Windows NT 4.0 與 Windows 98 降低安全性威脅指南

第 6 章:補充程式管理

發佈日期: 2004 年 9 月 13 日 | 更新日期: 2006 年 3 月 30 日


防止攻擊的一個重要方式是套用所有必要的安全性補充程式,確保您的環境永遠是最新的。您必須在伺服器與用戶端層級同時套用補充程式。本章說明如何確保及時找到新的補充程式,並在整個組織中迅速可靠地加以執行,以及監視系統以確保整個組織都已完成部署。它說明了補充程式管理實作的折衷辦法,並以對 Trey Research 補充程式管理系統的詳細說明作為結束。

本頁內容

背景
解決方案設計
實作
總結

背景

補充程式管理是資訊安全性的重要元件。現有程式碼中識別到新弱點或新威脅出現時,廠商會發佈補充程式以修正弱點或新增安全性功能。像 Trey Research 之類的組織必須快速識別哪些電腦需要哪些補充程式,然後依需要部署補充程式。各組織必須一致地持續執行此作業,因為即使遺漏安裝補充程式的電腦數目極少,整個網路仍有可能受到攻擊。

解決方案設計

應如何進行實作補充程式管理須視組織的規模與複雜度而定。但是,瞭解補充程式管理的重要性、及如何與組織的整體風險管理策略配合非常重要。

例如,如果您決定必須不惜代價將風險降至最小,則每次發現軟體新弱點時,您可以關閉所有生產系統。接著,對安全性補充程式進行全面測試並在整個組織中部署補充程式後,再重新啟動系統。這個程序非常費時而且成本很高,對大多數組織而言顯得不切實際。

在補充程式管理程序中,您必須根據部署適當因應對策的成本評估風險。發現安全性弱點後,補充程式可能一小段時間後才會發佈。您將必須評估弱點造成的風險,並決定在測試和部署補充程式之前應採取的措施。

您可能必須停用服務、將系統離線,或依需求限制對內部使用者或其他群組的存取。補充程式發佈後,您可以立即部署;也可以停止服務、或使用不受保護的系統的同時,先進行測試以確定補充程式不會對系統有不良影響;此時您必須依照這兩個方法的風險與成本做出決定。如果您決定進行測試,您必須判斷負擔得起多少次測試,而不會使不部署的風險超過部署的成本。

注意:您的組織應實作變更管理程序。Microsoft 作業架構 (MOF) 包含可以作為組織基本程序的變更管理程序。如需有關 MOF 的詳細資料,請參閱本章結尾的<其他資訊>一節。

解決方案先決條件

Trey Research 的補充程式管理解決方案必須允許 IT 部門進行下列事項:

  • 自動清查電腦以識別哪些電腦已安裝補充程式,哪些電腦尚未安裝。

  • 快速執行隨選清查以立即識別遺漏指定補充程式的電腦。

  • 針對補充程式規範自動執行排定掃描,產生可隨時維護和追蹤的報告。

  • 將一個或多個補充程式安裝到選定的電腦上,而無需使用者介入,儘可能減少重新啟動的次數。

由於 Trey 有多個辦公室,每個辦公室都有系統管理人員,因此公司必須採用一套統一的工具和程序進行補充程式管理。雖然這主要是程序問題 (可由後續章節中所述的解決方案設計解決),但仍然會存在一些會影響 Trey 解決方案設計的技術問題:

  • Trey 執行 Microsoft Windows® XP 或 Windows 2000 作業系統的電腦使用的 Microsoft® Software Update Service (SUS) 安裝不支援 Windows 98 或 Microsoft Windows NT® 4.0 版。舊版作業系統的存在會限制系統自動下載新安全性更新、並將更新傳送至用戶端電腦的能力。

  • 執行 Windows 98 和 Windows NT 的電腦可以使用由 Microsoft 提供的公用 Windows Update 服務下載補充程式和更新,但這些電腦無法使用系統原則設定限制使用者下載的更新集。此外,這些用戶端還無法使用內部 SUS 或 Windows Update Services 伺服器。

