автоматизация управления патчами в Windows
Управление патчами можно назвать проклятием каждого системного администратора, уязвимым местом управления системой и непрекращающейся головной болью IT-менеджера.
Я уверенно использую термин «управление». На момент написания этой статьи более 40 обновлений необходимо было применить к новому компьютеру, на котором запущена Windows XP. Более 20 обновлений нужно было применить для систем с Windows 2000 Service Pack 3 до того, как Microsoft выпустила четвертый сервиспак летом 2003 г. Учитывая это постоянно растущее множество обновлений безопасности, исправлений ошибок, критических обновлений и патчей, может быть проще отсоединить все компьютеры от Internet, чем внедрять новые системы?
Конечно, это нереально. На данный момент существует несколько способов распространения и установки обновлений:
- установка вручную;
- использование механизмов, предоставленных Microsoft;
- инвестирование средств в системы распространения и установки обновлений третьих компаний.
В этой статье я подробно расскажу о Microsoft Software Update Services (SUS), включая установку, администрирование и обслуживание. Также вы узнаете о бесплатных и коммерческих альтернативах управления патчами и почему определенные решения могут подойти, а могут и не подойти для вашей организации.
Software Update Services
Технология Microsoft Windows Update – программное обеспечение, которое представляет собой универсальный сайт обновлений для всех версий Windows, кроме самых старых – реализована в SUS. На данный момент SUS ограничен только критическими обновлениями и сервис паками, позволяя администраторам упростить установку этих патчей на серверы Windows 2000 или Windows Server 2003, а также на рабочие станции Windows 2000 Professional или Windows XP Professional. Он лучше всего работает в сетях, где реализована Active Directory, но может функционировать и без нее. Как вы увидите здесь, в целом Software Update Services – не идеальный инструмент, с ограниченной функциональностью, недостаточно гибкий, но он имеет два больших плюса: он своевременен и работает достаточно хорошо.
Для использования SUS, требуется по крайней мере один сервер, подключенный к Интернет, выполняющий серверную часть SUS. Этот компьютер работает как локальная версия публичного сайта Windows Update, содержащая критические обновления и сервис паки для всех поддерживаемых операционных систем. Этот сервер синхронизируется с публичным сайтом Windows Update по расписанию, которое вы, как администратор, выбираете, и затем вы утверждаете (approve) или отвергаете доступность определенных обновлений на сервере SUS.
Automatic Updates – возможность, доступная в Windows 2000 Service Pack 3 и выше или Windows XP Professional SP1, является клиентской частью SUS. Направляемые модификацией ключа реестра или применением групповой политики, клиентские компьютеры, на которых запущена служба Automatic Updates, соединяются по установленному расписанию с локальным сервером SUS для загрузки обновлений, подходящих для них. Сервер SUS анализирует операционную систему, сервис пак и установленные в данный момент обновления и предлагает только те обновления, которые нужны и предварительно утверждены администратором.
Есть несколько стадий установки SUS, хорошо описанных в документе Microsoft под названием "Software Update Services Deployment White Paper". Поскольку установка и начальная конфигурация довольно просты, я коротко пройдусь по инструкции, местами упрощая ее язык, и укажу на некоторые проблемы, с которыми мне пришлось столкнуться.
синхронизация и утверждение содержимого
Когда вы запустите процесс синхронизации содержимого, сервер SUS обращается либо к публичным серверам Windows Update, либо к другому локальному серверу SUS (в зависимости от того, как задано в секции Set Options) и скачивает весь набор имеющихся критических обновлений и сервис паков для всех языков, которые вы выбрали. В процессе этой синхронизация обычно скачивается около 150 Mb данных для английских версий обновлений и около 600 Mb обновлений для каждой локализованной версии.
Для синхронизации содержимого, зайдите на сайт управления SUS, и затем:
-в левой навигационной панели нажмите Synchronize server;
- нажмите кнопку Synchronize now в правой панели, чтобы начать синхронизацию.
