利用SMS实现补丁管理
      补丁的重要性是不言而喻的,主要目的就是为了更好的实现安全性,因为现在***案例越来越多,而且有的***对系统或者某些应用来说是致命的,特别是网络超前发达的今天,病毒或***的实现更为迅速,可能会在很短的时间内就使网络处于瘫痪,所以管理员对于补丁的管理越来越重视,但现在各种各样的补丁实在是太多了,如果全部靠人工管理,实在是无能为力了!那么微软推出一系统的补丁管理方法:如个人用户可以使用Windows Update;Office用户可以使用Office Update;企业用户可以使用SUS、WSUS、SMS等方法。那么我们今天就来看看SMS2003 SP3的补丁管理功能。
我们的实验环境如图所示:
clip_image002
      SMS用到的最主要的补丁管理组件,我们称为ITMU,安全更新库存工具:Security Update Inventory Tool 此工具的作用是:根据一个微软最新的XML补丁清单包去和客户机进行对比,以决定是否安装新的补丁。所以在此一定要有一个最新的清单文件。
步骤1:在SMS服务器上部署ITMU
方法如下:
我们一定要保证所使用的ITMU部署工具是最新版本。所以大家可以随时关注微软网站,我们现在所使用的就是ITMU3.0,下载成功后,首先对此文件进行解压缩,如图所示:
clip_image004
然后我们双击其中的安装文件,如图所示:
clip_image006
双击此文件后,我们就可以看到安装向导:
clip_image008
点击:下一步后,接受许可协议,出现下一步:
clip_image010
点击:下一步开始安装
clip_image012
在此必须指定同步主机,此机器负责获取最新的Windows Update目录。我们在此就直接使用SMS服务器,当然也可以使用其他机器,但同步主机一定要安装高级客户端。如果同步主机不能连接到Internet下载补丁列表,可以手动将补丁列表放置到指定目录下供ITMU使用。我们使用从WEB下载目录。
clip_image014
在此输入SMS对象的名称,测试计算机使用anhui,ITMU会自动为测试计算机创建一个集合,用以测试补丁分发。在分发选项中我们选择将ITMU相应数据包复制到所有的分发点,将ITMU相应数据包播发到包含测试计算机的集合。点击下一步,出现下图:
clip_image016
客户端必须安装Windows Update代理才能更新补丁。将分发选项中的两个选项都选中,ITMU会在ITMU数据包中创建一个程序,用来在客户机上安装Windows Update代理。然后就开始进行ITMU的安装了:
clip_image018
安装过程中需要同步到微软网站更新补丁列表,这一步时间较长,所以必须等待一段时间,有可能会长达1-2小时。
clip_image019
看到此画面就说明ITMU就已经安装完毕了,下面我们来查看一下,ITMU到底做了哪些事情?
我们打开SMS管理工具,看到ITMU创建了一些和补丁管理相关的对象,如图所示:
a 创建一些相关的集合
clip_image021
b 创建分发数据包
clip_image023
我们展开Microsoft Updates 工具,可以看到里面包含有多个程序,如图所示:
clip_image025
我们简单分析几个:
Microsoft Updates工具 : 在客户端扫描安全补丁信息,但不立刻发给服务器直到下一次硬件信息收集
Microsoft Updates工具(加急):在客户端扫描安全补丁信息并立刻发给服务器
Microsoft Updates工具Sync:用来连接Internet下载最新的安全补丁列表Mssecure.cab
c 创建了播发对象
clip_image027
步骤2:将Windows Update 代理分发给客户端
下面我们需要Windows Update 代理分发给需要的用户,Windows Update代理分发到了“Microsoft Update工具”集合,这个集合里的成员就是我们前面所准备的测试计算机。微软的意思是先利用测试计算机来测试补丁的真正作用,如果没有问题,直接播发到“All Systems”集合即可,现默认为Microfot Updates集合,如图所示:
clip_image029
下面我们设置播发时间,在设置时间将此工具分发给指定集合内的计算机,如图所示:
clip_image031
到达指定播发时间后,Windows Update工具就可以分发到测试机anhui上了,我们可以通过下面的方法查看,客户机是否安装了此工具:查看Anhui的硬件清单,在集合中找到anhui,选择启动资源浏览器,如下图所示,硬件清单中多出了一项“扩展的软件更新”,里面包含的就是anhui可用的补丁列表:
clip_image033
clip_image035
步骤3:将补丁分发到客户机
我们经过了步骤1和步骤2后,客户端已经成功安装了Update代理,但还没有真正安装补丁,下面我们准备向客户机开始分发补丁。我们在测试机上先来测试分发。
方法如下:在Microsoft Updates 工具集合上右键-----所有任务-----分发软件更新,如图所示:
clip_image037
出现分发软件更新向导,如图所示:
clip_image039
点击下一步后,出现下图:
clip_image041
更新类型选择“Microsoft Update”,下一步,出现下图所示:
clip_image043
创建一个包含补丁的数据包,下一步,出现下图所示:
clip_image045
给新的数据包输入一个名称后,下一步,如图所示:
clip_image047
输入组织名后下一步,如图所示:
clip_image049
点击下一步后,就出现了可以使用的补丁列表,如图所示:
clip_image051
在此,作为测试,我们就简单选择几个进行更新:
clip_image053
点击下一步后,开始下载指定的补丁,如图所示:
clip_image055
下载成功后,我们来观察补丁的状态,如果为:是,就说明此补丁可以分发,如图所示:
clip_image057
看到此界面就说明已经相关的补丁已经下载成功了,就绪状态为:是,就说明此补丁是可用的,点击下一步继续:
clip_image059
选择分发点,我这里就是我的SMS服务器shanghai,下一步:
clip_image061
在此我们选中:“立即收集客户端库存清单”,这样客户端在安装完指定的补丁后会在最短时间向服务器报告状态,继续下一步:
clip_image063
在此我们不使用无人值守安装,然后下一步:
clip_image065
我们现在是测试,为了尽快的看到效果,我们选中:要求只要播发就立即安装列新。然后下一步继续:
clip_image067
勾选:播发,然后选择此播发所针对的集合,在此我们就使用测试机所在的集合。
clip_image069
看到此界面,就说明此分发已经创建完成,但我们还需要去设置播发时间,如图所示:
clip_image071
下面就是等待时间的到来,然后验证设置是否正确!
步骤4:验证
我们在测试机Anhui上进行验证,到达设定的时间后,我们看到了,在屏幕的右下角出现如图所示的提示:
clip_image073
我们点击出现下图所示,因为我推迟了几分钟才开始点击此提示,所以提示还剩余2分钟
clip_image075
这里我们只需要点击:现在安装,就开始进行补丁的安装了。
clip_image077
    如果看到这个图那么就恭喜您,补丁已经安装成功了!OK,利用SMS2003实现补丁管理咱们就简单介绍到这儿,我个人认为如果就单独进行补丁管理来说SMS的功能不如Windows Server Update Services,建议使用Windows Server Update Services。