Марсін Поліч (Marcin Policht)
Управління латками (patch management, без сумніву, є однією з найбільш критично важливих і складних проблем наших днів, пов'язаних з безпекою операційних систем Windows. Ця проблема загострилася в останні кілька місяців через збільшення частоти випуску Microsoft латок, розцінюємо як «критичні», що було реакцією компанії на зловмисні програми, які використовують можливості основних вразливостей (для того, щоб отримати повний список латок, зверніться до розділу Web-сайту Microsoft, присвяченому проблемам безпеки).
Це стає особливо важливим, оскільки Microsoft змінила власну класифікацію ступеня безпеки систем на початку 2003 року, ввівши категорію «важлива» (important) (на додаток до «критичної», «помірної» і «низькою» категоріями), щоб більш точно відображати рівень терміновості , який повинен братися до уваги при розгортанні латок. Завдяки цьому, «критична» оцінка резервується тільки для вразливостей, які можуть бути використані зловмисними Інтернет-хробаками, що розповсюджуються без втручання користувачів.
Тиск з боку замовників, що змушує надавати аварійне програмне забезпечення, що розгортається на сотні або навіть тисячі комп'ютерів, змушує Microsoft шукати засоби для полегшення подібних зусиль. Це призвело до нового циклу випуску латок, поява якого відноситься до листопада 2003 року. На відміну від попереднього щотижневого розкладу (кожна середа), нові латки тепер стають доступними для завантаження другого вівторка кожного місяця (за очевидним винятком для критично важливих випусків). І хоча це зміна спрощує для корпоративних ІТ-підрозділів координацію графіків розгортання, їм необхідно також вибрати методологію, яка дає можливість враховувати і встановлювати латки на всіх керованих системах Windows з максимальною точністю та швидкістю (це особливо важливо, оскільки тепер уже очевидно, що навіть кілька заражених хробаком комп'ютерів можуть серйозно знизити функціональність всієї комп'ютерної мережі).
У статтях цієї серії здійснюється спроба оцінити можливості, доступні в даний час, оскільки ми намагаємося спростити процес вибору. Ми обговоримо як безкоштовні методи розгортання (засновані на вдосконалення у операційних системах Microsoft, інструментах сторонніх виробників і рішеннях, заснованих на використанні сценаріїв), так і продукти, що поставляються на платній основі. Ця перша стаття дає огляд розробок в технологіях, пов'язаних з установкою латок, зроблених за останні кілька років і обговорює головні концепції управління латками.
Найбільш простим і популярним рішенням Microsoft з управління латками є інструмент Windows Update, представлений в Windows 2000 (і отримав подальший розвиток у Windows XP і 2003). Цей інструмент простий в установці та конфігуруванні (особливо після удосконалень групових політик (Group Policy, доданих в Windows XP, заснований на агентах (agent, що запускаються на цільових системах і на якій знаходяться нові латки з попередньо визначеного розташування (за умовчанням, це група керованих Microsoft серверів Windows Update. Windows Update здатний обслуговувати як окремих користувачів, так і невеликі підприємства. На жаль, він не дуже добре підходить до жорстко структурованим корпоративним середах, в яких зміни повинні контролюватися більш надійно і централізовано. Крім того, Windows Update був призначений тільки для новітніх операційних систем, тоді як переважна частина настільних систем і серверів продовжувала працювати під Windows NT 4.0.
Щоб забезпечити більшу вибірковість у розгортанні латок і беручи до уваги проблему традиційних операційних систем, Microsoft звернула свою увагу на продукти, що поставляються сторонніми розробниками. Схоже, що епідемії Code Red і Nimda, що спалахнули у вересні 2001 року, прискорили це рішення. Спочатку Microsoft звернулася до нагальних потреб, випустивши утиліту IIS Lockdown для автоматичного конфігурування безпеки Internet Information Server, а проте було ясно, що існує потреба для більш загальних рішень щодо усунення інших вразливостей операційних систем Windows.
Спочатку, відсутність готових рішень у цій області заповнювали такі сторонні виробники, як Patchlink (Update Patch Management, GravityStorm (Service Pack Manager 2000), St. Bernard Software (UpdateEXPERT і Shavlik Technologies (HFNetChkPro. Microsoft уклала контракт з Shavlik Technologies на розробку утиліти HFNetChk , що працює з командного рядка, функціонально обмеженою версії інструменту компанії, що забезпечує тільки функціональні можливості щодо складання звітів. І хоча утиліта HFNetChk не може повною мірою змагатися з більш досконалими (що включають можливості розгортання латок), заснованими на використанні графічного інтерфейсу інструментами, вона була безкоштовною і дозволяла провести облік латок не тільки для ОС Windows NT 4.0 або більш пізніх версій, але також для ряду додатків Microsoft, таких як SQL Server, Exchange Server, Windows Media Player і Internet Explorer. Її скануючий ядро згодом було використано в інструменті Microsoft Baseline Security Analyzer (MBSA, також розробленому для Microsoft компанією Shavlik Technologies (його версія 1.0 була випущена в березні 2002 року). Як і її попередниця, MBSA був обмежений підготовкою звітів, але пропонував поліпшені можливості сканування, а також роботу як з командного рядка, так і з графічного інтерфейсу користувача.
