企业的漏洞修补管理（首部曲）

西瓜

简介

现今似乎到处都有人都在发展跳舞艺术（语带双关：写臭虫程序）。不是的，我们不是以在80年代发明的高难度霹雳舞来做比喻，而是说一小段撰写的程序代码，目的为用来尽可能感染易受影响的计算机。当许多IT专家刚清除完Zotob臭虫程序时，我们觉得这是绝佳时机来反映出每个系统与网管人员长久以来的心声，那就是：漏洞修补管理。

对许多IT团队来说，漏洞修补管理仍是相当新颖的概念。直到前年，当MS Blaster臭虫程序对无防备的系统带来浩劫，因此很多团队才开始考虑修补策略。Blaster利用Windows系统的远程过程调用（remote procedure call；RPC）弱点，让臭虫程序如野火般迅速扩散…在全球感染超过了800万部PC。这重创了许多公司数个星期，那时候修正套件与修正程序都很迅速地测试与套用，不过一般来说还是用手动下载来安装。

每个人都听过「时间是至关重要的」这句话，这也一定能适用于漏洞修补管理的领域。微软的安全性警告发表与臭虫程序的开始散布的时间差，说明了威胁正步步进逼。以下说明了这个倾向：

• MS Blaster Worm (2003)：在微软的安全性警告发表后约1个月出现。

• Sasser Worm (2004)：在微软的安全性警告发表后约2个星期出现。

• Zotob Worm (2005)：在微软的安全性警告发表后约1个星期出现。

对大部分公司来说旧式的病毒不会是前三大威胁。

这些缩短的时间表让IT专家感受到很大的压力，而必须确定所掌握的工具与处理程序能快速修补工作站与服务器的漏洞。这篇报导的目的是要来了解：1. 尝试于企业级环境中套用安全性修正程序与软件更新时所可能发生的常见问题。2. 这些修正与更新程序如何利用技术或手动安装程序来达到漏洞修补管理的目的。在之后接下来的报导中，我们将分析数种市场上的漏洞修补管理解决方案，这些都是你的公司会感兴趣使用的。

西瓜

待解决的常见问题

在企业级环境中，有数个问题对应用程序的安全性修正程序来说是必须要解决的。这些问题一般能透过自动更新工具或手动安装程序来达成。让我们来浏览一些常见问题。

修正远程客户端

当你的公司必须处理很多透过拨接或VPN服务来存取网络的远程客户端时，如何修正这些远程客户端便是一个问题。这要视微软（或其它厂商）在每个月发布多少修正程序而定，你可能必须套用数个好几MB的修正程序在连接于低速网络的计算机。

就衡量面的技术问题来说，数种漏洞修补管理工具能控制幕后智能型传送服务（BITS）不必立即占用所有可用频宽，就能够「分散提供」修正程序给远程客户端。

假如上述方式无法达成，这里你还有数个手动安装程序可用。某些公司每个月还在制作CD，并透过速度上慢很多的传统邮寄方式发送给远程客户端。每个月的安全性修正程序会「很专业地」全部集中，让没有本端管理者权限的使用者能安装这些安全性修正程序。

西瓜

修正已关机的工作站

如果硬件支持，请启用网络唤醒（WOL）并用于漏洞修补管理。

假如有人休假而且已将工作站关机，这样IT如何使用自动更新工具来修正工作站？许多人可能会告诉你这没关系。当使用者返回工住岗位并开启服务器电源，登入之后，只要使用了漏洞修补管理工具，系统会从中收到修正程序。但这同时也不一定正确无误，因为通常修正程序安装速度不够快。假如在网络中你有活动中的臭虫程序感染风险，当计算机网络卡开始作用时，系统很有可能被感染。

最好的方法是使用网络唤醒来实时修正工作站。数种漏洞修补管理应用程序让你能远程开启工作站电源，来特别安装安全性修正程序。这是所有可能性中更好的方式。

常替换或重新用影像文件安装的工作站

每当部署新计算机或需要重新组装现有计算机时，安装全新的操作系统是很没效率的。基于这个理由，大多数的大型IT团队使用类似使用Norton的GHOST应用程序，建立标准桌上型计算机与服务器影像文件。很重要的是这些影像文件至少基于每一季更新一次，来包含自从上次建立影像文件后，尚未涵盖之软件厂商新发布的安全性修正程序。

何故？当工作站重新用影像文件安装或替换，多数的自动漏洞修补管理解决方案会安装任何未安装的套件（安全性或其它的），而这套件是被视为强制底线的一部份。如果你有一年期的主动安全性修正程序安装，在新增新计算机时，安全性修正程序会立即（或在短时间内）执行所有的安装，并执行多次重开机。在最坏的情况下，这会打乱或困扰使用者，而因此会寻求不必要的客户支持服务。至少这会减缓IT成员设定新计算机的处理程序。当新的安全性修正程序增加到影像文件中时，这些安全性修正程序部署在你的漏洞修补管理应用程序可以被取消作用，或从强制底线移除。

西瓜

代理程序vs.无代理程序

提到究竟什么漏洞修补管理解决方案最适合你的公司时，「代理程序vs.无代理程序」将会是你必须回答的问题之一。使用代理程序的解决方案需要部分软件安装于每一个受管理的工作站与服务器。这软件会定期返回与中央服务器沟通，提供关于有问题计算机的信息，并寻找新的作业，例如：待部署的修正程序。无代理程序的解决方案不需要这客户端软件；这些解决方案会藉由使用标准的Windows通讯协议来扫瞄网络，找到工作站与服务器。

每个解决方案都有利弊。一般对无代理程序解决方案的争论是：不需要别的应用程序在背景执行来使用许多资源（内存与处理器时间）。当硬件价格随时间降低与内存随计算机贩卖，这将不会是问题。基于代理程序解决方案的另一个问题是：将代理程序软件安装在世界各地的数以千计的服务器上比你想象的更困难。尤其当你有大部分的客户端是使用拨接或VPN服务来连接到网络时，更是如此困难。假如这样，IT客户支持成员可能需要采取偷偷安装代理程序软件的方式。

无代理程序的解决方案本身也有问题。前提是这些解决方案常使用标准Windows通讯协议，例如：NetBIOS，来扫瞄网络，这就会有机会无法找到每一台需要受管理的工作站与服务器。当某些公司不想被使用高权限层次账号登入扫瞄主控台时，为了怕有风险，也许就有需要凭证的问题。当无代理程序的解决方案一般会比基于代理程序的产品使用较多的频宽时，对频宽与价格有相关的取决较苛求的公司，可能避免选择无代理程序的解决方案。

当做这样的决定时，记得要将你的环境特性考虑进去。假如你有广布的基础架构，有大部分的远程客户端需要被修正，那么基于代理程序的解决方案应该会较适合。假如你的公司只特定在一个实体位置与局域网络（LAN），那么无代理程序的解决方案应该是最适合。

结论

臭虫程序感染若要完全消除，会花费一家公司数百万美元（数千万到数亿新台币）。就其本身而论，在适当的地方拥有有效的漏洞修补管理策略是不可或少的。臭虫程序与病毒活动在过去数年增加是已知的，所以很明确的是安全性修正程序必须以实时的方式被测试与套用。不管你的网络安全防护多牢靠，恶意程序代码仍然能找到网络漏洞。

下一次的漏洞修补管理系列安装不久又要发布了。它会涵盖特定可用于提供漏洞分析与部署安全性修正程序的解决方案。

旻ANGELL

呵呵，说的真明白的哈