安全更新管理

1、安全更新管理,精誠恆逸資訊 資深講師 職念文,2,議程,談安全更新管理程序 安全更新管理四大主題： 微軟安全更新機制 Microsoft Update（MU） 微軟基準(zhǔn)線安全分析工具 2.0 Microsoft Baseline Security Analyzer 2.0（MBSA） 微軟伺服器更新服務(wù) Windows Server Update Services（WSUS） 微軟系統(tǒng)管理伺服器 SMS 2003 SMS Inventory Tool for Microsoft Updates（ITMU,3,修補管理流程,1. 評定要修補的環(huán)境 週期性工作 A. 建立/維護(hù)系統(tǒng)的比較基準(zhǔn) B.

2、 評定修補管理架構(gòu) C. 檢閱基礎(chǔ)結(jié)構(gòu)/組態(tài) 持續(xù)性的工作 A. 蒐集資產(chǎn)資訊 B. 清查用戶端,1. 評定,2. 識別,4. 部署,3. 評估與 計劃,2. 識別新的補充程式 工作 A. 識別新的補充程式 B. 判斷補充程式的相關(guān)性 C. 確認(rèn)補充程式驗證和完整性,3. 評估與計劃補充程式部署作業(yè) 工作 A. 獲準(zhǔn)部署補充程式 B. 執(zhí)行風(fēng)險評定 C. 計劃補充程式發(fā)行流程 D. 完成補充程式接受度測試,4. 部署補充程式 工作 A. 發(fā)佈與安裝補充程式 B. 進(jìn)度報告 C. 處理例外狀況 D. 檢閱部署作業(yè),4,過去的安全更新管理不同的來源，有限制性的產(chǎn)品支援,Windows 更新 / O

3、ffice 更新 用戶端的焦點著重在使用網(wǎng)頁連結(jié) Software Update Services (SUS) 1.0 立場尷尬，介於 Windows 更新功能以及自動更新功能之間 Microsoft Baseline Security Analyzer (MBSA) 1.2.1 針對 16 種產(chǎn)品偵測安全更新 針對 7 種產(chǎn)品掃描產(chǎn)品設(shè)定弱點 Systems Management Server 2003 需外掛 SUS Feature Pack (且只支援 Windows 更新) 使用 MBSA 1.2.1 執(zhí)行系統(tǒng)安全偵測 企業(yè)更新掃瞄工具 Enterprise Update Scan T

4、ool (EST) 彌補 MBSA 無法偵測的其他重大及重要安全更新 相容於 SMS,5,今日的安全更新管理一致性的結(jié)果，並延伸產(chǎn)品支援,Microsoft Update (MU) 主機型的更新服務(wù) 提供用戶端主機可於網(wǎng)頁要求中選擇自訂更新安裝 Windows Server Update Services (WSUS) 為企業(yè)架構(gòu)而生的產(chǎn)品，可為所有用戶端更新大部分的安全套件 可依照不同的微軟作業(yè)平臺，分類安全更新套用對象執(zhí)行 Microsoft Baseline Security Analyzer (MBSA) 2.0 安全重點掃瞄不需要執(zhí)行伺服器端 Systems Management S

5、erver 2003 使用新版工具 Inventory Tool for Microsoft Update 整合使用 MBSA 2.0 執(zhí)行安全設(shè)定檢查,6,Office 更新,MSSecure.XML,下載中心,單機自動更新機制,Office 偵測工具,HFNetChk,企業(yè)更新掃瞄工具,SMS,MBSA 1.2.1,SUS,自動更新,MOM,過去的安全更新運作,Microsoft 更新,7,Windows Update,單機自動更新機制,SMS,SUS,自動更新,MOM,MBSA 2.0,Windows 更新代理元件,微軟安全更新資料庫,離線資料庫 (wsusscan.cab,今日的安全性

6、整合更新運作,8,Windows Update,安全更新管理,9,Microsoft Update (MU,微軟線上更新服務(wù) (): 針對要求更新的電腦偵測出 Windows 作業(yè)系統(tǒng)，Office，Exchange 以及 SQL 的安全更新 產(chǎn)生需要安全更新的建議清單 安裝使用者所勾選的安全更新元件 提供用戶更新歷史紀(jì)錄清單 可經(jīng)由設(shè)定自動更新方式執(zhí)行自動下載並執(zhí)行安全更新 Product support grows over time 微軟的 Windows Update Catalog 網(wǎng)站，還可提供： 包含所有已被標(biāo)示為Designed for Windowslogo 的裝置驅(qū)動程式更