Вы можете также решить запланировать автоматические синхронизации, тогда вам не придется помнить о ре-синхронизации каждый раз, когда выйдет новое обновление, а это происходит довольно часто. На странице Synchronize нажмите Synchronization schedule, установите параметры по своему усмотрению и нажмите ОК. Знайте, что если сервер SUS не сможет соединиться с соответствующим источником обновлений, он повторит попытки четыре раза через каждые полчаса.
Теперь, когда у вас есть актуальный набор обновлений на сервере SUS, вы можете утвердить каждое обновление отдельно для установки на клиентские машины в вашей сети. Чтобы начать процедуру утверждения обновлений, в навигационной панели нажмите Approve updates, а затем в правой панели выберите обновления, которые вы хотите утвердить, и нажмите Approve, когда закончите.
установка клиента Automatic Updates
Вы можете установить обновленного клиента Automatic Updates на клиентские компьютеры, установив его из соответствующего MSI-пакета, обновив с помощью старой утилиты Critical Update Notification (CUN), установив Windows 2000 Service Pack 3 или 4, установив Windows XP Service Pack 1, или установив Windows Server 2003.
Поскольку программа установки клиента представлена в формате MSI, вы можете легко установить клиентскую часть с помощью групповой политики. Для этого создайте новый GPO, назначьте его своим компьютерам, и позвольте клиентам установиться автоматически. Программа установится в контексте локального компьютера, так что убедитесь, что authenticated users имеют право на чтение пакета установки. Вы можете также установить клиентский MSI с помощью логон-скрипта, вызывая MSIEXEC с именем файла клиентской программы и аргументами.
Есть четыре варианта конфигурирования с использованием Group Policy:
Configure Automatic Updates(Конфигурировать Автоматические Обновления). Эта опция определяет, будет ли этот компьютер получать обновления безопасности и исправления ошибок. Первая опция позволяет уведомлять текущего пользователя перед загрузкой обновлений и вновь уведомлять перед установкой загруженных обновлений. Вторая опция позволяет автоматически загружать обновления, но не устанавливать их, пока текущий пользователь не разрешит установку. Третья опция позволяет автоматически загружать и устанавливать обновления по расписанию, которое вы можете установить в соответствующих полях.
Specify intranet Microsoft update service location(Задать внутренний адрес сервиса Microsoft update). Эта опция указывает на сервер SUS, с которого загружать обновления. Чтобы использовать эту опцию, вы должны задать значения имени сервера (которые могут быть одинаковы): сервер, на котором клиент Automatic Updates проверяет и с которого загружает обновления, и сервер, на который обновленные рабочие станции записывают статистику.
Reschedule Automatic Updates scheduled installations(Перепланировать запланированную установку Automatic Updates): Эта опция определяет время после загрузки системы, по истечении которого продолжается запланированная установка, пропущенная ранее. Если статус установлен в Enabled, пропущенная установка начнется через заданное количество минут после загрузки компьютера. Если статус Disabled или Not Configured, пропущенная установка будет просто отложена до следующей установки по расписанию.
No auto-restart for scheduled Automatic Updates installations(Выключить автоматическую перезагрузку после запланированной установки Automatic Updates): Эта опция определяет, должны ли клиентские компьютеры автоматически перезагружаться, когда только что установленное обновление требует перезагрузки системы. Если статус установлен в Enabled, Automatic Updates не будет автоматически перезагружать компьютер после запланированной установки, если на компьютере работает пользователь, вместо этого пользователю будет предложено перезагрузить компьютер для завершения установки. Если статус установлен в Disabled или Not Configured, Automatic Updates предупредит пользователя, что компьютер автоматически перезагрузится через 5 минут для завершения установки.
Чтобы изменить некоторые из этих настроек через реестр, используйте следующее руководство:
Чтобы включить или отключить Automatic Updates: создайте параметр NoAutoUpdate в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU. Значение типа DWORD с возможными значениями 0 (включено) и 1 (отключено).
Чтобы сконфигурировать загрузку обновлений и уведомление: создайте параметр AUOptions в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU. Его значение типа DWORD может быть одним из значений 2 (уведомить о загрузке и уведомить перед установкой), 3 (автоматически загружать и уведомить перед установкой), 4 (автоматически загружать и запланировать установку)
Чтобы запланировать автоматическую установку: создайте параметры ScheduledInstallDay и ScheduledInstallTime в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU. Типа значений для каждого – DWORD. Для ScheduledInstallDay диапазон значений от 0 до 7, где 0 означает каждый день, а 1-7 соответствуют дню недели с воскресенья по субботу соответственно. Для ScheduledInstallTime диапазон значений 0-23, в соответствии с номером часа в сутках.
