Z02服务器补丁程序的更新说明.docx

Z02服务器补丁程序的更新说明.docx

《Z02服务器补丁程序的更新说明.docx》由会员分享，可在线阅读，更多相关《Z02服务器补丁程序的更新说明.docx（25页珍藏版）》请在冰豆网上搜索。

Z02服务器补丁程序的更新说明

服务器补丁程序的更新说明

使用Microsoft®SoftwareUpdateServices（SUS）1.0实现修补程序管理过程，共计有四个阶段。

适用范围包括DPCC文件服务器、ERP主服务器、ERP备用服务器

配置说明

说明对象Microsoft®SoftwareUpdateServices（SUS）1.0

SUS仅在端口80上工作；客户端上的自动更新组件只能在该端口上与SUS服务器进行通信。

SUS1.0SP1在Windows2000Server（附带ServicePack2或更高版本）上运行。

必须在服务器上启用IIS。

开始使用SUS将软件更新部署到产品环境中之前，必须执行审核。

如果使用SUS进行修补程序管理，必须使用MBSA进行审核和扫描。

MBSA将报告MicrosoftWindowsServer2003、WindowsXP、Windows2000、WindowsNT4.0操作系统上缺少的安全更新和ServicePack，并识别其漏洞，MBSA还报告计算机配置是否符合常见的最佳安全实践（如强密码）。

此外，MBSA还报告MicrosoftInternetInformationServer4.0、MicrosoftInternetInformationServices5.0和6.0、MicrosoftSQLServer7.0和SQLServer2000（包括MicrosoftSQLServerDesktopEngine（MSDE）1.0和MSDE2000）、MicrosoftExchangeServer5.5和ExchangeServer2000（包括Exchange管理工具）、MicrosoftInternetExplorer5.01及更高版本、MicrosoftInternetExplorer5.01及更高版本、MicrosoftWindowsMediaPlayer6.4及更高版本应用程序缺少的安全更新

MBSA还识别以下应用程序的错误配置设置，InternetInformationServer4.0、InternetInformationServices5.0和6.0、InternetExplorer5.01及更高版本、SQLServer7.0和SQLServer2000（包括MSDE1.0和MSDE2000）、Office2000和OfficeXP

使用MBSA扫描更新

1.在安装MBSA的工作站上，以域管理员的身份登录并运行MBSAGUI。

2.单击“选取多个要扫描的计算机”并输入要扫描的域名或Internet协议（IP）地址范围。

如果要扫描整个域，则输入的名称必须为该域的NetBIOS名称，而不是DNS中所使用的完全限定域名（FQDN）。

3.选择“使用SUS服务器”并输入http:

//server，其中server是所需的SUS服务器名，如图1所示。

图1

扫描域或IP地址范围中的计算机

4.单击“开始扫描”并等待结果。

5.单击“选取要查看的安全报告”并单击要查看其报告的计算机。

6.单击“结果详细信息”以查看详细信息。

注意：

MBSA只检测操作系统和软件应用程序的软件更新的存在或缺少情况，这些特定的软件更新内容列在Microsoft知识库文章306460“HfnetchkReturnsNoteMessagesforInstalledPatches”中，其网址为

MBSA的输出将标识您的IT基础结构中是否已采用物理方式安装了MBSA被指定进行扫描的软件应用程序，以及确保这些应用程序的安全所需的安全更新。

图2所示为一个IIS5.0安装在Windows2000成员服务器上的示例。

图2

MBSA扫描的输出

MBSA的GUI版本扫描文件版本和注册表项信息。

使用MBSA的命令行版本（Mbsacli.exe）可以执行更加全面的产品环境扫描，它可以验证每个扫描的安全更新的文件校验和版本、文件版本和注册表项信息。

使用MBSA命令行版本时，有两个可以选择的选项：

•

使用/hf开关可以仅执行安全更新扫描

•

如果不使用/hf，将执行对整个计算机的扫描

使用Mbsacli.exe（带/hf开关）创建的扫描结果可以在命令行上查看，也可以发送至输出文件中；而使用Mbsacli.exe（不带/hf开关）则会产生一个XML扫描报告，此报告可以在MBSAGUI中查看。

可以将Mbsacli.exe/hf的输出导入MicrosoftExcel或文本文件中，以进行进一步分析。

评估阶段–设置环境基准

您可以结合使用MBSA命令行实用程序（Mbsacli.exe/hf）的输出及MicrosoftExcel中的“数据透视表和数据透视图”功能，标识产品环境中已部署的项目，并设置适当的基准。

