Bereitstellen von Security Tool Kit-Fixes mit Systems Management Server 2.0

Auf dieser Seite

	Einführung
	SMS-Tools aus dem Security Tool Kit
	Dateien und Verzeichnisse
	Bereitstellen von Security Fixes mit SMS
	Schritt 1: Überprüfen der Voraussetzungen
	Schritt 2: Konfiguration von SMS für die Bereitstellung
	Schritt 3: Überwachen des Fortschrittes
	Automatisierte Bereitstellung mit SMS

Einführung

Anmerkung: Dieses Dokument geht davon aus, dass Sie bereit über eine SMS-Infrastruktur verfügen und Sie wissen, wie Sie mit Systems Management Server Software verteilen können.

Um die Verteilung und Installation der empfohlenen Security Fixes für Internet Information Services (IIS) unter Windows 2000 Professional, Windows 2000 Server und Windows 2000 Advanced Server und Windows NT Workstation 4.0, Windows NT Server 4.0 und Windows NT Server 4.0 Enterprise Edition zu automatisieren, stellt Microsoft Packetdefinitionsdateien und Abfragen bereit. Diese finden Sie im Verzeichnis SMS der Microsoft Security Tool Kit-CD. SMS kann Sie dabei unterstützen, die Computer zu ermitteln, die Fixes benötigen, und diese dann bereitzustellen. Die vom Systems Management Server (SMS)-Team erstellten Objekte können in eine bestehende SMS 2.0-Hierarchie importiert werden.

Die in diesem Dokument beschriebenen Schritte automatisieren die im Dokument Guide to Baseline Security (ebenfalls aus dem Microsoft Security Tool Kit) beschriebenen manuellen Schritte. Sie sollten dieses Dokument zusammen mit den in Guide to Baseline Security beschriebenen Schritten durcharbeiten.

Anmerkung: Aufgrund der dynamischen Natur von Security Fixes kann dieses Dokument Ihnen keine automatisierten Schritte für alle vom Security Tool Kit zur Verfügung gestellten Security Fixes anbieten. Die aktuellsten Informationen zu Bereitstellung von Security Fixes mit SMS finden Sie in den Tool Kit Release Notes unter http://support.microsoft.com/default.aspx?scid=KB;EN-US;309536&sd=tech (engl.)

Zum Seitenanfang

SMS-Tools aus dem Security Tool Kit

The following SMS tools are included on the Security Tool Kit compact disc.

Tabelle1: SMS-Tools aus dem Security Tool Kit

Zum Seitenanfang

Dateien und Verzeichnisse

Die folgenden SMS-Dateien befinden sich im SMS-Verzeichnis der Security Tool Kit-CD. Viele der Dateien aus diesem Verzeichnis finden Sie jedoch auch in anderen Verzeichnissen der CD.

SMS\

Documentation\

SMSDeploy.doc

Forced Determination Wrapper(s)

FDW2

Fdwrapper2.exe

FDISniffer.EXE

FDIISSniffer.EXE

FDWrapper.Exe

WMPSniffer.EXE

MSTImport

MSTImport.Exe

Package Definition Files

Cun.sms

IE501SP2.sms

IE55SP2.sms

Iedetect.sms

Iidetect.sms

kickhinv.sms

nt4sp6.pdf

265714i.sms

269049i.sms

280119i.sms

279328.sms

299444i.sms

301625.sms

301625i.sms

305929i.sms

307866i.sms

QChain.sms

SchemaMod.sms

TSSP6.sms

w2ksp2.sms

wmp64.sms

wmp71.sms

wmpsnif.sms

Zum Seitenanfang

Bereitstellen von Security Fixes mit SMS

Um die Security Tool Kit-Fixes mit SMS bereitzustellen, müssen Sie die folgenden Schritte ausführen. Sie werden in den weiteren Abschnitten dieses Dokumentes genauer beschrieben.

Zum Seitenanfang

Schritt 1: Überprüfen der Voraussetzungen

Ihr Standort und alle Unterstandorte müssen den folgenden Kriterien entsprechen:

Anmerkung: Wenn Sie IntelliPoint-Mäuse der Version 2.2 oder älter einsetzen, lesen Sie bitte den Knowledge Base-Artikel 305462 unter http://support.microsoft.com/default.aspx?scid=KB;en-us;305462&sd=tech (engl.).

Zum Seitenanfang

Schritt 2: Konfiguration von SMS für die Bereitstellung

Die Abfragen und Pakete aus dem Microsoft Security Tool Kit wurden so entworfen und getestet, dass sie mit SMS 2.0 SP3 oder höher eingesetzt werden können.

