Использование SMS 2003 для развертывания и применения исправлений
Рассылка и установка программных обновлений (или исправлений) на настольных компьютерах и серверах доставляет массу хлопот администраторам. Крупным предприятиям с повышенными требованиями к процессу управления исправлениями специалисты Microsoft рекомендуют использовать Microsoft Systems Management Server (SMS) 2003. Служба Microsoft Software Update Services (SUS) и ей подобные — идеальное решение для малых и некоторых средних компаний, но SUS не обеспечивает эффективной поддержки процессов, характерных для больших организаций. Крупным предприятиям необходимо провести инвентаризацию информационной среды, определить, нужно ли применять конкретное исправление, а затем выбрать для нее целевые системы с учетом конкретных требований организации. Подготовка расписания развертывания исправлений, управление поведением при установке (т. е. скрытая установка и перезагрузка машин), сообщения о ходе развертывания исправлений — вот основные требования крупных организаций. Возможности SMS 2003 вполне им соответствуют.
Для развертывания программных обновлений в SMS 2.0 используется функциональный пакет, но SMS 2003 спроектирован специально для развертывания исправлений Windows и Microsoft Office с Web-узлов Windows Update (http://windowsupdate.microsoft.com) и Microsoft Office Update (http://officeupdate.microsoft.com). Помимо извлечения и развертывания исправлений с этих сайтов, SMS 2003 собирает статистику о соответствии базовым требованиям, как — будет объяснено ниже.
Установка Software Update Scanning Tools
Прежде чем администратор сможет проверить SMS-клиентов на соответствие базовому уровню конфигурации и составить пакет программных исправлений для развертывания, необходимо дополнить SMS 2003 инструментарием Software Update Scanning Tools. Инструменты можно найти по адресу http://www.microsoft.com/smserver/ downloads/2003/default.asp. Другой способ получить их — запустить консоль SMS Administrator Console из программной группы Systems Management Server, развернуть Site Database, щелкнуть правой кнопкой мыши на Software Updates и выбрать пункты All Tasks, Download Inventory Scanning Programs из контекстного меню. На странице загрузки следует выбрать язык из раскрывающегося списка и щелкнуть на кнопке Go. В ответ на экране появится приглашение открыть или сохранить исполняемый файл пакета. Пакет содержит два инструмента сканирования: Security Update Inventory Tool и Office Inventory Tool for Updates. Чтобы установить и интегрировать инструменты с SMS 2003, необходимо запустить оба установочных пакета.
Security Update Inventory Tool похож на Microsoft Baseline Security Analyzer (MBSA) 1.2, но, в дополнение к поиску отсутствующих исправлений для системы безопасности, функции подготовки отчетов и идентификации потенциальных уязвимых мест, Security Update Inventory Tool развертывает программные обновления и настраивает конфигурацию компьютеров. Security Update Inventory Tool совместим с несколькими платформами и серверными продуктами, в том числе с Windows Server 2003, Windows XP, Windows 2000, Microsoft Exchange Server 2003 и Microsoft BizTalk Server 2000. На Web-узле SMS Software Update Services Feature Pack — http://www.microsoft.com/smserver/downloads/ 20/feature packs/suspack — содержится полный список продуктов, совместимых с Security Update Inventory Tool.
Инструмент Office Inventory Tool for Updates определяет уровень модернизации Windows 2003, Windows 2000 и Microsoft Office 2003 с помощью базы данных Office Update Database. Полученные данные сохраняются в инвентаризационной описи SMS. При запуске загруженного файла пакета на экране появляется запрос о папке, в которую будут помещены установочные пакеты двух инструментов сканирования и сопутствующая документация.
Для поиска и передачи исправлений в Software Update Scanning Tools используется функция развертывания программного обеспечения SMS, поэтому важно понимать принципы ее работы. Пакеты — основа механизма развертывания программ; каждый пакет содержит три основных компонента: исходные файлы (в нашем случае пакеты), программы и ассоциированную точку дистрибуции. Точка дистрибуции — сервер, на котором размещаются исходные файлы. После настройки пакета необходимо определить целевые объекты, которые в SMS именуются коллекцией. Коллекция содержит объекты user, group и computer. Для выполнения программы на членах коллекции необходимо создать объявление (advertisement), задающее пакет и программу, которые следует распространить, а также коллекции, получающие дистрибутив.