7、新 搜尋功能 可尋找所需的更新 可手動下載所需要的更新 提供用戶更新歷史紀(jì)錄清單,Windows 2000+, Office XP+, Exchange 2000+, SQL 2000+ Note: also updates 64-bit editions of Windows Server,Identify,New Update,Deploy,10,Windows Update如何運作：自動更新,AU 會驗證 WU 伺服器並取得下載類別目錄中繼 資料,AU 會檢查 WU 服務(wù)是否有新的更新 (每 17 至 22 個小時,AU 會使用中繼資料識別尚未安裝的更新,AU 通知使用者，或使用 BIT

8、S (幕後智慧型傳送服務(wù)) 自動下載並驗證新的更新,AU 會通知使用者，或是自動安裝更新程式,AU 更新歷程記錄和統(tǒng)計 資訊,Windows Update 服務(wù),11,設(shè)定用戶端 Automatic Windows Update,12,13,MBSA 2.0,安全更新管理,14,MBSA 2.0 版,新功能 使用 Windows 更新代理元件（Windows Update Agent, WUA）執(zhí)行更新偵測。 支援更多的產(chǎn)品偵測 與 WSUS 密切整合 支援 64bit 作業(yè)系統(tǒng)平臺 Automatic WUA update 協(xié)助檢驗確認(rèn) Windows 系統(tǒng)弱點 可掃瞄失敗的安全更新以及一般

9、性的安全錯誤組態(tài)設(shè)定 可掃瞄多種不同版本的 Windows 以及其他微軟的應(yīng)用程式 可使用圖形介面或文字介面掃瞄本機或同時掃瞄多臺遠(yuǎn)端系統(tǒng) 可於每一個被掃瞄的系統(tǒng)上產(chǎn)生 XML 格式的檔案報告 可執(zhí)行於 Windows Server 2003, Windows 2000 SP3 以及 Windows XP 作業(yè)平臺,15,MBSA Console,代理元件部署,若 API 無法啟用，則下載代理元件（agent component,執(zhí)行 MBSA 於管理系統(tǒng)端，並指定掃瞄目標(biāo),啟動代理元件，並重新嘗試啟動 API,若無法連結(jié) Microsoft Update 網(wǎng)站，則下載 WSUSSCAN.CA

10、B 檔案,比較 CAB 檔案與 Windows Update Automatic 當(dāng)中的代理元件版本,若版本較舊，則回到步驟3，否則將使用已下載的 WSUSSCAN.CAB 檔案,Microsoft Update,WUSCltV5aX64.exe WUSCltV5aX86.exe WindowsUpdateAgent20-x86.exe,Target Computer,WSUSSCAN.CAB,API 嘗試執(zhí)行掃瞄,16,MBSA Console,MBSA 2.0 掃瞄運作,若有指定 WSUS 伺服器，則目標(biāo)電腦將嘗試使用預(yù)設(shè)指定的 WSUS 伺服器,執(zhí)行 MBSA 於管理系統(tǒng)端，並指定掃瞄對

11、象（目標(biāo)電腦,若 Microsoft Update 網(wǎng)站無法連結(jié)，則將嘗試使用 CAB 檔案,若快取中的 CAB 檔案並非最新版本，則由 MBSA 管理系統(tǒng)端協(xié)助下載最新版本,使用 API 獲得適當(dāng)?shù)腃AB 檔案,Microsoft Update,Offline CAB,倘若從 WSUS 下載清單當(dāng)中的未認(rèn)可（Unapprove）以及 Microsoft Update 均獲得下載結(jié)果，則將合併並使用其結(jié)果,或嘗試連結(jié) Microsoft Update 網(wǎng)站（預(yù)設(shè)值,Microsoft Update 網(wǎng)站,WSUS,Target Computer,17,MBSA 2.0 支援藍(lán)圖,目前所支援的安

12、全更新項目： Windows 2000 SP3 and later IIS 5.0 and later SQL Server 2000 / MSDE and later IE 5.01 SP3 and later Exchange 2000, 2003 and later Windows Media Player 6.4 and later Office XP, 2003 and later MSXML 2.5, 2.6, 3.0, 4.0 MDAC 2.5, 2.6, 2.7, 2.8 Microsoft Virtual Machine (JVM,支援新的作業(yè)平臺： Remote only,