Um den Bereitstellungsprozess möglichst effizient zu strukturieren, sind die Utilities von SMS so entworfen, dass eine Gruppe von entsprechenden Sammlungen im betreffenden SMS 2.0-Standort erstellt wird. Diese Objekte können in jeden primären Standort einer SMS 2.0-Hierarchie importiert werden. Die Fixes müssen über die Hierarchie bereitgestellt werden. Daher wird empfohlen, dass Sie die Objekte dort in der SMS-Hierarchie importieren oder erstellen, wo sich die meisten potenziell betroffenden Ressourcen befinden (dies sollte ein zentraler Standort sein - es sei denn, es gibt einen speziellen Standort für Berichte oder Sie verfügen über keine administrative Rechte an diesem Standort). Beachten Sie, dass die neuen Sammlungen in der Hierarchie auf alle untergeordneten Standorte repliziert werden.

Die Sammlungen, die durch den Import der Sammelungsobjekte entstehen, ermöglichen Administratoren den Status ihrer Hierarchie abzufragen und festzustellen, welche der Updates aus dem Microsoft Security Tool Kit angewandt werden müssen. Die erforderlichen Updates sind in den Paketen enthalten, die importiert oder manuell erstellt wurden.

Um Security Fixes bereitzustellen, müssen Sie die folgenden Schritte ausführen:

Anmerkung: Alle Sammlungen und Pakete, die für die Bereitstellung von Security Fixes mit SMS erforderlich sind, beginnen mit dem Prefix MST. Sie können die Objekte so einfach identifizieren.

Import der SMS-Objekte mithilfe des MSTImport-Tools

Um die erforderlichen Objekte zu importieren, führen Sie das Microsoft Security Tool Kit Import Utility (MSTImport.exe) im Verzeichnis SMS der Microsoft Security Tool Kit-CD aus. Nach dem Ausführen des Utilitys stehen die folgenden Abfragen, Sammlungen und Pakete in der SMS-Hierarchie zur Verfügung. Nur die Sammlungen werden in der Hierarchie repliziert. Abfragen werden nicht repliziert. Wenn Abfragen in untergeordneten Standorten erforderlich sind, müssen Sie diese mit MSTImport.exe in den betreffenden Standort importieren.

Anmerkung: Bevor Sie MSTImport.exe ausführen, sollten Sie den KB-Artikel 295157: The Microsoft BackOffice Server 4.5 Resource Kit utilities, Preinst.exe and Delgrp.exe, may return errors when they are run on Systems Management Server (SMS) running Microsoft SQL Server 2000 lesen.

Nachdem Sie das Microsoft Security Tool Kit Import Utility (MSTImport.exe) ausgeführt haben, stehen Ihnen die folgenden Paketdefinitionsdateien (.pdf oder .sms) zur Verfügung, mit denen Sie Pakete über den Paketerstellungsassistenten in der SMS-Administrationskonsole erstellen können.

Tabelle 2: Paketdefinitionsdateien aus dem Security Tool Kit

Zum Seitenanfang

Schritt 3: Überwachen des Fortschrittes

Nach jeder erfolgreich absolvierten Phase des Bereitstellungsprozesses müssen die MST-Sammlungen aktualisiert werden. Die standardmäßige Planung für die Aktualisierung von Sammlungen liegt bei zwei Stunden pro MST-Sammlung. Alternativ können Sie die Aktualisierung auch manuell durchführen.

Anmerkung: Da durch das Microsoft Security Tool Kit Import Utility zusätzliche Sammlungen erstellt werden, werden diese auch automatisch auf untergeordnete Standorte repliziert. Hierdurch steigt der Netzwerkverkehr zwischen den Standorten.

Wenn Ankündigungen ausgeführt und Security Updates bereitgestellt werden, werden Ressourcen aus ihren originalen Sammlungen entfernt - sie entsprechen nicht länger den entsprechenden Regeln der betreffenden Sammlungen. Die Ressourcen werden dann Mitglied anderer Sammlungen (abhängig von deren Regeln). Hierbei handelt es sich nicht um einen unmittelbaren Prozess. Stattdessen tritt er auf, wenn der Zeitplan für eine Sammlung Updates vorschreibt oder wenn dies vom Administrator manuell angestoßen wird. Wenn dies passiert und es eine Ankündigung für die Sammlung gibt, dann wird der Ressource das nächste angekündigte Programm zugewiesen, das dem jeweiligen Update entspricht.