Чтобы задать определенный сервер SUS для использования клиентом Automatic Updates: создайте значение UseWUServer в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU. Значение типа DWORD; установите его в 1 для задания своего имени сервера SUS. Затем, создайте в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate параметры WUServer и WUStatusServer типа Reg_SZ, и задайте имена (с http://) в качестве значений.
Чтобы задать, сколько ждать перед завершением пропущенной установки: создайте значение RescheduleWaitTime в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU. Значение типа DWORD от 1 до 60, измеряется в минутах.
Чтобы задать, перезагружать ли компьютер после запланированной установки при работающем в данный момент пользователе с неадминистративными правами: создайте параметр NoAutoRebootWithLoggedOnUsers в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU. Значение типа DWORD, которое может быть нулевым, что означает, что перезагрузка обязательна, и единицей, что означает, что перезагрузка будет отложена до тех пор, пока пользователь не выйдет из системы.
Вы можете использовать файл реестра, аналогичный приведенному ниже, чтобы автоматизировать изменения реестра. Вы можете модифицировать этот файл согласно приведенной выше инструкции.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://YOUR-SUS-SERVER"
"WUStatusServer"="http://YOUR-SUS-SERVER"
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"RescheduleWaitTime"=dword:00000003
"NoAutoRebootWithLoggedOnUsers"=dword:00000000
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000006
"UseWUServer"=dword:00000001
Вы можете даже создать MSI-пакет для распространения настроек реестра SUS. Вы можете распространить изменения через .exe или .msi на компьютеры вне домена. К тому же, вы можете использовать апплет Add/Remove Programs в Control Panel для удаления настроек. В конце концов, их легко создать, используя бесплатную WinInstall LE, которая доступна с CD Windows 2000 Server. Также существуют инструменты третьих фирм для создания установочных пакетов.
использование SUS: на клиентской стороне
Чтобы сконфигурировать Windows для работы с SUS, сначала включите Automatic Updates. Для этого в Windows XP откройте Control Panel, в ней апплет System, и нажмите на закладку Automatic Updates. В Windows 2000, откройте Control Panel, а в ней апплет Automatic Updates.
Вы увидите окно свойств Automatic Updates. Вы, как администратор, выбираете, как обновления загружаются, сообщают пользователям и затем устанавливаются на клиентские машины. Работающий пользователь, имеющий административные права, уведомляется маленькой иконкой в системном трее, а также информационным «пузырьком», выскакивающим, когда загрузка обновлений завершена. Администратор также может определить, что обновления были загружены, просмотрев system log.
загрузка и установка обновлений
Обновления загружаются в фоновом режиме сервисом BITS, или Background Intelligent Transfer Service, являющимся частью Windows. BITS обнаруживает отсутствие сетевой активности и использует это для загрузки большого количества данных с удаленных сайтов. BITS обнаружит, когда пользователь инициирует сетевую активность и приостановит процесс загрузки, ожидая следующего пассивного периода для ее продолжения.
Процесс установки обновлений запускается в зависимости от вышеупомянутых опций, которые были описаны в предыдущей части статьи. Когда обновления закончили загружаться, в системном трее компьютера появляется уведомляющая иконка, и пользователь с административными правами может нажать на нее для получения диалогового окна Ready to Install (готово к установке).
Вы можете нажать кнопку Remind Me Later (напомнить позже), чтобы отложить установку обновлений на заданное время, в диапазоне от 30 минут до 3 дней от текущего времени. Если вы сконфигурировали Automatic Updates устанавливать обновления по расписанию, они будут загружены в фоне и автоматически установятся по этому расписанию. Automatic Updates устанавливает обновление и перезагружает компьютер, если обновление требует этого, даже если в системе в данный момент не работает администратор. Если работает администратор, он сможет отменить этот процесс; если обычный пользователь, он получит уведомление о предстоящей процедуре и обратный отсчет до ее запуска.
