第六章 补丁管理产品简介
作为专业的安全公司，加安公司早在2002就开始关注补丁管理领域的解决方案。我们测试了在该领域中几乎所有具有代表性的产品，其中包括IBM的Tivoli，LANDesk的Management Suite，微软的SMS2003，SUS，PatchLink的Patchlink Update以及St.Bemard Software的UpdateExpert等等。经测试的产品虽然不是全部的补丁管理的产品，却很好的覆盖了该领域，遗憾的是对于Patchlink Update以及UpdateExpert这两个国外专业的补丁管理产品，虽然在功能非常强大也十分专著，但是由于中文支持问题。暂时无法在中文平台中正常使用。下面我们将对几个最有代表性的产品进行简单介绍。

IBM Tivoli
Tivoli配置管理器的软件分配功能允许您为您的企业部署软件以及系统补丁，对那些需要快速、集中地进行补丁部署的客户而言，它是一款关键的解决方案。软件部署生命周期包括很多步骤，而Tivoli配置管理器通过其阶段管理模式可以帮助您管理这些步骤。从打包、规划、管理到交付、安装、生成报告，Tivoli配置管理器在每个阶段都能为您提供所需的工具。
Tivoli Configuration Manager能让您对企业软件和硬件进行全面控制。它的软件分配模式能让您在中心点快速有效地为多个位置部署复杂的关键任务应用程序。系统部署完成之后，它的清单模式能自动扫描并收集企业中计算机系统的硬件和软件的配置信息。
Tivoli Configuration Manager使用的是由客户端，服务器，后台数据库，控制台组成的统一多层次的管理架构。架构图如下：

Tivoli软件分发采用策略(profile)的方式，在管理策略中制订需要完成的工作：当制订完策略后(Profile)，管理人员可以拖、放到相应对象的图标上，对象可以是一个管理节点、一群Windows2000的PC、一个部门的所有被管理节点等等，Tivoli Framework会根据策略被分发对象的不同属性来实施执行操作。Tivoli的补丁分发使用广域网优化技术，交易机制分发技术，多路分发技术三种核心技术。 分发流程图如下：

1. 对各个客户端安装补丁的情况进行资产收集，将未安装补丁的客户端作为分发的对象。
2. 创建相应的客户端组，对部署进行初步规划。
3. 自动创建微软安全补丁的软件包：Tivoli Configuration Manager自动对微软安全补丁进行打包
4. 自动分发微软安全补丁包：Tivoli Configuration Manager自动向未安装补丁的客户端分发安全补丁包。

Tivoli Configuration Manager主要功能包括：
1. 补丁管理
2. 软件分发
3. 资产管理
4. 操作系统“无接触”安装
5. 带宽优化，多点广播
6. 支持广泛的硬件类型
7. 扩展性强，能与企业目录结合。
8. 支持异构环境的管理



LANDesk
LANDesk成立于1985年，起源于LAN Systems公司，后被INTEL收购，成为英特尔的软件部门，2002年9月，由于软件业务的不断增长，INTEL联合风险投资商共同投资，LANDesk成为独立软件供应商。
LANDesk SOFTWARE作为IT桌面设备管理行业的领导厂商,开发和提供领先的桌面设备、服务器和移动设备管理的软件与服务。LANDesk管理套件作为一个完全集成的模块化软件，拥有IT资产管理、软件分发及修复、OS分发及配置迁移，软件许可监控、远程帮助以及补丁管理器、服务器管理器等多个模块和插件。这些模块能实现企业IT设备全生命周期管理并且在企业信息资源管理系统发生意外损失时，能将损失减少到最低点，同时最大程度的提高IT的投资回报。
LANDesk管理套件是“服务器-代理-控制台”三层架构软件， 代理分布在所有需要管理的终端桌面上，服务器和控制台可以安装在同一台服务器上，也可以分处于不同的物理位置。


补丁管理器能够依据业界标准的信息源主动的扫描所有联网资产：硬件、软件、网络地址、结构以及连接的PDA、打印机等外围设备，并对联网资产进行评估，安全漏洞能够直接在控制台上查看评估结果,并且按漏洞、平台、应用程序或者单独计算机来进行划分并帮助您自定义的应用程序、策略以及安全需要设计您的修补计划。LANDesk全球补丁服务中心提供所有补丁程序，一旦用户设定补丁修补计划，客户端从它那里得到与每个漏洞相关的补丁。LANDesk 管理套件已定义近100种各类型报表，能够随时以报表的方式展示所有资产信息，并与Crystal report紧密集成，由用户自定义报表类型。同时，LANDesk支持以WEB方式展示报表内容。
LANDesk产品主要功能
 保持最新的安全补丁和病毒更新
 高效的安装和维护桌面软件
 减少软件许可证的费用以及响应审计的要求
 降低支持中心费用
 自动的发现和管理软硬件资产
 向新操作系统迁移用户和配置信息