解決方案架構

補充程式管理架構會因不同的組織而有很大的差異。某些組織會選擇高度集中、管理嚴密的系統,並儘可能使用現成工具;而其他組織會建立自訂的補充程式記錄和部署工具。但是,所有這些架構都有部分相同的常見功能和需求。基本補充程式管理程序包括下列四個階段:

  • 評估環境中存在哪些電腦、散佈補充程式到這些電腦的方式,以及套用補充程式後會以何種方式影響哪些業務流程。為此,您必須查看目前環境並評估潛在威脅 (如本指南的第 2 章所述)。完成評估後,您就可以判斷出為減少環境威脅而必須部署的補充程式。

  • 識別哪些電腦需要哪些補充程式。您可以使用 Microsoft Baseline Security Analyzer 或 Systems Management Server 之類的工具自動完成此程序、也可以手動完成,或使用可檢查補充程式修訂版的環境專屬指令碼。

  • 評估並計畫補充程式部署,包括測試補充程式、針對安裝失敗的補充程式的回復預備措施,以及決定哪些重要補充程式必須立即套用。此外,您還必須識別執行補充程式測試和部署的人員。

  • 將補充程式部署至所需的系統、確認已套用所有需要的補充程式,並確認系統已重新啟動 (如有必要)。

重要事項:強烈建議您在部署補充程式之前備份所有生產系統。

評估環境

為了進行補充程式管理,您的 IT 人員至少必須瞭解下列資訊:

  • 環境中的系統,包括:

    • 作業系統及版本。

    • 使用中的補充程式層級 (Service Pack 版本、Hotfix 及其他修改項目)。

    • 系統執行的功能。

    • 整個環境使用的應用程式。

    • 負責維護每個系統的個人或群組之連絡資訊。

  • 現有的資產及其相關價值。

  • 已知的威脅,以及識別新威脅或威脅等級變更的程序。

  • 已知的弱點,以及識別新弱點或弱點等級變更的程序。

  • 已部署的因應對策。

強烈建議您將這些資訊開放給補充程式管理程序中的所有相關人員,並確定這些資訊是最新的。當您瞭解資產、弱點、威脅及環境如何設定後,即可判定並排出威脅與弱點影響的優先順序。

如果您依照第 2 章<Trey Research 安全性風險管理法則應用案例>中提供的指引進行,則其中許多資訊在您計畫補充程式管理部署時則已備妥。您可以使用下列章節所述的步驟收集有關使用中的特定補充程式資訊。您可以根據 SRMD 資料與本指南之前幾章的建議,尋找有關應用程式、資產、風險及因應對策的資料。

識別安裝補充程式的需求

您必須持續、不斷確認電腦的補充程式是最新的。在某些情況下,所有伺服器都需要安裝新發佈的補充程式。在其他情況下,處於線上的新伺服器需要安裝適當的補充程式。您應繼續分析所有伺服器,以確保這些伺服器都具備最新的補充程式,處於最新狀態。若要有效地讓組織中的電腦保持最新狀態,您必須瞭解現存的的弱點和已採取的保護措施。您可以用來協助執行此程序的工具包括 Microsoft Baseline Security Analyzer (MBSA)、Microsoft Systems Management Server (SMS) 2.0 版和 SMS 2003,以及 Office Update Inventory 工具。

使用 Microsoft Baseline Security Analyzer

雖然知道您的系統已套用哪些補充程式非常重要,但知道尚未套用哪些補充程式更為重要。MBSA 專門設計用來掃描執行 Windows NT 4.0、Windows 2000、Windows XP Professional 及 Windows XP Home Edition 的電腦,並產生報告,說明哪些補充程式已存在和需要哪些補充程式。

注意:MBSA 可以在任何 Windows 2000 Professional、Windows 2000 Server、Windows XP Home 或 Windows XP Professional 電腦上執行。但它無法在 Windows 98 或 Windows NT 4.0 上執行,也無法掃描執行 Windows 98 的電腦。

