安全补丁分发与管理系统培训讲义PPT课件

1 2 目录第一章安全补丁分发与管理系统研制背景第二章安全补丁分发与管理系统组成与部署第三章安全补丁分发与管理系统操作指南第四章安全补丁分发与管理系统典型故障处理及使用注意事项 3 第一章安全补丁分发与管理系统研制背景 4 目前网络安全管理工作量最大的对象是什么 不停的给终端操作系统打补丁 5 工作站通过电子邮件 工作站 防火墙 Internet 工作站 典型病毒 尼姆达 蠕虫王 冲击波震荡波等 网站服务器 病毒混合式攻击同漏洞有着极为密切的关系 6 消除漏洞的根本办法就是安装软件补丁 每一次大规模蠕虫病毒的爆发 都提醒人们要居安思危 打好补丁 做好防范工作 补丁越来越成为安全管理的一个重要环节 黑客技术的不断变化和发展 留给管理员的时间将会越来越少 在最短的时间内安装补丁将会极大地保护网络和其所承载的机密 同时也可以使更少的用户免受蠕虫的侵袭 对于机器众多的用户 繁杂的手工补丁安装已经远远不能适应大规模网络的管理 必须依靠新的技术手段来实现对操作系统的补丁自动修补 7 第二章安全补丁分发与管理系统组成与部署 8 系统功能简介 安全补丁管理与分发系统通过外网补丁下载服务器及时从补丁厂商网站获取最新补丁 经过安全测试后 通过补丁分发管理中心服务器对网络用户进行补丁分发 安装 自动和手动 用以完善和加固终端 最大程度上降低网络运行的风险 9 安全补丁管理与分发系统基于B S结构设计 通过在客户端设备中植入驻留程序实现补丁检测 分发功能 系统前台使用Web浏览器方式对其进行操作配置管理和客户端注册 后台通过SQL数据库对用户数据加以统计和存储 10 安全补丁分发与管理系统具体功能包括 补丁下载分离 补丁分析归类 补丁策略制订 分发 补丁文件分发 客户端补丁检测 补丁分发控制等 系统功能图 11 总体结构图 12 补丁下载服务器 安装在能与Internet网络连接的机器上 用于实时下载补丁 支持补丁导出前病毒过滤 补丁下载服务器下载补丁导入时 分离出新下载的补丁和原有补丁 只导入新下载的补丁 即仅进行 增量式 的补丁升级 以提高效率 模块组成 补丁索引下载和解析模块补丁下载模块补丁增量导出分离模块 13 管理信息库 管理信息库中用来存放和管理各种策略 系统组件运行参数配置 网络客户端设备信息 补丁及相关信息 日志等各种信息 14 中央管理配置平台 系统的操作管理中心 基于web浏览器方式工作 用于系统应用策略制订 配置系统组件运行参数 维护系统等操作 并显示网络设备和本系统组件状态信息和各种日志记录等 在中央管理配置平台进行的所有操作过程和结果数据均存储在管理信息库中 15 区域管理器 集成区域扫描器 系统数据处理中心 与管理信息数据库通讯 接收注册程序提供的用户信息 将用户信息 用户填写的物理信息和系统自动采集的硬件信息 并行存入数据库 接受来自控制台的命令操作 发送到客户端 扫描器执行 扫描器配合区域管理器进行工作 可以在分级模式下使用 扫描器只依据Web管理平台中配置的工作范围进行扫描 超越其范围 将不负责执行操作 16 客户端程序 该程序模块按策略自动探测系统补丁相关信息和状态并上报给区域管理器 然后将这些数据存储到数据库 通过区域管理器接收管理员制定的策略 根据策略进行补丁下载 同时 可以提供扩展安全管理功能 17 客户端进程Watchclient exe 客户端守护程序 当客户端进程退出或未启动后 自动将其他客户端进程调用起来 对应windows服务为vrvwatchserver Vrvedp m exe 客户端主进程 负责和区域管理器通讯 接受指令 执行点对点控制中的大多数功能运行 处理收到的管理器指令 需要其他功能模块实现的功能发给vrvrf c exe程序去进行调度 将各种策略审计日志 计算机软 硬件信息向管理器进行汇报 Vrvrf c exe 负责调用具体的功能模块 Vrvsafec exe 客户端进程保护程序 防止客户恶意通过进程管理器和第三方软件停止客户端工作 18 系统各个部分之间的交互包括 中央管理平台和管理信息库系统之间的交互中央管理平台从管理信息库获取信息显示给用户 用户通过中央管理平台编辑策略和输入指令 