13、 updates only XP Embedded IA64 Updates only X64,目前尚無立即支援： SQL and Exchange service packs Office 2000 updates Commerce Server Content Mgt Server BizTalk Host Integration Server,新版額外加入的安全更新項目： DirectX .NET Framework Windows Messenger FrontPage Server Extensions Windows Media Player 10 Windows Script 5

14、.1, 5.5, 5.6 Windows Server 2003, 64-Bit Edition Windows XP 64-Bit Edition Windows XP Embedded Edition,18,MBSA 文字介面參數(shù)比較,MBSA 1.2.x /hf /h or /hf /i /c or /i /hf /x /hf /sus /hf /fip /hf /fh /v,MBSA 2.0 /target /target /catalog /xmlout or /n * /wa /listfile /listfile /ld,= OS+IIS+SQL+Password,19,其它重點

15、,Metadata 不再使用 mssecure.xml 檔案 可使用 MBSA 文字介面或直接呼叫 WSUS API 使用 輸入/輸出 使用新的文字介面參數(shù) 修改輸出架構(gòu) 使用 .mbsa 為副檔名 /xmlout 取代舊有的 /hf 模式 掃瞄工作無須完整安裝 只需要下列元件即可執(zhí)行離線掃瞄： mbsacli.exe, wsusscan.dll and wusscan.cab Mbsacli /xmlout /catalog c:wsusscan.cab /unicode result. xml 效能 支援同時掃瞄多臺目標(biāo)用戶端電腦,20,安裝與使用MBSA 2.0,21,22,WUS,安全

16、更新管理,23,什麼是 Windows Update Services,提供企業(yè)更新管理 從 Microsoft Update（MU）service下載 是一個Windows Server的元件 免費下載 並不改變現(xiàn)行所提供的更新方式 SUS 1.0 可以繼續(xù)從 WU下載 微軟更新的重大元件及更新管理的解決方案和準(zhǔn)則,24,面對更新管理各種狀況,主要著重於增強微軟產(chǎn)品的安全和將更新管理的痛苦降至最低 WUS可以： 無須付出額外成本，就可提供以其為核心更新管理基礎(chǔ)架構(gòu) 提供單一更新微軟軟體的基礎(chǔ)架構(gòu) 以自動化方式更新部署運作，減少IT人員數(shù)量需求 啟用即時、有效率的更新管理、建置簡單及低管理能力

17、需求,See this Security White Paper for more information,25,WUS 目標(biāo),帶來簡單使用、微軟產(chǎn)品更新的全功能解決方案 儘量自動更新管理運作 不只支援Windows 更新 依然擁有 SUS 1.0的功能 已經(jīng)針對管理者的體驗進(jìn)行最佳化，非常適合一般IT人員操作。 針對Windows平臺建立基本補充更新基礎(chǔ)架構(gòu) 可利用其他工具加強架構(gòu)，例如：SMS及其他周邊廠商的產(chǎn)品,26,管理者定義更新的類別,WUS伺服器從Microsoft Update下載更新套件,用戶端向伺服器註冊,管理者將用戶端分成不同的target groups,管理者審核更新套件

18、,Microsoft Update,WUS 伺服器,桌上型用戶端Target Group 1,伺服器Target Group 2,WUS 管理者,解決方案概觀,代理程式安裝管理者審核過的更新套件,27,支援的產(chǎn)品與內(nèi)容,可更新 所有微軟產(chǎn)品 RTM階段 Windows 2000 SP3及之後推出的視窗系統(tǒng) Office XP SP2及Office 2003 SQL 2000及MSDE 2000 Exchange 2003 支援的平臺及需求 Windows 2000 SP3（伺服器版需SP4）或更新的版本 Windows XP或更新的版本 Windows Server或更新的版本 以上系統(tǒng)的各個

19、地區(qū)語系版本 （包含多語系套件,28,WUS 更新管理特性（一,目標(biāo)群組（Target Groups） 支援AD環(huán)境，採用Registry為基礎(chǔ)的原則管理 針對非AD環(huán)境的伺服器端清單 由管理者控制部署方式 啟始電腦掃瞄，檢查可否套用更新套件 審核後，決定安裝或移除 （系統(tǒng)需要更新才有此功能） 以日期為基準(zhǔn)的更新程式審核方式 部署不同更新套件至不同的目標(biāo)群組,29,WUS 更新管理特性（二,代理程式設(shè)定 輪詢的頻率 通知和安裝動作 重新開機的動作 可設(shè)定埠號 非管理者可以安裝更新套件 （如同管理者） 在關(guān)機時安裝（僅XP SP2支援,30,WUS 網(wǎng)路使用最佳化,迅速及透通 使用BITS*於”

