终端补丁管理

如同 Configuration Manager 2007 中的其他功能,软件更新管理已得到显著改进。软件更新管理的基于状态的方法还意味着修补程序和更新状态不再与硬件清单扫描相关,因此不再需要当前的 Inventory Tool for Microsoft Updates (ITMU) 和扫描目录。相反,Configuration Manager 将使用运行 Windows Server Update Services (WSUS) 的新软件更新点 (SUP) 服务器角色在后端作为软件更新引擎和数据库。

通过为所有软件更新和安全配置管理信息创建一个新的基于状态的高优先级通道,Configuration Manager 将向托管代理推出更新和定期程序包的方法分离出来。推出其他软件包不会防碍推出软件更新或从托管的工作站、笔记本电脑或服务器接收修补程序状态。

在 Configuration Manager 中,WSUS 使您能够在一个集中位置进行所有更新管理。这使您可以下载 Microsoft Update 上所有可用的内容,包括非关键更新、驱动程序和 Microsoft 平台的其他软件包。此外,Microsoft 还会鼓励其合作伙伴通过此方法发布软件更新。很多公司当前为 SCCM 2007 R2 中的自定义更新清单工具 (ITCU) 发布了清单,并计划对接下来的 Configuration Manager 也采取同样的行动,Adobe 和 Citrix 就是其中的两家。

此新的软件更新引擎还提供接近实时的更新状态以启用更好的报告和增强的主页视图。通过这些自定义的视图,您可以快速了解整个 IT 基础结构或特定计算机集合的修补程序状态。图 6 显示了通过为软件更新管理自定义的某个新主页视图查看特定公告的修补程序符合性数据的过程有多简单。

clip_image002

通过SCCM 2007的补丁管理的特性,大大增强了目前XXXX仅仅利用WSUS来完成补丁管理的功能。

首先,SCCM2007的补丁管理完全利用了原来的WSUS 的基础架构,节省了原来的投资。

其次,SCCM 2007的补丁管理可以帮助企业加强对补丁管理的控制,例如:可以定制客户端安装补丁的策略,何时安装,何时重启,是否可以延迟重启,是否设置强行重启的最后期限等。

并且SCCM 2007的补丁管理和AD的紧密整合后,可以灵活地制定针对不同的对象计算机的补丁管理策略。

最后通过SCCM 2007的补丁管理可以及时查看补丁的最新状况,而且SCCM2007的补丁管理,可以结合其他的功能,例如:安全配置管理, SCCM 2007可以把某一些关键补丁,作为终端安全配置的基准之一。另外SCCM 2007还有客户端内网接入保护功能,可以制定关键补丁作为接入健康条件。

4.6终端资产管理

SCCM 2007的资产管理是基于标准的硬件清单,即通过利用 Windows Management Instrumentation (WMI),SCCM 2007提高了清单扫描过程中客户端的性能并提供了一组更丰富的清单数据,其中包括 BIOS 和机架外壳数据。目前可以支持超过130种WMI的类型,可以获取丰富和准确地信息。而且SCCM 2007可以提供灵活细致的清单。尽管 SCCM 2007 使企业能跟踪其系统上几乎全部的软件资产,但通常企业会有特别重要或感兴趣的一组核心应用程序和文件。通过使用通配符、环境变量和文件属性之类的功能来提供实施智能清单搜索的功能,SCCM 2007 使企业可以专注于他们所需的信息。通过跳过压缩和加密的文件,还可以减少系统资源的消耗。为确保丰富的清单和使用情况跟踪信息易于访问且与业务相关,SCCM 2007 包括一款强大、高度灵活且可完全扩展的 Web 报告引擎,其中预置了 120 多种现成的报告。其中包含了图形类的报表和数据类型的报表。也可以自定义或创建报告,还可以使用导入和导出功能将这些报告传输到其他的 SCCM 2007 环境中。

当然,在没有安装SMS客户端软件的终端设备,也可以通过SMS的网络进行发现,并且可以让系统管理员能够对其进行跟踪和维护。

4.7终端内网接入保护

SCCM 2007可以对内网的终端接入到企业内网进行全面的安全健康状态检查能力,例如:可以制定特定的补丁,特定的需要安装的软件等,作为终端接入企业内网的健康指标,如果不符合企业标准,将会把此客户端接入到隔离网络进行修补管理,然后直到客户端符合企业健康要求,才让客户端接入内网。此解决方案叫做网络接入保护—Network Access Protection (NAP), 在Windows Vista, XP Sp3, Windows Server 2008中以及在操作系统默认安装中包含了健康策略客户端,SCCM 2007就利用了此客户端,在服务器端集中制定规则,通过和网络控制设备(802.1x网络设备,Windows Server 2008 DHCP, ×××, IPsec等)可以实现对客户端的网络接入进行控制。SCCM2007提供了持续的对客户端接入的策略制定,以及对不符合要求的客户端进行修补管理。

clip_image004

微软提供的健康状态检查网络接入保护系统是针对企业终端接入网络而实施的保护系统。根据企业安全策略去限制非安全终端接入内部网,和其他终端安全方案结合将构成完整的终端安全系统。因此将企业网络划分为两个互相隔离的区域:

l 安全区域,可以访问企业内部资源;

l 控制区域,将不能访问企业内部资源,可以访问Internet,可以安装补丁和最新的病毒库;

