系统安全离不开补丁管理

系统安全离不开补丁管理 系统安全离不开补丁管理 针对windows平台的漏洞攻击增多,补丁管理的重点是基于该平台的管理. 文/中国工商银行数据中心周涛张健欣 在不会想到要打补丁的.现在计算机网 络已经普及,网络攻击也越来越频繁, Nimda,Blaster,Sasser等蠕虫病毒 对计算机系统造成了严重破坏.这些 病毒都是利用了操作系统的漏洞,而 消除漏洞的根本办法就是安装补丁. 每一次大规模病毒爆发,都在提醒人 们要及时给系统打补丁.人们也逐渐 认识到,补丁管理已成为保护计算机 安全的重要环节. 有些人会认为打补丁是件容易的 事,只要从网站下载相应的补丁文件, 然后进行安装就可以了.事实上仍有很 多用户不能及时安装这些补丁.针对 Windows平台的漏洞攻击也越来越多, 补丁升级越来越频繁,所以目前补丁管 理的重点是基于Windows平台的管理. 重视补丁管理 在一些人看来,补丁管理属于软件 分发,版本管理的范畴.其实不然,补 使它成为计算 丁管理有其自身的特点, 机管理中的一项专门的.首先,安 全技术的不断发展,从业人员整体水平 快速提高,一个漏洞从发现到病毒传播 的时间,已经从几个月甚至半年缩短到 现在几周甚至一天.因此补丁管理需要 有很强的及时性,如果补丁晚于病毒传 播,那么企业就有可能被攻击,造成机 密信息泄漏.其次,补丁是为了修补漏 洞而进行的程序更改,一般会很快发 布.因此针对补丁的测试很少,补丁的 兼容性很容易出现问.特别是一些补 丁针对系统底层做了更新,容易导致其 他应用软件不能正常运行,甚至系统不 能正常启动.因此如果需要大规模推广 补丁之前,一定要慎重测试.鉴于这些 特征,管理员有必要把补丁管理作为一 项单独的管理内容予以重视. 两种设计方案 架构设计.在企业内部网络内,一 台满足硬件基本配置的补丁升级服 务器可以支持l5000个客户端.架设几 台补丁升级服务器就可以满足大型网络 的需要.根据经验,安全管理员可以为 每一个物理上相对独立的网络配备一台 补丁升级服务器,比如各省市分行,这 样使得管理,规划的结构更加清晰. 现在大型企业越来越多地采用活动 目录,所以基于活动目录的规划也要仔 细考虑.自动更新服务产品本身由不同 活动目录集成,但自动更新服务可以运 行在域环境.自动更新服务在工作组环 境部署相对繁琐,需要对每个客户端进 行安装配置;而在有活动目录的域环境 中可以通过组策略统一部署.根据经 验,可以对每个OU颁发不同的部署策 略,也可以让每个OU指向不同的SUS 服务器而达到各自管理的效果. 自动更新服务在发布最新补丁后, 为避免客户端同时轮询服务器,客户端 会每隔17到23小时不定时轮询自动更 新服务器,以实现随机性.更新程序发 布后,客户端一般在一天之内就可以开 始自动更新.某些情况下,一些危害极 大的蠕虫病毒可能对系统安全性造成严 重破坏,所以一旦发布补丁程序就应当 尽快部署,而不能等到下一个预定安装 时间再进行部署.这种情况下,我们可 以通过应急避免自动更新服务器批 准公布与客户端部署更新之间的时间延 迟.对于域环境,我们可以刷新组策略 实现;对于工作组环境,我们可以用脚 本启停服务实现.当然,这仅是在对业 务运行有关键影响时,才会考虑此过 程.一般情况下,管理员应等待标准的 安装. 策略设计.某些补丁需要替换操作 系统核心文件,安装补丁后用户必须重 新启动计算机.此类补丁在安装结束时 通常会自动重新启动计算机.然而对于 重要生产服务器,重新启动操作只能在 规定时间才可以进行.自动更新服务允 许管理员配置.不为计划的自动更新安 装重新启动的组策略,阻止补丁重新 启动计算机.但该策略只能延缓计算机 的重新启动时间,却不能避免重新启 动.用户依然需要重新启动计算机才可 以使补丁生效. 在非工作时间,大多数客户端都会 关机,如果把计划安装的时间设定在非 工作时间则会导致许多客户端永远不会 安装补丁.考虑到这种情形,安全管理 员需要配置.重新计划自动更新计划的 安装的组策略,使客户端自动更新服 务将按照下面的方式工作:如果客户端 我们能做什么? 提供政策,观点,知识 集新闻思想 前瞻和生动性 在指定的计划安装时间处于开机状态, 自动更新服务将下载补丁并立即安装; 如果客户端在指定的计划安装时间处于 关机状态,自动更新服务会在下一次重 新启动计算机后重新设定计划安装时 间,新的时间是启动时间加上组策略指 定的某个等待延迟.例如管理员配置组 策略等待延迟为5分钟,则在启动5分 钟后尝试立即安装. 