第七章 补丁管理

第七章补丁管理 7 1补丁管理概述7 2补丁管理技术7 3实验一安装WSUS服务器7 4实验二WSUS客户端的配置7 5实验三WSUS系统的管理 补丁对于大型软件系统 如微软操作系统 在使用过程中暴露的问题 一般由黑客或病毒设计者发现 或者是用户使用过程中产生的 把错误信息发送到服务器端 开发人员进行纠正的一项工作 而发布的解决问题的小程序 按应用属性来分 系统补丁就是操作系统的不定期错误漏洞修复程序系统补丁关系到操作系统运行的稳定性 关系到运行于系统里的软件程序是否容易中途出现非法操作 系统是否会在运行过程中容易产生死机现象 一旦死机将导致辛辛苦苦的工作因没有保存而丢失 软件补丁是指一种插入到程序中并能对运行中出现的软件错误进行修改的软件编码它是漏洞被发现后由软件开发商开发和发布的 游戏补丁所谓游戏补丁 其实也是一种升级更新程序 一般有两种情况 一种是这款游戏推出了新东西 需要玩家进行升级更新 另一种是游戏制作的时候有缺陷 bug 需要进行修补 通过修改原有的程序 而使游戏变得更加新鲜和完美 汉化补丁许多软件都是英文版本的 国人的英语水平普遍不高 因此影响了不少人学习电脑的兴趣 为了占领市场 软件开发商提供了中文版本 为了大家学习方便 爱好汉化工作的国人制作了汉化包 硬件补丁硬件打补丁实质上就是软件打补丁 就是硬件驱动的补丁 打好硬件补丁 可以增强系统的稳定性 可以增强硬件支持的效果 可以增强对操作系统的支持 按功能分 安全补丁主要针对系统软件或应用程序中存在的安全漏洞或缺陷非安全丁主要针对与安全因素无关的功能如运行错误等 常用方法 自动打补丁手动打补丁 补丁管理与网络安全 2002年全球的根域名服务器遭到大规模拒绝服务攻击 2003年8月11日 利用MS03 26漏洞的 冲击波 蠕虫病毒 W32 BIaster Worm 开始在全世界范围内爆发并造成巨大经济损失 人们逐渐发现系统存在的安全漏洞是产生以上安全问题的主要根源 就可以及时发现这些漏洞并采取适当的处理措施进行修补 有效地阻止入侵 蠕虫等事件的发生 几乎所有的网络攻击都是基于操作系统或应用程序的漏洞进行的及时发现这些漏洞并采取适当的处理措施进行修补 就可以有效地阻止入侵 蠕虫等事件的发生 然而现实情况是在相应的漏洞补丁发布后 用户往往并不及时更新系统的补丁程序 用户往往并不及时更新系统的补丁程序 其主要原因 用户安全意识薄弱 没有对网络中隐藏的各种引起足够的重视 没有根据单位网络的具体情况 有针对性地部署补丁管理系统 补丁管理本身也是一件比较繁琐枯燥的工作 需要在管理人员 制度等方面保障此项工作的正常进行 然而实际情况并非如此 以微软的Windows操作系统为例 每个星期都有漏洞警报和补丁程序发布 网络管理员要追踪和应用这些最新的升级信息 7 1 2补丁管理的特性 及时性严密性持续性 及时性一个漏洞从公开到被利用 所用的时间越来越短 这就要求计算机 尤其是连入Internet的计算机 必须在第一时间安装补丁程序 即需要考虑操作系统补丁安装的及时性2004年9月份发生的HalfLife2源代码泄漏事件就是由于企业内部客户端没有及时打补丁 而导致被IE漏洞攻击 造成重大损失 67 35 DaysAfterProductRelease 2003 8 4 Released05 31 2001 Released11 17 2003 Bulletins614DaysAfterProductRelease Bulletins564DaysAfterProductRelease AsofJune2 2005 微软系列产品补丁发布情况 漏洞 攻击程序 补丁 蠕虫的时间关系 严密性 由于补丁是厂商为了修补第3方发现的漏洞而进行的程序更改 迫于用户的压力 