简介
Microsoft 承诺不断提供安全更新的检测工具和部署建议,作为这一承诺的一部分,Microsoft 将为 Microsoft 安全响应中心 (MSRC) 发布周期内发布的所有更新提供此检测和部署指南。
本指南中包含的建议以不同 Microsoft 操作系统环境中可能存在的各种方案为基础。本指南包含有关如何使用下列工具的信息:-
Windows Update
-
Microsoft Update
-
Microsoft Baseline Security Analyzer (MBSA)
-
Windows Server Update Services (WSUS)
-
Microsoft System Center Configuration Manager 2007 (Configuration Manager 2007)
-
Microsoft Systems Management Server (SMS) 2003
-
扩展安全更新清单工具
本文详细描述了此列表中的多个检测和部署产品不支持的 Microsoft 软件。System Center Configuration Manager 2007。对于仍然使用 SMS 2003 Service Pack 3 的客户,也可选择用于 Microsoft Updates 的 SMS 2003 清单工具 (ITMU)。
注意 Microsoft 已于 2011 年 4 月 12 日停止支持 SMS 2.0。对于 SMS 2003,Microsoft 也已于 2011 年 4 月 12 日停止支持安全更新清单工具 (SUIT)。鼓励客户升级到更多信息
检测和部署
使用 Windows Update、Microsoft Update 和 Office for Mac 网站进行检测和部署安全更新的环境
Windows Update
http://update.microsoft.com/windowsupdateWindows Update 支持的产品如下:
-
Windows XP
-
Windows Server 2003
-
Windows Vista
-
Windows Server 2008
-
Windows 7
-
Windows Server 2008 R2
Microsoft Update
http://www.update.microsoft.com/microsoftupdate/Microsoft Update 不支持以下产品:
-
Visual Studio 2002
-
Visual Studio 2003
-
Platform SDK:GDI+
-
任何 Macintosh 产品
-
MSN Messenger
-
Windows Live Messenger
Office for Mac 网站
http://www.microsoft.com/china/office/macOffice for Mac 网站支持以下产品:
-
Microsoft Office 2004 for Mac
-
Microsoft Office X for Mac
-
Microsoft Office 2008 for Mac
-
Microsoft Office 2011 for Mac
使用 Microsoft Baseline Security Analyzer (MBSA) 2.2 版检测安全更新的环境
MBSA 2.2 不支持以下产品:
-
Visual Studio 2002 或 Visual Studio 2003
-
Platform SDK:GDI+
-
任何 Macintosh 产品
-
MSN Messenger 或 Windows Live Messenger
脱机和联机扫描
-
联机扫描
当 MBSA 2.2 扫描的系统与 Microsoft Update 连接时,会发生联机扫描。已完成的扫描报告中将显示这一点。 -
脱机扫描
当 MBSA 2.2 扫描的系统由 WSUS 托管,或者在脱机安全环境中强制系统使用 Wsusscn2.cab 脱机目录时,会发生脱机扫描。
使用 Windows Server Update Services (WSUS) 检测和部署安全更新的环境
如果使用以下项,则可检测和部署安全更新:
-
WSUS 3.0 SP2
WSUS 不支持以下产品:
-
Visual Studio 2002
-
Visual Studio 2003
-
Platform SDK:GDI+
-
任何 Macintosh 产品
-
MSN Messenger
-
Windows Live Messenger
使用 SMS 2003 或 Configuration Manager 2007 检测和部署安全更新的环境
如果使用以下任意项,则可检测和部署安全更新:
-
带 SUS 功能包的 SMS 2003
-
带 Microsoft Updates 更新清单工具 (ITMU) 的 SMS 2003
-
Configuration Manager 2007
注意
-
SMS 2003 Service Pack 3 (SP3) 包含对 Windows Vista 和 Windows Server 2008 可管理性的支持,也是便于管理后者的必需项。
-
带 SUS 功能包的 SMS 2003 需要扩展安全更新清单工具才能检测所有安全更新。
-
带有 ITMU 和 Configuration Manager 2007 的 SMS 2003 不支持以下产品:
-
Visual Studio 2002
-
Visual Studio 2003
-
Platform SDK:GDI+
-
任何 Macintosh 产品
-
MSN Messenger
-
Windows Live Messenger
-
-
带 SUS 功能包的 SMS 2003 不支持以下产品:
-
Microsoft Expression Web
-
Microsoft Expression Web 2
-
Microsoft Host Integration Server 2000、2004 和 2006
