安全补丁分发与管理系统培训讲义.ppt

目 录 第一章 安全补丁分发与管理系统研制背景 第二章 安全补丁分发与管理系统组成与部署 第三章 安全补丁分发与管理系统操作指南 第四章 安全补丁分发与管理系统典型故障处 理及使用注意事项 第一章 安全补丁分发与管理系统研制背景 目前网络安全管理工作量最大的对象是什么？ 不停的给终端操作系统打补丁 工作站 通过电子邮件 文件服务器 工作站 邮件服务器 防火墙 Internet 网站服务器通 过网页 工作站 邮件网关 典型病毒： 尼姆达、蠕虫王、冲击波 震荡波等 网站服务器 病毒混合式攻击同漏洞有着极为密切的关系 消除漏洞的根本办法就是安装软件补丁： 每一次大规模蠕虫病毒的爆发，都提醒人们要居安思危 ，打好补丁，做好防范工作补丁越来越成为安全管理的 一个重要环节。 黑客技术的不断变化和发展，留给管理员的时间将会越来 越少，在最短的时间内安装补丁将会极大地保护网络和其所 承载的机密，同时也可以使更少的用户免受蠕虫的侵袭。 对于机器众多的用户，繁杂的手工补丁安装已经远远不能 适应大规模网络的管理，必须依靠新的技术手段来实现对操 作系统的补丁自动修补。 第二章 安全补丁分发与管理系统组成与部署 系统功能简介 安全补丁管理与分发系统通过外网补丁下载 服务器及时从补丁厂商网站获取最新补丁，经过 安全测试后，通过补丁分发管理中心服务器对网 络用户进行补丁分发、安装（自动和手动），用 以完善和加固终端，最大程度上降低网络运行的 风险。 安全补丁管理与分发系统基于B/S结构设计， 通过在客户端设备中植入驻留程序实现补丁检测、 分发功能。 系统前台使用Web浏览器方式对其进行操作配 置管理和客户端注册，后台通过SQL数据库对用户 数据加以统计和存储。 安全补丁分发与管理系统具体功能包括：补丁下载分 离、补丁分析归类、补丁策略制订（分发）、补丁文件 分发、客户端补丁检测、补丁分发控制等。 系统功能图 总体结构图 补丁下载服务器： 安装在能与Internet网络连接的机器上，用于实时 下载补丁，支持补丁导出前病毒过滤。补丁下载服务器 下载补丁导入时，分离出新下载的补丁和原有补丁，只 导入新下载的补丁，即仅进行“增量式”的补丁升级， 以提高效率。 模块组成： 补丁索引下载和解析模块 补丁下载模块 补丁增量导出分离模块 管理信息库： 管理信息库中用来存放和管理各种策略、系统组件 运行参数配置、网络客户端设备信息、补丁及相关信息 、日志等各种信息。 中央管理配置平台： 系统的操作管理中心，基于web浏览器方式工作，用 于系统应用策略制订，配置系统组件运行参数，维护系 统等操作，并显示网络设备和本系统组件状态信息和各 种日志记录等。在中央管理配置平台进行的所有操作过 程和结果数据均存储在管理信息库中。 区域管理器（集成区域扫描器） ： 系统数据处理中心。与管理信息数据库通讯，接收 注册程序提供的用户信息，将用户信息（用户填写的物 理信息和系统自动采集的硬件信息）并行存入数据库； 接受来自控制台的命令操作，发送到客户端、扫描器执 行。 扫描器配合区域管理器进行工作，可以在分级模式 下使用。扫描器只依据Web管理平台中配置的工作范围进 行扫描，超越其范围，将不负责执行操作。 客户端程序： 该程序模块按策略自动探测系统补丁相关信息和状 态并上报给区域管理器，然后将这些数据存储到数据库 ；通过区域管理器接收管理员制定的策略，根据策略进 行补丁下载，同时，可以提供扩展安全管理功能。 客户端进程 Watchclient.exe ：客户端守护程序，当客户端进程退出 或未启动后，自动将其他客户端进程调用起来，对应 windows服务为vrvwatchserver。 Vrvedp_m.exe ：客户端主进程，负责和区域管理器通讯， 接受指令，执行点对点控制中的大多数功能运行，处理 收到的管理器指令，需要其他功能模块实现的功能发给 vrvrf_c.exe程序去进行调度,将各种策略审计日志、计 算机软、硬件信息向管理器进行汇报。 Vrvrf_c.exe : 负责调用具体的功能模块。 Vrvsafec.exe ：客户端进程保护程序，防止客户恶意通过 进程管理器和第三方软件停止客户端工作。 系统各个部分之间的交互包括： 1.中央管理平台和管理信息库系统之间的交互 a)中央管理平台从管理信息库获取信息显示给用户； b)用户通过中央管理平台编辑策略和输入指令，写入 管理信息库。 2.