Systems Management Server 2003

別讓MIS因為系統漏洞而疲於奔命

長久以來，電腦管理總是資訊部門心中最深沈的痛。不同的設備使用不同的作業平臺，加上為數眾多的用戶端電腦，每天處理各式各樣的問題就耗去大量的時間及精力。其實許多網路安全問題只要定期檢視系統漏洞或是更新病毒碼就能夠解決。但是大多數的使用者往往會害怕操作不熟悉的步驟，只倚賴資訊部門人員協助，使得企業系統管理成為最簡單也最麻煩的事情，而集中式系統管理軟體也成為資訊人員相當期盼的工具。

微軟的Systems Management Server（SMS）2003具有許多新增功能，能夠有效幫助資訊部門人員透過網路從各種層面管理企業內部設備，並且主動更新用戶端電腦上的作業系統，補強系統漏洞，使用者不再需要手動更新，減少問題發生的機率及重複作業造成的時間浪費。

SMS 2003需要安裝在Windows Server 2003（Web Edition版本無法安裝）或是Windows 2000 Server SP2以上的系列版本，還需要安裝SQL Server 7.0 SP3或是SQL Server 2000 SP3a以上的版本，才能夠安裝使用SMS 2003，搭配上IIS，還可以啟動網頁報告及回復系統等功能。在用戶端電腦部分，則是需要Windows 98以上的作業系統，不過依據其他應用程式的要求不同，也會有較為嚴格的規定。

SMS 2003的主要功能都是由Administrator Console所控制，管理者可透過單一介面管理並且檢視網域中所有相關連的電腦，藉由網域帳號可以設定不同的權限，包含軟體配發的項目、遠端存取的操作權限、可使用的應用程式等。

與SMS 2.0相比，SMS 2003新增並改善許多功能，能夠提供企業整體管理能力，加強安全性與行動力，透過與網域的結合，更提高了整體網路的安全與穩定。SMS 2003將功能分為6大項目：應用程式部署、資產管理、安全性修補檔案管理、行動力與Windows管理服務整合，只要在用戶端電腦安裝SMS用戶端程式，就能夠透過SMS伺服器安裝並管理，不再需要東奔西跑。提供所需軟體，員工不再缺乏工具

SMS 2003在應用程式及資產管理部分提供了多種新功能，可以讓資訊人員詳細地規畫如何部署應用程式，依據不同條件及權限，安裝不同的應用程式。只要將應用程式封裝成msi檔案，SMS 2003就能夠自動安裝到用戶端電腦上。只需要在伺服器中設定派送企業內部需使用的應用程式，就算有新的電腦加入網域，資訊人員也不再需要耗費時間逐一安裝。

或許有人會擔心，萬一用戶端電腦系統不符合應用程式的需求怎麼辦？SMS 2003也增強了用戶端電腦的硬體清查功能，可以檢測系統及硬體狀態，並且透過IIS提供網頁式報告，管理人員能夠快速查閱並核對應用程式的系統需求，隨時將網域中的設備維持在最佳狀態，提高設備的可用度。網頁中的報告項目也相當清楚，可以查閱各臺用戶端電腦中的硬體裝置、內部網路狀態、電腦作業系統類別、應用軟體配發狀態等項目，並具備詳盡的錯誤檢視報告，讓管理人員能夠有效管理網域中的各項設定，對企業內部的電腦有更清楚的了解。

SMS 2003也可以讓管理人員依據不同系統組態調整安裝設定，並建立出多個群組，依據不同群組的特性安裝相對應的應用程式，使用者不用再被迫接受不需要使用的應用程式或設定。

管理者也可以設定不同的使用權限，限制使用者執行特定程式，增強網域內的管理能力。設定完多組管理模式之後，我們也能夠將設定檔備分出來，避免因為硬體毀損或是其他問題造成伺服器當機後，無法還原設定的風險。防堵不再是唯一，更新漏洞才是保全之道

