Введение
В первой части нашего руководства мы обсудили основные принципы и ключевые проблемы, которые следует учитывать для успешной установки патчей и исправлений в корпоративном окружении. Во второй части мы рассмотрим несколько решений, существующих на рынке, чтобы вы смогли выбрать то из них, которое наилучшим образом удовлетворит потребности вашей организации. Мы рассмотрим следующие решения: Microsoft Systems Management Server 2003, PatchLink Update, Altiris Patch Management Solution и Shavlik HFNetChkPro.
Systems Management Server 2003
Systems Management Server 2003 (SMS2003) оказался для Microsoft большим шагом вперёд, если сравнивать с предыдущими версиями этого продукта. Большинство старых пользователей SMS хорошо знакомы с ключевыми функциями пакета вроде возможностей устанавливать программные пакеты, проводить инвентаризацию аппаратного и программного обеспечения, отслеживать лицензии. Самое большое улучшение касается добавления функции установки исправлений. SMS2003, с помощью инструментов Microsoft Baseline Security Analyzer (MBSA) и Microsoft Office Inventory Tool, впервые обзавёлся возможностью анализировать уязвимости.
SMS2003 базируется на основе агента, требуя установки клиентской части на каждую рабочую станцию или сервер. Через политики Active Directory можно указать автоматическую установку клиента при присоединении машины к домену.
Package, Collection и Advertisement
В работе SMS2003 несколько отличается от других решений по установке исправлений на рынке. SMS2003 использует собственную терминологию и имеет ряд нюансов, к которым придётся привыкнуть. В процесс установки исправлений у SMS2003 вовлечено три компонента: пакет (Package), группа компьютеров (Collection) и объявление (Advertisement). Пакет состоит из исправлений, которые сгруппированы вместе и будут так же вместе устанавливаться через процесс объявления. При создании пакета (этому помогает Мастер) SMS скачивает необходимые “заплатки” с сайта Microsoft. Под группой компьютеров (Collection) подразумеваются машины, которые получат пакет (если то посчитают нужным MBSA или Office Inventory Tool). К примеру, по умолчанию SMS2003 использует группу компьютеров “All Windows XP Systems” (все системы Windows XP).
Объявление (Advertisement) SMS для августовских “заплаток”.
Ещё одним ключевым улучшением в SMS2003 является возможность использования Background Intelligent Transfer Service (BITS) для передачи исправлений удалённым клиентам. Если клиент подключается через VPN или по коммутируемой линии, и на него запланирована установка исправления, то SMS2003 не будет сразу же тратить под перекачку всю доступную пропускную способность. Если клиент во время перекачки обновления отключится, то состояние будет сохранено, и при следующем подключении скачивание будет продолжено с момента обрыва.
Статистика установки августовских исправлений безопасности.
Отчёт является ключевым элементом любого решения по установке исправлений. И в SMS2003 отчёты были существенно улучшены. Администратору доступны более 150 web-отчётов, включая возможность просмотреть ход установки критически важных исправлений.
Одним из важных недостатков SMS2003 является то, что модуль установки исправлений (Patch Management) поддерживает только “заплатки” Microsoft. То есть SMS не способен анализировать уязвимости программных продуктов других производителей, да и альтернативных операционных систем. Впрочем, учитывая, что большая часть современных “червей” нацелена именно на системы Microsoft, это не такая уж серьёзная проблема.
PatchLink Update
Уязвимости, обнаруженные на рабочей станции.
PatchLink Update – ещё одно решение на основе агентов, получившее в последнее время широкую популярность. Решение многоплатформенное: поддерживаются Windows, Unix и Linux. PatchLink Update способно определять уязвимости в программном обеспечении практически всех производителей. Приложение базируется полностью на web-интерфейсе, а связь между агентом и сервером осуществляется через порт 80 (обычный HTTP) или 443 (SSL – что мы рекомендуем).
После установки на рабочей станции или сервере агент будет периодически запускать утилиту обнаружения, которая проведёт полный анализ приложений компьютера. На основе результатов анализа администратор может установить необходимые “заплатки” как на один компьютер, так и на группу. Причём всё это выполняется несколькими щелчками мыши.
Ключевая функция PatchLink Update понятна. Кроме того, программа производит инвентаризацию программного и аппаратного обеспечения, подобно SMS2003. Полученная информация не только полезна, но иногда и забавна. Скажем, когда вы обнаруживаете на корпоративной рабочей станции игру Tom Clancy’s Rainbow Six. По итогам инвентаризации можно отослать письмо провинившемуся менеджеру. На рабочем месте играть нельзя!
