补丁管理浅谈
 
在2003年的冲击波病毒之前,很少有人对补丁管理重视,当然包括本人。主要原因有几点:
(1)病毒的传播机制
以前的病毒传播主要是依靠附件或者浏览网页来传播,属于一种传播被动的方式,传播范围和速度非常有限。
而近年来主要的病毒传播是通过系统的漏洞主动进行传播,冲击波,震荡波等属于典型的例子。这样一来,即使用户没有打开不明来源的附件,如果没有安装系统的重要安全补丁,也会中毒。
 
(2)对安全不够重视
无论是普通员工,还是管理层,甚至安全管理人员,对补丁不是很了解,当然就谈不上补丁的有效管理了。
 
(3)人员技能的缺乏以及市场上缺少合适中小企业的自动化补丁部署方案
很多企业的IT人员没有掌握相应的技能,当时的市场也缺少合适中小企业的自动化补丁部署方案。
 
(4)预算不足
一些企业没有足够的经费来购买补丁部署方案,以及聘用专门的安全管理人员来负责安全问题。
 
(5)从补丁发布到针对该漏洞病毒的出现时间间隔较长
一些管理员因此产生侥幸心理,认为这么长时间没有打补丁,没有出现问题,以后大概也不会有事的。
 
(6)没有完善的补丁部署流程
安装补丁没有严格的部署流程,想起来才会去安装一下补丁,或者未经测试就安装补丁,甚至用错误的方法安装补丁。
 
 
个人认为,冲击波的出现无疑给IT业带来巨大的变革,犹如911给存储和备份带来的变革。一方面是杀毒软件厂商借助这个机会,从中得到了不少的利益,使其有更多资金用于研发,另一方面给平民百姓上了生动的一课,当然更多的给IT人员提高了意识,尤其是负责安全管理的。因为部分企业的业务出现中断,管理层也认识到安全的重要性。
我记得那次我们办公室的求救电话此起彼伏,倒计时的画面至今记忆尤新。那几天唯一的任务就是拔网线,杀毒,装补丁。还好那是不像现在有这么多的业务跑在网络上。从那段时间以后,我要拿微软的MS03-026扫描工具不停的扫描,看看有没有漏网之鱼,尤其是一些兄弟公司以及总公司的来的客人,也要检查是否安装了补丁。
犯错误不要紧,重要的不要犯同样的错误。正所谓亡羊补牢,为时不晚。好吧,让我们开始行动吧,确保《企业没有任何漏洞》(电子工业出版社)。
 
先建立补丁部署流程,大致是这样:
得到补丁信息-下载-测试-发通知-部署-反馈
 
几种常见补丁管理方式
(1)手工管理
适合数量少的小型企业以及服务器
 
因为小型企业通常预算有限,可能没有合适的补丁部署服务器,加上IT人员有限,通常会采用这种方式。
 
服务器建议采用手动安装补丁,可以避免因为误操作重启重要的生产系统,应该在周末或非工作时间安装,有条件的话,可以在测试环境下通过以后再部署补丁,并对整个过程进行记录,这样可以在安装补丁以后出现问题及时找出原因。
 
采用这种方案最好同MBSA配合用,先用MBSA扫出需要的补丁,再下载和安装。
 
MBSA下载
 
补丁下载地址
 
 
 
(2)Windows update(microsoft update)
适合小型企业以及家庭用户,但windows xp以后的版本要进行正版认证,盗版的可以会产生不良后果。可以在一定程度上实现自动安装,并有安装成功与否的日志。
 
 
(3)SUS
免费,功能简单,且没有报表功能。一些热心的人开发了报表插件,可以弥补这个不足。
 
(4)WSUS2+sp1/3(beta 2)
 
免费,功能强大,有强大的报表功能。
WSUS 3 取消了IE的管理界面,取而带之的是采用MMC的管理方式,可以安装在管理人员的机器上,也可以安装在服务器上。WSUS 3的报表功能很强。
 
建议采用deadline的安装方式,因为大部分用户根本没有安装补丁的意识,只能采用在强制安装。
 
 
 
(5)SMS
 
软件部署只是其中一个功能,适合大型企业,一般人用不起。需要域权限。
 
 
 
(6)利用脚本和组策略
 
(7)第三方产品
参见附录
 
(8)非微软产品的补丁管理
主要是非windows类的操作系统,数据库(如ORACLE)以及一些应用软件(PDF,FLASH,WINRAR),以及安全软件本身的补丁(如symantec antivirus)。
没有预算的话,只好手动安装了。
 
有关上述几种方案的详细比较,可参考
 
 
Useful references & documents
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Security Patch Management(ppt, from microsoft)
 
Sign up for update notifications
 
 
两板斧实现Windows安全更新批量下载和安装
 
 
Related sites
 
 
 
Products & Vendors
 
 
.