網際網路上的病毒或攻擊程式不斷地肆虐著，許多企業為了防止災難發生都安裝了防火牆及防毒軟體，但是這種防堵畢竟只能治標而無法治本，如疾風、MyDoom等病毒或駭客程式，都是攻擊微軟系統的安全漏洞而造成危害，許多用戶端電腦往往都是沒有定期更新而演變成內部網路中隱而未顯的病灶，隨時都有發作的可能。為了避免使用者沒有定期更新造成的危害，SMS 2003提供了安全性修補檔案管理的功能，增加弱點識別、修補檔部署精靈與弱點評估及報告等項目。

SMS會定期掃描網域中管轄的所有機器，並辨別目前暴露出來的弱點，做成統整性的報告讓網管人員可以了解目前網域中已產生的弱點並加以補強；並且利用修補檔部署精靈自動安裝重大更新檔案，避免新的漏洞造成更多問題。

除了更新作業系統之外，SMS 2003也可以更新相關的應用程式，只需要下載該應用程式的更新檔案，其他設定就如同修補檔更新的方式，交由SMS 2003自動更新，讓用戶端電腦隨時保持在最新狀態。整合企業內部網路，增強行動效能

SMS 2003與管理服務整合後，可以有效支援網域架構，並且可以主動探索整個網域中的設備及站臺界限，並能夠與Server 2003的進階安全模式整合，提供整體網域良好的安全機制與管理效能。在網域中不同權限的帳號，在同一臺電腦上的應用程式使用權利也會不同，能夠確保使用者不會安裝非法軟體影響內部網路安全。

管理人員也可以透過SMS 2003的管理模組連線到遠端電腦，協助使用者解決問題，有效發揮網路效能。具備完整的說明文件及線上說明模式，不過大多數文件都是英文版本且稍嫌複雜，閱讀時可能會造成部分管理人員不小的負擔。

為了因應行動辦公室的發展，SMS 2003也增加對行動用戶的支援能力。除了可以主動偵測用戶端目前所使用的頻寬，自動調整更新所需的頻寬之外，下載更新檔或配發軟體時，可以如同續傳軟體一樣，藉由所設定的檢查點自動接續下載，解決了過往使用網頁下載時，萬一斷線之後還必須重新下載的煩惱。並且可以自動偵測用戶所在的位置，並選擇離用戶端最近的SMS站臺，能夠有效減輕主伺服器的負擔，並增加網路使用率。控制功能強大，有效管理內部網路

我們在Windows Server 2003上安裝SQL Server 2000企業版及SMS 2003，並開啟IIS以啟動完整的控制及報表功能，並使用3臺用戶端電腦以檢視SMS 2003的遠端控制功能。

整個安裝過程相當簡單，僅需幾個步驟就能夠啟動SMS 2003主要站臺，並且開啟相關管理功能，然而需要注意相關功能是否安裝完畢，否則容易導致無法執行。

在安裝完伺服器端與用戶端應用程式後，我們開啟自動安裝選項，並下載MSSecure及OFFICESecure更新套件，讓SMS 2003自動更新所有連結的用戶端電腦。當用戶端電腦登入網域之後，我們就可以看到系統正在自動更新相關修補檔，除了可以即時修正系統漏洞之外，也能夠避免使用者因為忽略了重大更新而造成更大的危害。

另外我們也設定數個應用程式及相對應的帳號讓SMS 2003自動配發，安裝完畢後，在使用一般帳號的用戶端電腦上我們並沒有看到該應用程式，只有使用合法帳號的電腦才能執行。我們也能夠從SMS 2003連線到遠端電腦，協助電腦有問題的用戶解決困難，提高工作效率及應變能力。

隨著企業內部的電腦設備越來越多，資訊管理人員的負擔也相對加重，使用有效的系統管理軟體並搭配適當的政策規則，不但能夠集中管理，並且也可避免不必要的風險，提高設備可用性，讓員工更能專注在工作上，發揮更好的工作效率。文⊙羅健豪