Windows NT 4.0 和 Windows 98 威胁缓解指南
第 6 章:修补程序管理
防止攻击的一种主要方法是通过安装所有必需的安全修补程序,来确保您的环境保持为最新。 在服务器和客户端级别都需要修补程序。 本章介绍如何确保及时发现新的修补程序、快速可靠地在整个组织中实施这些修补程序,并监视以确保各处都已部署该修补程序。 它介绍了修补程序管理实施中的不足,并通过详细介绍 Trey Research 中的 修补程序管理系统作出了结论。 本页内容
背景知识修补程序管理是信息安全的一个重要组成部分。 当在现有代码中识别出新的漏洞或出现新的威胁时,供应商会发行修补程序来修复漏洞或增加安全功能。 类似 Trey Research 的组织必须能够快速识别出哪一台计算机需要何种修补程序,然后根据需要部署修补程序。 它们必须能够重复一致地执行此操作,因为即使少数计算机修补失败,也意味着整个网络仍然易受攻击。 解决方案设计您具体如何实施修补程序管理将取决于组织的大小和复杂性。 但是,您了解修补程序管理的重要性以及它是如何符合组织的整体风险管理策略是非常重要的。 例如,如果您决定不惜代价将风险最小化,可以遵循软件中每次出现新的漏洞,就关闭所有生产系统的策略。 然后,您可以选择不重新启动系统,直到对安全修补程序执行了全面的测试并将其部署在整个组织。 这是非常耗时和高成本的过程,对大部分组织来说是不切合实际的。 在整个修补程序管理过程中,您将需要将部署适当对策的成本与风险进行对照评估。 在披露安全漏洞之后,可能要经过一段短期时间才会发布修补程序。 您将评估漏洞引起的高风险,并确定在测试和部署修补程序之前必须做什么。 您可能要根据实际情况来禁用服务,使系统脱机或将访问限制为仅针对内部用户或其他组。 发布修补程序之后,您需要确定立即对其进行部署的风险,并确定保持服务停顿或处于未保护状态(同时进行测试以确保该修补程序不会对系统产生负面影响)的成本,将二者进行比较。 如果决定测试,您需要确定在不进行部署的风险超过部署的风险之前,您可以进行的测试量。 注意:您的组织应该实施更改管理过程。 Microsoft Operations Framework (MOF) 包括更改管理过程,该过程可作为组织的基础过程。 有关 MOF 的详细信息,请参见本章末尾的“详细信息”部分。 解决方案先决条件Trey Research 修补程序管理解决方案必须允许 IT 部门执行以下操作:
因为 Trey 在多个地方具有办事处,每个办事处有其自己的管理人员,所以该公司需要为修补程序管理采用一致的一组工具和过程。 尽管这主要是过程问题(通过后续章节中介绍的解决方案设计来处理),但仍存在一些影响 Trey 解决方案设计的技术问题:
解决方案结构修补程序管理体系结构在组织之间有较大不同。 有些组织选择高度集中且严格管理的系统,尽可能多地使用现有工具,而其他一些组织建立自定义的修补程序清单和部署工具。 但是,所有这些体系结构具有某些共同功能和需求。 基本修补程序管理包括四个阶段:
重要:强烈建议在部署修补程序之前备份所有生产系统。 评估环境为了管理修补程序,IT 人员至少需要了解以下信息:
强烈建议您的修补程序管理过程所涉及的所有人员了解此信息,此确保该信息是最新的。 了解您的资产、漏洞、威胁以及如何配置您的环境之后,您可以确定哪些威胁和漏洞将对您影响最大,并区分其严重程度。 如果您遵循第 2 章“将安全风险管理规则应用于 Trey Research 方案” 中的指示信息,则此信息的大部分将可在规划修补程序管理部署时了解到。 可以使用以下部分中介绍的步骤来收集关于正在使用的特定修补程序的信息。 可以通过 SRMD 资料和本指南的前面几章的建议调整关于应用程序、资产、风险和对策的数据。 识别修补要求作为持续进行的过程,您要确保您的计算机修补程序是最新的。 在某些情况下,会发布一个新的修补程序,您将需要在所有服务器上安装此修补程序。 其他情况下,要使用新的服务器,将需要进行适当的修补。 您应该继续分析所有服务器,确保这些服务器为最新的,已安装最新的修补程序。 