20、用戶端對伺服器”和”伺服器對伺服器”下載 背景下載 資料下載最小化 更新預(yù)定（依產(chǎn)品或類別） 使用“binary delta compression”技術(shù)於client-server溝通 僅下載審核過的更新套件選項,Background Intelligent Transfer Service,31,WUS的部署與管理彈性,伺服器部署的選擇 Microsoft Update伺服器儲存檔案 WUS伺服器運作成一個控制點 階層架構(gòu)部署 獨立伺服器 （管理者希望不要繼承） “複寫”的伺服器 （管理者希望繼承） 管理能力和延伸能力 以.NET為基礎(chǔ)的伺服器APIs （管理工作） 以COM基礎(chǔ)的用戶端A

21、PIs （script和遠(yuǎn)端支援） 自動更新套件部署 指令行選項觸發(fā)更新偵測,32,觀念性的架構(gòu)模式,伺服器,服務(wù),防火牆,用戶端,33,WSUS 的主要元件,元件一：服務(wù) 元件二：伺服器 元件三：伺服器相依元件 元件四：代理程式 元件五：代理程式相關(guān)元件 元件六：通訊協(xié)定 伺服器對伺服器 用戶端對伺服器,34,元件一：服務(wù),Windows Update （WU） service 微軟負(fù)責(zé)此服務(wù)，僅包含視窗更新套件 Windows UpdateServices的自訂版本 Microsoft Update （MU） service 微軟負(fù)責(zé)此服務(wù)，包含所有微軟的更新套件 （WU的超級集合） Wi

22、ndows UpdateServices的自訂版本 Windows Update Services伺服器由此服務(wù)獲得更新套件,35,元件二：伺服器,企業(yè)提供伺服器由管理者控制更新項目 調(diào)整階層架構(gòu)設(shè)定以符合各種網(wǎng)路拓樸 SQL為基礎(chǔ)的資料庫可以儲存所有資料，但不含內(nèi)容 建構(gòu)於 .NET Framework之上 內(nèi)建安全特性 使用微軟憑證驗證所有下載的內(nèi)容 所下載的儲存位置使用NTFS的權(quán)限控制,36,元件三：伺服器相依元件,WinHTTP, MSXML 網(wǎng)路連結(jié)與網(wǎng)站服務(wù)建置 .NET Framework 1.1 網(wǎng)站應(yīng)用程式建置、APIs及網(wǎng)站服務(wù) MSDE或SQL及MDAC 2.8 針對更

23、新通用資訊, 管理者期望與事件的儲存解決方案 BITS 2.0 可由Microsoft Windows Update伺服器及其他伺服器進(jìn)行背景、可重新開始的下載更新作業(yè),37,元件四：代理程式,Win32服務(wù)（代理程式）執(zhí)行大部分的功能 Update Handlers 伺服器提供由原有用戶端自動自我更新至新版本 自動更新特性可由原則控制 內(nèi)建安全特性 與MU/WU溝通時，通用資訊可透過HTTPS/SSL傳送 使用微軟憑證驗證所有下載的內(nèi)容 所下載的儲存位置使用NTFS的權(quán)限控制,38,元件五：代理程式相依元件,WinHTTP, MSXML 網(wǎng)路連結(jié)與網(wǎng)站服務(wù)建置 Windows 資料庫技術(shù) 更

24、新通用資訊快取的資料儲存（提升經(jīng)由有線網(wǎng)路的資料使用） BITS 2.0 支援 “delta compression” 進(jìn)行背景、可重新開始的下載更新作業(yè) MSI 3.0 決定可用性、安裝及移除MSI為基礎(chǔ)的更新程式（例如：Office的更新程式,39,設(shè)定回應(yīng),元件六：通訊協(xié)定伺服器/伺服器,下層伺服器,設(shè)定請求,搜尋過濾,更新IDs,請求地區(qū)化資訊,地區(qū)化資訊,透過 HTTP（s）通訊,上層伺服器或MU,40,元件六：通訊協(xié)定用戶端/伺服器,設(shè)定回應(yīng),電腦註冊,同步請求,驅(qū)動程式同步請求,請求地區(qū)化資訊,回應(yīng),驅(qū)動程式資料,地區(qū)化資訊,Repeated,設(shè)定請求,用戶端,伺服器,41,建置