Однако если обновления уже загрузились, а время установки еще не пришло, иконка уведомления возникнет в системном трее, аналогично тому, как было описано выше. У пользователя не будет возможности выбрать Remind Me Later, но он может запустить установку обновлений, не ожидая определенного по расписанию времени.
общие проблемы и обходные пути
Использование настроек политики, которые контролируют установку неподписанного ПО, может оказаться помехой в работе клиента Automatic Updates. В частности, если у вас настроено "Warn but allow installation" («Предупреждать, но разрешать установку») по отношению к неподписанному коду, вы столкнетесь с проблемами на некоторых обновлениях. Microsoft иногда выпускает неподписанные обновления, и поскольку Windows настроен спрашивать разрешения, процедура останавливается, ожидая разрешения на установку обновления. Естественно, этот запрос никогда не появится, поскольку установка происходит в автоматическом режиме, без отображения, таким образом AU просто остановится. Если вы столкнетесь с такой проблемой, вам нужно закрыть запущенные процессы обновления, используя утилиты типа Process Explorer от Sysinternals. Встроенный в Windows Task Manager не позволит вам сделать это.
Также, некоторые машины сталкиваются с «зацикливанием» на некоторых патчах, что может быть, а может и не быть виной SUS, но не ограничено одним SUS. Если компьютер постоянно хочет установить один и тот же патч, используя как SUS, так и при ручном посещении сайта Windows Update, решить проблему обычно помогает очистка кэша Internet Explorer.
Если ваш сервер SUS не синхронизируется корректно, убедитесь, что сам сервер не находится за чрезмерно запрещающим файрволом. Для синхронизации, SUS требуется возможность связи по 80 порту, кроме того он должен иметь доступ к следующим (не просматриваемым) URL:
http://www.msus.windowsupdate.com
http://download.windowsupdate.com
http://cdm.microsoft.com
У вас также может быть проблема, особенно на канале с низкой шириной полосы пропускания, когда последние сервис паки забивают ваш канал Интернет, вызывая тем самым неудачу в процессе синхронизации. Чтобы отключить закачку сервис паков, скачайте их в свободное время и затем вручную скопируйте в папку 'SUS content\cabs' на сервере. В конце, переименуйте эти файлы в w2ksp4_en_7f12d2da3d7c5b6a62ec4fde9a4b1e6.exe и XPSP1A_8441053935ADBFC760B966E5E413D3415A753213.exe соответственно. Теперь вы можете продолжить использовать SUS, не опасаясь за неудачу синхронизации в процессе загрузки сервис паков.
Если вы пытаетесь разрешить проблемы с SUS на клиентской стороне, с которыми вы можете столкнуться, может оказаться полезным очистка относящихся к SUS ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\DetectionStartTime
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\LastWaitTimeout
Также вы можете восстановить работу сервиса Automatic Updates из командной строки, остановив его командой net stop wuauserv, а затем запустив net start wuauserv. Эти шаги обычно решают проблемы с SUS на клиентской стороне; чтобы проверить, что все стало нормально, подождите минут 15-30, а затем проверьте активность в файле %SystemRoot%\Windows Update.log.
ЗАМЕЧАНИЕ: вам следует оставить систему в покое после очистки ключей реестра и перезапуска сервиса AU, иначе BITS не обнаружит отсутствия сетевой активности, чтобы синхронизировать обновления с сервером SUS.
Если кажется, что клиент Automatic Updates зависает и просматривает список обновлений, но никогда не загружает их, вы можете проверить статус всех загрузок, используя административную утилиту сервиса BITS, которая находится в директории Support на компакт-диске Windows XP. Установите ее, и после нажатия «Start Download» в клиентском интерфейсе AU, когда последний сообщает о доступных для установки обновлениях, запустите командную строку и наберите bitsadmin /list /allusers /verbose. Это может показать информацию о попытках загрузки, и почему они не проходят. Важно также убедиться, что разрешен анонимный доступ к корню IIS-сервера SUS, и что папка SUS (и, в частности, SUS\Content\Cabs) позволяет доступ Everyone. BITS пытается загрузить файлы из этой папки Cabs, и возникнут проблемы, если он не сможет получить их.
