微軟SUS, WSUS, SMS 比較分析

SUS, WSUS, SMS分別是軟件更新服務、微軟Windows服務器更新服務、系統管理服務器。微軟明年將爲軟件更新服務(SUS)提供即時支持，這樣的話，使用補丁管理工具的組織須要作出一個抉擇。他們是採用Windows服務器更新服務——微軟針對軟件更新服務的下一代替換品——或者微軟系統管理服務器，或者採用第三方解決方案呢?讓咱們先來看看軟件更新服務、微軟Windows服務器更新服務、系統管理服務器之間的區別，當公司可能但願在非微軟的補丁和更新工具方面投資的話。

　　 經過縮寫分類

　　微軟Windows服務器更新服務(WSUS)是在2005年7月發佈的，而且免費。WSUS是對被取代事物的更新——軟件更新服務(SUS)，它也是微軟爲服務信息塊(SMB)市場推薦的補丁和更新工具。WSUS運行在Windows Server2000和2003環境下，而且它對Windows2000(使用SP3)和XP主機下的微軟更新代理產生影響使其支持補丁傳送和安裝。雖然這個工具功能強大，可是它可能並不支持大公司所要求的某些特性，如複雜靈活的行程安排和庫存管理。

　　若是你的組織願意支付一些費用，微軟將會給你係統管理服務器(SMS)2003版。與微軟Windows服務器更新服務(WSUS)相比，系統管理服務器(SMS)可以提供更加高級的管理員管理特性。特別地，系統管理服務器(SMS)包含對安裝和重啓的控制、一張各個組成部分的清單以確保一致性、以及一個可定製的界面。

　　雖然系統管理服務器(SMS)提供相對牢固的補丁和更新支持，可是仍然仍是有一些缺陷。系統管理服務器(SMS)沒法支持非Windows系統。當企業使用的是混合系統，如*NIX and MacOS 時，咱們仍然須要尋找一種方法來實如今這些系統上的補丁和更新管理。許多大公司投資時間和精力來配置脆弱性管理部件，這些部件是經過網絡或者桌面操做組被管理和監視的。舉例說明，一個公司使用IBM公司的Tivoli工具來彙集而且存儲他們的資產清單信息，或者使用CA公司的Unicenter工具來執行全部的軟件更新和包傳遞，然而這家公司可能並不但願經過系統管理服務器(SMS)在執行這些功能時改變了原來的操做程序。事實上，也許背後存在着某些強迫的緣由使他們不得不把這些功能保留。

　　 是第三方有魅力嗎?

　　徹底脆弱性管理解決方案不單單是由發送補丁到Windows設備組成的。綜合脆弱性管理包括保存當前網絡上全部系統和應用程序的清單、經過使用掃描和消息機制來決定當前的脆弱性和暴露點，以及在系統上維護正確的補丁和配置等級。健壯的管理和發送報告對於大多數企業而言一樣也是很是重要的。在對任何解決方案作出決定以前，請先明確的記錄這一解決方案須要知足的業務需求，如哪些系統必須被覆蓋、以及發送報告的能力須要達到何種粒度。

　　有許多公司關注Windows下安裝非微軟應用程序所致使的脆弱性，對於這些公司而言經過報警提示和諮詢記錄的方式實在是極度的耗費時間。第三方脆弱性管理經銷商持有當前關於多種系統和應用程序脆弱性的列表，而且他們能夠爲用戶發送報警提示和更新。

　　許多第三方脆弱性管理經銷商也提供對脆弱性的粗粒度優先化、以及改變資產分類等級的能力，這個分類等級是根據對企業重要程度而獲得的。經過把重要資產進行分類以及對脆弱性嚴重程度的排序，公司能夠把他們的補救工做區分優先次序。對於大的企業來講，一次性安裝上全部的補丁和更新也許是沒法完成的，可是徹底有能力首先針對最爲嚴重和脆弱的系統，這就表明着避開蠕蟲病毒和關閉生產服務器之間的差別。

　　 還有一個選擇

　　咱們須要說起的是微軟還提供一個工具——微軟基線安全分析器(Microsoft Baseline Security Analyzer)。微軟基線安全分析器(MBSA)是爲服務信息模塊(SMB)市場而設計的，它可以掃描Windows系統當前的補丁和更新等級而且配置相應的狀態。它還能夠與第三方經銷商提供的安全解決方案兼容使用，如IBM公司的Tivoli 和PatchLink工具。

　　微軟爲實現補丁和更新管理提供大量的工具，可是補丁並非脆弱性管理的惟一方式。對於一些企業而言，系統管理服務器(SMS)2003版是適合業務的需求的，可是對於另一些，最適合的工具也許是第三方經銷商所提供更加健壯和豐富特性的脆弱性管理工具。