有关背景信息，请参阅模块修补程序管理阶段1–评估。

注意：

SUS客户端将自动应用SUS服务器上可用于它们（且已被批准）的更新。

因此，这些更新可能不需要包含在结构映像中，而可以在将新的计算机加入域时应用。

然而，实践中，许多通过SUS提供的更新不是对计算机的成功运行非常关键，就是可以降低受安全漏洞影响的风险。

这表明管理员应当向基础结构添加新的安全更新，这样新计算机从部署到产品环境中的那一刻起就会得到保护。

评估阶段–设计SUS基础结构

评估软件分布基础结构是有效的修补程序管理过程的另一个重要组成部分。

有关背景信息，请参阅模块修补程序管理阶段1–评估中的“评估现有软件分布基础结构”部分。

应该只将一个SUS父服务器配置为自动从Microsoft公共WindowsUpdate服务器下载软件更新，如图3所示。

请注意，在父服务器上应仅批准经过测试且已批准部署的更新。

图3

推荐的SUS拓扑结构

借助预先配置的同步计划，SUS父服务器可以每天从公共的MicrosoftWindowsUpdate服务器下载关键更新和安全更新。

这需要在防火墙中打开出站TCP端口80。

SUS测试服务器被配置为可从SUS父服务器下载更新。

这也可以在每天固定的时刻进行，其同步时间应设置为SUS父服务器与公共MicrosoftWindowsUpdate服务器同步后一小时。

（一小时是距离SUS父服务器同步计划所可能的最接近的时间。

）这样做是为了确保软件包尽快到达SUS测试服务器并能够进行审批和测试。

SUS测试工作组应当在SUS测试服务器上审批新的更新。

审批结束后，更新便立即可用于所有的SUS测试客户端。

为避免所有的SUS测试客户端同时轮询SUS测试服务器，这些客户端将每隔22小时轮询该服务器一次，时间间隔的差别最多不超20%，以实现随机性。

特定更新测试成功后，SUS管理员应当在SUS父服务器上批准该更新。

在SUS父服务器上批准更新后，向该服务器报告的SUS客户端在默认情况下将于22小时之内开始从该服务器下载更新。

安装根据指定的时间表开始进行，也可以由本地管理员执行。

向SUS子服务器报告的客户端计算机，将在批准到达子服务器起的22小时之内开始下载更新。

SUS子服务器将被配置为每天与父服务器自动同步。

子服务器将同步并下载所有的内容，以及SUS父服务器上的已批准项目。

同步完成后，SUS父服务器上的所有已批准更新都将镜像到SUS子服务器上镜像，并且立即可用于产品SUS客户端（这些客户端配置为可以向这样的SUS子服务器轮询关键和安全更新）。

在图3所示的拓扑结构设计中，管理员只需在SUS父服务器上批准更新，就可以使该更新可用于所有的产品SUS客户端。

随时都可以对所有的SUS服务器进行手动同步。

Microsoft有时会更新软件更新的检测条件（元数据），这将导致软件更新表现为“已更新”状态。

此外，如果重新发布了软件更新，也有可能会导致界面上显示“已更新”状态。

重新发布软件更新的情况很少发生，但是，如果发生，软件更新公告中将显示相关信息。

如果更新的原始版本已在SUSGUI中得到批准，则SUS管理员可以将SUS服务器配置为自动审批，或手动审批重新发布的更新版本。

要确保不会在未经过测试的情况下自动将已修改的更新发布到产品环境中，管理员应当在SUS服务器上选择选项“不要自动审批新版本的已批准更新。

我将在以后手动批准这些更新”。

同步时间间隔

应当将父服务器配置为可根据每天的同步时间安排从公共MicrosoftWindowsUpdate服务器下载更新，但是管理员可以通过手动选择“SUS服务器管理”页上的“立即同步”选项更频繁地请求更新。

应当将下载配置为在网络空闲时进行。

通常，一天一次应当已足够，如图4所示。

图4

配置SUS以下载更新

请注意，应当将子服务器配置为按照计划的时间间隔从父服务器自动下载新的更新。

此时间间隔应当安排在父服务器从公共MicrosoftWindowsUpdate服务器下载更新后至少一小时。

如果管理员知道在计划的下一次下载之前已发布了更新，可以使用“立即同步”选项。

识别阶段–获得通知

评估环境之后，下一个阶段将关注识别问题以及获得有关可用更新的信息。

有关背景信息，请参阅模块修补程序管理阶段2–识别。

Microsoft安全通知服务

电子邮件是最常用的软件更新通知方式。

接收电子邮件通知的一种方法是在MicrosoftSecurity通知服务。

SUS修补程序警报服务

如果您已注册SUS修补程序警报服务，通常系统会通过电子邮件通知您可以使用SUS部署新的更新，如图5所示。

该电子邮件指示可以在公共WindowsUpdate服务器中下载的新更新程序，但并不说明这些更新程序的内容。

图5

通知管理员可通过MicrosoftSoftwareUpdateServices获得最新软件更新的电子邮件示

识别阶段–处理通知

收到通知后，您需要确定有哪些可用的软件更新。

有关背景信息，请参阅模块修补程序管理阶段2–识别。

在SUS中，您应该在每次收到新的电子邮件更新通知时在SUS服务器和公共WindowsUpdate服务器之间强制进行同步。

这可以通过使用“SUS服务器管理”页上的“立即同步”选项得以实现，如图6所示。

图6

强制SUS服务器与MicrosoftWindowsUpdate服务器同步内容

注意：

使用SUS只能部署“SUS服务器管理”页中显示的更新。

要确定各个软件更新与产品环境中的计算机的相关性，应参阅相关的安全公告或知识库文章。

可以按照下面介绍的过程从“SUS服务器管理”页中访问此文档。

•

查找软件更新的详细信息

1.单击审批日志超链接。

2.查找要检查的特定更新。

3.单击“详细信息”以查看特定的更新（如图7所示）。