具体实施部署 部署补丁管理一般需要首先在操作 系统上安装IIS服务和自动更新服务, 然后到微软站点下载补丁文件,并发布 系统更新.客户端需要安装自动更新客 户端,修改本地配置文件或组策略,就 可以实现自动补丁更新. 策略的分发.在自动更新服务里, 客户端的配置过程没有实现自动化,需 要在客户端AU安装完成后,对每一台 客户机进行配置.配置的过程有两种方 法,一种是通过编辑注册表实现,另一 种方法是编辑本地组策略实现,这两种 实现方式都比较繁琐,只适用于专业技 术人员进行配置.在大型网络中,这会 限制了整个方案的推广部署.基于这种 情况,我们考虑编写代码来完成这部分 的工作.为了便于分发部署,我们采用 基于Web的交互界面.整套代 码分为三部分:基于Web的页 面展示,经过签名的ATL控 件,以及在客户本地自动运行 的VBS脚本. 管理界面的设置.管理员 可以通过使用”自动更新管理” 当安排在主服务器从微软服务器下载更 新一小时后. 只有经过批准的程序才会被客户端 下载和安装.在左侧列表中选择 “Approveupdates”,所有已经下载的 补丁程序都会列在这里,每个补丁的右 侧会显示该补丁的状态,如果是 “Approved”则表示该补丁已经经过批 准并发布;如果补丁的状态是”Not Approved”,管理员就可以选中这个补 丁并发布.除了补丁的状态外,每个补 丁中都会用绿色字体显示这个补丁所应 用的操作系统,用红色字体显示安装后 需要启动. 日常的管理维护.客户端每隔17到 23小时向补丁更新服务器轮询一次,如 果有新的更新被批准,则客户端将下载 该补丁,并向登录的管理员用户发送通 知,告知新的补丁可用.下载完成时,将 根据为自动更新的升级策略执行安装. 客户端管理员通过任务栏图标得到等待 安装的更新通知,并可以选择立即执行 安装,或以后提醒安装.如果客户端没 有及时同步更新,可以通过注册表检查 本次和上次同步的时间. 自动更新服务是完全基于Web方 式的服务,所以必须启用IIS服务.默认 情况下,自动更新服务只工作在80端口 软件,目前的版本只支持Windows系 统更新,更新内容是关键系统更新.自 动更新客户端只选择符合自己平台的补 丁进行安装的,补丁的升级更新也可以 根据发布策略再次对客户端更新.补丁 更新是客户端主动到服务器端以单播方 式下载的. 补丁更新后不能通过自动更新服务 自动卸载,因此要使用”添加或删除程 序”手动逐项删除.如果某个补丁安装 后可能影响大批计算机的正常运行,那 么最好还是编写一个自动删除任务的执 行脚本. 未来发展展望 软件更新服务是用于解决企业内部 网络中补丁更新管理的解决方案,它的 优点是实施简单,部署方便.当然它也 存在一些弱点,比如没有与系统管理进 行集成,没有自带详尽的报表功能,不 能运行在其它系统平台上等等.但是由 于它易于推广,目前已经成为Windows 平台最普及的补丁管理解决方案. 除了软件更新服务外,Windows 系统也可以通过WindowsUpdate在线 补丁升级.WindowsUpdateServic— es(WUS2.0)是软件更新服务(SUS1. 0)的升级版本,将在2005年推出. 补丁更新后不能通过自动更新服 务自动卸载,要使用”添加或删 除程序”手动逐项删除. 页上的”立即同步”选项,立刻执行强制 同步更新.除此以外,还应该把服务器配 置为可根据同步时间自动下载更新.自 动同步时间通常每天一次,下载时间安 排在网络空闲时进行.根据经验,如果自 动更新子服务器配置为按照计划从父服 务器自动下载新的更新,此时间间隔应 上,并且客户端的自动更新组件使用这 个端口和自动更新服务器通讯.在大型 企业内部网络中大多部署防火墙,考虑 到防火墙安全策略,为了让同步能够进 行,防火墙上需要打开所有客户端访问 自动更新服务器的80端口. 自动更新服务不可以更新非微软的 微软还在SMS2003及 SMS2.0中发布了叫作SUS FeaturePack的SMS添加件. SMSSoftwareUpdate将 MBSA,自动升级工具和SMS管 理服务报告与软件部署功能进 行了集成.这样的集成使得管理 员尤其是大型企业的管理员可以准确及 时地为企业环境部署补丁. 除此,市场上还有一些第三方的补 丁管理方案,比如LANDeskPatch Manager等.它们能提供跨平台管理, 报表功能和系统镜像恢复等功能,支持 Windows,AIX,Liunx等操作系统.口