要有效保持组织中的计算机为最新,您要了解存在的漏洞和已经实施的保护措施。 有助于此过程工具包括 Microsoft 基准安全分析器 (MBSA)、Microsoft 系统管理服务器 (SMS) 版本 2.0、SMS 2003 以及 Office Update Inventory 工具。 使用 Microsoft 基准安全分析器尽管了解哪些修补程序已应用于系统很重要,但了解哪些修补程序尚未应用更重要。 MBSA 用于扫描运行 Windows NT 4.0、Windows 2000、Windows XP Professional 和 Windows XP Home Edition 的计算机,并生成报告指明存在哪些修补程序以及需要哪些修补程序。 注意:MBSA 可以从运行 Windows 2000 Professional、Windows 2000 Server、Windows XP Home 或 Windows XP Professional 的任何一台机器上执行。 它不能在 Windows 98 或 Windows NT 4.0 上运行,而且不能扫描运行 Windows 98 的计算机。 MBSA 工具通过引用 Microsoft 不断更新的可扩展标记语言 (XML) 数据库来执行扫描。 它还使用流行的“HFNetChk”工具,该工具是由 Microsoft 在 2001 年 8 月发行。 XML 文件包含安全公告的名称和标题、关于特定于产品的安全修补程序的详细数据(包括每个修补程序软件包中的文件以及修补程序安装软件包应用的文件版本、校验和、注册表项)、关于哪些修补程序可取代哪些其他修补程序的信息,以及相关的 Microsoft 知识库文章编号等。 当您首次运行 MBSA 工具时,它必须获取此 XML 文件的副本,以便可以找到可用于每个产品的修补程序。 可从 Microsoft 下载中心网站获取压缩格式的 XML 文件(数字签名为 .Cab 文件)。 MBSA 将下载该 .cab 文件,验证签名,然后将该 .cab 文件解压缩到运行 MBSA 的本地计算机上。 请注意,.Cab 文件是与 WinZip (.Zip) 文件相似的压缩文件。 注意:每次运行 MBSA 时,它都试图连接至 Internet,以从 Microsoft 下载 XML 文件。 如果没有可用的 Internet 连接,那么此工具将在该工具安装文件夹中查找 XML 文件的本地副本。 每次在扫描期间成功下载该文件后,就会在计算机上存储一个本地副本,以防以后的扫描无法连接到 Internet。 而对于那些一直无法连接到 Internet 的计算机,用户可以从 Microsoft 下载中心站点单独下载此文件,然后复制到运行该工具的计算机上。 .Cab 文件解压缩之后,MBSA 就开始扫描您的计算机(或选定的多台计算机),以确定您运行的操作系统、Service Pack 和程序。 然后 MBSA 分析该 XML 文件,并确定适用于您安装的软件组合的安全修补程序。 MBSA 在确定在一台给定的计算机上是否安装了某一特定的修补程序时,将检查三项内容:由修补程序安装的注册表项、文件版本,以及由修补程序安装的每个文件的校验和。 在默认配置中,MBSA 将把所产生的 XML 子集中的文件细节和注册表项与它正在扫描的计算机上的文件和注册表细节进行比较。 如果该计算机上的文件或注册表项详细信息中有任何一项与存储在该 XML 文件中的信息不相符,那么就认为关联的安全修补程序没有安装,并将结果显示在安全报告中。 与该修补程序有关的具体的 Microsoft 知识库文章编号也将显示在屏幕上。 通常,MBSA 工具在 Windows 操作系统(Windows NT 4.0、Windows 2000 和 Windows XP)下扫描安全问题,例如 Guest 帐户状态、文件系统类型、可用的文件共享和管理员组的成员,等等。 安全报告中显示了对每此操作系统检查的描述,以及有关如何修正发现的任何问题的说明。 注意:要使用 MBSA,您必须对正在执行修补程序检查的计算机具有本地管理员或域管理员的权限。 