写入管理信息库 19 管理信息库和区域管理器系统之间的交互区域管理器从管理信息库获取策略和命令信息 并进行下发 区域管理器获取区域扫描器和客户端软件获取的信息 上报写入管理信息库 20 客户端程序与区域管理器之间的数据交互客户端程序从区域管理器获取补丁或其他策略信息 客户端程序将从客户端获取的信息以及策略执行的结果进行上报 21 区域扫描器与区域管理器 客户端程序之间的数据交互区域扫描器从区域管理器获取扫描参数 对客户端进行探测扫描或升级指令 区域扫描器从客户端获取探测结果 上报给区域管理器 22 管理信息库和补丁分析模块之间的交互补丁分析模块将补丁分类导入管理信息库 23 上下级区域管理器之间的数据级联交互上级区域管理器将策略和补丁文件下发到下级区域管理器 下级区域管理器将统计信息和其它需要的信息上报给上级区域管理器 24 系统常用端口 25 系统常用端口 26 补丁管理工作流程 27 系统部署参考模型 28 补丁管理级联部署构架 29 第三章安全补丁分发与管理系统操作指南 30 系统所需软硬件配置 系统服务器 专用服务器或高档PC服务器 Windows2000Server SP4 以上操作系统 安装IIS MSSQLSERVER SP3 数据库 建议配置 P42 0G以上CPU 2G以上内存 硬盘40G以上 安全补丁管理与分发系统服务器具有较强的负载能力 在管理数量较大的终端时 最大支持15 000台终端 系统仍保持较高的效率 计算机硬件系统内存要求到2G 31 系统软件安装和配置 一 管理服务器上软件安装 安装SQLserver数据库 安装WinPcap驱动程序 初始化数据库 安装网页平台 安装区域管理器 修改客户端注册安装程序 打成软件包后供下载 所有客户端用户下载并安装注册程序 二 补丁下载程序安装 在同互联网连接的一台工作站主机上安装补丁下载程序 下载所有补丁 确保无毒导入管理服务器补丁目录 32 SQL数据库安装 关键设置 选择使用本地系统帐户 33 选择混合模式 安装前提示 34 安装界面 35 1 WINPCAP网卡驱动安装 安装文件包 安装WINPCAP网卡驱动 WINPCAP网卡驱动安装 36 2 初始化数据库 安装文件包 环境初始化 安装前请先启动SQL服务 数据库在本机用 表示本机IP地址 选择SQL身份认证输入sa用户及其密码 初始化成功 数据库初始化 37 3 安装Web中央管理平台 安装文件包 web管理平台模块 在安装光盘中选择安装web管理平台模块 输入授权序列号 填写SQL数据库服务器地址 用户 密码 安装程序将在IIS中创建虚拟目录VRVEIS 数据库在本机用 表示本机IP地址 web管理平台安装 38 4 安装区域管理器 安装文件包 区域管理器模块 区域管理器运行设置 在安装光盘中选择区域管理器模块 输入授权序列号 完成安装 桌面快捷方式图标 内网安全管理管理器 区域管理器安装 39 安装完毕后在桌面点击内网安全管理管理器图标 区域管理器需要在web管理平台中设置后方才能工作 否则显示未分配区域提示 区域管理器运行界面 区域管理器安装 注意DNS53端口 操作系统域服务器88端口冲突提示 40 5 安装补丁下载模块 安装文件包 补丁下载服务器模块 必须安装在和互联网相连的终端上 补丁下载模块安装 41 建立分发补丁库在外网启动补丁下载服务器 自动下载补丁到 VRV RegionManage Distribute Patch 拷贝上述所有Patch目录内容到内部网络区域管理器安装根目录 VRV RegionManage Distribute下 使用光盘提供的补丁库时 将光盘上的所有补丁拷贝到内部网络区域管理器安装根目录 VRV RegionManage Distributepatch chinses下 再将光盘上提供的TOOLS文件夹替换patch目录下的相同文件夹 42 如果服务器操作系统是windows2003需要配置IIS 才能访问登录页面 点击左边列表中的Web服务扩展 会出现右边红色标记的几个选项 默认情况下这几个选项都是禁止的 分别选中将它们设置为允许 几个选项分别为 ActiveServerPages