мониторинг системы на стороне клиента
Software Update Services и клиент Automatic Updates предоставляют несколько шаблонов событий, которые записываются в системный журнал событий для описания текущего статуса процесса обновления, любых возникших ошибок, и краткого описания того, какие обновления были удачно установлены. Вы можете запрограммировать инструмент мониторинга журнала событий на определенные ID событий, которые специфичны для SUS, чтобы иметь представление о состоянии здоровья вашей сети, когда приходит время обновлений. В следующей таблице перечислены эти события, их значение и описание.
Таблица 1: Сообщения журнала событий SUS/AU клиента.
ID события | Значение | Описание |
16 | Unable to connect (Невозможно соединиться) | Клиент не может соединиться либо с сайтом Windows Update, либо с сервером SUS, но будет продолжать попытки. |
17 | Install ready; no recurring schedule (К установке готов; не задано расписание) | Обновления загружены и готовы к установке, но администратор должен войти в систему и вручную запустить процесс установки. |
18 | Install ready; recurring schedule (К установке готов; запланировано по расписанию) | Обновления загружены и готовы к установке. Дата запланированной установки отображается вместе с описанием события |
19 | Install success (Установка прошла успешно) | Обновления были успешно установлены; они перечислены. |
20 | Install failure (Ошибка при установке) | Некоторые обновления не были корректно установлены; они перечислены |
21 | Restart required; no recurring schedule (Требуется перезагрузка; не задано расписание) | Обновления были установлены, но требуется перезагрузка, и пока компьютер не будет перезагружен, Windows не сможет устанавливать другие обновления. Любой пользователь может перезагрузить машину. |
22 | Restart required; recurring schedule (Требуется перезагрузка; запланировано по расписанию) | Обновления были установлены, но требуется перезагрузка, которая запланирована через 5 минут. |
логи
Сервер SUS записывает данные в лог синхронизации каждый раз, кода сервер пытается соединиться со своим источником обновлений. Этот лог доступен с административного веб-сайта SUS с помощью любого стандартного веб браузера; его также можно получить напрямую с машины SUS в директории autoupdate\administration веб-сайта. Имя файла - history-Sync.xml. Запись лога содержит время последней синхронизации, была ли она удачной, дата и время следующей запланированной синхронизации, содержание операции и были ли все компоненты удачно установлены, а также была синхронизация запланированной или ручной. Сервер SUS также хранит логи утвержденных обновлений, который может быть найден там же, где и лог синхронизации с именем history-approve.xml.
По существу, все клиентские машины отправляют стандартный HTTP GET запрос сервера SUS к файлу wutrack.bin, включающий ряд параметров, которые описывают состояние статуса клиента. Например, запись в стандартном логе может выглядеть:
2004-02-09 09:09:41 192.168.0.121 - 80 GET /wutrack.bin V=1&U=63a9dfd44a7ac a47ade26684ed5fe66a&C=iu&A=n&I=&D=&P=5.1.1677.2.0.1.0&L=en-US&S=s&E=00000000&M=&X=031101050105756 200 Whistler+Update+Control+Pack
Вы видите отдельные параметры, хотя некоторые из них закодированы, чтобы скрыть их значение. Один из недостатков использования SUS состоит в нехватке возможностей анализа логов. SUS записывает лог в стандартном IIS лог формате, но не существует утилиты от Microsoft, чтобы напрямую импортировать эти логи и сделать их более полезными для администратора. Несколько доморощенных скриптов были созданы для решения этой задачи, включая один от системного программиста Кена Хувера (Ken Hoover) из Yale University. Он написал несколько perl-скриптов, которые анализируют логи, извлекая из них полезную информацию.
Скрипты Кена Хувера анализируют эту информацию и создают различные отчеты о содержащихся там данных, включая количество машин, которые соединялись с сервером SUS, разделение их по версиям операционных систем, поиск в списке систем тех, которые отсутствуют в лог-файлах (полезно, если вы пытаетесь определить, соединяется ли вообще система с сервером SUS), список машин, которые еще не установили определенный патч, или детальное описание всей активности над определенным патчем или машины с определенным IP-адресом.