25、 WUS 前置準(zhǔn)備（一） 安裝 IIS,42,43,建置 WUS 前置準(zhǔn)備（二） 升級.NET Framework 1.1 SP1,44,45,建置 WUS 前置準(zhǔn)備（三） 升級BITS 2.0,46,47,建置 WUS 安裝WUS,48,49,進(jìn)入WUS管理畫面http:/伺服器/WUSadmin設(shè)定WUS同步選項,50,51,WUS手動立即同步,52,53,WUS同步後可更新更多的軟體,54,55,WUS自動審核更新套件,56,57,WUS 建置架構(gòu),伺服器選項 單一伺服器 多臺伺服器 中斷連線的伺服器 用戶端選項 偵測頻率 用戶端與伺服器端目標(biāo)模式（targeting mode,58,M

26、icrosoft Update,WUS Server,Desktop ClientsTarget Group 1,Server ClientsTarget Group 2,WUS Administrator,單一 WUS 伺服器,59,單一 WUS 伺服器 小企業(yè)或簡單網(wǎng)路,設(shè)定一臺伺服器與MU溝通 同步所有相關(guān)更新套件（例如：Windows XP 重大與安全更新） 設(shè)定代理程式指向WUS伺服器 其他： 針對不同群組的電腦建立 target groups 設(shè)定代理程式成為 targetgroup的成員,60,WUS建立目標(biāo)群組（Target Group,61,62,WUS指定用戶端加入目標(biāo)群組

27、,63,64,多臺 WUS 伺服器,Microsoft Update,WUS Server,WUS Server（replica,65,多臺 WUS 伺服器大企業(yè)或複雜網(wǎng)路,設(shè)定單一臺或多臺伺服器與MU溝通 同步所有相關(guān)更新套件（例如：Windows 2000、XP、2003 重大與安全更新） 建立伺服器的階層架構(gòu) 在企業(yè)內(nèi)部網(wǎng)路有獨立的WUS伺服器 “複寫” 的WUS伺服器 所有下層的伺服器觸發(fā)事件至上層伺服器 設(shè)定代理程式指向指定的 WUS伺服器 其他： 針對不同群組的電腦建立target groups 設(shè)定代理程式成為targetgroup的成員,66,建立複寫的WUS(與另一臺WUS同

28、步,67,68,群組原則中的管理範(fàn)本,電腦設(shè)定 -系統(tǒng)管理範(fàn)本 -Windows元件 -Windows Update 使用新的Wuau.adm範(fàn)本檔（強烈建議） 範(fàn)本檔存在於已安裝WUS的伺服器上及Windows XP SP2上,69,更新GPO 的 Windows Update範(fàn)本,70,71,新版 WUS 群組原則（一,設(shè)定自動更新 設(shè)定下載、更新方式與排程。 指定內(nèi)部網(wǎng)路Microsoft更新服務(wù)的位置 啟用用戶端目標(biāo)鎖定 重新排程自動安裝更新排定的安裝,72,新版 WUS 群組原則（二,不自動重新啟動排定的自動更新安裝 自動更新偵測頻率 指定的時數(shù)減去指定的0%到20%的時數(shù) 允許立即

29、安裝自動更新 延遲排程安裝的重新啟動 預(yù)設(shè)的等候時間是5分鐘 再次提示排程安裝所需的重新啟動 預(yù)設(shè)頻率為10分鐘,73,設(shè)定群組原則,74,75,確認(rèn)用戶端套用群組原則,76,77,SUS 1.0升級成WUSwusutil migratesus /content /approvals /log,78,79,WUS 建置考量,硬體需求 用戶端數(shù)量及用戶端查詢伺服器的頻率 資料庫與儲存 本機或遠(yuǎn)端的SQL Server或MSDE 頻寬 單一地點 多個地點、分公司 低頻寬：下載的原則,80,WUS 伺服器硬體需求,硬體需求500人以下,硬體需求500人以上,81,WUS 軟體需求（一,82,WUS

30、軟體需求（二,83,WUS 可提升網(wǎng)路效能,WUS階層架構(gòu) NLB叢集 有共同的叢集IP 一個叢集的FQDN DNS的輪詢機制（Round-Robin） 一個FQDN對應(yīng)至多個IP位址 循環(huán)解析 不提供容錯,84,SMS 2003,安全更新管理,85,提供企業(yè)級的絕佳網(wǎng)路伺服器以及用戶端管理解決方案： 軟體派送 作業(yè)系統(tǒng)部署 行動裝置管理 用戶端硬體資產(chǎn)蒐集管理分類 用戶端軟體資產(chǎn)蒐集管理分類 應(yīng)用程式使用狀況追蹤 遠(yuǎn)端協(xié)助及監(jiān)控功能 完整的用戶端回報功能 用戶端系統(tǒng)安全更新管理及部署,SMS 2003,86,SMS 2003: What it Does,應(yīng)用軟體更新（software upd

