Управление распространением обновлений Microsoft Corporation Владислав Кирилин VKirilin@microsoft.com. - презентация

1 Управление распространением обновлений Microsoft Corporation Владислав Кирилин

2 MBSA 2.0 Простейший путь проверить Вашу систему на наличие уязвимостей Использует различные каталоги offline / WSUS / MU Возможно запускать несколько копий сосуществует с MBSA Новые опции командной строки файл со списком компьютеров Автоматически устанавливает WU агента

3 Windows Server Update Services

4

5 Server Windows 2000.SP4 Server Windows Server 2003 Standard / Enterprise Client Windows 2000.SP3+ – Server, Professional Windows XP+ – Home, Professional, Embedded Windows Server – 32-bit, x64 (SP1), ia64 (SP1) Content Windows 2000+, Office XP / 2003 SQL / MSDE 2000, Exchange 2003 В последствии будет добавлена поддержка всех остальных продуктов International Все языки, которые поддерживает Windows WSUS – клиенты и данные

6 Группировка клиентов Group Policy WSUS Server/Registry Для каждой группы своя политика detect / install / uninstall Deadline Управление сервером и клиентом через.NET API COM API сценарии командную строку Оптимизация использования каналов BITS 2.0 Работа без прямого соединения с Internet Установка обновлений без участия администратора WSUS – возможности

7 Desktop Clients Microsoft Update WUS Server WSUS – disconnected servers

8 Частота опроса WUS Serverа Оповещения о необходимости установки Разумное поведение при необходимости перезагрузки Install at Shutdown (XP.SP2, 2003.SP1) Возможность установки обновлений без прав администратора WUS – возможности клиента

9 WUS – оптимизация трафика Загрузка обновлений - BITS Используется для всех типов соединений client-server server-server Загрузка в фоновом режиме Минимальный приоритет по загрузке канала Докачка Минимизация загружаемых данных Загрузка только выбранных типов Загрузка "по требованию" Загрузка только описания и детектора

10 WSUS – отчётность Встроенная отчётность с возможностью печати По компьютерам По группам По обновлениям Что нового ? / Что изменилось ? Интеграция с системным журналом

11 featureSUSWSUS установка на контроллер домена поддержка service packов поддержка других типов contentа поддержка других продуктов Microsoft поддержка собственного и ПО третьих фирм возможность выбора загружаемых данных оптимизация трафика и поддержка плохих каналов работа при отсутствии связи между офисами автоматическое утверждение (approval) категоризация клиентов поддержка NT 4.0 работа без прямого соединения с Internet отчётность WSUS – итог

12 Systems Management Server 2003

13 SMS: управление обновлнеиями Обновление продуктов Microsoft SMS 2003 Inventory Tool for Microsoft Updates Обновление других продуктов Создание собственных детекторов Пример – SMS 2003 Inventory Tool for Dell Updates Как часть процесса распространения ПО через SMS

14 Firewall SMS Site Server SMS Distribution Point SMS Clients Microsoft Download Center SMS Distribution Point 2.Распространение. 2.Распространение. Репликация ITMU на клиентов 1.Инициализация. 1.Инициализация. Загрузка и установка Inventory Tool for Microsoft Updates. 3.Сканирование клиентов. 3.Сканирование клиентов. Клиенты сканируются и результаты помещаются в Hardware Inventory 4.Авторизация обновлений. 4.Авторизация обновлений. Administrator использует Distribute Software Updates Wizard для авторизации обновлений 6.Установка обновлений. 6.Установка обновлений. Software Update Installation Agent устанавливает обновления на клиенте 7.Мониторинг. 7.Мониторинг. Sync component периодически проверяет наличие новых обновлений, сканирует клиентов и распространяет новые обновления SMS Clients SMS – схема работы 5.Подготовка к установке обновлений. 5.Подготовка к установке обновлений. Обновления загружены; packages, programs & advertisements созданы/обновлены; packages реплицированы; programs advertised to SMS clients