Скрипты Хувера работают в любой имплементации Perl, включая ActiveState Perl для Windows, и не зависят от клиентов – они работают исключительно с лог-файлами на сервере. Скрипты можно найти на веб-сайте Хувера.
Если вам нужен несколько более детальный отчет, Вэйн Флинн (Wayne Flynn) создал утилиту SUSReporting, доступную по адресу www.susserver.com. Утилита анализирует лог-файлы IIS, импортирует их в базу Microsoft SQL Server, и создает на основе веб-интерфейса отчет активности с помощью нескольких ASP скриптов. Отчет по умолчанию содержит активность в течение 72 последних часов, хотя данные навсегда остаются в базе данных и вы можете легко добавить параметр в скрипт (?days=x) для доступа к данным за большее количество дней, чем по умолчанию. Недостатком является то, что в данном методе вам необходимо иметь SQL Server для работы встроенных скриптов.
Flarepath Windows Update Analyzer
Flarepath Windows Update Analyzer (FWUA) – это утилита, которая просматривает историю операций Windows Update на одном компьютере или множестве компьютеров, которые принадлежат домену Active Directory. Она предоставляет полный и легкий для понимания анализ группы машин, в формате «приборной панели», что позволяет вам воспринять «большую картину» текущего уровня обновлений в вашей сети или посмотреть детальный отчет активности обновлений на одном компьютере, и все это из одной программы. Программа не основывается на иногда неточной проверке реестра, которая может дать сбой, если патч не был полностью установлен, но соответствующие ключи реестра были добавлены; она анализирует лог активности сервиса Windows Update, ища подтверждения, что обновления были удачно установлены.
Glen Conway, разработчик программы, включил некоторые полезные возможности, которые делают продукт более привлекательным, включая возможность уведомления по e-mail о неудачном процессе обновления, многопоточное сканирование машин в фоновом режиме, поддержка Active Directory для получения списка машин для сканирования и интеграция с сервером SUS, чтобы можно было посмотреть, какие апдейты были утверждены, когда и кем.
Вы начинаете использовать FWUA, создавая базу данных, которая содержит информацию о машинах и их уровне обновлений. Программа использует для хранения данных бесплатную Microsoft Desktop Engine (MSDE) или базу данных Microsoft SQL Server. После того, как вы создали базу, вы указываете FWUA домен Active Directory, который вы хотите просканировать, и затем позволяете программе создать список компьютеров в домене – вам не нужно вводить их вручную. Затем вы можете просканировать каждый компьютер, чтобы получить историю Windows Update и перевести ее в базу данных, сконфигурировать предупреждения о неудавшихся обновлениях, ожидающихся перезагрузках, и затем просмотреть отчет, предоставленный программой.
FlarePath Windows Update Analyzer требуется Windows 2000 Professional или Server, Windows XP Professional, или Windows Server 2003, Microsoft SQL Server или MSDE, Active Directory, Microsoft Data Access Components 2.6, и .NET Framework, который включен в пакет. Программа коммерческая, но относительно недорогая, а лицензия на сканирование пяти компьютеров бесплатна. Вы можете найти информацию о FWUA на веб-сайте.
Некоторые из достоинств FWUA: ей не требуется SUS; она может читать обычную историю Windows Update; она недорогая; не основывается на проверке реестра для определения установки патча. Единственный реальный недостаток в том, что ей требуется Active Directory.
Shavlik HFNetChk Pro
Если вы когда-либо использовали Microsoft Baseline Security Analyzer, вы использовали продукт Shavlik Technologies - HFNetChk. Microsoft лицензировала технологию у этой компании. Однако, компания предлагает усовершенствованную версию, HFNetChk Pro, которая предлагает мощный графический пользовательский интерфейс, который позволяет вам быстро устанавливать патчи и апдейты на многие машины.