31、ate management）管理功能來達(dá)到指定並部署用戶端上作業(yè)系統(tǒng)以及 Office 的更新功能。 應(yīng)用軟體派送（software distribution）功能，能部署及安裝任何作業(yè)系統(tǒng)所需的系統(tǒng)安全更新，以及任何應(yīng)用程式的安全更新。 安全更新的對象標(biāo)的，可以以資產(chǎn)管理資料庫作為參考準(zhǔn)則。 安全更新安裝成功於否，可於管理系統(tǒng)端產(chǎn)生詳細(xì)報表。 可擁有彈性化的安全更新時程。 集中式，完全掌握及控制安裝流程。 可做頻寬最佳化考量,準(zhǔn)確,更新,部署,範(fàn)圍,評估規(guī)劃,87,SMS 2003 更新管理功能性（1,系統(tǒng)掃瞄 & 更新內(nèi)容下載 從微軟下載中心下載更新內(nèi)容 支援更新遠(yuǎn)端及行動裝置 可更新

32、Windows，Office，SQL， Exchange 以及 Windows Media Player 等許多相關(guān)產(chǎn)品，而不需要使用特殊更新套件或撰寫 script 管理控制 可於 AD 環(huán)境，無 AD 環(huán)境的工作群組以及應(yīng)用 WMI 屬性，甚至可經(jīng)由 Script 協(xié)助控制。 安裝部署更新管理時，管理者可指定使用 SMS 作為集中下載更新內(nèi)容參考。 可指定起始以及結(jié)束時間。 可輕易的從測試環(huán)境轉(zhuǎn)移至線上工作環(huán)境。 可使用臨時的參考測試環(huán)境設(shè)定來確認(rèn)安全更新運作程序,88,SMS 2003 更新管理功能性（2,更新下載 & 安裝 site-site, server-server 之間使用 D

33、elta replication 機制。 使用 BITS* 傳輸技術(shù)於行動用戶端 / 遠(yuǎn)端用戶端與伺服器之間。 擁有安裝前，重新開機，強制安裝警示功能，以及重新排程能力。 擁有最佳的強制重新開機或重新登出功能。 每次更新後的重新開機偵測可減少重新開機次數(shù)。 狀態(tài) & 完成報表 安全更新安裝狀態(tài)回報 經(jīng)由資料庫 SQL 產(chǎn)生標(biāo)準(zhǔn)以及客製化報表,Requires SMS Advanced Client,89,SMS 2003 安全更新運作,防火牆,SMS Site Server,SMS 發(fā)佈點,SMS 用戶端,SMS 用戶端,MicrosoftDownload Center,SMS 發(fā)佈點,將掃瞄

34、元件複製到 SMS 用戶端,安裝：下載軟體更新掃瞄工具（包含作業(yè)系統(tǒng)以及 Office）並執(zhí)行安裝軟體更新工具,用戶端開始執(zhí)行掃瞄，並將掃瞄結(jié)果回送至 SMS Site Server，以硬體資產(chǎn)資料形式回報於 SMS Site Server,管理者使用 Distribute Software Updates Wizard 執(zhí)行授權(quán)更新,用戶端啟動軟體更新安裝代理元件以執(zhí)行更新程序,下載更新檔案的封裝或應(yīng)用程式，並建立發(fā)佈軟體更新通知的packages, programs 以及 advertisements,SMS 用戶端,90,SMS 2003Inventory Tool for Microsoft Updates,SMS Inventory Tool for Microsoft Updates (ITMU) 架構(gòu)於 Windows Update Agent (WU Agent) 並此提供掃瞄以及安裝更新。 獨立的掃瞄工具 可不需連結(jié) WSUS 伺服器或網(wǎng)際網(wǎng)路。 WU Agent 代理工具已內(nèi)建於所有已經(jīng)安裝 SP1 的 Windows Server 2003 當(dāng)中。 Server 2003 SP1 以外的作業(yè)系統(tǒng)，可使用 SMS 軟體派送功能，執(zhí)行派送並安裝。 提供一致持續(xù)性的 Mic