 target groups 設定代理程式成為 targetgroup的成員,60,WUS建立目標群組（Target Group,61,62,WUS指定用戶端加入目標群組

27、,63,64,多台 WUS 伺服器,Microsoft Update,WUS Server,WUS Server（replica,65,多台 WUS 伺服器大企業或複雜網路,設定單一台或多台伺服器與MU溝通 同步所有相關更新套件（例如：Windows 2000、XP、2003 重大與安全更新） 建立伺服器的階層架構 在企業內部網路有獨立的WUS伺服器 “複寫” 的WUS伺服器 所有下層的伺服器觸發事件至上層伺服器 設定代理程式指向指定的 WUS伺服器 其他： 針對不同群組的電腦建立target groups 設定代理程式成為targetgroup的成員,66,建立複寫的WUS(與另一台WUS同

28、步,67,68,群組原則中的管理範本,電腦設定 -系統管理範本 -Windows元件 -Windows Update 使用新的Wuau.adm範本檔（強烈建議） 範本檔存在於已安裝WUS的伺服器上及Windows XP SP2上,69,更新GPO 的 Windows Update範本,70,71,新版 WUS 群組原則（一,設定自動更新 設定下載、更新方式與排程。 指定內部網路Microsoft更新服務的位置 啟用用戶端目標鎖定 重新排程自動安裝更新排定的安裝,72,新版 WUS 群組原則（二,不自動重新啟動排定的自動更新安裝 自動更新偵測頻率 指定的時數減去指定的0%到20%的時數 允許立即

29、安裝自動更新 延遲排程安裝的重新啟動 預設的等候時間是5分鐘 再次提示排程安裝所需的重新啟動 預設頻率為10分鐘,73,設定群組原則,74,75,確認用戶端套用群組原則,76,77,SUS 1.0升級成WUSwusutil migratesus /content /approvals /log,78,79,WUS 建置考量,硬體需求 用戶端數量及用戶端查詢伺服器的頻率 資料庫與儲存 本機或遠端的SQL Server或MSDE 頻寬 單一地點 多個地點、分公司 低頻寬：下載的原則,80,WUS 伺服器硬體需求,硬體需求500人以下,硬體需求500人以上,81,WUS 軟體需求（一,82,WUS

30、軟體需求（二,83,WUS 可提升網路效能,WUS階層架構 NLB叢集 有共同的叢集IP 一個叢集的FQDN DNS的輪詢機制（Round-Robin） 一個FQDN對應至多個IP位址 循環解析 不提供容錯,84,SMS 2003,安全更新管理,85,提供企業級的絕佳網路伺服器以及用戶端管理解決方案： 軟體派送 作業系統部署 行動裝置管理 用戶端硬體資產蒐集管理分類 用戶端軟體資產蒐集管理分類 應用程式使用狀況追蹤 遠端協助及監控功能 完整的用戶端回報功能 用戶端系統安全更新管理及部署,SMS 2003,86,SMS 2003: What it Does,應用軟體更新（software upd

31、ate management）管理功能來達到指定並部署用戶端上作業系統以及 Office 的更新功能。 應用軟體派送（software distribution）功能，能部署及安裝任何作業系統所需的系統安全更新，以及任何應用程式的安全更新。 安全更新的對象標的，可以以資產管理資料庫作為參考準則。 安全更新安裝成功於否，可於管理系統端產生詳細報表。 可擁有彈性化的安全更新時程。 集中式，完全掌握及控制安裝流程。 可做頻寬最佳化考量,準確,更新,部署,範圍,評估規劃,87,SMS 2003 更新管理功能性（1,系統掃瞄 & 更新內容下載 從微軟下載中心下載更新內容 支援更新遠端及行動裝置 可更新

32、Windows，Office，SQL， Exchange 以及 Windows Media Player 等許多相關產品，而不需要使用特殊更新套件或撰寫 script 管理控制 可於 AD 環境，無 AD 環境的工作群組以及應用 WMI 屬性，甚至可經由 Script 協助控制。 安裝部署更新管理時，管理者可指定使用 SMS 作為集中下載更新內容參考。 可指定起始以及結束時間。 可輕易的從測試環境轉移至線上工作環境。 可使用臨時的參考測試環境設定來確認安全更新運作程序,88,SMS 2003 更新管理功能性（2,更新下載 & 安裝 site-site, server-server 之間使用 D

33、elta replication 機制。 使用 BITS* 傳輸技術於行動用戶端 / 遠端用戶端與伺服器之間。 擁有安裝前，重新開機，強制安裝警示功能，以及重新排程能力。 擁有最佳的強制重新開機或重新登出功能。 每次更新後的重新開機偵測可減少重新開機次數。 狀態 & 完成報表 安全更新安裝狀態回報 經由資料庫 SQL 產生標準以及客製化報表,Requires SMS Advanced Client,89,SMS 2003 安全更新運作,防火牆,SMS Site Server,SMS 發佈點,SMS 用戶端,SMS 用戶端,MicrosoftDownload Center,SMS 發佈點,將掃瞄

34、元件複製到 SMS 用戶端,安裝：下載軟體更新掃瞄工具（包含作業系統以及 Office）並執行安裝軟體更新工具,用戶端開始執行掃瞄，並將掃瞄結果回送至 SMS Site Server，以硬體資產資料形式回報於 SMS Site Server,管理者使用 Distribute Software Updates Wizard 執行授權更新,用戶端啟動軟體更新安裝代理元件以執行更新程序,下載更新檔案的封裝或應用程式，並建立發佈軟體更新通知的packages, programs 以及 advertisements,SMS 用戶端,90,SMS 2003Inventory Tool for Microsoft Updates,SMS Inventory Tool for Microsoft Updates (ITMU) 架構於 Windows Update Agent (WU Agent) 並此提供掃瞄以及安裝更新。 獨立的掃瞄工具 可不需連結 WSUS 伺服器或網際網路。 WU Agent 代理工具已內建於所有已經安裝 SP1 的 Windows Server 2003 當中。 Server 2003 SP1 以外的作業系統，可使用 SMS 軟體派送功能，執行派送並安裝。 提供一致持續性的 Mic