操作系统补丁,你打了没有_.pdf

《操作系统补丁,你打了没有_.pdf》由会员分享，可在线阅读，更多相关《操作系统补丁,你打了没有_.pdf（4页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、38S o l u t i o n s&A p p l i c a t i o n s方案应用引 言微软 W i n d o w s 操作系统是使用最多 最普遍的操作系统 它的安全问题也越来越受到大家的关注很多病毒包括之前肆虐的震荡波均是利用操作系统的漏洞进行攻击的 为此 每隔一段时间微软都要发布修复系统漏洞的补丁但这样系统就安全了吗及时安装补丁的重要性三年前的红色代码去年的冲击波今年的震荡波针对微软系统漏洞的恶性蠕虫病毒屡次大规模爆发 给企业用户互联网用户造成了极大的损失尤其是企业用户当内部有一台机器被感染时 疫情马上会扩散到所有存在相应系统漏洞的机器造成网络变慢邮件无法正常发送工作站宕机企

2、业因此无法正常工作损失很大而防范利用漏洞攻击的病毒的极佳方式就是预先打好补丁据有关报道显示尼姆达(一种利用系统漏洞的蠕虫病毒)大规模传播的半年前微软就已经提供了相应的补丁程序但还是有数以万计的 W i n d o w s 系统由于没有及时更新系统而受到攻击其它的蠕虫病毒也在相似的情形下快速的传播由此可见W i n d o w s 操作系统补丁必需及时安装才能有效地提高系统的免疫能力既然微软系统漏洞补丁如此重要为什么还有很多用户不及时下载安装这些补丁修复系统而造成重大损失呢?原因在于从国外微软网站下载补丁速度低缓企业用户并非全部都具有足够的技术能力从微软网站中获得补丁对于最可能遭受重大损失的企业

3、来说由于网络结构非常庞大如果靠网络管理员来保证每台客户机及时全面的安装所有应该安装的补丁工作量太大且很难实现有些十分重要的补丁文件的下载占用网络的带宽例如微软公司为I E 6 发布了一个大约有1 0 兆左右的补丁文件假设有1 0 0 0 个用户他们每个人都去访问视窗升级站点获取补丁文件那么他们总计将有约 1 0 G数据下载从而花费大量昂贵的网络连接费用由于系统漏洞会随着微软操作系统版本的升级而变化一个漏洞需要准备好几个版本的补丁此外一旦机器重装操作系统又要全部重新打补丁网管虽然可以通过文件服务器共享漏洞补丁但由于员工信息安全意识不够主动打补丁的很少这样导致网管修补全网系统漏洞的工作量很大如何解

4、决上述问题才能使用户及时有效快速的下载微软的补丁来保护网络的安全我们急需一套完整的补丁管理方案微软操作系统补丁管理方案1.微软的解决方案作为操作系统提供商微软对自己的漏洞不能视而不见 因此 微软提出了两种解决方案S M S(S y s t e m sM a n a g e m e n t S e r v e r)和S U S(S o f t w a r eU p d a t e S e r v i c e s)S M S 是微软的一款系统管理的服务器产品补丁分发管理只是其中一个很小的部分 它的优点是 使管理员能够控制修补程序管理在安装前对更新进行试用和测试精确控制修补程序管理选项自动完成修补程

5、序管理过程的主要方面可以更新各种各样的微软产品还能够用于更新第三方软件以及部署和安装任何软件更新或应用程序通过使用脚本从而具有高度的灵活性 缺点是 检测能力方面的限制与 M B S A 和 O f f i c e 清点工具在该方面的限制相同需要为每个更新的无人参与安装配置命令行语法微软O f f i c e 修补程序需要提取文件 以便编辑无人参与安装的设置文件必须以手动方式获得国际更新(W e b 页)价格昂贵因此目前普遍使用的是另一种方法S U S2.S U S在 2 0 0 2 年的 7 月微软公司提供了一种叫软件升级服务(S U S)的工具主要作用是你能在公司内部自行建立服务器用于 W

6、i n d o w s 升级而且能让你配置公司内部的所有系统通过 S U S服务器升级系统补丁从而取代了微软自己的 W i n d o w s升级服务通过S U S(S o f t w a r e U p d a t e S e r v i c e)我操作系统补丁你打了没有上海宝信软件股份有限公司 王 佳万方数据39方案应用S o l u t i o n s&A p p l i c a t i o n s们可以自己建立 W i n d o w s升级服务器这样网络中的用户就可以统一在自建的服务器上更新自己的 W i n d o w s操作系统避免了从国外网站下载补丁时的低速以及大量电脑一起下载