Es stehen Abfragen zur Verfügung, die den Sammlungen entsprechen. Sie erlauben es Administratoren, den Fortschritt von Ressourcen in den einzelnen Phasen der Bereitstellung zu überwachen - und zwar ohne umfangreichen Replikationsverkehr zu verursachen.

Zum Seitenanfang

Automatisierte Bereitstellung mit SMS

Diese Fixes wurden speziell für das Betriebssystem der Zielressourcen entworfen. Die folgenden Abschnitte beschreiben, wie Sie die Fixes für unterschiedliche Betriebssysteme bereitstellen.

Bereitstellen von Fixes für Windows 2000

Dieser Abschnitt beschreibt die Bereitstellung von Fixes mit SMS für Computer unter Windows 2000 oder Windows 2000 SP1 oder höher. Diese Schritte automatisieren die manuellen Schritte, die im Dokument Guide to Baseline Security aus dem Security Tool Kit beschrieben werden. Es wird empfohlen, die hier beschriebenen Schritte zusammen mit den Schritten aus Guide to Baseline Security zu lesen.

Das Security Tool Kit stellt für Computer unter Windows 2000 oder Windows 2000 SP1 oder höher die folgenden Sammlungen, Abfragen und Pakete bereit.

Tabelle 3: Abfragen, Sammlungen und Pakete für Computer unter Windows 2000

Schritt 2a: Installation von Windows 2000 SP2

Es steht eine SMS-Abfrage und -Sammlung mit dem Namen MST(Win2K) Stage 1 All Win2K Computers not running SP2 zur Verfügung, die sich auf Computer unter Windows 2000 Professional, Windows 2000 Server oder Windows 2000 Advanced Server bezieht, auf denen kein SP2 installiert ist.

Das Paket W2KSP2.sms bezieht sich auf diese Sammlung und installiert Windows 2000 Service Pack 2. Nach der Installation wird ein Neustart durchgeführt.

Die Installation von Windows 2000 SP2 aktualisiert das Feld CSD-Version in der Klasse Betriebssystem im SMS-Hardwareinventar. Wenn das Hardwareinventar das nächste Mal ausgeführt wird, werden diese Informationen in der SMS-Datenbank aktualisiert. Dieses Update der SMS-Datenbank und die weiteren Updates der anderen Sammlungen sorgen dafür, dass die Ressourcen in der Sammlung Windows 2000 Computers Running IIS auftauchen. Diese Sammlungen stehen als Ziele für die im nächsten Abschnitt beschriebenen Ankündigungen zur Verfügung.

Anmerkung: Das Paket Kickhinv.sms kann dazu verwendet werden, die Hardwareinventarisierung für einen bestimmten Client sofort auszuführen.

Mit der Abfrage MST(Win2K) Stage 2 All Win2K Computers running SP2 erhalten Sie alle Systeme, für die Schritt 2a erfolgreich ausgeführt wurde.

Schritt 2b: Installation des IIS Security Rollup Package

Mit der SMS-Abfrage und -Sammlung MST(Win2K) Stage 3 All Win2K Computers Running IIS identifizieren Sie alle Computer unter Windows 2000 Professional, Windows 2000 Server und Windows 2000 Advanced Server, auf denen IIS ausgeführt wird. Dies geschieht durch die Erkennung des IIS-Admin-Dienstes und von Windows 2000 SP2.

Wenn das Paket 301625.sms ausgeführt wird, sorgt es für einen Neustart. Es sorgt für eine Aktualisierung des Feldes IsInstalled in einer Tabelle mit den QFE Update-Daten mit dem Wert 2 für ProductName 301625. So stellen Sie fest, dass das IIS Security Rollup Package erfolgreich ausgeführt wird.

Sie können die Abfrage MST(Win2K) Stage 4 All W2K Computers Apply 301625 für ein System ausführen und so feststellen, dass Schritt 2b erfolgreich durchgeführt wurde.

Schritt 2c: Installation und Ausführen von QChain

QChain installiert keine Dateien. Es organisiert die Einträge im Registrierungsschlüssel PendingFileRename. Damit die entsprechenden Änderungen durchgesetzt werden, ist ein Neustart erforderlich.

Schritt 2d: Installation und Ausführen von FDIESnif Utility

Mit der SMS-Abfrage und -Sammlung MST(Win2K) Stage 4 All W2K Computers Apply 301625 identifizieren Sie alle Computer unter Windows 2000 Professional, Windows 2000 Server und Windows 2000 Advanced Server mit Service Pack 2.