-
Report Viewer 2005
-
Report Viewer 2008
-
Windows Media Player 11
-
Microsoft QL Server 2005
-
SQL Server 2008
-
Visual Studio 2008
-
Microsoft Exchange Server 2007
-
Exchange Server 2010
-
2007 Office system
-
Office 2010
-
Windows Internet Explorer 7、Internet Explorer 8 或 Internet Explorer 9
-
Windows Vista
-
Windows 7
-
Windows Server 2008
-
Windows Server 2008 R2
-
Search Server 2008
-
任何基于 x64 的 Windows 或 SQL Server 版本
-
任何基于 Itanium 的 Windows 或 SQL Server 版本
-
-
带有 SUS 功能包的 SMS 2003、SMS 2003 ITMU 和 Configuration Manager 2007 不支持任何 Macintosh 产品。
首字母缩写表
以下首字母缩写用于帮助阅读“检测和部署指南概述”部分中的表格。
首字母缩写 |
产品 |
---|---|
WU |
Windows Update |
MU |
Microsoft Update |
MBSA |
Microsoft Baseline Security Analyzer |
WSUS |
WSUS 3.0 |
SUSFP |
SMS 2003 SUS 功能包 |
ITMU |
用于 Microsoft Updates 的 SMS 2003 清单工具 |
Configuration Manager 2007 |
System Center Configuration Manager 2007 |
检测和部署指南概述
下表概述了每个产品的检测和部署异常。
通常情况下,MU、MBSA、WSUS、SMS ITMU 和 Configuration Manager 2007 都支持相同的产品,因为它们都基于相同的元数据。 如果某一栏中的字段为空,则表示没有检测和部署工具可应用到该产品的该栏中。 注意此表不包括所有的 Microsoft 产品。该表包括 Windows 和 SQL Server 等主要产品。“其他产品”部分包括 Microsoft 已向其发布安全更新的产品,且这些产品之一存在例外。可能会随时添加新产品。
产品 |
不支持的检测和部署 |
支持的检测和部署 |
Windows |
Office |
SQL Server |
Exchange Server |
其他产品 |
---|---|---|---|---|---|---|---|
Windows XP |
WU、MU、MBSA、WSUS、SUSFP、ITMU、Configuration Manager 2007 |
||||||
Windows Server 2003 |
WU、MU、MBSA、WSUS、SUSFP、ITMU、Configuration Manager 2007 |
||||||
Windows Server 2008 |
SUSFP |
WU、MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
|||||
Windows Server 2008 R2 |
SUSFP |
WU、MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
|||||
Windows Vista |
SUSFP |
WU、MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
|||||
Windows 7 |
SUSFP |
WU、MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
|||||
Windows Internet Explorer 7、8 和 9 |
SUSFP |
WU、MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
|||||
Windows Media Player 11 |
SUSFP |
WU、MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
|||||
任何基于 Itanium 的 Windows 版本 |
SUSFP |
WU、MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
|||||
任何基于 x64 的 Windows 版本 |
SUSFP |
WU、MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
|||||
Office 2003 |
MU、MBSA、WSUS、SUSFP、ITMU、Configuration Manager 2007 |
||||||
2007 Office system |
SUSFP |
MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
|||||
Office 2010 |
SUSFP |
MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
|||||
SQL Server 2000 |
MU、MBSA、WSUS、SUSFP、ITMU、Configuration Manager 2007 |
||||||
SQL Server 2005 |
SUSFP |
MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