В качестве установочной программы Security Update Inventory Tool используется мастер. После щелчка на кнопке Next на экране приглашения следует принять условия лицензионного соглашения и снова щелкнуть Next. Мастер попросит указать местоположение папки. Можно принять стандартное ((%ProgramFiles%SecurityUpdate) или ввести новое местоположение и щелкнуть Next. Мастер предлагает загрузить файл MSSecure.xml в сжатом формате CAB. Инструмент инвентаризации использует этот файл для проверки отсутствующих программных обновлений на клиентских машинах SMS.
По щелчку на кнопке Next после загрузки файла мастер предлагает вновь щелкнуть Next, чтобы установить инструменты, а затем проводит пользователя по процедурам ввода параметров и создания пакета для проверки клиентов SMS. В тестовой среде можно смело принять стандартные параметры и ввести имя пакета (экран 1) или изменить параметры для конкретной среды.
Экран 1. Создание пакета |
Затем мастер просит ввести имя NetBIOS клиента SMS и создает на этом клиенте плановое задание для загрузки самой новой версии файла MSSecure. По умолчанию мастер отображает имя сервера SMS, но если администратор не хочет назначать планового задания, то имя можно изменить или удалить. Выбранная система должна располагать соединением с Internet, чтобы загрузить файл, а для успешного выполнения задания на компьютере должен зарегистрироваться пользователь с достаточными полномочиями. Как правило, требуются административные полномочия, но можно соответствующим образом настроить и учетные записи пользователя. Или же можно вручную загрузить файл и скопировать его в папку, в которой инсталлирован Security Update Inventory Tool. Файл следует поместить в подходящую языковую подпапку — например, подпапку 1033 для американского английского. Если на более раннем этапе был создан пакет для сканирования клиентов, то мастер просит ввести имя клиента SMS, на который можно переслать и инструменты инвентаризации и протестировать их. Для продолжения установки необходимо ввести имя компьютера, которое внесено в базу данных SMS. После двух щелчков на кнопке Next начинается установка и настройка конфигурации пакета, который будет распространять инструмент инвентаризации по клиентам. Это последний этап работы мастера.
Открыв SMS Administrator Console и заглянув в узлы Packages, Advertisements и Collections, можно убедиться, что указанный пакет и необходимые для его развертывания объявление и коллекции были созданы. Инструмент формирует две коллекции: предварительную коллекцию, содержащую имя тестовой системы, которое было назначено в ходе установки, и коллекцию, в которую можно добавить другие клиенты SMS и использовать для доставки средств инвентаризации.
Процедура установки Office Inventory Tool for Updates похожа на установку Security Update Inventory Tool. Единственное различие заключается в том, что инструмент инвентаризации Office помещается в %ProgramFiles%OfficePatch и администратор загружает файл invcm.exe, используемый клиентами SMS, чтобы убедиться в том, что подходящие исправления Office 2003 были установлены.
Затем следует убедиться в работоспособности инструментов инвентаризации, создав два новых объявления, по одному для каждого инструмента. Чтобы подготовить объявления, нужно открыть консоль SMS Administrator Console, щелкнуть правой кнопкой мыши на Advertisements, затем последовательно щелкнуть на пунктах New и Advertisement. Необходимо ввести имя объявления, выбрать пакет, программу и коллекцию; щелкнуть на кнопке OK. Объявления должны запускать программы, помеченные как срочные (expedited) в пакетах инструментов, и объявлять программы только для предварительных коллекций инструмента. Срочные программы составляют инвентаризационную опись на клиентах немедленно после завершения процедуры сканирования, а затем отправляют опись назад на сервер SMS. Объявление срочных программ для больших коллекций может серьезно повлиять на пропускную способность сети, в зависимости от размеров инвентаризационной описи, числа клиентов, предоставивших свои описи, и пропускной способности канала связи между SMS-клиентами и SMS-сервером. Чтобы убедиться, что тестовые системы получили объявления, можно запустить программу Resource Explorer из консоли SMS Administrator Console для каждой тестовой системы, развернуть узел Hardware и проверить содержимое узла Software Updates (см. экран 2). Работая на клиенте SMS, инвентаризационные инструменты заполняют класс Win32_Patchstate среды Windows Management Instrumentation (WMI), поэтому Software Updates отображается в узле Hardware.
Экран 2. Проверка уведомлений об исправлениях |
Сбор данных о соответствии
После того как инструменты инвентаризации корректно установлены и могут быть развернуты на тестовых системах в предварительных коллекциях, можно настроить рабочие объявления для сбора данных о соответствии. По умолчанию объявления запускаются каждые семь дней (см. экран 3). Для некоторых организаций такое расписание приемлемо, но многие компании сокращают интервал между объявлениями. Для получения точных результатов необходимо располагать новейшими версиями файлов MSSecure и Invcm при каждом запуске объявления. Если клиентские системы SMS настроены на автоматическое получение этих файлов, следует помнить, что пользователи с соответствующими полномочиями должны зарегистрироваться на этих компьютерах, а компьютеры должны иметь доступ в Internet. Рекомендуется получить и установить файлы вручную, как было описано выше.