MBSA 工具執行掃描的方式是透過參照到 Microsoft 定期更新的可延伸標記語言 (XML) 資料庫。它還使用 Microsoft 在 2001 年 8 月發佈的常用 HFNetChk 工具。XML 檔案包含安全性公告名稱與標題,以及有關產品專屬的安全性 Hotfix 詳細資料,其中包括:每個 Hotfix 封裝中的檔案及檔案版本與總和檢查碼、Hotfix 安裝封裝套用的登錄機碼、有關哪些補充程式可以取代其他補充程式的資訊、相關的 Microsoft 知識庫 (KB) 文章編號等等。

當您第一次使用 MBSA 工具時,該工具必須取得一份此 XML 檔案,才能找到每個產品可用的 Hotfix。Microsoft 下載中心網站以壓縮形式 (經數位簽署的 .Cab 檔案) 提供 XML 檔案。MBSA 會下載 .Cab 檔案、驗證簽章,然後將該 .Cab 檔案解壓縮至執行 MBSA 的本機電腦上。請注意,.Cab 檔案是一種與 WinZip (.Zip) 檔案類似的壓縮檔。

注意:每次執行 MBSA 時,它都會嘗試連線至網際網路以從 Microsoft 下載 XML 檔案。如果網際網路連線無法使用,該工具會在工具安裝資料夾中尋找 XML 檔案的本機複本。每次檔案在掃描期間成功下載後,本機複本會儲存在電腦上,以防止後續掃描無法連線至網際網路。或者,對於永遠不連線至網際網路的電腦,使用者可以單獨從 Microsoft 下載中心網站下載此檔案,然後將其複製到執行該工具的電腦。

解壓縮 .Cab 檔案後,MBSA 會掃描您的電腦 (或所選電腦),以決定執行的作業系統、Service Pack 及其他程式。然後,MBSA 會解析 XML 檔案,並識別適合所安裝軟體組合的安全性補充程式。

MBSA 為了要判斷指定電腦是否已安裝特定的補充程式,會評估下列三個項目:補充程式安裝的登錄機碼、檔案版本,以及由補充程式安裝的每個檔案的總和檢查碼。

在預設設定中,MBSA 會比較產生的 XML 子集與被掃描電腦中的檔案詳細資料與登錄機碼。如果電腦上的任何檔案或登錄機碼詳細資料與 XML 檔案中儲存的資訊不相符,相關的安全性補充程式會識別為未安裝,結果會顯示在安全性報告中。螢幕會同時顯示與補充程式相關的 KB 文章編號。

一般來說,MBSA 工具會掃描 Windows 作業系統 (Windows NT 4.0、Windows 2000 及 Windows XP),搜尋其中的安全性問題,例如:來賓帳戶狀態、檔案系統類型、可用的檔案共用區、系統管理員群組的成員等等。安全性報告會顯示每個作業系統的檢查說明,以及有關如何解決找到的任何問題的說明。

注意:若要使用 MBSA,在要檢查是否有補充程式的電腦上,您必須有本機系統管理員或網域系統管理員的存取權限。

MBSA 工具有許多命令列參數,可以在下列兩種模式下使用:MBSA 模式和 HFNetChk 模式。MBSA 式掃描會將結果 (如同 MBSA 1.0 版) 儲存在個別 XML 檔案中,以便稍後在 MBSA 使用者介面 (UI) 中檢視。MBSA 式掃描包括整套可用的 Windows、網際網路資訊服務 (IIS)、Microsoft SQL Server™、桌面應用程式及安全性更新檢查。

HFNetChk 式掃描會檢查是否有遺失的安全性更新,並將掃描結果以文字顯示在命令列視窗中,方式與獨立的 HFNetChk 工具相同。MBSA 1.1 包含 "/hf" 旗標,該旗標將指示 MBSA 引擎進行 HFNetChk 掃描。此外,在 HFNetChk 模式中,MBSA 可以掃描以文字檔案提供的電腦清單,檢查這些電腦是否都具有由具名 Software Update Service (SUS) 伺服器發佈的所有補充程式。