Wenn das Paket iedetect.sms ausgeführt wird, erkennt es die Version von Internet Explorer des Zielcomputers. Das FDIESnif MIF wird in eine Tabelle mit den QFE Update-Daten importiert. IsInstalled hat den Wert 2, was zeigt, dass das Utility die Internet Explorer Version erfolgreich identifiziert hat. Das Feld updateID enthält das FDIESnif, und das Feld Description enthält die genaue Version von Internet Explorer.

Mit der Abfrage MST(W2K) Stage 5 All W2K Computers FDIESnif Success können Sie feststellen, ob Schritt 2d für ein System erfolgreich abgeschlossen wurde.

Schritt 2e: Installation von Internet Explorer 5.5 SP2

Mit der SMS-Abfrage und -Sammlung MST(Win2K) Stage 6 All W2K Computers no Updated IE identifizieren Sie alle Computer unter Windows 2000 Professional, Windows 2000 Server und Windows 2000 Advanced Server ohne Internet Explorer 5.01 SP2 oder Internet Explorer 5.5 SP2.

Wenn das Paket IES55SP2.sms ausgeführt wird, wird die Version des installierten Internet Explorers in eine Tabelle mit QFE Update-Daten importiert. IsInstalled hat den Wert 2, was zeigt, dass das Paket IE55SP2 erfolgreich ausgeführt wurde.

Mit der Abfrage MST(Win2K) Stage 6 All Win2K Computers Update Success können Sie überprüfen, ob Schritt 2e für ein System erfolgreich ausgeführt wurde.

Schritt 2f: Optional: Und Ausführen des Critical Update Notification 3.0 Tool

Wie im Dokument "Installing and Securing and Existing Windows 2000 System" aus dem Microsoft Security Tool Kit besprochen, wird empfohlen, das Critical Update Notification 3.0 Tool zu installieren. Mit diesem Tool werden Sie bei neuen, kritischen Fixes benachrichtigt.

Hierzu gibt es eine Abfrage und eine Sammlung mit dem Namen MST(Win2K) Stage 8 All Win2K Computers Update Success. Diese identifizieren alle Computer unter Windows 2000 Professional, Windows 2000 Server und Windows 2000 Advanced Server, auf denen der IIS Security Rollup Patch installiert ist und deren Version von Internet Explorer aktualisiert wurde - die entsprechenden Systeme sind für die Installation des Tools bereit.

Schritt 2g: Ausführen von WMPSniffer, um die Version von Windows Media Player festzustellen

Das Windows Media Player Detection Utility wurde vom SMS-Team erstellt, um Administratoren eine Identifizierung der Version von Media Player auf einem System ohne ein Softwareinventar zu ermöglichen.

Wenn das Paket FDWMSiffer.sms ausgeführt wird, aktualisiert es eine Tabelle mit

QFE Update-Daten, bei der in IsInstalled die UpdateID von FDWMSnif steht. Im Feld Description steht die Version von Windows Media Player.

Mit dem folgenden Bericht können Sie feststellen, ob das Windows Media Player Detection Utility erfolgreich auf einem System ausgeführt wurde:

Schritt 2h: Anwenden von Windows Media Player Security Patch auf WMP Version 6.4, 7.0 oder 7.1

Die folgende SMS-Abfrage und -Sammlung betrifft alle Computer mit Windows 2000 Windows Media Player 6.4, 7.0 und 7.1 für die Installation des Windows Media Player Security Patch.

Wenn das Paket Wmp64.sms ausgeführt wird, wird das System neu gestartet. Die Installation des Media Player Patch Paket MIF wird in eine Tabelle mit den QFE Update-Daten mit dem IsInstalled-Wert 2 für ProductName WMP64 importiert.

Mit der folgenden Abfrage können Sie feststellen, ob Schritt 2h erfolgreich für ein System ausgeführt wurde:

Schritt 2i: Wenn die Version von Windows Media 7.0 ist, diese auf 7.1 aktualisieren

Diese SMS-Abfrage und -Sammlung identifiziert Computer unter Windows 2000 mit Windows Media Player 7.0.

Das Paket WMP71.sms sorgt für einen Neustart. Die Installation von Internet Explorer SP2 wird in eine Tabelle mit den QFE Update-Daten mit dem IsInstalled-Wert von 2 importiert. ProductName zeigt das entsprechende Internet Explorer-Update.

Mit der folgenden Abfrage überprüfen Sie die erfolgreiche Ausführung von Schritt i.