Какие программы установлены на ПК в вашей организации?
PatchLink Update также поддерживает технологию BITS для установки исправлений удалённым клиентам. Как мы уже указывали выше, BITS предотвращает перегрузку коммутируемого подключения или VPN скачиваемым исправлением. Кроме того, если произойдёт обрыв соединения, то при повторном сеансе связи исправление будет скачиваться с прерванного места. PatchLink хорошо работает в больших организациях со сложными сетями и межсетевыми экранами, поскольку трафик проходит по портам 80 и 443. Они часто используются и обычно всегда разрешены.
Ещё одна удобная функция PatchLink Update заключается в отчётах анализа уязвимости, которые можно просмотреть через web-консоль. Как видно на иллюстрации ниже, можно выбирать различные уязвимости, анализ которых вы желаете провести. В отчёте будет указано количество компьютеров, для которых актуальна данная уязвимость, а также состояние: установлена “заплатка” или нет. Кроме того, часть компьютеров ещё не успела завершить анализ уязвимости – это тоже видно в отчёте. В последней колонке выводится процентное соотношение компьютеров, на которые установлена “заплатка”. Раньше нормальным уровнем считалось 95%. Но с ростом количества “червей” и затратами, связанными с их устранением, администраторы сегодня пытаются максимально приблизить эту цифру к ста процентам.
С массовым распространением “червей” Zotob и Sdbot важно знать состояние установки “заплатки” MS05-039.
В последнее время популярность PatchLink Update значительно возросла. Если посмотреть на длинный список клиентов, то можно обнаружить достаточно крупные компании, которые недавно перешли на PatchLink Update для обновления рабочих станций и серверов. На сайте компании доступна 2-недельная пробная версия на 10 машин.
Altiris Patch Management Solution
Наш коллега порекомендовал рассмотреть программу Altiris Patch Management Solution. Altiris является компанией, которая предлагает широкий ассортимент продуктов, способных взаимодействовать друг с другом. Вообще, компания построила целый пакет, нацеленный на ИТ-инфраструктуру предприятия: IT Infrastructure Library (ITIL). Описание ITIL выходит за рамки данной статьи, но если вы желаете получить дополнительную информацию, то обратитесь к другим источникам.
Программа с не очень оригинальным названием Patch Management Solution тоже использует агентов, требуя их установки на каждую рабочую станцию или сервер. К счастью, клиентская часть не требовательна: 5 Мбайт дискового пространства и 64 Мбайт памяти. Да и на повседневную работу клиент никак не влияет.
Хотя основной функцией Patch Management Solution является поиск уязвимостей и установка исправлений, программа обеспечивает также инвентаризацию аппаратного и программного обеспечения и даёт возможность удалённой установки стандартных программ. Собственно, сегодня очевидна тенденция подобных программ: чем больше пользы они приносят, тем выше внимание к ним со стороны потенциальных клиентов.
Altiris также выбрала административную консоль на основе web.
Устанавливать “заплатки” с помощью Altiris Patch Management Solution очень легко. Вызываете web-интерфейс административной консоли, с помощью нескольких щелчков мыши выводите информацию о состоянии той или иной уязвимости, скачиваете с сайта производителя ПО “заплатку” и ставите её в очередь на распространение. Что интересно, Altiris рекламирует интеграцию с “Recovery Solution”, позволяющую откатить исправление назад, если оно каким-то образом повлияет на качество работы или совместимость. Учитывая тесные временные рамки, которые мы уже обсуждали в первой части нашей статьи, многие организации не успевают провести расширенное тестирование отдельных исправлений. Поэтому они часто предпочитают сразу же, после самого небольшого тестирования, распространить исправление, чтобы обеспечить защиту инфраструктуры от новых опасностей. Если “заплатка” привела к проблемам, то её можно будет откатить.
Способен ли пакет Patch Management Solution устанавливать исправления удалённым клиентам? Да, Altiris учла и этот момент. Удалённые клиенты будут скачивать исправление, не перегружая медленное сетевое подключение. Если произойдёт обрыв связи, то после повторного соединения передача файла будет продолжена с того же места.
Отчёты в реальном времени очень важны для больших организаций, и Altiris их предоставляет.
Любая качественная программа для установки исправлений должна предоставлять отчёты в реальном времени. Altiris добавила подобную возможность в Patch Management Solution. Благодаря отчётам вы сразу же можете определить, какие исправления вышли, посмотреть все найденные уязвимости и получить информацию о ходе установки того или иного исправления в организации. В частности, нам понравились доскональные отчёты по уязвимостям, которые позволяют быстро оценить ситуацию в корпорации.
