補丁管理有點象清理垃圾箱或清潔洗手間:毫無趣味但是你不得不做。我認識的多數網絡管理員一般通過下面三種方法中的一個處理它:
逃避:他們盡可能地關閉它,然后在必要的時候又盡可能快地完成它。自動操作:他們在所有主機上打開Windows Update的自動更新功能,“設置好后忘掉它”(這其實是另一種形式的逃避)并且祈禱不要出現任何不兼容。過分關注:他們使用一個精心制作的補丁管理程序,包括親自利用試驗環境中的每個生產服務器的復制品來試驗每個補丁,然后通過昂貴而復雜的配置服務器應用這些補丁,之后還要在每個系統中運行完整而且全面的漏洞掃描,并且嚴格地記錄缺少哪些補丁。本質上講,進行補丁管理是一項需要堅持不懈的工作。
無論你的網絡是一個小型商業群組還是一個擁有多個域的企業,使你的網絡中的系統及時更新是絕對重要的。新的操作系統和應用程序漏洞每天都層出不窮,而且一旦漏洞被公之于眾,總會有人找到利用它的方法。
逃避不是辦法
逃避不是辦法,但這在小型網絡的管理員中非常普遍。這些網絡一般缺少合適的容錯標準和其他安全解決方案,因此如果他們的系統受到攻擊,很可能損失慘重,至少,會損失一部分收入。 要想更有效,你的補丁管理計劃必須是及時和持續的。不幸的是,和所有類型的預防性維護一樣,它很容易被棄之不理,因為你總是忙于處理更緊急的問題。這就是說某種類型的自動操作幾乎是必不可少的。
Windows Update:總比沒有好
依賴Windows Update比完全逃避這個問題要好,但它依然不是理想的解決方案。如果你的網絡中只有10臺計算機,你或許可以確保每個系統被正確配置并且定期進行更新,但是這個策略難以進行擴展。你還必須記住自動升級功能只能在“高優先級”的條件下進行更新。而且如果你的網絡中的機器運行的是Windows NT或Windows 98,該怎么辦呢?這些版本不支持自動更新(盡管它們可以通過Windows Update的Web站點進行更新)。
Windows Update是保持用戶計算機及時更新的一個極好的方案,而且它適合一個用戶對自己的機器負責的小型工作組環境。但是隨著網絡的增長,你需要更集中式的控制。
在一個活動目錄環境中,你可以配置組策略以管理域中計算機的自動更新設置。這樣做至少可以使你避免物理地訪問每臺計算機以配置或驗證其設置。你也可以使用組策略設置(在計算機配置\管理模板\Windows組件\Windows更新下面)以確定安裝的具體時間。你或許還想啟用使用所有的Windows Update特性,它在用戶配置節點中的組策略設置中的遠程訪問中(用戶配置\管理模板\Windows組件\Windows Update),那么即使是本地管理員的用戶也無法手動安裝更新。自動更新將繼續運行并且根據預定的設置安裝更新。
缺省情況下,更新將從公開的Windows Uudate站點下載。然而,你可以通過詳細指定從某個企業內部網更新服務中下載更新,從而更多的控制更新過程。
集中式軟件配置
在一個大型組織內,你擁有的應用程序可能會和某些更新產生沖突,如果你無法更多地控制哪些更新安裝在哪些機器上,這會造成一個惡夢。
在Windows域中有幾種方法可以集中地配置更新。你可以使用組策略的軟件安裝功能以配置和安裝服務包以及某些更新。需要注意的是你需要獲得或創建.msi包,用于通過這種方式安裝。
組策略軟件安裝向你提供了從一個集中的地點向多臺機器配置軟件的方法,但是它沒有提供默認獲得更新的方法。你所需要的方法是結合Windows Update的Automatic Update這一自動下載功能和GP軟件安裝的管理控制。這些你可以從微軟的軟件更新服務或SUS(將很快被一個稱為Windows服務器更新服務或WSUS的新版本替代)中得到。
注意:候選的WSUS版本已經可用。在其beta版中,WSUS被稱為Windows更新服務或WUS。最終版本預計在2005年二季度發布。
使用SUS和WSUS,你可以在網絡中建立你自己的內部更新服務器(運行在Windows 2000或2003 Server上)。該服務器從微軟下載更新,然后你的網絡客戶端從SUS/WSUS服務器下載這些更新,管理員能夠控制哪些更新可以在客戶端主機上安裝。你可以選擇是下載所有更新并將之保存在本地的SUS/WSUS主機上,還是在經核準安裝后,直接從微軟公用服務器上下載這些更新。
WSUS是設計用來增加可伸縮性的。除了更新Windows操作系統(就像SUS所做的),它還可以其他諸如Office,SQL Server和Exchange這樣的微軟產品。更新對其他產品的支持將會被添加,而無需你更新WSUS。
另一個重要的可伸縮特性是,你可以在Windows Small Business Server(SBS)上安裝WSUS,所以如果你正在使用SBS,而不是常見的Windows服務器系統,你仍可以使用它。
當你增加補丁的測試需求時,WSUS還能較好的升級。你可以將補丁標識為‘未經核準的’,直到它們被你測試完成,或者你可以將它們標識為‘拒絕’,而將它們從更新列表中刪除(盡管在必要的時候你仍可以恢復它們)。WSUS可以檢測需要哪些補丁,但它也可以和檢測補丁狀態的更全面的第三方漏洞掃描工具配合工作。
最后,WSUS是免費的這個事實增強了它的可伸縮性。只要你有WSUS服務器運行所需的Windows服務器的許可,以及連接到它的客戶端擁有CAL,就無需為WSUS軟件或更新服務額外付費。
