修补程序管理阶段 4 – 部署
本页内容
 | 本模块内容 |
| 目标 |
| 适用范围 |
| 如何使用本模块 |
| 概述 |
| 部署准备 |
| 将软件更新部署到目标计算机上 |
| 实施后复查 |
| 总结 |
| 随后步骤 |
本模块内容
本模块说明分四个阶段的修补程序管理过程的第四阶段 — 部署。在部署阶段,需要将已批准的软件更新成功地展示到您的生产环境,以满足已付诸实施的服务等级协议 (SLA) 的所有要求。
本模块旨在说明修补程序管理过程中的部署阶段的原则,并介绍有关任务类型,利用 Microsoft® Software Update Services (SUS) 和 Microsoft Systems Management Server (SMS) 并执行这些任务可完成部署过程
阅读本模块后,您将能够计划成功完成下列工作所需的任务:
| • | 展示已批准的软件更新。 |
| • | 部署任何必要的对策。 |
如果不执行部署过程,您就不会有一套经过试验和测试的任务和活动,而这些任务和活动是将软件更新部署到生产环境,或者部署任何必要的对策或缓解步骤所必需的。
目标
使用本模块可以:
| • | 准备部署。 |
| • | 将软件更新部署到目标计算机上。 |
| • | 实施后对部署进行复查。 |
适用范围
本模块适用于所有 Microsoft 产品和技术:
如何使用本模块
本模块说明使用 SUS 和 SMS 执行评估时所需完成的基本任务,您可以在下列“如何”模块中找到更为详细的说明。
要充分利用本模块,应当:
| • | 阅读修补程序管理过程模块。该模块概述了修补程序管理过程的四个阶段,并介绍了在 Microsoft Windows® 操作系统环境中支持修补程序管理的可用工具。 | ||||
| • | 阅读以下模块:
|
概述
部署阶段是修补程序管理过程的第四阶段,如图 1 所示。
图 1
修补程序管理过程
部署阶段侧重于将软件更新部署到生产环境中时所需完成的任务和活动。部署任何对策或缓解步骤时可能还需要完成其他任务。
本阶段首先要完成的任务是确定已做好将软件更新部署到生产环境的准备,并且已获准对软件更新进行部署。
部署阶段的目标是成功地将已批准的软件更新和/或任何对策展示到您的生产环境中。
软件更新的部署包括以下活动:
| • | 准备部署。 |
| • | 将软件更新部署到目标计算机上。 |
| • | 实施后进行复查。 |
部署准备
需要为每个新版本准备生产环境。为部署而准备软件更新所需的步骤包括:
| • | 通知组织有关展示的日程安排。 | ||||||||
| • | 如果部署了 SUS:
| ||||||||
| • | 如果部署了 SMS:
|
有关在 SUS 环境中进行部署准备的更多信息,请参阅模块如何使用 SUS 执行修补程序管理和如何使用 SMS 执行修补程序管理。
通知组织有关展示的日程安排
向最终用户和管理员通知即将到来的更新版本是非常重要的。应该向用户和管理员发送一封易于辨认并内容清楚的电子邮件,通知他们有关更新的事宜,并提供如何安装的信息。应该为该邮件添加后续标记,以便提醒用户和管理员需要采取什么行动。
如果要在主要工作时间之外将更新部署到台式机上,则应该在电子邮件消息中包含相应的内容,要求用户使计算机在指定的日期一整夜都保持开机状态。如果像图 2 所示的那样为此消息添加了后续标记,那么用户将在 2003 年 5 月 30 日 下午 4 点 30 分收到一个提醒消息,提醒他们让计算机一整夜保持开机状态。
图 2
此屏幕快照说明标记为后续的电子邮件如何用作提醒
如果使用 SUS,通知过程还包括其他事项,这取决于 SUS 客户端的下载和安装策略设置:
| • | Notify for download and notify for installation(通知下载和通知安装)。只要“New update available for download”(可下载的新更新)通知出现在任务栏中,使用本地管理员权限登录的用户就需要选择下载更新的选项。要完成安装,则需要在“New update available for installation”(可安装的新更新)通知出现时才能安装该软件更新。 |
| • | Automatically download and notify for installation(自动下载和通知安装)。新批准的且适用于该客户端计算机的更新将由“自动更新”客户端自动下载。要安装更新,使用本地管理员权限登录的用户,需要在“New software update available for installation”(可安装的新软件更新)通知出现时,选择安装该软件更新的选项。 |