终端接入安全策略

企业安全策略是根据企业安全需求而设定的,包括终端补丁安装情况,终端防病毒软件安装以及版本更新情况,病毒代码库的更新情况。例如和主流防病毒软件Symantec联动,可以对其防病毒软件版本和病毒库进行监测。个人防火墙的配置情况,屏幕保护的配置情况,特定服务的运行状况,计算机或者用户所属的组,以及接入时间控制等等。这些安全策略由企业信息化建设的安全部门进行制定,系统支持在线更新策略,终端接入检查开始之前刷新安全策略的机制。

终端安全检查和网络控制服务

终端实施接入时进行安全检查,当终端检查结果符合企业安全策略时,允许终端接入到企业网络,可以访问内部资源:文件、应用、内部网站等。否则终端一直处于与企业内部网络隔离的控制区域,接受修补。直到修补完成,具备健康接入的条件后,重新接入。

非安全终端管理策略

可以与其他安全方案配合,在网络控制区内部署补丁分发和病毒库更新服务器,使得进入控制区的非安全终端可以在局域网就可以修补系统达到符合安全策略。另外,在特殊情况下,管理员可以手动配置网络端口临时性进入网络安全区域。

4.8软件分发

SCCM 2007的软件分发功能有了较为增强的功能:

l 灵活性——基于不同对象,例如:在活动目录中定义的组织单位,站点等进行分发可以灵活地根据不同需求给不同的对象群组分发软件。

l 准确性——基于 SCCM GUID的分发,即使计算机改名也能准确发布。

l 自动性——新增的机器,只要满足集合的条件,就能自动安装指定的软件,而无需二次分发。

l 可追踪性——详尽的状态报表可以跟踪应用程序部署的进展

l 节省带宽——SCCM的软件分发具有智能后台传输技术,可以自动调整软件分发传输的带宽,并且可以设定阀值上限。对于分支机构的软件分发传输,可以利用本地的文件服务器作为本地的代表进行本地对等分发,同时在SCCM2007中,还可以让客户端担任本地分发对等下载得角色,大大降低了分支机构的硬件投资。

l 软件包本身的更新是增量式的复制。只有更改部分在网络上传输。并且,SCCM具有智能带宽传输技术,它可以自动根据业务网络的带宽占用情况作出自动的带宽使用调整,在不影响正常业务在网络的运行下,实现对应用程序的部署。

l 可靠性——对慢速及不稳定网络的支持,以及断点续传的功能,保证了应用程序部署可以可靠的完成。

l SCCM 2007还可以设定软件分发的窗口期,可以控制客户端在某个具体时间点才能完成相关的软件分发,补丁分发的维护工作。降低对一些关键客户端,因为日常维护而带来的影响正常工作业务的开展。

4.9终端管理数据报表管理

SCCM 2007中的报表能够有效准确地将SCCM管理的结果直观地体现出来,如资产信息,补丁管理信息,应用程序部署状态,整个SCCM Site的健康状况。在SCCM2007安装完后,就已经可以直接使用内置的120以上的报表模版。已有的报表分为以下几类:

? 硬件信息

? 软件信息

? 软件更新信息(补丁管理)

? 应用程序部署信息

? SCCM Site信息

? 具体客户端的报表

除了以上的基本报表,为了便于领导查询所需的信息,SCCM2007还新增了仪表盘 (Dashboard)。它的好处是:将常用的几个报表汇总一处并给予权限设置。这样,只需一个统一的界面,可以同时查看多个报表而无需同时打开多个页面。

SCCM中的报表的查询是基于SQL的视图的。用户无需了解整个数据库的详细架构就可以方便地进行二次开发。

此外,SCCM2007的报表是基于Web方式的,只要有浏览器和连接,就可以随时随地查看。也易于与其他Web服务整合在一起。

所有收集到的数据和信息都集中保存在站点服务器的数据库里,也包括一定时期的历史纪录。一个优秀的操作小组能够根据需要制作报表来帮助管理层进行现状分析,提出改善建议。