SMS
SMS是微软提供的面向企业的网络管理软件，它是基于Windows 2000动态目录管理，适用于大型企业。它能够协助系统管理员轻松收集企业内部计算机硬件配置和所安装的软件清单，准确判断哪些机器需要更新，哪些机器可以运行新的软件。SMS提供了远程故障处理工具，很大程度上减少企业维护成本。SMS提供160种报告模板，管理员可以根据需要生成所需的报告，协助管理员的系统文档管理。
  Systems Management Server 2003使用扩展的分布式、层级化体系结构。主要包括：主控站点服务器，辅助站点服务器，管理点，客户端访问点以及分配点。
主控站点服务器:负责对SQL Server数据库中的信息存储实施管理。
辅助站点服务器:主要充当所需维护水平较低的受控系统远程代理。
管理点:为高级客户端提供站点服务器接口。所有客户端策略都将通过管理点被传递给高级客户端。
客户端访问点:使用标准客户端的计算机将通过客户端访问点与它们的站点服务器进行通信。
分配点:任何Windows服务器均可充当分配点，因为这个角色仅负责基于Windows共享或通过前述BITS协议提交分配软件包。

使用SMS进行补丁管理主要四个步骤组成，评估，确认，计划，部署。
评估：通过SMS2003，管理员可以发现和盘点现有的资产，包括详细软硬件的版本和类型。检测资产的安全威胁和漏洞，确定软件更新最佳的信息源，评估现有的软件分发基础结构，评估其操作效力。
确认：SMS2000使用Microsoft 基线安全分析器 (MBSA) 扫描漏洞。MBSA也可以扫描指定域中的所有计算机，以查找缺少的和已安装的软件更新。这些扫描结果可以用来确定和发现您环境中缺少的软件更新。您还可以使用 SMS 2003 中软件更新功能组件扫描并报告您的环境中缺少的和已安装的软件更新。SMS 2003的报告会显示一个列表，它列出了所有已经安装的或可以安装的软件更新以及它们的相关信息。它还列出了缺少软件更新的计算机数量，以及已经安装了软件更新的目标计算机数量方便管理员确认。
计划：规划补丁的分类以及优先级，使用分发软件更新向导程序，创建分发和安装软件更新所需的 SMS 程序包和并制定自动更新安装计划。
部署：使用 SMS 2003 的向导把生成程序包部署到相应的客户端，并使用报告确定计算机或目标组的更新部署是否成功。

SMS2003的主要功能：
 计算机资产管理
 自动软件及补丁分发
 集成及扩充了Active Directory
 移动支持与带宽管理
 远程管理
 强大的WEB报告功能


SUS
微软的Software Update Services (SUS) 是微软为客户提供的，致力于帮助用户对基于 WIN2000/XP/2003 等机器快速部署最新的重要更新和安全更新的免费软件。SUS由服务器组件和客户端组成。 服务器组件负责软件更新服务，称为 SUS 服务器，用于安装在公司内网的Windows 2000或Windows2003的服务器上。服务器提供通过基于 Web 的工具管理和分发更新的管理功能。而客户端组件就是微软的自动更新服务（Automatic Updates），负责接收从服务器中产品更新的计算机上运行。
使用SUS进行补丁管理也有四个步骤组成，评估，识别，计划，部署。
评估：SUS提供标准合并报告，管理员可以在报告的基础上进行评估。这些报告提供与 SUS 服务器联系的计算机列表，然后是这些计算机的操作系统、语言和服务包级的列表。报告还将识别计算机安装或丢失了哪些更新并确定服务器的正常运行。
确认：通过SUS管理工具允许管理员创建订阅。管理员使用订阅可以确定按照产品和分类哪些更新与 Windows Update服务器同步，可以设置自动同步 SUS 服务器的计划，创建计算机目标组以及确定要下载和安装到这些组的更新，运行预先部署检查和安排自动更新安装计划。
计划：设置自动同步 SUS 服务器的计划，创建计算机目标组以及确定要下载和安装到这些组的更新，运行预先部署检查和安排自动更新安装计划。
部署：通过 SUS 管理工具，管理员可以指定计算机的目标组并确定要部署到这些组的更新并要建立更新应用至产品的顺序。管理员最后使用报告确定计算机或目标组的更新部署是否成功。

SUS主要功能
1. 自动检测、下载和安装适用更新
2. 用户可用的计划和通知选项
3. 使用Microsoft 签名的特定内容
4. 扩展对包括 Office、SQL Server、Exchange 和硬件驱动程序在内的 Microsoft 产品的支持
5. 自动排列优先级和下载重要更新
6. 通过后台智能传输服务 (BITS) 技术提高带宽效率
7. 改进了报告能力，使管理员能够监视更新部署状态和服务器的正常运转
8. SQL Server 引擎用作 SUS 2.0 数据知识库