Schritt 2j: Ausführen von Qchain

QChain installiert keine Dateien. Es organisiert die Einträge im Registrierungsschlüssel PendingFileRename. Damit die entsprechenden Änderungen durchgesetzt werden, ist ein Neustart erforderlich.

Bereitstellen von Fixes für Windows NT 4.0

Dieser Abschnitt beschreibt die Bereitstellung von Fixes mit SMS für Computer unter Windows NT 4.0 und Windows NT 4.0 SP3. Diese Schritte automatisieren die manuellen Schritte, die im Dokument Guide to Baseline Security aus dem Security Tool Kit beschrieben werden. Es wird empfohlen, die hier beschriebenen Schritte zusammen mit den Schritten aus Guide to Baseline Security zu lesen.

Das Security Tool Kit stellt für Computer unter Windows NT 4.0 und Windows NT 4.0 SP3 die folgenden Sammlungen, Abfragen und Pakete bereit.

Tabelle 3: Abfragen, Sammlungen und Pakete für Computer unter Windows NT 4.0

Vorbereitender Schritt - Überprüfen auf IIS Version 3.0 oder höher

Das IIS Version Detection wurde vom SMS-Team erstellt, um Administratoren eine Identifizierung der Version von IIS auf einem System ohne ein Softwareinventar zu ermöglichen.

Mit den folgenden Abfragen und Sammlungen können Sie alle Computer unter Windows NT 4.0 Server und Windows NT 4.0 Workstation mit IIS identifizieren:

Mit der folgenden Abfrage können Sie feststellen, ob das IIS Version Detection Utility erfolgreich auf einem System ausgeführt wurde:

Vorbereitender Schritt - Feststellen, ob Windows NT 4.0 Server Option Pack oder Windows NT 4.0 Workstation Option Pack bei IIS installiert ist und ausgeführt wird.

Dieser Schritt muss manuell ausgeführt werden. SMS kann mit den folgenden Abfragen jedoch feststellen, welche Computer unter Windows NT 4.0 Server oder Workstation IIS ausführen.

Schritt 2a: Windows NT 4.0 Service Pack 6a

Mit den folgenden SMS-Abfragen und -Sammlungen identifizieren Sie alle Computer unter Windows NT 4.0 ohne Service Pack 6a:

Das Paket nt4sp6mst.sms installiert Windows NT 4.0 Service Pack 6a. Nach der Installation wird ein Neustart durchgeführt.

Die Installation von Windows NT 4.0 SP6a aktualisiert das Feld CSD-Version in der Klasse Betriebssystem im SMS-Hardwareinventar. Wenn das Hardwareinventar das nächste Mal ausgeführt wird, werden diese Informationen in der SMS-Datenbank aktualisiert. Dieses Update der SMS-Datenbank und die weiteren Updates der anderen Sammlungen sorgen dafür, dass die Ressourcen in der Sammlung All Windows NT 4.0 Servers running SP6a oder All Windows NT 4.0 Workstations running SP6a auftauchen. Diese Sammlungen stehen als Ziele für die im nächsten Abschnitt beschriebenen Ankündigungen zur Verfügung.

Anmerkung: Das Paket Kickhinv.sms kann dazu verwendet werden, die Hardwareinventarisierung für einen bestimmten Client sofort auszuführen.

Mit der folgenden Abfrage überprüfen Sie die erfolgreiche Ausführung von Schritt 2a.

Schritt b: Prüfen, ob 305228 notwendig ist

Warnung: Führen Sie diesen Schritt nur dann aus, wenn Sie festgestellt haben, dass Ihre Systeme von 305228 betroffen sind.

Mit den folgenden Abfragen können Sie feststellen, welche Systeme von Knowledge Base-Artikel 305228 betroffen sind. Sie finden alle Computer unter Windows NT 4.0 Server, Windows NT 4.0 Terminal Server Edition und Windows NT 4.0 Workstation mit IIS und Smart Array Controllern aus Knowledge Base-Artikel.

Schritt 2c: Windows NT 4.0 Security Rollup Package 1

Mit den folgenden SMS-Abfragen und -Sammlungen können Sie alle Computer identifizieren, die unter Windows NT 4.0 SP6a ausgeführt werden und IIS ausführen. Dies geschieht durch die Erkennung des IIS-Admin-Dienstes und der Windows NT 4.0 Service Pack 6a-Installation.

