对于IT管理员来说,给操作系统安装补丁是一件苦不堪言但又不可避免的事。不过,现在情况已大为好转,有许多方法和工具可以帮助IT管理员完成这一过程。首先,微软通过补丁星期二(微软通常会在每个月的第二个星期二发布安全补丁)来简化Windows补丁的部署和管理流程;其次,多数企业制定了补丁检查和部署策略;第三,自动化的补丁管理工具不断涌现。
那么,补丁安装是不是从此就万事大吉了呢?不,这当然不会一蹴而就。当一名新员工进入公司,在为其配备计算机之前,如果公司已经部署了最新的补丁,将会发生什么情况呢?当公司部署补丁时,如果漫游用户的便携式计算机未连接到公司网络,将会发生什么情况呢?当用户在自己的计算机上安装了新的软件而不知道该软件有重要的安全更新时,将会发生什么情况呢?
除了制定适当的补丁管理流程和使用自动化的补丁管理与部署工具之外,企业还需要一些方法来确定那些计算机漏掉的补丁,以免未修复的漏洞导致这些计算机容易受攻击,并危及网络中的其他计算机。
确定漏掉的Windows操作系统补丁的方法主要有以下三种:
微软工具。微软为管理员提供了一些工具,可以确定漏掉的Windows补丁。
Microsoft Baseline Security Analyzer(MBSA)是微软免费提供的一个安全漏洞检测程序。对于MBSA来说,好消息是其检测范围不只局限于Windows操作系统,还可以用来确定微软其他应用程序(如Microsoft Office、SQL Server等)的安全问题和漏掉的补丁;坏消息是MBSA仍然是面向微软应用程序的,因此你仍然需要自行确定你的系统中是否安装了最新的Firefox或Adobe Flash更新。
WSUS(Windows Server Update Services)是微软开发的一个自动化的补丁管理工具。Windows Server 2003或Windows Server 2008的许可用户可以免费获得WSUS。因为WSUS客户端可以自动连接到WSUS服务器并确定可用的补丁,所以WSUS能够确定系统漏掉的补丁。与MBSA一样,WSUS也是一个以微软应用程序为中心的解决方案,不能确定和部署第三方应用程序漏掉的补丁。
第三方补丁管理工具。通常情况下,其他厂商(如GFI和Shavlik)开发的第三方补丁管理工具会提供扫描和确定系统漏掉的补丁的功能。与微软的免费补丁管理工具不同的是,这些第三方补丁管理工具不但能够确定Windows操作系统上其他应用程序(例如Apple iTunes或Adobe Flash)漏掉的补丁和更新,而且能够扫描其他操作系统平台(例如Linux和Mac OS X)并确定其漏掉的补丁。
漏洞扫描器。漏洞扫描器(如Nessus)也是一种可以用来确定漏掉的补丁的有效工具。
Nessus不需要在目标系统上安装代理收集系统信息。通过扫描目标系统,Nessus可以确定漏掉的安全补丁和系统配置的漏洞。Nessus不依赖Windows注册表的信息,而是更深入地检查目标系统,从而发现系统实际存在的漏洞。另外,Nessus还提供了针对各种合规性标准的扫描插件,以确保系统符合SOX(萨班斯法案)或PCI DSS(支付卡行业数据安全标准)的要求。
无论使用哪种解决方案来确定漏掉的补丁,你几乎都会遇到同一个问题,那就是需要跨越整个网络和目标系统的权限。如果系统的安全配置完全得当,没有适当授权的话,任何扫描器都不应该能分析整个网络中的每一台计算机。
不管采用哪种工具或方法,重要的是要将确定漏掉的补丁的定期扫描纳入到整个补丁管理流程中。忽视未安装补丁的系统不但会使这些计算机本身容易受到攻击或危害,而且可能会使其他的补丁管理工作前功尽弃。