| • | Automatically download and schedule the install(自动下载和计划安装)。使用本地管理员权限的用户,可以在预定的安装时间前安装更新,或在安装完成后延迟重新启动(如果需要)。对于没有本地管理员权限的用户,更新将在预定的时间进行后台安装。如果启用了“No auto-restart for scheduled Automatic Updates installations”(不为计划的自动更新安装重新启动)策略设置,这些用户只可以延迟计算机的重新启动过程。 |
要查找有关在部署阶段使用 SUS 的详细信息,请参阅模块如何使用 SUS 执行修补程序管理。
使用 SMS 进行部署准备
如果使用 SMS 2003,准备部署时还要考虑几个步骤:
| • | 从测试环境导入程序和广告。首先,必须要将在测试环境中生成和测试的程序包导入到 SMS 2003 生产环境中。 |
| • | 指定分发点。然后,需要指定分发点;软件更新二进制文件应该放在目标客户端所在的所有站点的分发点上。如果可以使用“Distribute Software Updates Wizard”(分发软件更新向导),则可以使用该向导指定分发点(创建软件包后,可以手动修改)。 |
| • | 将更新放在分发点上。下一步是确保将所有文件的副本放在分发点服务器上。将软件更新二进制文件发送到分发点的过程包括在 SMS 站点间发送文件以及将文件从 SMS 站点发送到本地分发点。 |
| • | 选择部署组。如果使用“Distribute Software Updates Wizard”(分发软件更新向导)分发新的软件更新,则不必确定目标计算机。原因是该向导部署了一个智能代理,在新更新需要安装时,便会调用此代理。此代理将自动确定更新是否适用于该计算机(以及它是否已安装)。如果通过自定义的程序包和集合分发更新,则可能需要创建一个或多个 SMS 查询,以便将该更新部署到合适的计算机上。 |
有关在部署阶段使用 SMS 的详细信息,请参阅模块如何使用 SMS 执行修补程序管理。
将软件更新部署到目标计算机上
将软件更新部署到生产环境中所用的过程,将取决于版本的类型和性质,以及所选择的发行机制。
该过程还与软件更新是否是紧急更新密切相关。由于紧急更新与紧急变更相关联,因此部署它们的方式将有所不同。本部分将重点说明这些差异。
在部署过程中,最好分阶段发布软件更新,这样,可以尽可能减少在初次分发软件更新时可能出现的故障或负面作用所造成的影响。
在生产环境中部署软件更新时所需的步骤包括:
| • | 向客户端计算机通告软件更新。 |
| • | 监视和报告部署进度。 |
| • | 处理失败的部署。 |
向客户端计算机通告软件更新
如果使用 SUS,并且不需要进行分阶段的展示,则只需批准 SUS 父服务器上的更新,使之可供客户端使用。之后,SUS 客户端会在下一个检测周期或在本地管理员提示时(如果将“自动更新”客户端配置为当新更新可用时通知本地管理员)开始下载新批准的更新。
但是,如果要进行分阶段的展示,首先只应该在父 SUS 服务器上批准更新。然后,在将更新成功部署到该服务器支持的客户端后,应该在支持展示下一阶段中的客户端的 SUS 子服务器上,启用“批准”列表的同步过程。
要查找有关在部署阶段使用 SUS 的详细信息,请参阅模块如何使用 SUS 执行修补程序管理。
如果使用 SMS 并且使用“Distribute Software Updates Wizard”(分发软件更新向导),则会自动创建重复的广告,从而在目标集合中的计算机上运行软件更新安装代理。如必要,您可以更改重复间隔时间的默认值(7 天)。例如,包含服务器的集合可能每天运行一次代理。如果您需要为不同类型的计算机创建不同的日程安排,您可以使用相同的程序包和程序,为多个集合创建不同的广告。如果展示是分阶段进行的,那么在每个阶段后都应修改查询,以便将下一阶段的客户端包括在内。
如果未使用“Distribute Software Updates Wizard”(分发软件更新向导),那么在设置广告以安装更新时,应将其日程安排配置为按一定的时间间隔重复进行。这样,如果安装失败,将可以自动重试。需要谨慎选择广告的重复间隔时间,因为已成功安装更新的客户端仍留在目标集合中,直到收集到新的清单(可能由安装程序本身触发这种收集)或直到 SMS 数据库中的清单被更新且集合经过重新计算。因此,一个程序在某个客户端上成功运行一次后,仍可能在该客户端上重新运行。为此,程序有必要首先检查软件更新是否已安装,如果已安装,则毫不迟疑地退出运行。
要查找有关在部署阶段使用 SMS 的详细信息,请参阅模块使用 SMS 执行修补程序管理。
紧急变更请求
有关如何使用 SUS 管理紧急变更请求的信息,请参阅模块如何使用 SUS 执行修补程序管理,要了解如何使用 SMS 管理紧急变更请求,请参阅模块如何使用 SMS 执行修补程序管理。