Wenn das Paket 299444i.sms ausgeführt wird, sorgt es für einen Neustart. Es sorgt für eine Aktualisierung des Feldes IsInstalled in einer Tabelle mit den QFE Update-Daten mit dem Wert 2 für ProductName 299444i. So stellen Sie fest, dass das Windows NT 4.0 Security Rollup Package erfolgreich ausgeführt wird.

Mit der folgenden Abfrage überprüfen Sie die erfolgreiche Ausführung von Schritt 2c.

Schritt 2d: Windows NT 4.0 Security Patch 307866

Mit den folgenden SMS-Abfragen und -Sammlungen können Sie alle Computer identifizieren, die unter Windows NT 4.0 SP6a ausgeführt werden und IIS ausführen. Dies geschieht durch die Erkennung des IIS-Admin-Dienstes und der Windows NT 4.0 Service Pack 6a-Installation.

Wenn das Paket 307866i.sms ausgeführt wird, sorgt es für einen Neustart. Es sorgt für eine Aktualisierung des Feldes IsInstalled in einer Tabelle mit den QFE Update-Daten mit dem Wert 2 für ProductName 307866i. So stellen Sie fest, dass das Windows NT 4.0 Security Rollup Package erfolgreich ausgeführt wird.

Mit der folgenden Abfrage überprüfen Sie die erfolgreiche Ausführung von Schritt 2d.

Schritt 2e: Noch einmal Windows NT 4.0 Security Patch 307866i

Mit den folgenden SMS-Abfragen und -Sammlungen können Sie alle Computer identifizieren, die unter Windows NT 4.0 SP6a ausgeführt werden und IIS ausführen. Dies geschieht durch die Erkennung des IIS-Admin-Dienstes und der Windows NT 4.0 Service Pack 6a-Installation.

Wenn das Paket 307866i.sms ausgeführt wird, sorgt es für einen Neustart. Es sorgt für eine Aktualisierung des Feldes IsInstalled in einer Tabelle mit den QFE Update-Daten mit dem Wert 2 für ProductName 307866i. So stellen Sie fest, dass das Windows NT 4.0 Security Rollup Package korrekt installiert wurde.

Mit der folgenden Abfrage überprüfen Sie die erfolgreiche Ausführung von Schritt 2e.

Schritt 2f: Patch 305929i

Die folgenden SMS-Abfragen und -Sammlungen installieren Patch 305929i auf allen Computern unter Windows NT Workstation 4.0, Windows NT Server 4.0 und Windows NT Server 4.0 Enterprise Edition.

Wenn das Paket 305929i.sms ausgeführt wird, sorgt es für einen Neustart. Die Installation des Windows NT 4.0 305929i Patch Paket MIF wird in eine Tabelle mit QFE Update-Daten importiert. IsInstalled hat den Wert 2 für ProductName 305929i.

Mit der folgenden Abfrage überprüfen Sie die erfolgreiche Ausführung von Schritt 2f.

Schritt 2g: IIS 4.0 Security Rollup Patch

Diese SMS-Abfragen und -Sammlungen identifizieren alle Computer unter Windows NT Workstation 4.0, Windows NT Server 4.0 und Windows NT Server 4.0 Enterprise Edition und installieren das IIS 4.0 Security Rollup Package.

Wenn das Paket 301625i.sms ausgeführt wird, sorgt es für einen Neustart. Es sorgt für eine Aktualisierung des Feldes IsInstalled in einer Tabelle mit den QFE Update-Daten mit dem Wert 2 für ProductName 301625i.

Mit der folgenden Abfrage überprüfen Sie die erfolgreiche Ausführung von Schritt 2g.

Schritt 2h: Installation und Ausführen von QChain

QChain installiert keine Dateien. Es organisiert die Einträge im Registrierungsschlüssel PendingFileRename. Damit die entsprechenden Änderungen durchgesetzt werden, ist ein Neustart erforderlich.

Schritt 2i: IE Version Detection Utility

Das IE Version Detection wurde vom SMS-Team erstellt, um Administratoren eine Identifizierung der Version von Internet Explorer auf einem System ohne ein Softwareinventar zu ermöglichen.

Wenn das Paket iedetect.sms ausgeführt wird, erkennt es die Version von Internet Explorer des Zielcomputers. Das FDIESnif MIF wird in eine Tabelle mit den QFE Update-Daten importiert. IsInstalled hat den Wert 2, was zeigt, dass das Utility die Internet Explorer Version erfolgreich identifiziert hat. Das Feld updateID enthält das FDIESnif, und das Feld Description enthält die genaue Version von Internet Explorer.

