Установка исправлений и патчей в корпоративном окружении: часть i
Введение
Похоже, сейчас всё зло мира решило направить упрочнения на выпуск червей. Нет, мы не имеем в виду тех червей, каковые выползают в ливень на асфальт и на которых прекрасно клюёт рыба. Мы подразумеваем маленькие куски кода, каковые доставляют сейчас так много проблем, передавая компьютеры.
Во многих организациях администраторы до сих пор ещё не вычистили компьютеры от червя Zotob, причем, чем больше компьютеров в компании, тем сложнее делается эта задача.
Как раз исходя из этого мы бы желали на страницах THG.ru обсудить ответственную тему для любого сетевого администратора: управление установкой заплаток, исправлений и патчей. Процесс, что на британском именуется patch management.
Но для многих организаций управление установкой исправлений до сих пор почему-то воспринимается как что-то необыкновенное. Как говорится, пока гром не грянет, мужик не перекрестится. Давайте отыщем в памяти новейшую историю.
В августе 2003 грянул гром: эпидемия червя MS Blaster неожиданно застала многие организации. Червь быстро пронёсся по компьютерам, передавая их подряд. Отметим, что Blaster применяет дырку в протоколе RPC (remote procedure call) в операционных совокупностях Windows, которая и разрешила ему быстро размножаться.
Всего в мире было заражено более восьми миллионов компьютеров. Вирус на пара недель нарушил обычную работу многих организаций. Администраторам было нужно справляться с тяжёлой задачей — бегать по компьютерам, лечить их от червя и устанавливать заплатки.
Значительно чаще — вручную.
какое количество бы неприятностей возможно было избежать, в случае если делать всё своевременно. Дело в том, что черви, применяющие ту либо иную дыру, оказались позднее, чем выпускались бюллетень и исправление Микрософт. Но, данный промежуток сейчас уменьшается. взглянуть на тенденцию:
- червь MS Blaster (2003): показался в диком виде приблизительно через месяц по окончании публикации исправления Микрософт;
- червь Sasser (2004): показался в диком виде приблизительно через 14 дней по окончании публикации исправления Микрософт;
- червь Zotob (2005): показался в диком виде приблизительно спустя семь дней по окончании публикации исправления Микрософт.
Ветхие хорошие вирусы кроме того не попали в три топовые категории.
Подобное понижение временного промежутка увеличивает нагрузку на ИТ-персонал, которому сейчас требуются средства и инструменты для стремительного распространения исправлений по рабочим серверам и станциям. Целью отечественной первой статьи есть анализ и решение проблем, с которыми сталкивается персонал при распространении обновлений и заплаток безопасности в корпоративном окружении. Во второй части статьи мы проанализируем существующие на рынке ответа по управлению установкой исправлений.
Неприятности, каковые необходимо решить
В корпоративном окружении существует пара неприятностей, каковые направляться решить в отношении установки заплаток безопасности. Неприятности решаются как автоматизированными средствами, так и вручную. Давайте их разглядим.
Установка исправлений на удалённые клиенты
В случае если ваша организация применяет много удалённых клиентов, каковые обращаются к вашей сети через коммутируемый доступ либо VPN, установить на них исправления будет не так то легко. В зависимости от того, сколько исправлений Микрософт (либо второй производитель ПО) выпустила в любой этот месяц, вам нужно будет закачать на клиента пара мегабайт заплаток через медленный канал.
В случае если разглядеть техническую сторону неприятности, то кое-какие инструменты для установки исправлений способны применять возможности Background Intelligent Transfer Service (BITS) для заливания патчей на удалённые клиенты, не оккупируя полностью дешёвую пропускную свойство канала. В случае если пользователь прервёт соединение — никаких неприятностей. Скачивание патча продолжится в следующий раз, когда пользователь подключится.
В случае если указанный сценарий не представляется вероятным, то неизменно возможно установить патч вручную. В некоторых организациях ежемесячно создаются особые CD, каковые по почте рассылаются удалённым клиентам. Причём эти исправления возможно инкапсулировать в установочный пакет вида Run as (от лица администратора), так что использовать CD может кроме того пользователь без административных привилегий.
Установка исправлений на отключённые компьютеры
В случае если имеется аппаратная помощь, функция пробуждения по сети (Wake-on-LAN) способна включить рабочую станцию для установки исправления.
В случае если работник находится в отпуске, а его компьютер отключён, то как администратор сможет установить заплатку при помощи автоматических инструментов? Многие посчитают, что это не имеет значения. Когда пользователь возвратится и включит рабочую станцию, то по окончании входа в совокупность она машинально скачает исправления посредством соответствующей установленной утилиты.
Но исправления смогут устанавливаться не хватает скоро.
В случае если в вашей сети активен червь, то машина может заразиться сразу же по окончании того, как будет инициализирована сетевая карта.
Самым лучшим методом будет установка исправлений на рабочие станции посредством функции пробуждения по сети (Wake-on LAN). Утилиты по автоматической установке исправлений разрешают включать удалённые рабочие станции для установки заплаток. Лучше придерживаться как раз для того чтобы подхода.