厂商一般会尽快发布补丁 而为了尽早的发布补丁 补丁的测试就会减少 因此补丁的兼容性很容易出问题微软就承认其发布的MS04 011的补丁存在瑕疵 可引起某些Windows2000系统锁死或者不能启动因此企业内部如果需要大规模推广补丁之前 一定要针对内部的系统和应用环境做一个严密的测试 否则有可能导致内部的重要系统无法运作 导致了业务的巨大损失除了补丁测试需要严密性以外 补丁的推广同样也需要严密的计划 哪些系统需要安装补丁 什么时候开始安装 安装补丁之前需要备份哪些数据 如何制订应急方案都需要一个严密的计划 持续性补丁管理工作不是一蹴而就的 而是一个长期的 持续性的工作 因为随着漏洞的不断被发现 补丁也就会持续不断地发布因此要求时刻跟踪厂商的补丁公告和安全公司 主要是病毒软件开发商 的安全公告 7 2 1补丁管理技术产生的动因 病毒和蠕虫的泛滥是现代计算机网络面对的首要安全风险 像红色代码 冲击波 SQL杀手 ARP欺骗 DHCP欺骗等病毒和蠕虫的广泛传播 对网络造成极大的破坏 尤其是蠕虫产生的大量网络流量经常使业务数据无法正常传输 甚至使网络陷入瘫痪 杀毒软件和一些专门的清除工具一般是针对具体的病毒和蠕虫的但是 在现实网络环境中 当一种病毒或蠕虫出现后 很快就会出现这种病毒的各类变种 针对新的变种 以前的查杀方法将失效 必须尽快推出新的查杀方法为每台计算局系统及时安装最新的补丁才是网络管理中的 预防为主 积极防御 的有效方法 7 2 2补丁管理系统的功能 一个功能完善的补丁管理系统 将从 配置管理 的角度考虑操作系统和应用软件的维护和更新问题 收集 验证 分发 安装和统计 从系统组成的角度来看 补丁管理系统包括补丁制作与发行系统补丁应用管理系统补丁中心服务器补丁管理客户端 补丁管理系统的组成示意图 补丁制作与发行系统收集各种操作系统和应用软件的补丁 总结补丁文件的相关信息 如运行平台 功能 解决的问题 对系统的影响等 进行补丁的测试和验证 提供已验证补丁的下载和补丁信息文件的下载 补丁应用管理系统补丁中心服务器以网络方式或手工拷贝方式从 补丁制作与发行系统 或上级 补丁中心服务器 得到补丁和补丁信息文件 提供给下级 补丁中心服务器 和 补丁管理客户端 补丁管理客户端安装在每个需要进行系统更新和补丁安装的计算机系统上从的 补丁中心服务器 上获得补丁文件列表 检查本系统所需要安装的补丁文件 然后进行下载和安装 最后还要报告本机的补丁状态 补丁管理客户端 也可以利用浏览器替代 通过浏览器访问 补丁中心服务器 进行系统检测 补丁下载和状态汇报 一个功能完善的补丁管理系统应提供以下的主要功能 升级补丁数据库 补丁信息应该包括最新的升级 客户端自动置发现升级补丁 自动为客户端配补丁程序 用户可有选择地安装或删除补丁程序 存储不同时期补丁的跟踪报告及变更信息 7 2 3Hotfix和SP Hotfix Hotfix是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序 通常称为修补程序微软公司会及时地将软件产品中发现的重大问题以安全公告的形式公布于众 这些公告都有一个惟一的编号 即 MS 如MS04 011还有一种形式为KB 2003年4月份后用此编号 的编号 这个编号是微软知识库中的一个编号 通过该编号我们可以在微软知识库 中查找到有关该问题的所有技术性文章和相应的解决方案 例如 WindowsXP KB823980 x86 CHS32 exe SP SP ServicePack 服务包 是微软公司针对已经发现的问题进行修补的程序 对一般用户来说 下载安装各种Hotfix很繁琐 于是微软公司开始发布SP补丁包 SP补丁包中包含有SP发布日期前所发布的所有HotfixWindows操作系统的SP补丁包是可叠加补丁包 