Mit der folgenden Abfrage können Sie feststellen, ob das IE Version Detection Utility erfolgreich auf einem System ausgeführt wurde:

Schritt j: Installation von Internet Explorer 5.01 SP2 oder Internet Explorer 5.5 SP2

Diese SMS-Abfragen und -Sammlungen identifizieren alle Computer unter Windows NT 4.0 Workstation, Windows NT 4.0 Server und Windows NT Server 4.0 Enterprise Edition ohne Internet Explorer 5.01 SP2 oder Internet Explorer 5.5 SP2:

Wenn das Paket IES55SP2.sms oder ie55sp2.sms ausgeführt wird, wird das System neu gestartet. Die Installation von SP2 wird in eine Tabelle mit QFE Update-Daten importiert. IsInstalled hat den Wert 2, und ProductName zeigt das entsprechende Internet Explorer-Update.

Mit der folgenden Abfrage überprüfen Sie die erfolgreiche Ausführung von Schritt j.

Schritt 2k: Windows Media Player Detection Utility

Das Windows Media Player Detection Utility wurde vom SMS-Team erstellt, um Administratoren eine Identifizierung der Version von Media Player auf einem System ohne ein Softwareinventar zu ermöglichen.

Wenn das Paket mpdetect.sms ausgeführt wird, aktualisiert es eine Tabelle mit QFE Update-Daten, bei der in IsInstalled die UpdateID von MPIESnif steht. Im Feld Description steht die Version von Windows Media Player.

Mit dem folgenden Bericht können Sie feststellen, ob das Windows Media Player Detection Utility erfolgreich auf einem System ausgeführt wurde:

Schritt 2l: Installation des Windows Media Player 6.4 Patch

Wenn das Paket Wmp64.sms ausgeführt wird, wird das System neu gestartet. Die Installation des Windows NT 4.0 Media Player Patch Paket MIF wird in eine Tabelle mit den QFE Update-Daten mit dem IsInstalled-Wert 2 für ProductName WMP64 importiert.

Mit der folgenden Abfrage überprüfen Sie die erfolgreiche Ausführung von Schritt 2l.

Bereitstellen von Fixes für Windows NT Server 4.0, Terminal Server Edition

Dieser Abschnitt beschreibt die Bereitstellung von Fixes mit SMS für Computer unter Windows NT 4.0 Terminal Server. Diese Schritte automatisieren die manuellen Schritte, die im Dokument Guide to Baseline Security aus dem Security Tool Kit beschrieben werden. Es wird empfohlen, die hier beschriebenen Schritte zusammen mit den Schritten aus Guide to Baseline Security zu lesen.

Das Security Tool Kit stellt für Computer unter Windows NT 4.0 Terminal Server die folgenden Sammlungen, Abfragen und Pakete bereit.

Tabelle 3: Abfragen, Sammlungen und Pakete für Computer unter Windows NT 4.0 Terminal Server Edition

Schritt 2a: Installieren von Windows NT 4.0 Terminal Server Edition Service Pack 6

Diese SMS-Abfragen und -Sammlungen identifizieren alle Computer unter Windows NT 4.0 Terminal Server ohne Service Pack 6:

Das Paket TSSPA6.sms installiert Windows NT 4.0 Service Pack 6. Nach der Installation wird ein Neustart durchgeführt.

Die Installation von Windows NT 4.0 SP6a aktualisiert das Feld CSD-Version in der Klasse Betriebssystem im SMS-Hardwareinventar. Wenn das Hardwareinventar das nächste Mal ausgeführt wird, werden diese Informationen in der SMS-Datenbank aktualisiert. Dieses Update der SMS-Datenbank und die weiteren Updates der anderen Sammlungen sorgen dafür, dass die Ressourcen in der Sammlung All Windows NT 4.0 Servers running SP6a auftauchen. Diese Sammlungen stehen als Ziele für die im nächsten Abschnitt beschriebenen Ankündigungen zur Verfügung.

Anmerkung: Das Paket Kickhinv.sms kann dazu verwendet werden, die Hardwareinventarisierung für ein bestimmtes System sofort auszuführen.

Mit der folgenden Abfrage überprüfen Sie die erfolgreiche Ausführung von Schritt 2a.

Schritt 2b: Installieren von 265714 für Terminal Server Edition (MS00-095)

Wenn das Paket 265714i.sms ausgeführt wird, wird das System neu gestartet. Die Installation des Windows NT 4.0 265714i Patch Paket MIF wird in eine Tabelle mit den QFE Update-Daten mit dem IsInstalled-Wert 2 für ProductName 265714i importiert.