管理信息库和区域管理器系统之间的交互 a)区域管理器从管理信息库获取策略和命令信息，并 进行下发； b)区域管理器获取区域扫描器和客户端软件获取的信 息，上报写入管理信息库。 3.客户端程序与区域管理器之间的数据交互 a)客户端程序从区域管理器获取补丁或其他策略信息 ； b)客户端程序将从客户端获取的信息以及策略执行的 结果进行上报。 4.区域扫描器与区域管理器、客户端程序之间的数据交互 a)区域扫描器从区域管理器获取扫描参数，对客户端 进行探测扫描或升级指令； b)区域扫描器从客户端获取探测结果，上报给区域管 理器。 5.管理信息库和补丁分析模块之间的交互 a)补丁分析模块将补丁分类导入管理信息库。 6.上下级区域管理器之间的数据级联交互 a)上级区域管理器将策略和补丁文件下发到下级区域 管理器； b)下级区域管理器将统计信息和其它需要的信息上报 给上级区域管理器。 系统常用端口 系统常用端口 补丁管理工作流程 系统部署参考模型 补丁管理级联部署构架 第三章 安全补丁分发与管理系统操作指南 系统所需软硬件配置 系统服务器：专用服务器或高档PC服务器， Windows2000 Server（SP4）以上操作系统（安装 IIS），MS SQL SERVER（SP3） 数据库。 建议配置：P4 2.0G 以上CPU，2G以上内存，硬 盘40G以上。 安全补丁管理与分发系统服务器具有较强的负载 能力，在管理数量较大的终端时（最大支持 15,000台终端），系统仍保持较高的效率（计算 机硬件系统内存要求到2G） 系统软件安装和配置 一、管理服务器上软件安装：一、管理服务器上软件安装： a)a) 安装安装SQLserverSQLserver数据库；数据库； b)b) 安装安装WinPcapWinPcap驱动程序；驱动程序； c)c) 初始化数据库；初始化数据库； d)d) 安装网页平台；安装网页平台； e)e) 安装区域管理器；安装区域管理器； f)f) 修改客户端注册安装程序，打成软件包后供下载；修改客户端注册安装程序，打成软件包后供下载； g)g) 所有客户端用户下载并安装注册程序。所有客户端用户下载并安装注册程序。 二、补丁下载程序安装：二、补丁下载程序安装： 在同互联网连接的一台工作站主机上安装补丁下载程序，下载在同互联网连接的一台工作站主机上安装补丁下载程序，下载 所有补丁，确保无毒导入管理服务器补丁目录。所有补丁，确保无毒导入管理服务器补丁目录。 SQL数据库安装：关键设置 选择使用本地 系统帐户 选择混合模式 安装前提示 安装界面 1、 WINPCAP网卡驱动安装：安装文件包-安装WINPCAP网卡 驱动 WINPCAP网卡驱动安装 2、初始化数据库：安装文件包-环境初始化 （安装前请先启动SQL服务） 数据库在本机用“.” 表示本机IP地址。 选择SQL身份认证输入 sa用户及其密码。 初始化成功 数据库初始化 3、安装Web中央管理平台 ：安装文件包-web管理平台模块 在安装光盘中选择安 装web管理平台模块 ，输入授权序列号， 填写SQL数据库服务 器地址、用户、密码 ，安装程序将在IIS 中创建虚拟目录 VRVEIS。 数据库在本机用 “.”表示本机IP地 址。 web管理平台安装 4、安装区域管理器：安装文件包-区域管理器模块 区域管理器运行设置 在安装光盘中选择区 域管理器模块， 输入授权序列号，完 成安装，桌面快捷方 式图标：内网安全管 理管理器。 区域管理器安装 安装完毕后在桌面点击内网安全管理管理器图标，区域管理器需 要在web管理平台中设置后方才能工作，否则显示未分配区域提 示。 区域管理器运行界面 区域管理器安装 注意DNS53端 口，操作系统 域服务器88端 口冲突提示 5、安装补丁下载模块：安装文件包-补丁下载服务器模块 （必须安装在和互联网相连的终端上） 补丁下载模块安装 建立分发补丁库 在外网启动补丁下载服务器，自动下载补丁到： VRVRegionManageDistributePatch。 拷贝上述所有Patch目录内容到内部网络区域管理器安装 根目录VRVRegionManageDistribute下。 使用光盘提供的补丁库时，将光盘上的所有补丁拷贝到内 部网络区域管理器安装根目录VRVRegionManageDistribute patchchinses下,再将光盘上提供的TOOLS文件夹替换patch目 录下的相同文件夹。 