РЕКЛАМА
ИНФОРМАЦИЯ
ПОЛЕЗНЫЕ ССЫЛКИ
Установка исправлений и патчей в корпоративном окружении: часть I

Rambler's Top100 Рейтинг@Mail.ru

СОФТ

Установка исправлений и патчей в корпоративном окружении: часть II
Краткое содержание статьи: Количество "червей" и вредоносных программ продолжает увеличиваться, при этом растут и убытки, с ними связанные. Во второй части статьи мы рассмотрим решения, позволяющие легко и гибко наладить своевременную установку исправлений и "заплаток" на компьютеры вашей организации. Мы рассмотрим Altiris Patch Management Solution, Microsoft Systems Management Server 2003, PatchLink Update и Shavlik HFNetChkPro.

Установка исправлений и патчей в корпоративном окружении: часть II


Редакция THG,  21 октября 2005
Страница: Назад  1 2 Далее


Введение

Введение

В первой части нашего руководства мы обсудили основные принципы и ключевые проблемы, которые следует учитывать для успешной установки патчей и исправлений в корпоративном окружении. Во второй части мы рассмотрим несколько решений, существующих на рынке, чтобы вы смогли выбрать то из них, которое наилучшим образом удовлетворит потребности вашей организации. Мы рассмотрим следующие решения: Microsoft Systems Management Server 2003, PatchLink Update, Altiris Patch Management Solution и Shavlik HFNetChkPro.

Systems Management Server 2003

Systems Management Server 2003 (SMS2003) оказался для Microsoft большим шагом вперёд, если сравнивать с предыдущими версиями этого продукта. Большинство старых пользователей SMS хорошо знакомы с ключевыми функциями пакета вроде возможностей устанавливать программные пакеты, проводить инвентаризацию аппаратного и программного обеспечения, отслеживать лицензии. Самое большое улучшение касается добавления функции установки исправлений. SMS2003, с помощью инструментов Microsoft Baseline Security Analyzer (MBSA) и Microsoft Office Inventory Tool, впервые обзавёлся возможностью анализировать уязвимости.

SMS2003 базируется на основе агента, требуя установки клиентской части на каждую рабочую станцию или сервер. Через политики Active Directory можно указать автоматическую установку клиента при присоединении машины к домену.

Package, Collection и Advertisement

В работе SMS2003 несколько отличается от других решений по установке исправлений на рынке. SMS2003 использует собственную терминологию и имеет ряд нюансов, к которым придётся привыкнуть. В процесс установки исправлений у SMS2003 вовлечено три компонента: пакет (Package), группа компьютеров (Collection) и объявление (Advertisement). Пакет состоит из исправлений, которые сгруппированы вместе и будут так же вместе устанавливаться через процесс объявления. При создании пакета (этому помогает Мастер) SMS скачивает необходимые "заплатки" с сайта Microsoft. Под группой компьютеров (Collection) подразумеваются машины, которые получат пакет (если то посчитают нужным MBSA или Office Inventory Tool). К примеру, по умолчанию SMS2003 использует группу компьютеров "All Windows XP Systems" (все системы Windows XP).

click for full image

Объявление (Advertisement) SMS для августовских "заплаток".

Ещё одним ключевым улучшением в SMS2003 является возможность использования Background Intelligent Transfer Service (BITS) для передачи исправлений удалённым клиентам. Если клиент подключается через VPN или по коммутируемой линии, и на него запланирована установка исправления, то SMS2003 не будет сразу же тратить под перекачку всю доступную пропускную способность. Если клиент во время перекачки обновления отключится, то состояние будет сохранено, и при следующем подключении скачивание будет продолжено с момента обрыва.

Package, Collection и Advertisement

Статистика установки августовских исправлений безопасности.

Отчёт является ключевым элементом любого решения по установке исправлений. И в SMS2003 отчёты были существенно улучшены. Администратору доступны более 150 web-отчётов, включая возможность просмотреть ход установки критически важных исправлений.

Одним из важных недостатков SMS2003 является то, что модуль установки исправлений (Patch Management) поддерживает только "заплатки" Microsoft. То есть SMS не способен анализировать уязвимости программных продуктов других производителей, да и альтернативных операционных систем. Впрочем, учитывая, что большая часть современных "червей" нацелена именно на системы Microsoft, это не такая уж серьёзная проблема.