MBSA 工具具有可用于两种模式的大量命令行开关:MBSA 模式和 HFNetChk 模式。 MBSA 样式扫描将结果存储(如 MBSA 版本 1.0 所执行)在个别 XML 文件中,以便以后在 MBSA 用户界面 (UI) 中查看。 MBSA 样式扫描包括全部可用的 Windows、Internet 信息服务 (IIS)、Microsoft SQL Server™、桌面应用程序和安全更新检查。 如单独的 HFNetChk 工具所执行的,HFNetChk 样式扫描将检查缺少的安全更新,并在命令行窗口中以文本形式显示扫描结果。 MBSA 1.1 包括“/hf”标志,对 MBSA 引擎指示 HFNetChk 扫描。 另外,在 HFNetChk 模式中,MBSA 可以扫描文本文件形式提供的计算机列表,而且会检查系统以查看它们是否具有由名为“软件更新服务”(SUS) 的服务器发布的所有修补程序。 如果您使用 MBSA 验证修补程序状态,您应该确保它正常运行。 在大部分环境中,要做到这一点的最好方法是安排它以预先设置的时间间隔运行。 注意:有关使用 MBSA 工具的详细信息,请参阅 http://www.microsoft.com/technet Office Update Inventory Tool将强大的应用程序编程功能内置于 Microsoft Office 之后,注意应用程序本身的漏洞变得很重要。 许多病毒和特洛伊木马利用当前的生产应用程序的功能,以便针对文档、电子表格和电子邮件通信中的活动内容采取行动。 要帮助更新和保护 Office 部署,Microsoft 发布了 Office Update inventory tool。 可在运行 Windows 98 操作系统或更高版本以及 Office 2000 或更高版本的计算机上执行该实用程序。 它允许管理员准确评估 Office 部署的修补程序级别。 Office Update Inventory Tool 可在 http://www.microsoft.com/office/ork 确定修补程序级别的其他方法如果在您环境的某些部分中不想或不能使用 MBSA 工具,您可以通过其他方法来确定是否已安装修补程序。 为此,最简单的方法是查看 HKLM\Software\Microsoft\Windows NT\Currentversion\hotfix 项下的计算机注册表项。 安装的每个新修补程序应该具有带有 Q 名称的项,该项对应于讨论修补程序的知识库文章。 但是,对于某些较早修补程序或某些特定应用程序的修补程序,情况不是这样。 确定修补程序级别的其他工具Microsoft 提供另外两个免费工具,您可以使用这些工具来收集信息。 这些工具是:
评估和规划修补程序应用不是每个威胁或漏洞都对您的环境具有巨大的风险。 当您阅读潜在的新操作系统或应用程序漏洞的通知时,您应该评估以下这些漏洞是否适用于您的特定环境。 例如,如果该漏洞适用于 Windows 2000 中的文件传输协议 (FTP) 服务,而且您从未启用过该服务,则该漏洞将不适用于您。 类似地,如果您了解今年有飓风的可能性很大,而您的 IT 环境是内陆,则此威胁很小。 如果您响应不适用于您的环境的威胁和漏洞,您将占用有价值的资源并可能对您的环境稳定性产生负面影响,而没有相应的益处。 一旦出现新的威胁和漏洞,您应该阅读关于它们的所有支持信息。 这将允许您及时确定关于您的环境面临的巨大风险的级别,然后确定适当的响应对策。 您的另外一种方式就是不采取行动,禁用具有风险的服务或部署修补程序。 重要:当为部署新修补程序制定计划时,您还应该创建回滚计划,该计划介绍如何删除该修补程序或缓解修补程序安装过程中的故障。 要确保您当前的修补程序保持为新的,应确保您从 Microsoft 接收定期安全公告。 要注册以接收更新公告,请转至 Microsoft 全球网站 http://www.microsoft.com/worldwide,进入适合您所在国家/地区的网页,然后访问 http://www.microsoft.com/security/ 上的 Microsoft 安全主页。 修补程序分类每当新的修补程序可用时,您都应该确定它对您环境的重要性,这将有助于您确定每隔多久需要部署修补程序以及您可以进行的测试量。 Microsoft 为每个漏洞确定等级,这是安全公告的主题。 下表所示为这些等级级别。 表 6.1:Microsoft 定义的漏洞等级