监视和报告部署进度
计算机可能因某些原因而无法安装更新,例如:
| • | 计算机处于脱机状态。 | ||||
| • | 计算机正在被重新构建或重新映像。 | ||||
| • | 计算机磁盘空间不足。 | ||||
| • | 在 SUS 环境中:
| ||||
| • | 在 SMS 环境中:
| ||||
| • | 在 SMS 2003 环境中:
|
要监视部署的更新在 SUS 环境中是否成功发布,您应该使用 Microsoft 基准安全分析器 (MBSA) 扫描多台计算机,并检查更新在 MBSA 报告中不再显示为缺失。有关在部署阶段使用 SUS 的详细信息,请参阅模块如何使用 SUS 执行修补程序管理。
要监视更新在 SMS 中是否成功发布,您可以使用“Advertisement Status Viewer”(广告状态查看器),基于广告的状态消息,显示它们的部署状态。状态消息只报告重复的广告是否运行,而不报告更新是否安装。要获取此信息,您需要分析状态消息以确定“Patch Install”(修补程序安装)程序在每个客户端上最后一次成功运行的时间;如果自其运行以来的时间长于任何客户端的重复时间,您应该查明原因。
对于通过 Security Updates Inventory Tool(安全性更新清单工具)或 Microsoft Office Inventory Tool for Updates(Microsoft Office 更新清单工具)确定的软件更新,您可以使用内置的报告来检查部署是否成功。“Compliance by Software ID”(符合性 - 按照软件 ID)报告提供已安装更新的系统或缺失更新的系统的总数摘要,以及与分发软件更新相关的状态。
有关在部署阶段使用 SMS 的详细信息,请参阅模块使用 SMS 执行修补程序管理。
处理失败的部署
如果在正常的部署过程中遇到异常情况,您应该有充足的时间,先停止部署工作,确定其根本原因,然后再重新进行部署。但是,在紧急部署过程中,可供分析并确定根本原因的时间要少得多。
您的组织可能还会决定在部署不成功的情况下需要终止并回滚部署。您必须制定出相应的计划,以便停止展示,卸载失败的更新,然后再重新部署它们。
在 SUS 环境中
对于 SUS 环境中失败的部署,您必须在 SUS 服务器上取消对更新的批准,以防止进一步安装更新。在已下载更新但还未安装的客户端上,本地管理员可以手动将其从待安装的更新列表中删除。如果计算机已安装批准的更新,则只可以使用“控制面板”中的“添加或删除程序”功能删除更新(假设更新可卸载)。有关在部署阶段使用 SUS 的详细信息,请参阅模块如何使用 SUS 执行修补程序管理。
在 SMS 环境中
如果使用 SMS,处理失败的部署主要包括四项任务:
| • | 终止活动程序包的部署,直到问题得到解决。 |
| • | 确定并解决问题 — 即找到部署失败的原因。 |
| • | 重新广告程序包。 |
| • | 通过创建“卸载”程序包卸载软件更新(如果更新可卸载)。 |
有关在部署阶段使用 SMS 的详细信息,请参阅模块使用 SMS 执行修补程序管理。
实施后复查
通常在发行版部署的一至四个星期内应该执行实施后复查,以确定对修补程序管理过程应该做出的改进。
通常的复查日程包括:
| • | 确保已将漏洞添加到您的漏洞扫描报告和安全策略标准中,以便攻击没有机会再次发生。 |
| • | 确保您的版本映像已更新,以包括部署后推出的新的软件更新。 |
| • | 对比预估结果和实际结果,并进行讨论。 |
| • | 讨论与发行版相关的风险。 |
| • | 复查您的组织在整个事件过程中的绩效。借此机会改进您的应变计划,以包括应吸取的教训。 |
| • | 讨论对您的服务窗口所做的更改。 |
| • | 评估事件的总损失和总成本,包括故障时间和恢复成本。 |
| • | 为您的环境创建另一个基准或更新已有的基准。 |
总结
在部署阶段,应该完成以下主要活动:
| • | 确立将软件更新展示到生产环境的顺序。 |
| • | 审查生产环境,确保其能够处理软件更新。 |
| • | 将软件更新文件放在 SMS 分发点或 SUS 服务器上。 |
| • | 将软件更新部署到生产环境中。 |
| • | 重新扫描环境,以评估成功,并修复任何无法安装软件更新的计算机。 |
| • | 部署完成后,复查修补程序管理过程。 |
随后步骤
部署软件更新后,应该返回到评估阶段,在这个阶段可以继续:
| • | 列示/发现已有的计算资产。 |
| • | 评估安全威胁和漏洞。 |
| • | 确定软件更新信息的最佳来源。 |
| • | 评估现有软件分发基础结构。 |
| • | 评估操作效率。 |