如果服务器操作系统是windows2003 需要配置IIS， 才能访问登录页面。 点击左边列表中的Web服 务扩展，会出现右边红 色标记的几个选项，默 认情况下这几个选项都 是禁止的，分别选中将 它们设置为允许；几个 选项分别为：Active Server Pages、 Internet数据连接器、 在服务器端的包含文件 。 如果系统盘是NTFS分区的那么还得做如下操作才保证登陆Web界面后能 够正常操作 ：找到C:/VRV/VRVEIS目录，右键单击-属性，点击安全选项 ，直接点击添加按钮，会出现如下界面 。 、点击红色标记的高级按钮，会出现如下界面： 如图所示，点击立即 查找，找到下面有着 红色标记的用户为： IUSR_TEST3,（其格式 一般为IUSR_机器名； ）找到该用户后选中 ，添加后用户名显示 ，用同样方法添加用 户IWAM_机器名点击确 定按钮即可。 、点击确定即可出现如下界面： 选择Internet来 宾账户，添加访 问控制权限 、选中刚才添加的用户将权限设置为全部允许，到这一步，所 有设置都以完成，此时分区为NTFS分区的服务器和其他终端都可 以登陆Web界面进行正常操作了。 如果系统安装在NTFS磁盘分区，在打包注册程序时会失败 ，这时可以将vrveisdownload 目录加上Users用户的读写权限 ，并且需要保证Users的读写权限已经继承到 vrveisdownloadDeviceRegist.exe ,vrveisdownloadRegist.XML文件，如果没有继承到，请手工 为这两文件添加用户。 配置Web中央管理平台系统组件：服务器配置、终端注册程序配置、客户 端分发、级联配置、其他配置、策略配置 登录web管理平台 首次登录界面 系统组件配置 系统组件配置 1、服务器配置 系统组件配置 2、注册程序配置 完成上述部门设置和信息采集参数设置后，进行客户端注册程序打包，该程序 包用户网络中所有客户端的注册安装。 静默注册：客户端注册时候不需要填写任何信息。 系统组件配置 注册程序配置配置终端用户填写信息项 系统组件配置 3、客户端分发 系统组件配置 4、级联配置 系统组件配置 5、其他配置 系统组件配置 6、补丁分发策略配置 1.系统数据库数据备份及还原 停止SQL SERVER服务管理器数据库服务，默认安装路径为 ：C:Program FilesMicrosoft SQL ServerMSSQLData 中， 找到此目录下VRVEIS.ldf 和 VRVEIS.mdf两个文件，将此两个 文件拷贝到另外的路径下完成数据备份。 如果系统升级不成功，造成数据损坏，请按照以上步骤进 行相反操作，将VRVEIS.ldf和 VRVEIS.mdf 两个文件拷贝到SQL SERVER 安装路径下，例如：C:Program FilesMicrosoft SQL ServerMSSQLData 中即可。 系统备份及系统升级 系统组件升级 获取升级组件：upweb、upregmange两个组件，或者自动探测升级文 件下载路径为c:vrvvrveisupdate，正常升级要求区域管理器扫描器 、WEB网页管理平台都必须默认安装在C盘下。 区域管理器扫描器升级 升级前停止所有组件的运行，然后点击升级文件upmanage.exe，此 时升级文件会将区域管理器自动退出，并在升级完成后自动启动区域管 理器与扫描器 。 升级网页管理平台 点击升级文件upweb.exe，此时能够把网页平台自动升级更新为最新 版本；必要时候，可能会发布fullupweb.exe升级文件，主要由于中间多 次没有升级，进行完全升级。 客户端注册程序升级 网络管理员在完成网页管理平台的升级工作后，此时客户 端探头通过以下两种方式升级： A、扫描器扫描到客户端机器的同时对探头进行自动探测升级 ； B、客户端计算机每次重新启动后，会在第5分钟时主动进行探 头自动升级，否则会在持续开机的过程中每24小时自动升级一 次。 第四章 安全补丁分发与管理系统 典型故障处理及使用注意事项 通过网页打包注册程序，提示打包注册程序失败？ 通过网页打包注册程序时，是IIS进程在操作 DeviceRegist.exe 注册程序，IIS进程对注册程序的修改 权限不够，无法重新写入注册程序。这种情况下需要将系 统 Users用户添加到DeviceRegist.exe的安全属性中，并 且具备读写权限。