|
Введение
Похоже, сегодня всё зло мира решило направить усилия на выпуск "червей". Нет, мы не имеем в виду тех червей, которые выползают в дождь на асфальт и на которых хорошо клюёт рыба. Мы подразумеваем крошечные куски кода, которые доставляют сегодня столь много неприятностей, заражая компьютеры. Во многих организациях администраторы до сих пор ещё не вычистили компьютеры от "червя" Zotob, причем, чем больше компьютеров в компании, тем сложнее становится эта задача. Именно поэтому мы бы хотели на страницах THG.ru обсудить важную тему для любого сетевого администратора: управление установкой "заплаток", патчей и исправлений. Процесс, который на английском называется "patch management".
Но для многих организаций управление установкой исправлений до сих пор почему-то воспринимается как что-то необычное. Как говорится, пока гром не грянет, мужик не перекрестится. Давайте вспомним новейшую историю. В августе 2003 грянул гром: эпидемия "червя" MS Blaster врасплох застала многие организации. "Червь" стремительно пронёсся по компьютерам, заражая их подряд. Напомним, что Blaster использует "дырку" в протоколе RPC (remote procedure call) в операционных системах Windows, которая и позволила ему стремительно размножаться. Всего в мире было заражено более восьми миллионов компьютеров. Вирус на несколько недель нарушил нормальную работу многих организаций. Администраторам пришлось справляться с трудной задачей - бегать по компьютерам, лечить их от "червя" и устанавливать "заплатки". Чаще всего - вручную.
Скольких бы проблем можно было избежать, если делать всё вовремя. Дело в том, что "черви", использующие ту или иную "дыру", появлялись позднее, чем выпускались бюллетень и исправление Microsoft. Впрочем, этот интервал в последнее время сокращается. Посмотрите на тенденцию:
- "червь" MS Blaster (2003): появился в "диком" виде примерно через месяц после публикации исправления Microsoft;
- "червь" Sasser (2004): появился в "диком" виде примерно через две недели после публикации исправления Microsoft;
- "червь" Zotob (2005): появился в "диком" виде примерно через неделю после публикации исправления Microsoft.
Подобное снижение временного промежутка увеличивает нагрузку на ИТ-персонал, которому сегодня требуются средства и инструменты для быстрого распространения исправлений по рабочим станциям и серверам. Целью нашей первой статьи является анализ и решение проблем, с которыми сталкивается персонал при распространении "заплаток" безопасности и обновлений в корпоративном окружении. Во второй части статьи мы проанализируем существующие на рынке решения по управлению установкой исправлений.
Проблемы, которые нужно решить
В корпоративном окружении существует несколько проблем, которые следует решить в отношении установки "заплаток" безопасности. Проблемы решаются как автоматизированными средствами, так и вручную. Давайте их рассмотрим.
Если ваша организация использует большое число удалённых клиентов, которые обращаются к вашей сети через коммутируемый доступ или VPN, установить на них исправления будет не так то легко. В зависимости от того, сколько исправлений Microsoft (или другой производитель ПО) выпустила в любой данный месяц, вам придётся закачать на клиента несколько мегабайт "заплаток" через медленный канал.
Если рассмотреть техническую сторону проблемы, то некоторые инструменты для установки исправлений способны использовать возможности Background Intelligent Transfer Service (BITS) для "заливания" патчей на удалённые клиенты, не оккупируя целиком доступную пропускную способность канала. Если пользователь прервёт соединение - никаких проблем. Скачивание патча продолжится в следующий раз, как только пользователь подключится.
Если указанный сценарий не представляется возможным, то всегда можно установить патч вручную. В некоторых организациях каждый месяц создаются специальные CD, которые по почте рассылаются удалённым клиентам. Причём эти исправления можно инкапсулировать в установочный пакет вида "Run as" (от лица администратора), так что применять CD может даже пользователь без административных привилегий.
Установка исправлений на удалённые клиенты
Установка исправлений на выключенные компьютеры
Если работник находится в отпуске, а его компьютер выключен, то как администратор сможет установить "заплатку" при помощи автоматических инструментов? Многие посчитают, что это не имеет значения. Как только пользователь вернётся и включит рабочую станцию, то после входа в систему она автоматически скачает исправления с помощью соответствующей установленной утилиты. Однако исправления могут устанавливаться недостаточно быстро. Если в вашей сети активен "червь", то машина может заразиться сразу же после того, как будет инициализирована сетевая карта.
Самым лучшим способом будет установка исправлений на рабочие станции с помощью функции пробуждения по сети (Wake-on LAN). Утилиты по автоматической установке исправлений позволяют включать удалённые рабочие станции для установки "заплаток". Лучше придерживаться именно такого подхода.
1 2 