根据漏洞潜在的影响和可能性,评估系统为漏洞进行分类。 您可以将此评估系统用作为修补程序分类的指南。 但是,Microsoft 评估系统仅是对全球数百万客户潜在影响的总体估计。 严重程度等级基于过去的经验和主观判断。 由于这些原因,他们对环境影响的预测可能不准确。 最终,您将要根据您自己的环境为修补程序分类。 评估修补程序修补程序评估至少应该包括以下步骤:
在阅读文档时,请查找下列问题的答案:
除了检查与更新一起发布的文档,您应该在 Microsoft 支持网站上搜索与更新相关的任何在过去发行的其他信息。 TechNet 还在其网站上可搜索的(通过产品名和 Service Pack 搜索)数据库中提供安全公告。 这些资料中提供必须参考的重要信息。 测试修补程序与任何软件一样,修补程序不可能在各种环境中都非常有用。 理想情况下,您应该全面测试要安装到您的环境中的任何修补程序。 但是,为了修正潜在的严重问题,许多修补程序都需要迅速安装。 很多情况下,由于在解决安全问题的需要和确保修补程序在环境中稳定的需要之间进行权衡,因而结束测试过程。 适当的测试工作量将取决于您如何为修补程序分类。 使用 Microsoft 分类方法,下表显示了您应该为各类修补程序执行的最低测试等级。 在 Trey Research 方案中,安装建议的修补程序之后,各个服务器角色仍要正常工作。 通过验证各个客户端计算机是否仍然能够连接至在每个服务器角色上运行的网络服务,并执行其他基本测试过程以确认一切工作正常,以便确认这一点。 表 6.2:修补程序的最低测试
作为风险管理过程的一部分,您将需要确定如何彻底执行每一步。 如果由于时间紧急而跳过某些阶段,您应该在测试实验室继续完成这些阶段,以便在已部署系统中出现问题之前发现这些问题。 所有测试应该在与您的生产服务器尽可能相似的服务器上进行。 安装修补程序您应该确保正确安装修补程序,了解是否需要重新启动修补程序,了解它占用的空间大小(包括卸载文件夹),并了解可选择哪些选项,等等。 您还应该阅读所有支持文档获取更多信息,以评估应用此修补程序的优缺点。 测试服务器操作安装该修补程序之后,您需要确保服务器继续正常工作。 监视事件日志和系统监视以防意外结果,也是一个很好的做法。 测试所有服务器功能,并确保一切正常运转。 您能够在具有特定漏洞的特定服务器上处理的风险大小,决定了应该允许服务器运行的时间,然后才能得到一切正常运行的结论。 如果存在任何问题,您要确保尽快将其记录下来并报告给 Microsoft。 注意:您可以使用 Microsoft Operations Manager (MOM) 来从 Windows NT 4.0 服务器中收集事件日志和系统监视信息。 测试应用程序操作作为测试过程的一部分,通过共存于服务器上的任何应用程序来测试修补程序,并确保识别任何相关问题是很重要的。 安装修补程序之后,您应该检查所有应用程序是否可与安装之前一样工作。 准备卸载尽管经过测试,您仍可能安装修补程序安装之后遇到问题,导致您必须卸载修补程序。 因此,测试卸载是否有效非常重要。 卸载之后,应该检查服务器是否仍按照预期运行,并且应继续观察事件日志和系统监视器计数器。 制定回滚计划即使测试过程完全没有问题,但在您将修补程序部署到整个组织时,仍可能会出现难题。 在部署修补程序之前,您需要一个行动计划,以将系统恢复到其最初状态。 在某些情况下,此计划包括在安装之前获取服务器的快照备份,以便在出现问题时可以快速恢复服务器。 您应该全面测试您的组织设计的回滚计划。 部署修补程序如果测试在没有问题的情况下执行,您可以准备在整个组织部署修补程序。 要做到这一点,可通过以下几种方法,包括以下方法和过程:
注意:有关部署修补程序的详细信息,请参阅 http://www.microsoft.com/technet/security 手动部署手动修补程序安装是最常见的安装方法。 此方法包括简单地运行对应于每台服务器上修补程序的可执行文件。 如果您的组织拥有多台服务器,这可能不实用。 因为 Trey Research 拥有中等数量的服务器,而且公司的服务器遍布在多个位置,所以手动部署是当前的修补程序部署方法。 大部分修补程序的名称将显示有关修订的重要信息。 例如,修补程序的一个典型名称为 Q292435_W2K_SP3_x86_en.exe。 在这种情况下:
注意:具有文件名 QXXXXXX.exe 且文件名后面不带有 W2K_SP3_x86 的修补程序专用于类似 Microsoft Internet Explorer 的应用程序。 修补程序还支持一些命令行开关,您可以使用这些开关控制修补程序安装过程的行为。 这些开关如下表所示: 表 6.3:修补程序可执行文件的开关
注意:文件名称为 QXXXXXX.exe 的特定于应用程序的修补程序通常不支持上表列示的所有开关。 如果为多个修补程序的安装进行脚本编写,您将要使用 -q 和 -z 开关,以便在没有 UI 的情况下安装修补程序,且不强制重新启动。 通常,当安装多个修补程序时,您需要在每一个修补程序之间重新启动计算机。 这是因为任何锁定的或正在使用的文件无法被替代,因此将这些文件放置于队列中以便在系统重新启动之后替换。 QChain 工具允许您连续执行多个 Windows NT 4.0 修补程序,仅需执行一次重新启动(而无需在每次安装之后重新启动)。 要使用 QChain,请使用 -z 开关运行修补程序安装程序,以便指示安装程序在安装之后不重新启动。 然后,运行 QChain.exe 并重新启动计算机。 如果在应用 Service Pack 和修补程序之后添加其他 Windows 组件(例如域名系统 (DNS) 服务),必须重新应用 Service Pack 和修补程序,以确保适当修复新的组件。 对部署编写脚本您可能希望使用 Microsoft Visual Basic® Scripting Edition (VBScript) 语言或批处理文件创建您自己的脚本,以处理修补程序。 这些脚本可能是登录脚本或启动脚本的形式,检查当前修补程序状态然后检查集中服务器的更新。 您的脚本可以包括 QChain,以确保如果需要多个修补程序,仅需要一次重新启动。 部署监视和支持将修补程序安装到生产环境之后,您需要继续监视您的服务器。 务必监视事故日志和系统监视计数器,以发现问题。 如果后两个星期在计算机上发现任何其他错误,您应该进行测试,以确保这些错误与您部署的修补程序无关。 同样,如果您由于时间紧急而没有进行全面的实验室测试而实施修补程序,则您应该在实验室环境中继续测试以确保全部完成。 除了监视现有的服务器,应全面监视环境以确保新服务是在安装了当前修补程序之后才连接到网络,这也是非常重要的。 新服务器应该总是接收到最新的版本,您的组织监视策略应该确保这一点。 确保所有过程正常工作的唯一方法是审查过程。 完成每个修补程序的修补程序管理过程之后,您应该审查该过程以确保正确部署每一个修补程序,并且所有过程运行正常。 这种审查将有助于确保修补程序管理过程继续正常运行。 当审查过程时,您应该继续分析环境的进一步变化。 如果发生任何情况,您将要再次启动修补程序管理过程。 部署Trey Research 修补程序管理解决方案包括多个独立的组件,它们一起工作以提供可靠、强健的清单并提供服务。 Trey 执行的第一步是对公司现有网络和系统进行综合分析。 修补程序经常在整个公司范围内应用得不一致,而且没有关于部署这些修补程序的原因、时间和地点的文档。 Trey 要建立统一的修补程序管理过程,可通过此过程提供可重复的过程,在适当的时间在适当的计算机上一致地应用修补程序。 构建更新临时服务器在许多环境中,从指定计算机中执行修补程序管理过程的许多步骤将很有好处。 