该问题只在NTFS格式的分区上出现。 查询设备信息或其它数据时显示没有权限。 按照安装盘中的IIS设置说明，重新设置IIS和文件权限。 无法与客户端通信 用telnet 命令查看所需要控制的IP地址22105端口是否能 连通，如果该设备是多个IP地址，可从左上脚选择不同的 IP地址进行测试，如果使用Telnet命令不能连通，到受控 的本机上执行”telnet 127.0.0.1 22105” 。如果不能 连通，可能因为代理程序没有启动或启动不正常，如果能 正常连通则，则是因为网络原因造成，请检查网络。 监控服务器在网络中放置位置注意点： 确保该监控服务器能够ping通所有被管理网络中任意 一台客户端机器，同时被管理客户端可以正常连接服 务器的TCP的80,88两个端口。 监控服务器给客户端下达策略的端口为：TCP端口 22105； 监控服务器扫描发现客户端利用以下协议及端口： ICMP协议（发现IP地址存在的其中一种方式） NETBIOS协议,UDP端口137(为了发现机器名和MAC 地址) SNMP协议,TCP端口161（为了发现智能设备如路 由器、交换机等） 在本地网络中若划分了VLAN、或本地网络存在防火 墙，请应注意上述问题。 必须按照软件安装步骤进行安装 1）确认本机IIS服务正常； 2）确认本机SQL已正常安装并能正常使用（以本地系统 账户方式安装）； 3）确认目标安装盘剩余空间不小于10G； 4）请务必按照指定顺序安装各个模块； 5）安装完所有系统模块后，请一定按照说明文挡进行客 户端程序的配置及分发安装。 监控服务器的安全性问题 管理服务器安装Windows2000 Server操作系统（带 IIS）、SQL Server2000数据库后，一定要确保对 Windows2000、SQL和IE 进行重要安全补丁修补，规范 操作系统、数据库的口令和密码设置，保证SQL、IIS 的正常启动运行。确保本服务器无病毒，同时可配置 本服务器网络通讯端口仅打开： 80，88， 8800，8900，22105，2388，2399 。 问题： 通过客户端分发工具注册客户端后，客户端无法接受策略进行补丁下载安装， 在管理平台设备查询显示为未注册。 原因分析及处理： 1、客户端注册程序配置中设置的服务器IP地址不正确。登录平台检查客户端注 册程序配置中服务器IP地址一项填写的地址是否和服务器实际设置地址相符，并重 新打包注册程序看是否有错误提示； 2、分发工具未更新打包程序，分发的客户端注册程序为老版本。使用客户端分 发工具分发注册客户端时，需要点击工具右上角的按钮先下载最新的注册程序再进 行分发，因为现在多用静默注册方式，即使客户端安装出现错误也没有提示，对于 此问题可以在客户端点击“开始”-“运行”输入watchclient.ini 打开注册信息 文件，查看其中“regip=”一项的IP地址是否为服务器实际的地址来确认客户端安 装的注册程序是否有误； 3、客户端与服务器通信出现问题。使用ping命令检查客户端与服务器端通信是 否正常。如果正常再使用telnet命令检查通信使用的端口是否能够连接。如果以上 两项检测不能通过请查找网络线路连接、链路上的防火墙策略设置和个人防火墙策 略设置等。 问题： 客户端进行一段时间的补丁安装后，使用补丁安装查询功能查看还有个别设备 存在少数补丁安装不上。 原因分析及处理： 1、补丁已经安装完成但没有重新启动计算机。有些补丁需要重新启动计算机来 更新文件，如果安装完补丁没有重新启动，再次判断计算机缺少补丁时仍为未安装 ；客户端在重新启动后上报补丁安装情况，没有重新启动也造成已完成操作不能及 时上报到数据库中； 2、索引版本高于当前补丁库。系统是依靠提供的索引来判断客户端缺少补丁的 情况，如果更新了索引而未更新补丁库也会造成显示有补丁未安装。可以根据为安 装补丁的名称到补丁库中查找补丁文件是否存在； 3、使用的盗版操作系统版本和补丁不兼容。补丁系统提供的补丁均来自微软官 方网站，所以在盗版上安装时可能出现无法安装的现象。对于未安装的补丁可以在 补丁库中找到拷贝到终端机上手工执行，在安装过程中看是否有错误提示。 问题： 更新补丁库后未见终端进行补丁安装。 原因分析及处理： 1、只更新了补丁库未更新补丁索引。每次更新补丁公司均会带有相应的最新补 丁索引，所以在更新拷贝时注意索引的更新； 2、索引或补丁未正确的拷贝到指定的文件夹下。有时在补丁库的更新时将补丁 放入了