Mit der folgenden Abfrage überprüfen Sie die erfolgreiche Ausführung von Schritt 2b.

Schritt 2c: Installieren von 266433 für Terminal Server Edition (MS00-070)

Diese SMS-Abfragen und -Sammlungen installieren Patch 266433 auf allen Computern unter Windows NT 4.0 Terminal Server.

Wenn das Paket 266433i.sms ausgeführt wird, wird das System neu gestartet. Die Installation des Windows NT 4.0 266433i Patch Paket MIF wird in eine Tabelle mit den QFE Update-Daten mit dem IsInstalled-Wert 2 für ProductName 266433i importiert.

Mit der folgenden Abfrage überprüfen Sie die erfolgreiche Ausführung von Schritt 2c.

Schritt 2d: Installieren von 269049 für Terminal Server Edition (MS00-052)

Diese SMS-Abfragen und -Sammlungen installieren Patch 269049 auf allen Computern unter Windows NT 4.0 Terminal Server.

Wenn das Paket 269049i.sms ausgeführt wird, wird das System neu gestartet. Die Installation des Windows NT 4.0 269049i Patch Paket MIF wird in eine Tabelle mit den QFE Update-Daten mit dem IsInstalled-Wert 2 für ProductName 269049i importiert.

Mit der folgenden Abfrage überprüfen Sie die erfolgreiche Ausführung von Schritt 2d.

Schritt 2e: Installieren von 280119 für Terminal Server Edition (MS01-008)

Diese SMS-Abfragen und -Sammlungen installieren Patch 280119 auf allen Computern unter Windows NT 4.0 Terminal Server.

Wenn das Paket 280119i.sms ausgeführt wird, wird das System neu gestartet. Die Installation des Windows NT 4.0 280119i Patch Paket MIF wird in eine Tabelle mit den QFE Update-Daten mit dem IsInstalled-Wert 2 für ProductName 280119i importiert.

Mit der folgenden Abfrage überprüfen Sie die erfolgreiche Ausführung von Schritt 2e.

Schritt 2f: Installation und Ausführen von QChain

QChain installiert keine Dateien. Es organisiert die Einträge im Registrierungsschlüssel PendingFileRename. Damit die entsprechenden Änderungen durchgesetzt werden, ist ein Neustart erforderlich.

Schritt 2g: IE Version Detection Utility

Das IE Version Detection wurde vom SMS-Team erstellt, um Administratoren eine Identifizierung der Version von Internet Explorer auf einem System ohne ein Softwareinventar zu ermöglichen.

Wenn das Paket iedetect.sms ausgeführt wird, aktualisiert es eine Tabelle mit den QFE Update-Daten. IsInstalled hat den Wert 2, was zeigt, dass das Utility die Internet Explorer Version erfolgreich identifiziert hat. Das Feld updateID enthält das FDIESnif, und das Feld Description enthält die genaue Version von Internet Explorer.

Schritt 2h: Installation von Internet Explorer 5.01 SP2 oder Internet Explorer 5.5 SP2

Wenn das Paket IES55SP2.sms oder ie55sp2.sms ausgeführt wird, wird das System neu gestartet. Die Installation von SP2 wird in eine Tabelle mit QFE Update-Daten importiert. IsInstalled hat den Wert 2, und ProductName zeigt das entsprechende Internet Explorer-Update.

Mit der folgenden Abfrage überprüfen Sie die erfolgreiche Ausführung von Schritt 2h.

Schritt 2i: Windows Media Player Detection Utility

Das Windows Media Player Detection Utility wurde vom SMS-Team erstellt, um Administratoren eine Identifizierung der Version von Media Player auf einem System ohne ein Softwareinventar zu ermöglichen.

Wenn das Paket mpdetect.sms ausgeführt wird, aktualisiert es eine Tabelle mit QFE Update-Daten, bei der in IsInstalled die UpdateID von MPIESnif steht. Im Feld Description steht die Version von Windows Media Player.

Schritt 2j: Installation des Windows Media Player 6.4 Patch

Wenn das Paket Wmp64.sms ausgeführt wird, wird das System neu gestartet. Die Installation des Windows NT 4.0 Media Player Patch Paket MIF wird in eine Tabelle mit den QFE Update-Daten mit dem IsInstalled-Wert 2 für ProductName WMP64 importiert.

Mit der folgenden Abfrage überprüfen Sie die erfolgreiche Ausführung von Schritt 2j.

Zum Seitenanfang