Управление заплатами (patch management, без сомнения, является одной из наиболее критически важных и сложных проблем наших дней, связанных с безопасностью операционных систем Windows. Эта проблема обострилась в последние несколько месяцев из-за увеличения частоты выпуска Microsoft заплат, расцениваемых как «критические», что являлось реакцией компании на злонамеренные программы, использующие возможности основных уязвимостей (для того, чтобы получить полный список заплат, обратитесь к разделу Web-сайта Microsoft, посвященному проблемам безопасности).
Это становится особенно важным, поскольку Microsoft изменила собственную классификацию степени безопасности систем в начале 2003 года, введя категорию «важная» (important) (в дополнение к «критической», «умеренной» и «низкой» категориям), чтобы более точно отражать уровень срочности, который должен приниматься во внимание при развертывании заплат. Благодаря этому, «критическая» оценка резервируется только для уязвимостей, которые могут быть использованы злонамеренными Интернет-червями, распространяющихся без вмешательства пользователей.
Давление со стороны заказчиков, вынуждающее предоставлять аварийное программное обеспечение, развертываемое на сотнях или даже тысячах компьютеров, заставляет Microsoft искать средства для облегчения подобных усилий. Это привело к новому циклу выпуска заплат, появление которого относится к ноябрю 2003 года. В отличие от предыдущего еженедельного расписания (каждая среда), новые заплаты теперь становятся доступными для загрузки во второй вторник каждого месяца (за очевидным исключением для критически важных выпусков). И хотя это изменение упрощает для корпоративных ИТ-подразделений координацию графиков развертывания, им необходимо также выбрать методологию, позволяющую учитывать и устанавливать заплаты на всех управляемых системах Windows с максимальной точностью и скоростью (это особенно важно, поскольку теперь уже очевидно, что даже несколько зараженных червем компьютеров могут серьезно снизить функциональность всей компьютерной сети).
В статьях этой серии предпринимается попытка оценить возможности, доступные в настоящее время, поскольку мы пытаемся упростить процесс выбора. Мы обсудим как бесплатные методы развертывания (основанные на усовершенствованиях в операционных системах Microsoft, инструментах сторонних производителей и решениях, основанных на использовании сценариев), так и продукты, поставляемые на платной основе. Эта первая статья дает обзор разработок в технологиях, связанных с установкой заплат, сделанных за последние несколько лет и обсуждает главные концепции управления заплатами.
Наиболее простым и популярным решением Microsoft по управлению заплатами является инструмент Windows Update, представленный в Windows 2000 (и получивший дальнейшее развитие в Windows XP и 2003). Этот инструмент прост в установке и конфигурировании (особенно после усовершенствований групповых политик (Group Policy, добавленных в Windows XP, основан на агентах (agent, запускаемых на целевых системах и запрашивающих новые заплаты из предварительно определенного расположения (по умолчанию, это группа управляемых Microsoft серверов Windows Update. Windows Update способен обслуживать как отдельных пользователей, так и небольшие предприятия. К сожалению, он не очень хорошо подходит к жестко структурированным корпоративным средам, в которых изменения должны контролироваться более надежно и централизованно. Кроме того, Windows Update был предназначен только для новейших операционных систем, тогда как подавляющая часть настольных систем и серверов продолжала работать под Windows NT 4.0.
Возможно вы искали - Доклад: Ваш собственный сервер: установка Windows Server 2003
Чтобы обеспечить большую избирательность в развертывании заплат и принимая во внимание проблему традиционных операционных систем, Microsoft обратила свое внимание на продукты, поставляемые сторонними разработчиками. Похоже, что эпидемии Code Red и Nimda, вспыхнувшие в сентябре 2001 года, ускорили это решение. Сначала Microsoft обратилась к неотложным нуждам, выпустив утилиту IIS Lockdown для автоматического конфигурирования безопасности Internet Information Server; однако было ясно, что существует потребность для более общих решений по устранению других уязвимостей операционных систем Windows.
Первоначально, отсутствие готовых решений в этой области восполняли такие сторонние производители, как Patchlink (Update Patch Management, GravityStorm (Service Pack Manager 2000), St. Bernard Software (UpdateEXPERT и Shavlik Technologies (HFNetChkPro. Microsoft заключила контракт с Shavlik Technologies на разработку утилиты HFNetChk, работающей из командной строки, функционально ограниченной версии инструмента компании, обеспечивающей только функциональные возможности по составлению отчетов. И хотя утилита HFNetChk не может в полной мере состязаться с более совершенными (включающими возможности развертывания заплат), основанными на использовании графического интерфейса инструментами, она была бесплатной и позволяла провести учет заплат не только для ОС Windows NT 4.0 или более поздних версий, но также для ряда приложений Microsoft, таких как SQL Server, Exchange Server, Windows Media Player и Internet Explorer. Ее сканирующее ядро впоследствии было использовано в инструменте Microsoft Baseline Security Analyzer (MBSA, также разработанном для Microsoft компанией Shavlik Technologies (его версия 1.0 была выпущена в марте 2002 года). Как и ее предшественница, MBSA был ограничен подготовкой отчетов, но предлагал улучшенные возможности сканирования, а также работу как из командной строки, так и из графического пользовательского интерфейса.