|||||
SQL Server 2008 |
SUSFP |
MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
|||||
任何基于 Itanium 的 SQL Server 版本 |
SUSFP |
MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
|||||
任何基于 x64 的 SQL Server 版本 |
SUSFP |
MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
|||||
Exchange Server 2003 |
MU、MBSA、WSUS、SUSFP、ITMU、Configuration Manager 2007 |
||||||
Exchange Server 2007 |
SUSFP |
MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
|||||
Exchange Server 2010 |
SUSFP |
MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
|||||
任何 Macintosh 产品 |
MU、MBSA、WSUS、SUSFP、ITMU、Configuration Manager 2007 |
||||||
Microsoft Forefront Client Security 1.0 |
SUSFP |
MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
|||||
Host Integration Server 2000、2004、2006、2009 和 2010 |
SUSFP |
MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
|||||
Microsoft Expression Media v1 和 v2、Microsoft Expression Web 3 和 4 |
SUSFP |
MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
|||||
Windows Live |
SUSFP |
MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
|||||
Platform SDK:GDI+ |
MU、MBSA、WSUS、SUSFP、ITMU、Configuration Manager 2007 |
||||||
Search Server 2008 |
WU、SUSFP |
MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
|||||
Visual Studio 2002 或 Visual Studio 2003 |
MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
SUSFP |
|||||
Visual Studio 2005 和 2008 |
SUSFP |
MU、MBSA、WSUS、ITMU、Configuration Manager 2007 |
常见问题
为了提供有关如何部署这些更新的指南,Microsoft 都做了哪些工作?
我们鼓励系统管理员收听每月播出的技术性网络广播,以了解有关安全更新的更多信息。每个月都会播出网络广播。要进行注册,请访问下面的 Microsoft 网站:http://msevents.microsoft.com/cui/default.aspx?culture=zh-cn输入“安全公告(级别 200)”进行搜索,然后按日期排序。这些网络广播可提前几个月安排,因此请确保查找您想查看的网络广播的特定月份和年份。 我还应了解有关 MBSA 的哪些信息? 有关 MBSA 当前支持程序的更多信息,请访问下面的 Microsoft TechNet 网页:
http://technet.microsoft.com/zh-cn/security/cc184923.aspx我是否可以使用 SMS 或 System Center Configuration Manager 来确定是否需要更新? 有。SMS 可以帮助检测和部署这些安全更新。带有 SUSFP 的 SMS 2003 使用 MBSA 1.2.1 版技术用于检测。因此,带有 SUS 功能包的 SMS 2003 具有与 MBSA 1.2.1 版类似的限制。 有关 SMS 的详细信息,请访问以下 Microsoft TechNet 网站:
http://technet.microsoft.com/zh-cn/library/cc181833.aspx必须将 SUS 功能包与扩展安全更新清单工具结合使用,才能检测到有关 Microsoft Windows 和其他受影响 Microsoft 产品的所有安全更新。 有关 SUS 功能包限制的详细信息,请访问以下 Microsoft 网站:
软件更新服务功能包带有 SUS 功能包的 SMS 2.0 和带有 SUS 功能包的 SMS 2003 也使用 Microsoft Office 清单工具检测 Microsoft Word 等 Microsoft Office 程序所需的安全更新。 SMS 2003 客户还可以使用 ITMU 检测和部署安全更新。ITMU 使用 Microsoft Update 中的技术。有关 ITMU 的详细信息,请访问以下 Microsoft 网扎:
http://technet.microsoft.com/zh-cn/systemcenter/bb676783 Configuration Manager 2007 使用 WSUS 3.0 对这些安全更新进行检测和部署。因此,Configuration Manager 2007 支持 WSUS 3.0 所支持的任何内容。