Экран 3. Настройка запуска объявлений |
Необходимо также заполнить соответствующие рабочие коллекции. Коллекция указывает все системные ресурсы в конкретном сайте Active Directory (AD), в котором установлен клиент SMS. После того как объявление будет настроено в соответствии с нуждами предприятия, клиенты получат объявление, инструменты инвентаризации выполнят работу, а результаты будут переданы в SMS-сервер, можно увидеть свежие данные о соответствии для всей организации, щелкнув на узле Software Updates в консоли SMS Administrator Console. На экране 4 показан отчет для тестовой среды, которая содержит три частично модернизированных клиента SMS (система с Windows 2003 и два компьютера XP). В столбце Requested показано число систем, нуждающихся в модернизации; в столбце Compliant отражено число обновленных компьютеров. Подробную информацию о соответствии можно получить из базы данных сайта SMS. Для поиска в базе данных следует использовать Web-отчеты Software Updates, к которым можно обратиться из консоли SMS Administrator Console, развернув узел Reporting, щелкнув на Reports и рассортировав данные по столбцу Category. В 13 доступных отчетах приводится информация о соответствии по компьютерам, программным исправлениям и продуктам.
Экран 4. Соответствие обновлениям |
Упаковывание и развертывание обновлений
Использовать инструменты инвентаризации SMS 2003 для определения соответствия системы базовой конфигурации безопасности можно, но это не очень эффективно. Чтобы с максимальной выгодой применять SMS и инструменты инвентаризации, следует упаковать обновления и разослать их клиентам. Сформировать пакет модернизации можно с помощью мастера Distribute Software Updates Wizard. Для запуска мастера необходимо щелкнуть правой кнопкой мыши на подходящем узле, таком как Software Updates, в консоли SMS Administrators Console и выбрать из контекстного меню пункты All Tasks, Distribute Software Updates. Затем нужно щелкнуть на кнопке Next, чтобы начать процесс развертывания.
Экран 5. Выбор типа обновления для дистрибуции |
Мастер попросит выбрать тип исправления, которое предстоит распространить (экран 5). При установке инструментов инвентаризации доступны параметры MBSA и Microsoft Office. Следует выбрать тип распространяемого обновления и щелкнуть на кнопке Next. Мастер попросит выбрать пакет, к которому требуется добавить обновление. Если такого пакета нет, то следует создать новый пакет, выбрав пункт New из списка пакетов, щелкнуть на кнопке Next и ввести имя пакета. Затем нужно вновь щелкнуть на кнопке Next и настроить пакет, указав имя лица, ответственного за политику модернизации, и выбрать файл RTF (Rich Text Format) для хранения любых сведений, которые администратор посчитает нужным сообщить пользователям об обновлении. Затем мастер предлагает выбрать инструмент инвентаризации и программу из пакета, который был создан в процессе установки инструмента, и определяет, нужно ли обновить программное обеспечение клиента. Если у предприятия нет специальных требований, следует принять стандартные параметры. Мастер просит выбрать нужные исправления из списка обновлений (такого, как приведенный на экране 6). Не рекомендуется смешивать программные исправления для различных платформ.
Экран 6. Выбор программного обновления для дистрибуции |
Следующий этап — указать исходный каталог пакета, в котором нужно разместить исправления до того, как они будут перемещены в точку развертывания, приоритет пакета и автоматический режим загрузки обновлений (если требуется). Обычно загружают обновления на SMS-сервер автоматически, но иногда приходится делать это вручную. Если исправление нужно загрузить вручную, то информационный раздел исправления содержит сведения о месте загрузки. Если выбран автоматический режим загрузки обновлений из Microsoft Download Center в SMS-сервер, то необходимо щелкнуть на кнопке Next, чтобы начать процесс загрузки.
После завершения загрузки мастер отображает список обновлений и степень их готовности к развертыванию. Большинство исправлений не готово, и администратору приходится настраивать их. Как правило, для настройки исправлений достаточно указать параметры командной строки. Для просмотра свойств исправления и ввода параметров следует выбрать исправление и щелкнуть на кнопке Properties. В результате появится диалоговое окно, показанное на экране 7. Детальную информацию о параметрах можно получить, щелкнув на кнопке Syntax; для вывода подробностей о конкретном исправлении следует щелкнуть на кнопке Information и добраться до бюллетеня.