Для поставки пользователям рентабельного решения по развертыванию заплат, которое также позволило бы им централизованный контроль над тем, какие заплаты уже установлены, в июне 2002 года Microsoft выпустила службу Software Update Services (SUS) 1.0 (в настоящее время на стадии SP1 – выход v2.0 ожидается в первом квартале 2004 года). Доступная для свободной загрузки, SUS реализует преимущества компонента Windows Update (что ограничивает его использование Windows 2000 и более поздними ОС) и использует основанные на интранет, корпоративные серверы Windows Update, с которых внутренние клиентские компьютеры получают проверенные обновления. Параметры обновления клиентов могут быть заданы с помощью групповых политик, в то время как настройки сервера конфигурируются с помощью интуитивно понятного, основанного на IE, интерфейса. Поскольку SUS не предоставляет какой-либо функциональности по составлению отчетов по инвентаризации, необходимо сочетать ее с MBSA или иным сопоставимым по возможностям инструментом.
Также Microsoft разработала комплексное решение по развертыванию заплат, как часть Feature Pack – дополнения (add-on) к Systems Management Server (SMS 2.0 (без дополнительной платы за the Feature Pack; чтобы использовать его, нужно просто приобрести и развернуть SMS 2.0). Feature Pack комбинирует инвентаризацию (его сканирующий процесс использует Microsoft Baseline Security Analyzer) и развертывание. В недавно выпущенную SMS 2003 были встроены дополнительные улучшения в области управления заплатами. Последующие статьи этой серии будут рассказывать об этих инструментах, а также о наборе подобных продуктов сторонних производителей.
Подобные улучшения в управлении заплатами упростили задачу поддержания безопасности сред Windows. Хотя выпуск ОС Longhorn с ее революционными изменениями в этой области отложен на некоторое время, последние инициативы Microsoft принесли значимые улучшения. Например, число заплат, для которых не требуется перезагружать систему, постоянно увеличивается.
Похожий материал - Реферат: Настройка файла подкачки для оптимизации Windows XP
Бесплатная утилита QCHAIN.EXE позволяет объединять несколько исправлений (hot fixe в единый пакет (для подробностей и разъяснений, посмотрите статью 296861 из Базы Знаний (КВ) Microsoft). Стратегия Microsoft на ограничение обновлений только отдельными заплатами отменена, что привело к выпуску Update Rollup 1 for Windows XP в октябре 2003 года. Это упрощает применение заплат, выпущенных после Windows-XP-SP1 для вновь устанавливаемых систем. Ожидается, что скоро заплаты будут доступны в формате .MSI, устраняющим необходимость создания индивидуальных пакетов в тех средах, где используется развертывание на основе групповых политик. Возможно, однажды Windows Update будет предлагаться даже в виде Web-службы, помогающей разработчикам создавать внутренние решения по развертыванию обновлений, основанные на технологии .NET.
В основном, решения по управлению заплатами используют подход, очень похожий на инвентаризацию и развертывание, хотя ясно, что детали реализации могут различаться. Инвентаризация опирается на внутреннюю БД в определении того, что рассматривается как рекомендуемый уровень заплат и предоставляет критерий для обоснования того, какая именно заплата должна устанавливаться. Продукты от Microsoft и Shavlik Technologies (на которых основаны HFNetChk, MBSA и SMS 2.0 Feature Pack, отслеживают опубликованные на Web-сайте Microsoft заплаты с помощью такого же механизма, основанного на файле, форматированном в XML, называемом mssecure.xml. Этот файл, доступный централизованно в предварительно установленных расположениях, служит в качестве шаблона, с которым сравнивается состояние обновлений на целевых системах. mssecure.xml может быть получен напрямую или в его сжатой, с цифровой подписью версии, mssecure.cab. Оба файла могут быть загружены с:
Web-сайта Microsoft по ссылкам https://www.microsoft.com/technet/security/search/mssecure.xml и http://download.microsoft.com/download/xml/security/1.0/nt5/en-us/mssecure.cab
Web-сайта Shavlik.com по ссылкам https://xml.shavlik.com/mssecure.xml и http://xml.shavlik.com/mssecure.cab
Вы можете открыть файл mssecure.xml в InternetExplorer и просмотреть его содержание. Начиная с версии 5, этот браузер имеет встроенный анализатор (parserXML. Для более старых версий, установите XMLParserv4, который можно загрузить по ссылке http://msdn.microsoft.com/library/default.asp?url=/downloads/list/xmlgeneral.asp. В качестве альтернативы вы можете использовать любой другой инструмент, содержащий анализатор XML (например, бесплатно загружаемый XMLNotepad). mssecure.xml содержит довольно детализированную информацию о каждом обновлении, такую как: версию целевой операционной системы и уровень пакета обновления, соответствующую статью в Базе Знаний (КВ) Microsoft и ссылочный номер бюллетеня безопасности, затрагиваемые продукты и идентификаторы (ID) пакетов обновления, создаваемые ключи реестра, версию файла, контрольную сумма и расположение, а также требования по перезагрузке.
Очень интересно - Реферат: Создание VideoCD
Кроме того, подавляющее большинство сторонних производителей поддерживает свои собственные механизмы проверки того, какие обновления должны быть установлены (через их собственные процедуры тестирования), а также распределения проверенных заплат. Они могут также применять индивидуальные алгоритмы проверки для определения того, была ли заплата успешно установлена (инструменты компаний Microsoft и ShavlikTechnologies поддерживают одинаковый алгоритм).