科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>网络频道>ZD评测>你的补丁管理方案能够升级吗

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

随着网络的增长,你的补丁管理的责任也随之增长,其实你无须花费高昂的费用就可以获得一个可升级的、集中式的补丁管理解决方案。

来源: 2005年09月02日

关键字:漏洞管理

随着网络的增长,你的补丁管理的责任也随之增长,除非你找到一个自动化该过程的方法。幸运的是,你无须花费高昂的费用以获得一个可升级的、集中式的补丁管理解决方案,而且可以用最小的管理成本保持系统的及时更新。

补丁管理有点象清理垃圾箱或清洁洗手间:毫无趣味但是你不得不做。我认识的多数网络管理员一般通过下面三种方法中的一个处理它:

逃避:他们尽可能地关闭它,然后在必要的时候又尽可能快地完成它。自动操作:他们在所有主机上打开Windows Update的自动更新功能,“设置好后忘掉它”(这其实是另一种形式的逃避)并且祈祷不要出现任何不兼容。过分关注:他们使用一个精心制作的补丁管理程序,包括亲自利用试验环境中的每个生产服务器的复制品来试验每个补丁,然后通过昂贵而复杂的配置服务器应用这些补丁,之后还要在每个系统中运行完整而且全面的漏洞扫描,并且严格地记录缺少哪些补丁。本质上讲,进行补丁管理是一项需要坚持不懈的工作。

无论你的网络是一个小型商业群组还是一个拥有多个域的企业,使你的网络中的系统及时更新是绝对重要的。新的操作系统和应用程序漏洞每天都层出不穷,而且一旦漏洞被公之于众,总会有人找到利用它的方法。

逃避不是办法
逃避不是办法,但这在小型网络的管理员中非常普遍。这些网络一般缺少合适的容错标准和其他安全解决方案,因此如果他们的系统受到攻击,很可能损失惨重,至少,会损失一部分收入。 要想更有效,你的补丁管理计划必须是及时和持续的。不幸的是,和所有类型的预防性维护一样,它很容易被弃之不理,因为你总是忙于处理更紧急的问题。这就是说某种类型的自动操作几乎是必不可少的。

Windows Update:总比没有好
依赖Windows Update比完全逃避这个问题要好,但它依然不是理想的解决方案。如果你的网络中只有10台计算机,你或许可以确保每个系统被正确配置并且定期进行更新,但是这个策略难以进行扩展。你还必须记住自动升级功能只能在“高优先级”的条件下进行更新。而且如果你的网络中的机器运行的是Windows NT或Windows 98,该怎么办呢?这些版本不支持自动更新(尽管它们可以通过Windows Update的Web站点进行更新)。

Windows Update是保持用户计算机及时更新的一个极好的方案,而且它适合一个用户对自己的机器负责的小型工作组环境。但是随着网络的增长,你需要更集中式的控制。

在一个活动目录环境中,你可以配置组策略以管理域中计算机的自动更新设置。这样做至少可以使你避免物理地访问每台计算机以配置或验证其设置。你也可以使用组策略设置(在计算机配置管理模板\Windows组件Windows更新下面)以确定安装的具体时间。你或许还想启用使用所有的Windows Update特性,它在用户配置节点中的组策略设置中的远程访问中(用户配置管理模板\Windows组件Windows Update),那么即使是本地管理员的用户也无法手动安装更新。自动更新将继续运行并且根据预定的设置安装更新。

缺省情况下,更新将从公开的Windows Uudate站点下载。然而,你可以通过详细指定从某个企业内部网更新服务中下载更新,从而更多的控制更新过程。

集中式软件配置
在一个大型组织内,你拥有的应用程序可能会和某些更新产生冲突,如果你无法更多地控制哪些更新安装在哪些机器上,这会造成一个恶梦。

在Windows域中有几种方法可以集中地配置更新。你可以使用组策略的软件安装功能以配置和安装服务包以及某些更新。需要注意的是你需要获得或创建.msi包,用于通过这种方式安装。

组策略软件安装向你提供了从一个集中的地点向多台机器配置软件的方法,但是它没有提供默认获得更新的方法。你所需要的方法是结合Windows Update的Automatic Update这一自动下载功能和GP软件安装的管理控制。这些你可以从微软的软件更新服务或SUS(将很快被一个称为Windows服务器更新服务或WSUS的新版本替代)中得到。

注意:候选的WSUS版本已经可用。在其beta版中,WSUS被称为Windows更新服务或WUS。最终版本预计在2005年二季度发布。

使用SUS和WSUS,你可以在网络中建立你自己的内部更新服务器(运行在Windows 2000或2003 Server上)。该服务器从微软下载更新,然后你的网络客户端从SUS/WSUS服务器下载这些更新,管理员能够控制哪些更新可以在客户端主机上安装。你可以选择是下载所有更新并将之保存在本地的SUS/WSUS主机上,还是在经核准安装后,直接从微软公用服务器上下载这些更新。

WSUS是设计用来增加可伸缩性的。除了更新Windows操作系统(就像SUS所做的),它还可以其他诸如Office,SQL Server和Exchange这样的微软产品。更新对其他产品的支持将会被添加,而无需你更新WSUS。

另一个重要的可伸缩特性是,你可以在Windows Small Business Server(SBS)上安装WSUS,所以如果你正在使用SBS,而不是常见的Windows服务器系统,你仍可以使用它。

当你增加补丁的测试需求时,WSUS还能较好的升级。你可以将补丁标识为‘未经核准的’,直到它们被你测试完成,或者你可以将它们标识为‘拒绝’,而将它们从更新列表中删除(尽管在必要的时候你仍可以恢复它们)。WSUS可以检测需要哪些补丁,但它也可以和检测补丁状态的更全面的第三方漏洞扫描工具配合工作。

最后,WSUS是免费的这个事实增强了它的可伸缩性。只要你有WSUS服务器运行所需的Windows服务器的许可,以及连接到它的客户端拥有CAL,就无需为WSUS软件或更新服务额外付费。

(责任编辑:张竺)

查看本文的国际来源

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题