Internet数据连接器 在服务器端的包含文件 43 如果系统盘是NTFS分区的那么还得做如下操作才保证登陆Web界面后能够正常操作 找到C VRV VRVEIS目录 右键单击 属性 点击安全选项 直接点击添加按钮 会出现如下界面 44 点击红色标记的高级按钮 会出现如下界面 如图所示 点击立即查找 找到下面有着红色标记的用户为 IUSR TEST3 其格式一般为IUSR 机器名 找到该用户后选中 添加后用户名显示 用同样方法添加用户IWAM 机器名点击确定按钮即可 45 点击确定即可出现如下界面 选择Internet来宾账户 添加访问控制权限 46 选中刚才添加的用户将权限设置为全部允许 到这一步 所有设置都以完成 此时分区为NTFS分区的服务器和其他终端都可以登陆Web界面进行正常操作了 如果系统安装在NTFS磁盘分区 在打包注册程序时会失败 这时可以将vrveis download目录加上Users用户的读写权限 并且需要保证Users的读写权限已经继承到vrveis download DeviceRegist exe vrveis download Regist XML文件 如果没有继承到 请手工为这两文件添加用户 47 配置Web中央管理平台系统组件 服务器配置 终端注册程序配置 客户端分发 级联配置 其他配置 策略配置 登录web管理平台 首次登录界面 系统组件配置 48 系统组件配置 1 服务器配置 49 系统组件配置 2 注册程序配置 50 完成上述部门设置和信息采集参数设置后 进行客户端注册程序打包 该程序包用户网络中所有客户端的注册安装 静默注册 客户端注册时候不需要填写任何信息 系统组件配置 注册程序配置 配置终端用户填写信息项 51 系统组件配置 3 客户端分发 52 系统组件配置 4 级联配置 53 系统组件配置 5 其他配置 54 系统组件配置 6 补丁分发策略配置 55 1 系统数据库数据备份及还原停止SQLSERVER服务管理器数据库服务 默认安装路径为 C ProgramFiles MicrosoftSQLServer MSSQL Data中 找到此目录下VRVEIS ldf和VRVEIS mdf两个文件 将此两个文件拷贝到另外的路径下完成数据备份 如果系统升级不成功 造成数据损坏 请按照以上步骤进行相反操作 将VRVEIS ldf和VRVEIS mdf两个文件拷贝到SQLSERVER安装路径下 例如 C ProgramFiles MicrosoftSQLServer MSSQL Data中即可 系统备份及系统升级 56 系统组件升级获取升级组件 upweb upregmange两个组件 或者自动探测升级文件下载路径为c vrv vrveis update 正常升级要求区域管理器扫描器 WEB网页管理平台都必须默认安装在C盘下 区域管理器扫描器升级升级前停止所有组件的运行 然后点击升级文件upmanage exe 此时升级文件会将区域管理器自动退出 并在升级完成后自动启动区域管理器与扫描器 升级网页管理平台点击升级文件upweb exe 此时能够把网页平台自动升级更新为最新版本 必要时候 可能会发布fullupweb exe升级文件 主要由于中间多次没有升级 进行完全升级 57 客户端注册程序升级网络管理员在完成网页管理平台的升级工作后 此时客户端探头通过以下两种方式升级 A 扫描器扫描到客户端机器的同时对探头进行自动探测升级 B 客户端计算机每次重新启动后 会在第5分钟时主动进行探头自动升级 否则会在持续开机的过程中每24小时自动升级一次 58 第四章安全补丁分发与管理系统典型故障处理及使用注意事项 59 通过网页打包注册程序 提示打包注册程序失败 通过网页打包注册程序时 是IIS进程在操作DeviceRegist exe注册程序 IIS进程对注册程序的修改权限不够 无法重新写入注册程序 这种情况下需要将系统Users用户添加到DeviceRegist exe的安全属性中 并且具备读写权限 该问题只在NTFS格式的分区上出现 60 查询设备信息或其它数据时显示没有权限 按照安装盘中的IIS设置说明 重新设置IIS和文件权限 61 