Продукт включает в себя как графический интерфейс, так и интерфейс командной строки и действует независимо от клиентского программного обеспечения, что является большим плюсом в большой и разнообразной среде. Shavlik использует прямой доступ к базе данных обновлений Microsoft, так что продукт узнает о новых обновлениях, как только они выпускаются Microsoft. Вы можете запустить установку патчей на тысячи компьютеров и убедиться, что они действительно полностью установились, используя технологию проверки. Вы также можете группировать обновления в определенные категории, такие как критичность, размер, номер ревизии, применимость и другие, и применять определенные обновления к определенным системам, в зависимости от их требований.
Чтобы использовать HFNetChk Pro, вам следует сначала определить, какие машины вы хотите просканировать – это может быть одиночная машина, рабочая группа, или просто некая группа машин, или контейнер машин в Active Directory – и выбрать затем быстрое либо полное сканирование. Вы также можете задать свои типы сканирования для поиска определенных деталей, таких как неустановленный патч, или инфицированная машина, и затем направить установку патчей по этому пути.
Shavlik HFNetChk Pro требуется Windows 2000 Professional, Server, или Advanced Server, Windows XP Professional, или Windows Server 2003; MDAC 2.7 или выше, и Microsoft .NET Framework. Программа поддерживает сканирование всех текущих профессиональных версий Windows, Windows XP Home (только для локального сканирования) и Tablet PC Edition. Она не поддерживает каких-либо версий DOS, Windows 3.x или 9x, Windows NT 3.x, 64-bit версии Windows, или определенные типы сканирований на многопроцессорных машинах. Это коммерческий продукт, и гораздо более дорогой, чем FWUA, но имеет и больше возможностей. Вы можете почитать подробнее про HFNetChk pro на веб-сайте.
Некоторые из достоинств HFNetChk Pro: она не требует Active Directory; она устанавливает обновления автоматически по требованию; она поддерживает группирование машин и обновлений; она сканирует множество разных клиентов; вы можете напрямую обращаться к базе данных обновлений Microsoft для мгновенного получения новых релизов обновлений. Недостатком является то, что этот инструмент достаточно дорогой.
следующая версия SUS
Давайте заглянем в будущее: Microsoft анонсировала планы на следующую версию Software Update Services (SUS). То, что раньше называли SUS 2.0, сейчас Windows Update Services (WUS), и этот продукт предложит расширенный набор сервисов обновления и поддержки продуктов по сравнению с SUS 1.0. Расширенная поддержка обновлений будет включать различные версии Windows, Office, Exchange, SQL Server и MSDE, хотя последние три не будут доступны в бета-версии. Microsoft планирует увеличить поддержку другого программного обеспечения, которое она производит, чтобы обновления перестали быть головной болью.
Windows Update Services также будет поддерживать обновление драйверов, некритичные обновления, и другие заплатки и дополнения. Таким образом, это будет инструмент для обновления всей Windows-инфраструктуры. Microsoft хочет, чтобы использование WUS было бесшовным, и чтобы никакие обновления не требовали повторной установки или обновления текущей системы WUS.
Как было сказано ранее, одна из ключевых слабостей SUS заключалась в недостатке возможностей отчета. Microsoft услышала постоянные жалобы от конечных пользователей и решила, что WUS будет предоставлять отчеты по следующей информации:
- пропущенные обновления на идентифицированных системах;
- подробности об удачных и неудачных обновлениях;
- подробности о новых загруженных обновлениях, ожидающих утверждения;
- распространение обновлений между множеством серверов SUS.
Также будет возможность добавлять и обновлять эту информацию в базе данных Microsoft SQL Server или MSDE для анализа другими утилитами, которые могут использовать язык запросов SQL.
Возможно наиболее значимым улучшением в Windows Update Services являются расширенные возможности распространения, которые позволяют вам применять обновления к определенным контейнерам Active Directory, таким как организационные единицы, домены, или группы, которые вы можете задавать на сервере WUS. Таким образом, вы можете сначала обновить наиболее критичные машины, вы можете задержать обновления определенных групп машин, также вы можете задавать различные политики обновлений в этих подразделениях. WUS также будет содержать улучшенную функцию управления загруженностью сети – по прежнему использующую BITS – которая задержит распространение патчей в пиковые рабочие часы, так что ваша производственная сеть не встанет из-за начала установки обновлений.