这些系统为存储安全工具、修补程序、修补程序、Service Pack 和文档提供专门位置。 您可以使用这些系统来执行修补程序分析、检索和部署。 Microsoft 软件更新服务 (SUS) 和 Windows 更新服务 (WUS) 是为 Windows 网络执行所有这些功能的产品。 但是,SUS 不能用于 Trey 环境,因为它不受 Windows 98 和 Windows NT 4.0 支持,而且 Trey 选择建立它自身的临时服务器来测试和传送修补程序。 这些服务器实际是 Microsoft Windows Server™ 2003 域控制器上托管的共享对象;Trey 下载 Microsoft Security Tool 工具包,将其放置于临时服务器并使用其中包含的修补程序来加强现有计算机。 另外,Trey 更新其服务器和工作站构建过程,以在构建新计算机时包括 Security Tool 工具包中的修补程序。 Trey 选择将其域管理器用作临时服务器,以确保安全更新系统是一个或多个可以严格控制和保护的专用计算机。 Trey 作出此决定是因为这些系统将被用于部署或维护环境中所有系统的安全修补程序。 尽管安全更新系统一般不需要高能服务器(因为服务器上的负载通常非常小),维护高可用性是非常重要的。 要适当部署安全更新系统,计算机将直接或间接访问 Internet,以便从可信源下载最新修补程序,并访问负责保持最新的各台计算机。 注意:MOF 讨论了更新系统(发布管理过程的一部分)。 识别所缺少的修补程序需要持续进行的分析过程,以确保所有服务器和工作站保持使用所有最新的修补程序。 要有效保持网络上的计算机为最新,Trey IT 人员使用本章节中介绍的各种工具的组合。 扫描基本操作系统MBSA 允许 Trey IT 人员定期扫描 Windows NT 服务器和工作站,并对结果分类。 首先,IT 主管使用 MBSA 来执行快速基准扫描以识别缺少修补程序的系统;一旦修复那些系统,则调度 MBSA 定期在不同的系统中运行。 使用 MBSA 执行基准扫描
使用 MBSA 执行标准扫描
可在 http://www.microsoft.com/technet 扫描 Office 安装您可以使用本章前面介绍的 Office Update Inventory Tool,扫描单个工作站以检查重要的 Office 更新。 但是,这需要安装客户端可执行文件并为每个系统运行。 因为 Trey Research 将迁移至 Office 2003(作为其 IT 现代化计划的一部分),该公司拥有混合的 Office 2000 和 Office XP 安装,而且管理员已经安装当前 Service Pack 并将其作为正常系统维护的一部分。 Trey 将由于 Office 安全缺陷引起的网络威胁评估为相对较低,因此它已经采用允许用户直接访问 http://office.microsoft.com/officeupdate 上的 Office Update 网站的策略,以检查更新。 重要系统以及管理人员的系统以以下两种方法之一进行扫描:
规划修补程序应用Trey Research IT 主管编写了一个修补程序应用计划模板,用作公司月度修补程序应用计划的基础。 因为 Microsoft 在可预测的计划中发行安全修补程序,当 Microsoft 发行时,具有模板使 Trey 管理员可以遵循评价、评估和部署各个安全修补程序集的标准化过程。 模板指南包括:
除了制定此模板,Trey IT 人员为 Microsoft 安全通知服务签名,而且他们定期查看 Microsoft 安全主页 http://www.microsoft.com/security/ 修补程序分类Trey Research 使用标准的 Microsoft 分类方案为修补程序严重程度进行分类,如前面的表 6.1 所示。 但是,公司将对分类方法增加一个参数:修补程序是否适用于其环境。 例如,由于 Trey 当前不使用 Office 2003,其修补程序的等级可能为“不适用”(无论 Microsoft 规定的漏洞严重程度如何)。 另外,因为 Trey 大量使用 Microsoft 数据引擎 (MSDE) 和 SQL Server 2000,所有 SQL Server 修补程序的等级都为“适用”。此方法需要更多分类操作,但是它允许 Trey 重点考虑对与公司环境关系最大的修补程序。 测试修补程序Trey Research 高级 IT 管理人员制定了修补程序测试计划,该计划基于修补程序的严重程度、适用性及正在修复的系统性质,建立了测试修补程序以进行大范围部署的条件。 Trey 选择采用 Microsoft 建议的测试级别(如表 6.2 中所示),并为实验室使用构建其生产网络模型(包含工作站和服务器的表示方法)。 首先将为测试实验室部署新的修补程序,以验证是否正确安装修补程序,以及它们是否不破坏任何重要组件。 如果最初的测试成功,则应根据修补程序应用计划中的标准来部署修补程序。 在测试实验室安装修补程序之后,Trey 执行一系列标准测试。 这些测试包括添加和删除 Microsoft Active Directory® 目录服务的资源,以及运行公司的一套标准行业应用程序。 另外,测试通过标准要求对意外结果检查事故日志和系统监视。 注意:您可以使用 Microsoft Operations Manager (MOM) 来从 Windows NT 4.0 服务器中收集事件日志和系统监视信息。 部署修补程序如果测试执行没有问题,Trey Research 会将修补程序部署至需要它的系统。 他们使用两种方法的组合:管理员或受影响用户手动部署和使用自定义脚本进行自动部署。 手动部署手动修补程序安装是最常见的安装方法。 此方法包括简单地运行对应于每台服务器上修补程序的可执行文件。 如果您的组织拥有多台服务器,则此方法可能不实用。 因为 Trey Research 拥有中等数量的服务器,而且公司的服务器遍布在多个位置,所以手动部署是服务器的标准修补程序部署方法。 为避免不必要的停机时间,IT 人员使用 –z 开关安装修补程序以防止重新启动,直到安装最后一个修补程序;安装过程的最后一步是运行 Qchain.exe 以统一修复操作期间安装的所有文件。 对部署编写脚本Trey Research 构建了使用 QChain 的自定义脚本来安装多个修补程序,并在安装最后修订之后重新启动计算机。 该脚本在 http://support.microsoft.com/?kbid=296861 上的知识库文章 296861“How to Install Multiple Windows Updates or Hotfixes with Only One Reboot”中进行了介绍。 以下脚本示例显示如何使用 Qchain: @echo off setlocal set PATHTOFIXES=some path %PATHTOFIXES%\Q123456_w2k_sp2_x86.exe -z -m %PATHTOFIXES%\Q123321_w2k_sp2_x86.exe -z -m %PATHTOFIXES%\Q123789_w2k_sp2_x86.exe -z -m %PATHTOFIXES%\qchain.exe 小结违反 IT 安全的大部分情况是由于没有通过安全修补程序保持系统环境为最新,造成系统环境被利用。 好的修补程序管理对于尽量降低您所面临的安全风险是至关重要的。 如果严肃对待修补程序管理,您将可能明显降低与安全违反相关的成本。 对于 Trey Research,和大部分组织一样,修补程序管理是持续的过程;通过安装与安全相关的最新修补程序,服务器必须保持为最新。 更多信息
第三方工具许多第三方工具可用于帮助修补程序管理。 这些工具提供 Microsoft 提供的免费工具当前不具备的某些功能(例如部署修订和返回报告状态的功能),创建具有简单更新要求的计算机组,支持上述工具中没有涉及的其他产品,并使用图形用户界面 (GUI) 来执行管理任务。 您应该评估这些功能,并确定它们是否适合您的环境。 可用的第三方工具包括:
|
本文内容
|