无法与客户端通信 用telnet命令查看所需要控制的IP地址22105端口是否能连通 如果该设备是多个IP地址 可从左上脚选择不同的IP地址进行测试 如果使用Telnet命令不能连通 到受控的本机上执行 telnet127 0 0 122105 如果不能连通 可能因为代理程序没有启动或启动不正常 如果能正常连通则 则是因为网络原因造成 请检查网络 62 监控服务器在网络中放置位置注意点 确保该监控服务器能够ping通所有被管理网络中任意一台客户端机器 同时被管理客户端可以正常连接服务器的TCP的80 88两个端口 监控服务器给客户端下达策略的端口为 TCP端口22105 监控服务器扫描发现客户端利用以下协议及端口 ICMP协议 发现IP地址存在的其中一种方式 NETBIOS协议 UDP端口137 为了发现机器名和MAC地址 SNMP协议 TCP端口161 为了发现智能设备如路由器 交换机等 在本地网络中若划分了VLAN 或本地网络存在防火墙 请应注意上述问题 63 必须按照软件安装步骤进行安装1 确认本机IIS服务正常 2 确认本机SQL已正常安装并能正常使用 以本地系统账户方式安装 3 确认目标安装盘剩余空间不小于10G 4 请务必按照指定顺序安装各个模块 5 安装完所有系统模块后 请一定按照说明文挡进行客户端程序的配置及分发安装 64 监控服务器的安全性问题管理服务器安装Windows2000Server操作系统 带IIS SQLServer2000数据库后 一定要确保对Windows2000 SQL和IE进行重要安全补丁修补 规范操作系统 数据库的口令和密码设置 保证SQL IIS的正常启动运行 确保本服务器无病毒 同时可配置本服务器网络通讯端口仅打开 80 88 8800 8900 22105 2388 2399 65 问题 通过客户端分发工具注册客户端后 客户端无法接受策略进行补丁下载安装 在管理平台设备查询显示为未注册 原因分析及处理 1 客户端注册程序配置中设置的服务器IP地址不正确 登录平台检查客户端注册程序配置中服务器IP地址一项填写的地址是否和服务器实际设置地址相符 并重新打包注册程序看是否有错误提示 2 分发工具未更新打包程序 分发的客户端注册程序为老版本 使用客户端分发工具分发注册客户端时 需要点击工具右上角的按钮先下载最新的注册程序再进行分发 因为现在多用静默注册方式 即使客户端安装出现错误也没有提示 对于此问题可以在客户端点击 开始 运行 输入watchclient ini打开注册信息文件 查看其中 regip 一项的IP地址是否为服务器实际的地址来确认客户端安装的注册程序是否有误 3 客户端与服务器通信出现问题 使用ping命令检查客户端与服务器端通信是否正常 如果正常再使用telnet命令检查通信使用的端口是否能够连接 如果以上两项检测不能通过请查找网络线路连接 链路上的防火墙策略设置和个人防火墙策略设置等 66 问题 客户端进行一段时间的补丁安装后 使用补丁安装查询功能查看还有个别设备存在少数补丁安装不上 原因分析及处理 1 补丁已经安装完成但没有重新启动计算机 有些补丁需要重新启动计算机来更新文件 如果安装完补丁没有重新启动 再次判断计算机缺少补丁时仍为未安装 客户端在重新启动后上报补丁安装情况 没有重新启动也造成已完成操作不能及时上报到数据库中 2 索引版本高于当前补丁库 系统是依靠提供的索引来判断客户端缺少补丁的情况 如果更新了索引而未更新补丁库也会造成显示有补丁未安装 可以根据为安装补丁的名称到补丁库中查找补丁文件是否存在 3 使用的盗版操作系统版本和补丁不兼容 补丁系统提供的补丁均来自微软官方网站 所以在盗版上安装时可能出现无法安装的现象 对于未安装的补丁可以在补丁库中找到拷贝到终端机上手工执行 在安装过程中看是否有错误提示 67 问题 更新补丁库后未见终端进行补丁安装 原因分析及处理 1 只更新了补丁库未更新补丁索引 每次更新补丁公司均会带有相应的最新补丁索引 所以在更新拷贝时注意索引的更新 2 索引或补丁未正确的拷贝到指定的文件夹下 有时在补丁库的更新时将补丁放入了不适当的文件夹下 当出现更新补丁库而无补丁安装时请检查