Для постачання користувачам рентабельного рішення щодо розгортання латок, яке також дозволило б їм централізований контроль над тим, які латки вже встановлені, у червні 2002 року Microsoft випустила службу Software Update Services (SUS) 1.0 (в даний час на стадії SP1 - вихід v2.0 очікується в першому кварталі 2004 року). Доступна для вільного завантаження, SUS реалізує переваги компонента Windows Update (що обмежує його використання Windows 2000 і більш пізніми ОС) і використовує засновані на інтранет, корпоративні сервери Windows Update, з яких внутрішні клієнтські комп'ютери отримують перевірені оновлення. Параметри оновлення клієнтів можуть бути задані за допомогою групових політик, в той час як настройки сервера конфігуруються за допомогою інтуїтивно зрозумілого, заснованого на IE, інтерфейсу. Оскільки SUS не надає будь-якої функціональності зі складання звітів по інвентаризації, необхідно поєднувати її з MBSA або іншим порівнянним за можливостями інструментом.
Також Microsoft розробила комплексне рішення по розгортанню латок, як частина Feature Pack - доповнення (add-on) до Systems Management Server (SMS 2.0 (без додаткової плати за the Feature Pack; щоб використовувати його, потрібно просто придбати і розгорнути SMS 2.0). Feature Pack комбінує інвентаризацію (його скануючий процес використовує Microsoft Baseline Security Analyzer) і розгортання. У нещодавно випущену SMS 2003 були вбудовані додаткові покращення в галузі управління латками. Подальші статті цієї серії будуть розповідати про ці інструментах, а також про набір подібних продуктів сторонніх виробників.
Подібні поліпшення в управлінні латками спростили завдання підтримки безпеки середовищ Windows. Хоча випуск ОС Longhorn з її революційними змінами в цій області відкладено на деякий час, останні ініціативи Microsoft принесли значущі поліпшення. Наприклад, число латок, для яких не потрібно перезавантажувати систему, постійно збільшується.
Безкоштовна утиліта QCHAIN.EXE дозволяє об'єднувати декілька виправлень (hot fixe в єдиний пакет (для подробиць і роз'яснень, подивіться статтю 296861 з Бази Знань (КВ) Microsoft). Стратегія Microsoft на обмеження оновлень тільки окремими латками скасована, що призвело до випуску Update Rollup 1 for Windows XP в жовтні 2003 року. Це спрощує застосування латок, випущених після Windows-XP-SP1 для знову встановлюваних систем. Очікується, що скоро латки будуть доступні в форматі. MSI, що усуває необхідність створення індивідуальних пакетів в тих середовищах, де використовується розгортання на основі групових політик. Можливо, одного разу Windows Update буде пропонуватися навіть у вигляді Web-служби, яка допомагає розробникам створювати внутрішні рішення щодо розгортання оновлень, засновані на технології. NET.
В основному, рішення з управління латками використовують підхід, дуже схожий на інвентаризацію та розгортання, хоча ясно, що деталі реалізації можуть різнитися. Інвентаризація спирається на внутрішню БД у визначенні того, що розглядається як рекомендований рівень зарплат і надає критерій для обгрунтування того, яка саме латка повинна встановлюватися. Продукти від Microsoft і Shavlik Technologies (на яких засновані HFNetChk, MBSA та SMS 2.0 Feature Pack, відстежують опубліковані на Web-сайті Microsoft латки за допомогою такого ж механізму, заснованого на файлі, форматованому в XML, званому mssecure.xml. Цей файл, доступний централізовано в попередньо встановлених розташуваннях, служить як шаблон, з яким порівнюється стан оновлень на цільових системах. mssecure.xml може бути отриманий безпосередньо або у його стислій, з цифровим підписом версії, mssecure.cab. Обидва файли можуть бути завантажені з:
Web-сайту Microsoft по посиланнях https: / / www.microsoft.com / technet / security / search / mssecure.xml і http://download.microsoft.com/download/xml/security/1.0/nt5/en-us/ mssecure.cab
Web-сайту Shavlik.com по посиланнях https: / / xml.shavlik.com / mssecure.xml і http://xml.shavlik.com/mssecure.cab
Ви можете відкрити файл mssecure.xml в Internet Explorer і переглянути його вміст. Починаючи з версії 5, цей браузер має вбудований аналізатор (parser XML. Для більш старих версій, встановіть XML Parser v4, який можна завантажити за посиланням http://msdn.microsoft.com/library/default.asp?url=/downloads/ list / xmlgeneral.asp. В якості альтернативи ви можете використовувати будь-який інший інструмент, що містить аналізатор XML (наприклад, безкоштовно завантаження XML Notepad). mssecure.xml містить досить деталізовану інформацію про кожному оновленні, таку як: версію цільової операційної системи і рівень пакета оновлення , відповідну статтю в Базі Знань (КВ) Microsoft та документальний номер бюлетеня безпеки, уражені продукти і ідентифікатори (ID) пакетів оновлення, створювані ключі реєстру, версію файлу, контрольну сума і розташування, а також вимоги з перезавантаження.
Крім того, переважна більшість сторонніх виробників підтримує свої власні механізми перевірки того, які оновлення повинні бути встановлені (через їх власні процедури тестування), а також розподілу перевірених латок. Вони можуть також застосовувати індивідуальні алгоритми перевірки для визначення того, чи була латка успішно встановлена (інструменти компаній Microsoft і Shavlik Technologies підтримують однаковий алгоритм).