Экран 7. Использование мастера для настройки развертывания исправлений |
Исправления для Office распространять сложнее, чем обновления для программной платформы, и для каждой платформы используются различные параметры командной строки. Специалисты Microsoft работают над созданием единой программы установки исправлений и обеспечением унификации параметров командной строки. Если параметры командной строки не требуются, нужно выбрать пункт Parameters и щелкнуть на кнопке OK, чтобы подготовить исправление без указания параметров. Иногда исправление не готово к установке, так как оно не было загружено. В таких случаях можно попытаться повторно загрузить исправление, щелкнув на кнопке Download.
Когда все исправления будут отмечены как готовые, следует щелкнуть на кнопке OK и выбрать точки дистрибуции для исправлений. После выбора точек дистрибуции и щелчка на кнопке Next на экране появится приглашение настроить параметры агента установки. Можно собирать инвентаризационные данные о клиентах после применения исправления и отложить перезапуск рабочих станций (Workstations), серверов (Servers), компьютеров обоих типов (Both) или не откладывать перезапуск машин (None). Если принято решение перезапустить клиент SMS, то можно выбрать параметры Close Running Programs и Discard Unsaved Data.
В следующем окне содержатся дополнительные параметры агента установки, которые определяют степень участия оператора и метод перезапуска.
Следующее (иногда последнее) окно содержит третью страницу параметров, которые, в частности, задают режим оповещения пользователей о ходе модернизации, позволяют отложить модернизацию и определяют действия, предпринимаемые по истечении интервала объявления. Если не указан временной предел для интервала объявления, то дополнительное окно поможет создать объявление для пакета. Требуется ввести имя объявления и время повторного объявления пакета. Если лимит времени указан, то необходимо создать для пакета объявление и указать пакет и коллекцию, к которым его следует применить.
Указывая коллекции, следует убедиться, что обновления пересылаются лишь в нужные системы (например, исправления для XP Service Pack 1 — SP1 — должны пересылаться только в системы с установленным пакетом XP SP1, но не в системы с пакетом XP SP2). Если на предприятии есть различные системы, то иногда легче создать коллекцию для каждого компьютера.
Мониторинг и диагностика
Завершив настройку объявлений и пакетов модернизации, следует убедиться, что пакеты разосланы клиентам. Для этого нужно щелкнуть на кнопке Software Updates в консоли SMS Administrators Console и удостовериться, что статус обновлений изменился с requested на compliant. Пакеты распространяются не моментально, и пройдет немало времени, прежде чем они будут применены. Для того чтобы обновление было зарегистрировано на консоли как примененное, недостаточно только применить его. Необходимо провести аппаратную инвентаризацию, и результаты из WMI-контейнера Win32_Patchstate передать на SMS-сервер. Со временем все больше систем будет представлено в столбце Compliant узла Software Updates. Однако по ряду причин в большой и сложной среде 100-процентное соответствие может быть никогда не достигнуто. Например, компьютеры могут быть заменены, но остаются в базе данных SMS или пользователи могут отсутствовать в офисе в течение длительного времени.
Если ни одна из систем не приобретает статуса compliant, то диагностировать проблему можно с помощью нескольких простых шагов. Во-первых, следует убедиться, что пакет, содержащий обновления, был объявлен и SMS-клиенты получили объявление. Во-вторых, инструмент инвентаризации должен проверять те же коллекции SMS-клиентов, которым направлено объявление о пакете. Следует также убедиться, что в пакете собраны корректные исправления для целевой системы и указаны правильные параметры командной строки (при необходимости). И наконец, следует проверить параметры исправления и пакета; возможно, для окончательной установки исправления необходимо перезагрузить клиентов SMS.
Дополнительные ресурсы
С помощью инструментов инвентаризации SMS 2003 можно контролировать соответствие систем предприятия базовой конфигурации безопасности. В данной статье описан простой пример использования SMS для одного сайта с одним SMS-сервером. Программные обновления SMS 2003 работают столь же эффективно на предприятиях со многими сайтами и многими серверами в каждом сайте. Более подробную информацию о таких конфигурациях можно найти в документации по SMS и Microsoft Systems Management Server 2003 Administrator?s Companion (издательство Microsoft Press, 2004).
Джон Хоуи - Менеджер центра Microsoft Security Center of Excellence. Имеет сертификаты CISSP и CISM. jhowie@microsoft.com