7、时对网络带宽的占用3.S U S 的功能(1)控制你的用户所能看见的补丁文件防止从 W i n d o w s U p d a t e 安装未经核准的更新(2)具有易于使用的特点 降低了使所支持的系统保持最新的难度从而减少了安全风险(3)大大降低了I n t e r n e t 的网络流量因为用户是在本地局域网内获取补丁文件还是刚才的那个例子你只要从I n t e r n e t 下载一次I E 的补丁安装在本地的 S U S服务器上然后你的 1 0 0 0 个用户都通过本地获得补丁文件而不再通过国际互联网下载4.S U S 也并非面面俱到(1)S U S 无法查看用户系统补丁的安装情况(2)

8、S U S 无法为不同的组织机构设定不同的补丁安装策略有些部门的系统可能由于应用系统本身的需要不能安装某些补丁的最新版本如果单纯使用 S U S 只能够按照统一的安装策略进行安装从而对应用系统的使用造成影响(3)S U S 是靠安装在客户计算机上的客户端程序(简称 A U)定期去访问S U S服务器来确定是否需要下载新的补丁 所以难免会有延迟 就算用户设置的访问周期为每天可能也会有2 4 小时的延迟补丁安装的延时给病毒的入侵提供了机会宝信网络巡警 e C o p 的补丁管理方案1.e C o p 补丁管理模块鉴于微软提供的 S U S服务的不足 M i c r o s o f t 研发的技术发

9、展趋势微软公司全球技术支持中心的推荐宝信网络巡警 e C o p 集成的 S U S 服务为用户提供了行之有效的补丁管理解决方案操作系统补丁管理工作过程如图 1 所示补丁管理使用M 1 2 3 4 5 6 i c r o s o f t 的生命周期模型将整个补丁下载安装过程分为评估识别计划部署四步循环(1)评估客户端在启动以后检查当前计算机的补丁安装情况并汇报给补丁管理服务器客户端程序监视系统补丁的安装情况 一旦发现有补丁安装或卸载 即时汇报变更信息给补丁管理服务器补丁管理服务器接收到客户端报告后更新数据库的记录在服务器上以组织机构视图展示当前客户端的补丁安装情况如果补丁管理服务器发现客户端的

10、补丁安装和变更情况触发了预先定义的报警事件则按配置的报警策略和报警方案进行报警(2)识别如果内网与I n t e r n e t 不隔绝可以使 S U S 1.0 服务器与微软的 W i n-d o w s U p d a t e同步如果内网与I n t e r n e t隔绝则另外需要一台与I n t e r n e t 连接的S U S 服务器 再通过手工导出/导入的方法实现同步运行在 S U S 1.0服务器上的补丁监视器监视补丁的变化情况将新补丁的详细信息发送给补丁管理服务器补丁管理服务器接收监视器发来的补丁信息 更新数据库 并在页面上进行展示(3)计划用户在补丁管理服务器页面上配置计

11、算机客户端的 S U S组件的更新策略补丁管理服务器将该策略通过后台配置分发程序分发到各个客户端客户端接收到策略后通过注册表接口修改 S U S组件的策略并重新启动 S U S 组件以使新的策略生效客户端程序保证 S U S组件服务的状态和设置不会被桌面用户手工修改图1 操作系统补丁管理工作过程万方数据40S o l u t i o n s&A p p l i c a t i o n s方案应用(4)部署由客户端 S U S组件根据指定的策略进行补丁的下载与安装不但可以覆盖M i c r o s o f t S U S 的所有功能 并且可以在将来通过系统的自动升级兼容微软未来将发布的 W S

12、U S2.e C o p 补丁管理的详细功能e C o p 的补丁管理功能的实现依靠三方面的协同工作安装在S U S 服务器上的集成S U S 服务端安装在客户机上的客户端程序e C o p 中央控制器端(1)集成 S U S 服务端完成功能更新内容包含 W i n d o w s 关键更新 安全更新和S e r v i c e P a c kS e r-v i c e P a c k包含 W i n d o w s 2 0 0 0W i n d o w s X P和 W i n d o w s 2 0 0 3内置安装机制管理页面只限定于服务端本地管理员使用下载任何更新到服务端时都进行同步校验