15 Управление обновлениями через SMS Проактивность процесса Устранение уязвимостей до того, как они начнут влиять на производительность труда пользователей Автоматическое создание пакетов Не требуется создания дополнительных сценариев и тестирования Самое быстрое время реакции Централизованное управление Управление из единого центра Использование существующих ресурсов Инфраструктуры серверов SMS Команды SMS Administratorов

16 Управление обновлениями в Microsoft IT

17 Dublin Singapore RedmondTukwila Charlotte 3M+ messages per day internally 99.99% availability 89,000 end users 83 countries 104,000+ server accounts Single Instance SAP (1.9Tb Db) Silicon Valley Microsoft IT Data 9.5M+ remote connections/month 300,000+ PCs and devices (incl. 10,000 Servers) 403 buildings

18 Method Windows Update; и напоминание на портале 70% SMS Software Distribution - Patch Management Internal Scanning and Scripts Port Shutdowns Grace Period – 2 недели SMS / Windows Update 3-я неделя SMS, принудительно выход исправления Установлено на 98% компьютеров максимальная степень воздействия минимальная степень воздействия Подход к обновлению рабочих станций пользоватлей

19 1 central site server 5 primary site servers Includes a 1 X 3 Node NLB Cluster 139 secondary site servers 180,000 компьютеров 4 леса Active Directory все компьютеры входят в домены AD 1 central site server 14 Primary site servers 10,000 компьютеров 5 лесов Active Directory управление не только членами доменов AD Client SMS hierarchy Server SMS hierarchy Инфраструктура SMS в Microsoft IT

20 Клиенты SMS Лёгкая модель управления Большинство пользователей являются администраторами на своих машинах Полтора компьютера на человека, без учёта машин для разработки В сети используется IPSec Членство в домене обязательно Около 40,000 пользователей RAS в месяц Установка ПО и обновлений через SMS Только Advance Client Использование Port Shutdown

21 1. Оценка окружения периодически A. Создание/модификация стандартов B. Обновление списка исправлений C.Контроль инфраструктуры/ конфигурации регулярно A. Поиск новых клиентов B. Инвентаризация 1. Оценка 2. Идентификация 4. Развёртывание 3. Тестирование и планирование 2. Идентификация новых исправлений по необходимости A. Определение новых исправлений B. Определение критичности исправлений C.Проверка аутеничности и целостности (установка в тестовой лабории) 3. Планирование развёртывания по необходимости A.Завершение тестирования B. Получение разрешения на установку C.Оценка рисков D.Планирование процесса развёртывания 4. Развёртывание по необходимости A. Распространение и установка B. Отчётность C. Отработка исключений D. Аналаиз результатов Процесс обновления

22 Важные обновления добровольная установка – сутки обязательная установка – ещё сутки Критические исправления добровольная установка – 2 недели обязательная установка – ещё неделя Установка исправлений безопасности

23 оценкаидентификацияпланирование установка Pre-deadline Patching Deadline Patching Security Group Client Lifecycle Management Server Lifecycle Management System Owners (Server / Desktop) System Owners (Server / Desktop) Критические обновления (2 недели) по мере появления полдня 6,5 дней 7 день +неделя Важные обновления (24 часа) по мере появления 1 час 2 час 21 час +сутки идентификацияоценка планирование установка Процесс установки обновлений

24 критические обновления (три недели) Подход к обновлению серверов критические обновления

25 важные обновления (двое суток) Подход к обновлению серверов важные обновления

26 Мониторинг состояния серверов SMS 2003 Client Health Monitoring Tool

27 Безопасность – приоритет 1 Административная поддержка Процесс не менее важен чем технология Управление окружением Корреляция установка обновлений с SMS Client Health Ясные и понятные сообщения ответственным за компьютеры Факторы эффективности asts.mspx

28 Microsoft Update Catalog Windows Office XP+ Exchange SQL 2000 SP4+ Consumer Large Enterprise Medium Business Small Business Windows Update Agent WSUS SMS Automatic Updates & MU Website MBSA 2.0 Detection and Update Content Detection and Installation Infrastructure

29 Вопросы? Владислав Кирилин