Вы можете установить серверы WUS в иерархическом порядке, подражая вашей структуре Active Directory или географическому расположению ваших корпоративных подразделений. Когда вы устанавливаете серверы WUS таким образом, настройки и утверждения могут наследоваться от родительских серверов, или индивидуальный дочерний сервер может быть сконфигурирован и администрироваться независимо от всех остальных серверов в «дереве», в зависимости от требований вашей организации. Клиент WUS также автоматически обновляется, что является полезным и делает будущие откаты гораздо мягче и эффективнее. WUS может также выбрать определенный порт для передач, так что вам нужно открыть только одно отверстие в вашем файрволе для того, чтобы эффективно использовать WUS.
Выпуск WUS запланирован на осень, а бета-версии должны появиться летом.
о ежемесячных обновлениях
Я получил множество писем от читателей, высказывающих свое мнение о намерении Microsoft выпускать обновления безопасности и исправления раз в месяц. На первый взгляд, это должно облегчить IT-подразделениям запланировать обновления: когда администраторы знают, что обновления выйдут во второй вторник каждого месяца в 11 утра по Pacific time, они могут запланировать обновление клиентов на это время. Но в таком случае может получиться, как пишет читатель Rafael Cappas "отказ в обслуживании Windows Update от клиентов. Ведь подумайте, сколько людей планируют обновления на это время?".
Наверное, много. Немного личного опыта: в прошлом месяце я установил несколько новых компьютеров и запланировал обращение к Windows Update на этот роковой день, в который вышли апрельские обновления, и сервис сработал очень медленно. Возможно, Microsoft недооценила нагрузку, которая будет на сайт при таком выпуске патчей. Но эта нагрузка будет расти: сейчас только первый месяц таких циклических выпусков обновлений, и чем больше больших и малых организаций будут планировать загрузку обновлений на этот день, тем больше будет расти нагрузка на сервис. Сможет ли Microsoft установить дополнительные серверы, достаточно мощные для компенсации? Только время покажет.
Существуют и другие проблемы, связанные с ежемесячным выпуском обновлений. Чтобы инфицировать машину не требуется 30 дней. Создатели вирусов и червей не эксплуатируют дыры в определенный день месяца. Пользователи не оставляют свои машины незащищенными только один день в месяц. Я действительно не понимаю, почему Microsoft не хочет решать проблемы тогда, когда они возникают, вместо того, чтобы объединять их в группу каждые 30 дней. Это не умная стратегия, на мой взгляд.
Как много других проблем, касающихся систем, критичных для вашей инфраструктуры, решаются только раз в месяц? Представьте, если ваша местная газовая компания решила ремонтировать утечки газа только в первый вторник каждого месяца, или ваша локальная станция мониторинга вашей системы безопасности решила, что она будет заниматься ошибками в системе в последнюю среду каждого месяца. Понравится вам это? Безопасность и удобство неизбежно всегда находятся на противоположных сторонах, и применение обновлений безопасности не исключение. Иногда это утомительная работа. Но увы, мы может только жаловаться Microsoft на такую политику.
Что вы реально можете сделать, так это быть хорошим жителем Интернет, остерегаться установки автоматического обновления ваших компьютеров на второй вторник каждого месяца. В противном случае, вы получите проблему с загрузкой обновлений, и станете участником исчерпания ресурсов. Рассмотрите перенос вашего расписания на следующие два или три дня: обычно код эксплоита не появляется так быстро, и у вас будет гораздо больше шансов на удачу.
резюме
В списке рассылки SecurityFocus, в тренинговых обсуждениях и моих публичных семинарах, управление патчами – всегда большая тема. В наши дни невозможно полностью обезопасить среднюю или большую сеть без какой-либо автоматизированной системы установки обновлений, чтобы избавиться от ручной процедуры установки. Полный процесс управления патчами может отнимать очень много времени, быть нудным и повторяющимся. Однако, обеспечение защищенности машин в сети – лучший способ избежать потери производительности и дохода, и я надеюсь, что эта статься помогла вам определить свою стратегию.
Jonathan Hassell, перевод Михаила Разумова.
Сетевые решения. Статья была опубликована в номере 07 за 2004 год в рубрике software