PatchLink Update

click for full image

Уязвимости, обнаруженные на рабочей станции.

PatchLink Update - ещё одно решение на основе агентов, получившее в последнее время широкую популярность. Решение многоплатформенное: поддерживаются Windows, Unix и Linux. PatchLink Update способно определять уязвимости в программном обеспечении практически всех производителей. Приложение базируется полностью на web-интерфейсе, а связь между агентом и сервером осуществляется через порт 80 (обычный HTTP) или 443 (SSL - что мы рекомендуем).

После установки на рабочей станции или сервере агент будет периодически запускать утилиту обнаружения, которая проведёт полный анализ приложений компьютера. На основе результатов анализа администратор может установить необходимые "заплатки" как на один компьютер, так и на группу. Причём всё это выполняется несколькими щелчками мыши.

Ключевая функция PatchLink Update понятна. Кроме того, программа производит инвентаризацию программного и аппаратного обеспечения, подобно SMS2003. Полученная информация не только полезна, но иногда и забавна. Скажем, когда вы обнаруживаете на корпоративной рабочей станции игру Tom Clancy's Rainbow Six. По итогам инвентаризации можно отослать письмо провинившемуся менеджеру. На рабочем месте играть нельзя!

PatchLink Update

Какие программы установлены на ПК в вашей организации?

PatchLink Update также поддерживает технологию BITS для установки исправлений удалённым клиентам. Как мы уже указывали выше, BITS предотвращает перегрузку коммутируемого подключения или VPN скачиваемым исправлением. Кроме того, если произойдёт обрыв соединения, то при повторном сеансе связи исправление будет скачиваться с прерванного места. PatchLink хорошо работает в больших организациях со сложными сетями и межсетевыми экранами, поскольку трафик проходит по портам 80 и 443. Они часто используются и обычно всегда разрешены.

Ещё одна удобная функция PatchLink Update заключается в отчётах анализа уязвимости, которые можно просмотреть через web-консоль. Как видно на иллюстрации ниже, можно выбирать различные уязвимости, анализ которых вы желаете провести. В отчёте будет указано количество компьютеров, для которых актуальна данная уязвимость, а также состояние: установлена "заплатка" или нет. Кроме того, часть компьютеров ещё не успела завершить анализ уязвимости - это тоже видно в отчёте. В последней колонке выводится процентное соотношение компьютеров, на которые установлена "заплатка". Раньше нормальным уровнем считалось 95%. Но с ростом количества "червей" и затратами, связанными с их устранением, администраторы сегодня пытаются максимально приблизить эту цифру к ста процентам.

PatchLink Update

С массовым распространением "червей" Zotob и Sdbot важно знать состояние установки "заплатки" MS05-039.

В последнее время популярность PatchLink Update значительно возросла. Если посмотреть на длинный список клиентов, то можно обнаружить достаточно крупные компании, которые недавно перешли на PatchLink Update для обновления рабочих станций и серверов. На сайте компании доступна 2-недельная пробная версия на 10 машин.
Страница: Назад  1 2 Далее


СОДЕРЖАНИЕ

Обсуждение в Клубе Экспертов THG Обсуждение в Клубе Экспертов THG


РЕКЛАМА
РЕКОМЕНДУЕМ ПРОЧЕСТЬ!

История мейнфреймов: от Harvard Mark I до System z10 EC
Верите вы или нет, но были времена, когда компьютеры занимали целые комнаты. Сегодня вы работаете за небольшим персональным компьютером, но когда-то о таком можно было только мечтать. Предлагаем окунуться в историю и познакомиться с самыми знаковыми мейнфреймами за последние десятилетия.

Пятнадцать процессоров Intel x86, вошедших в историю
Компания Intel выпустила за годы существования немало процессоров x86, начиная с эпохи расцвета ПК, но не все из них оставили незабываемый след в истории. В нашей первой статье цикла мы рассмотрим пятнадцать наиболее любопытных и памятных процессоров Intel, от 8086 до Core 2 Duo.

ССЫЛКИ
Реклама от YouDo
Рекомендуем: asus k50c переустановить систему, посмотреть.
Здесь заказ американской еды москва - подробнее по ссылке.