13、如果不包含M i c r o s o f t 的数字签名则删除该安装包更新内容选择同步到 S U S服务器上的更新并不自动被客户端下载管理员批准后这些更新方可下载这使得管理员可以在发布这些更新前对其进行测试内容同步服务端可以自动或手动地与公共的 W i n d o w s 更新服务同步 管理员可以设置预案 使服务端在指定的时间自动执行同步也可以点击现在同步按钮手工同步服务端与服务端之间的同步因为管理员可能在一个多 S U S服务器的环境中部署服务端允许指向另外一台 S U S服务端这样网络中可以只使用一个连向外网的出口而不必每一台服务端都从 W i n d o w s 更新网站下载从而使企业级

14、部署更加方便灵活的更新下载管理员可以指定从内网中下载更新也可以从M i c r o s o f t 的网站下载更新多语言支持尽管管理页面只支持英文和日文但服务端支持多语言版本的更新包通过h t t p 或h t t p s 远程配置管理界面基于W e b 使用I E 5.5 以上版本可以管理更新状态日志管理员可以指定 W e b地址自动更新客户端将下载和安装更新的统计数据发送到这个W e b 地址这些统计以h t t p 协议发送并且显示在W e b 服务器的I I S 日志文件中(2)e C o p 客户端程序完成功能确保核准过的更新被安装管理员可以设置自动下载更新并且指定安装时间如果客户机

15、在指定安装时间未开启则在客户机打开后立即安装预定安装选项本地管理员可被允许手工下载和安装更新 非本地管理员不能够下载和安装更新 这样防止了非授权用户对安装更新的干预内置安全机制安装前检查该更新文件是否已被M i c r o s o f t 签名精确判断所需更新使用与W i n d o w s U p d a t e 网站同样先进的机制扫描特定的客户机系统以判断哪些更新是可用的后台下载机制自动更新使用后台智能传输服务(B I T S B a c k-g r o u n d I n t e l l i g e n t T r a n s f e r S e r v i c e)一种创新的带宽反馈技

16、术进行下载因为这种技术只使用闲置的带宽所以不会干扰和减缓其它的网络访问例如I n t e r n e t 浏览链式安装自动更新使用W i n d o w s 更新技术安装下载文件如果多个更新被安装而且其中一个或多个需要重新启动计算机自动更新将这些更新全部安装好且只需要一次重启易管理在活动目录服务环境中管理员可以使用组策略配置自动更新的策略 另外 管理员可以通过登录脚本或类似机制使用注册表键值远程配置自动更新多语言支持客户端支持W i n d o w s的本地化版本检查客户端计算机操作系统的补丁安装情况只在模块被加载时运行一次(安装补丁后系统必须重新启动)系统启动时检查当前计算机上安装的所有补丁

17、列表与 e C o p 中央控制器上提供的最新列表进行比较若发现补丁安装不完整则根据配置的工作方式提醒用户下载未安装补丁或者重定向到补丁服务器或者自动下载并安装补丁在本地记录用户的补丁安装情况和变更状况向 e C o p 中央控制器发送客户端补丁安装情况(3)e C o p 中央控制器功能管理员在页面设置补丁管理功能模块的工作方式比如提醒用户重定向到补丁安装页面自动下载并安装管理员在页面上增加删除补丁文件服务端将其保存在数据库中管理员可以在页面上查看每个客户端补丁安装的历史信息搜索没有完整安装补丁的客户端并显示未安装补丁的客户端列表结束语综上所述宝信网络巡警e C o p 系统利用技术优势和本身的客户端程序有效地弥补了微软 S U S服务存在的不足如加强了补丁下载的及时性按公司的组织机构查看各补丁的安装情况对未安装补丁的计算机可以通知管理员然后对其进行强制安装等等都进一步地保证了整个网络系统的安全 S o l u t i o n s&A p p l i c a t i o n s方案应用万方数据操作系统补丁,你打了没有?操作系统补丁,你打了没有?作者：王佳，Wang Jia作者单位：上海宝信软件股份有限公司刊名：信息安全与通信保密英文刊名：CHINA INFORMATION SECURITY年，卷(期)：2005(11)本文链接：http:/