Если ваша организация поддерживает схему управления ITIL и IT Service Management, то не забудьте посмотреть на весь программный пакет Altiris.
Shavlik HFNetChkPro
Сканирование по IP-адресу или домену.
Пока что все три рассмотренных продукта используют агентов – клиентские программы, которые следует устанавливать на каждую рабочую станцию или сервер. Конечно, мы не могли пропустить мимо внимания хотя бы одно решение, не использующее агентов. К таким решениям относится Shavlik HFNetChkPro.
Поскольку устанавливать агентов не требуется, всё что нужно – установить саму программу и запустить консоль. Программа вполне нормально работает даже на скромной машине с Windows 2000 Professional. Тот факт, что для установки ей не требуется дорогих Windows Server, усиливает привлекательность программы в небольших организациях, с осторожностью приобретающих лицензии.
Интерфейс программы прост и интуитивен. Shavlik рекомендует сканировать по диапазону IP-адресов, а не по домену, поскольку тогда процесс пойдёт быстрее. Если машины работают и присутствуют в сети, HFNetChkPro просканирует их в поисках уязвимостей. Конечно, для этого программу следует запускать под соответствующими административными правами. Во время установки программы всплывают окна “Did you know” (“А вы знаете?”), в одном из которых указано, что сканирующий движок Shavlik также используется в Microsoft Baseline Security Analyzer. Так что ребята создают правильные программы.
Отчёт позволяет узнать информацию о наличии уязвимостей, причём даже в графической форме.
Как только сканирование будет завершено, программа выдаст отчёт с результатами. Он показывает, сколько компьютеров было просканировано и сколько “заплаток” и пакетов обновления не хватает. В отчёте присутствует несколько графиков. Скажем, десятка самых часто встречающихся уязвимостей, десятка самых уязвимых машин и уровень опасности уязвимостей.
Установку и откат исправлений с помощью HFNetChkPro производить очень легко. Можно задавать различные параметры установки исправлений: скажем, при перезагрузке целевой машины. При этом сотрудник может даже не узнать, что на его машину было установлено исправление.
С помощью нескольких щелчков мыши можно скачать, установить или откатить исправление.
Поскольку данное решение не использует агентов, возникает вопрос: как программа анализирует уязвимости и устанавливает “заплатки” удалённым клиентам? Сможет ли программа незаметно передать исправление на удалённый компьютер, если он подключается через медленный канал? Ответ утвердительный, но для этого… вам придётся установить агента. Shavlik расширяет функциональность своих продуктов с помощью агента Shavlik Security Agent. Его можно установить на машины и удалённым клиентам, которые обычно не подключены к сети, чтобы гарантировать получение ими исправлений на регулярной основе. И хотя эти агенты не используют BITS напрямую, они предлагают так называемую функцию “checkpoint restart”, обеспечивающую сходные возможности.
В документации Shavlik можно найти интересную аргументацию решений с агентами и без них. Там же приведены сценарии, в которых решения без агентов нельзя считать идеальными. Скажем, подобный продукт вряд ли доберётся до удалённых мобильных пользователей, компьютеров в DMZ, а также до рабочих станций, которые в данный момент не работают. Добавление опционального агента создаёт гибридное решение, которое позволяет получить всё лучшее из двух миров.
Заключение
Для многих наших читателей, относятся они к сфере ИТ или нет, очень важно заключение. Из-за всё возрастающих расходов на вычищение инфекций “червей”, всё большее число компаний решается потратить деньги на решения по своевременной и автоматической установке исправлений, чтобы ИТ-операции ни на миг не прерывались даже при самых тяжёлых вирусных эпидемиях.
Все рассмотренные нами решения более чем хорошо решают поставленную задачу. Они обеспечивают администраторов качественной информацией о текущем состоянии сети, а также дают возможность принять самые эффективные решения на основе этой информации. Для больших организаций, которые заинтересованы в комплексных и функциональных пакетах с широкими возможностями для управления, лучшими вариантами станут Microsoft Systems Management Server и пакет Altiris. Если вам нужно средство только для анализа уязвимостей и установки исправлений, хорошо подойдут PatchLink Update и Shavlik NetChk.
Чем более ответственными будут сетевые администраторы, тем легче станет жить обычным пользователям. Если ваша организация спустя рукава относится к своевременной установке исправлений, то следует как можно быстрее исправить эту недоработку. И хорошей отправной точной будет приобретение одного из описанных в материале пакетов.