也就是说SP2中已包含有SP1中的所有补丁 SP3中已包含有SP2 SP1中的所有补丁 在实际应用中 用户只需要下载并安装最新的SP补丁包即可而对于Office产品则必须下载并安装所有的SP补丁包 7 2 4补丁管理工具 微软公司的补丁管理工具 通过服务器管理系统控制台 向用户推送软件升级包 目前主要的产品有WSUS WindowsServerUpdateServices Windows更新服务 和SMS SystemsManagementServer 系统管理服务器 提供让用户桌面系统自动登陆微软公司网站并自动下载补丁程序的系统升级服务 SystemUpdateServices 提供安全漏洞SecurityAnalyzer 可用于识别微软产品中错误的安全评估的免费在线工具 即微软基线安全分析器 MicrosoftBaseline配置问题 生成并存储个人XML安全报告 在漏洞管理方面 BigFix可以不间断地监控被管理系统 自动检测并修复系统安全漏洞 保证系统安全在补丁管理方面 可以自动检测 下载 定位和安装补丁包 并实现基于策略的自动补丁化管理它支持Windows Linux UNIX Macintosh等主流操作系统平台 BigFix ShavlikTechnologies公司产品 侧重补丁管理 面向Windows 可以读取Microsoft网站上的特定XML文件 该文件描述了当前可用的补丁程序 针对NT及以上操作系统 SQLServer和ExchangeServer 然后 HFNetChkPro会对网络中的系统进行扫描 查出计算机上已经安装过的补丁 在主用户界面中可以用几种不同的视图来查看当前的系统情况 HFNetChkPro Configuresoft公司的ECM ECM EnterpriseConfigurationManager 能够有效地完成报告 分析 标准化 执行 变化管理等工作它首先从所管理的每台计算机上收集大量的数据点 然后把这些数据存入MicrosoftSQL数据库ECN可以执行不同的功能 包括安全漏洞评估 一致性审计 补丁管理 在补丁管理方面 ECM能对从补丁检测 测试 部署直到验证的所有功能进行管理侧重虚拟化技术 WUSU WindowsServerUpdataServices Windows更新服务 是Microsoft公司推出的用于局域网内计算机操作系统和Office等应用软件升级的一种服务器软件 他可以快速 方便的为网络中的每台运行Windows操作系统的计算机升级操作系统和应用软件的补丁它是SUS的升级产品 7 3 1WSUS的特点 与SUS相比 WSUS具有以下特点 客户端不需要加入ActiveDirectory 也不要需要身份验证 只要能通过网络访问WSUS服务器 就可以从WSUS服务器下载相应的补丁进行升级WSUS服务器的安装 配置都很简单 使用非常方便使用WSUS进行升级的客户端 不需要安装软件 只要进行简单的配置即可使用WSUS与使用WindowsUpdata程序从Microsoft公司站点升级的效果相同 使用方法也相同WSUS是免费产品 不需要购买 WSUS支持的补丁除了Windows2000及以上版本操作系统的补丁外 还支持MicrosoftSQLServerExchangeServer2000 2003 Vista和OfficeXP 2003等产品的升级补丁WSUS通过BITS2 0 后台智能传送服务 来最大化有效带宽WSUS支持统计和报告功能多语言支持 WSUS提供了包括中文在内的多种语言版本 SUS技术此技术应用了WindowsUpdata的技术 即客户端可通过在内网建立的SUSServer自动下载升级补丁 采用此方法的优点是