如果您使用 MBSA 確認補充程式狀態,請定期執行 MBSA。在大多數環境下,執行此操作的最佳方式是將其排定為以預設的時間間隔執行。

注意:如需更多有關使用 MBSA 工具的資訊,請參閱 Microsoft TechNet 上的 Microsoft Baseline Security Analyzer 頁,網址是:http://www.microsoft.com/technet
/security/tools/mbsahome.mspx

Office Update Inventory Tool

由於 Microsoft Office 內建了功能強大的應用程式發展功能後,注意應用程式自身的弱點變得亦發重要。許多病毒與特洛伊木馬程式會利用現今生產力應用程式的功能,利用文件、試算表及電子郵件通訊中的主動式內容。為了使 Office 部署處於最新和安全狀態,Microsoft 發佈了 Office Update Inventory Tool。此公用程式可以在 Windows 98 以上的作業系統、和 Office 2000 或更新版本的電腦上執行。它可讓系統管理員準確地評估 Office 部署的補充程式等級。

Office Update Inventory Tool 可以從下列網站取得:http://www.microsoft.com/office/ork
/2003/journ/offutoolv2.htm

其他判定 Hotfix 等級的方法

如果在部分環境中您不想或無法使用 MBSA 工具,可以使用其他方法判斷是否已安裝 Hotfix。

最簡單的方法是查看 HKLM\Software\Microsoft\Windows NT\Currentversion\hotfix 機碼下的電腦登錄。每個新安裝的 Hotfix 應該都有一個具有 Q 名稱的機碼,該名稱與討論 Hotfix 的 KB 文章相符。但是,對於某些舊 Hotfix 和某些特定應用程式的 Hotfix 則例外。

其他判定 Hotfix 等級的工具

您可以使用 Microsoft 提供的另外兩種免費工具來收集此資訊。這些工具是:

  • 與 /v 參數一起使用的 Qfecheck.exe。此工具在 Microsoft 知識庫文章 282784<Qfecheck.exe 驗證 Windows 2000 和 Windows XP Hotfix 的安裝>中討論,網址為 :http://support.microsoft.com/?kbid=282784。此工具會告訴您伺服器已安裝的 Service Pack 等級和 Hotfix 版本。如果您的環境未正確安裝補充程式,Qfecheck 也會告訴您。

  • 與 –l 參數一起使用的 Hotfix.exe。此工具在《Microsoft Windows NT 與 Windows 2000 Hotfix 安裝與部署指南》(英文) 中有詳細討論,網址是:http://www.microsoft.com/technet/archive
    /security/tools/tools/hfdeploy.mspx
    。該工具會顯示電腦中安裝的 Hotfix 數量和版本。

評估與計畫補充程式的套用

並非每種威脅或弱點都會對您的環境構成重大風險。看到新的潛在作業系統或應用程式弱點通知時,您應評估這些弱點是否適用於您的特定環境。

例如:如果弱點影響的是 Windows 2000 中的檔案傳輸通訊協定 (FTP) 服務,而您從未啟用此服務,則弱點不適用於您。同樣地,如果您瞭解到今年出現颶風的可能性會更高,但您的 IT 環境在內陸,則此威脅是的影響便有限。如果您對不適用於您的環境的威脅和弱點採取因應措施,則會消耗寶貴的資源,還可能會對環境的穩定性造成不利的影響,而不會有任何相應的益處。

新威脅和弱點出現時,您應閱讀任何相關的支援資訊。這樣可讓您充分地瞭解新威脅和弱點對您的環境造成的風險嚴重程度,然後決定適當的因應措施。主要替代方法是不採取措施、停用處於風險中的服務,或部署補充程式。

重要事項:建立部署新補充程式的計畫時,您還應建立復原計畫,說明如何移除補充程式或降低補充程式安裝失敗時的影響。

為確保您擁有最新的補充程式,請務必從 Microsoft 接收定期安全性公告。若要註冊以接收更新公告,請造訪 Microsoft 全球網站 (http://www.microsoft.com/worldwide),選擇國家,然後進入 Microsoft 資訊安全首頁 (http://www.microsoft.com/security/)。

將補充程式分類

出現新補充程式時,您應判斷它對您的環境的重要性,這可以協助您決定必須部署補充程式的時機,以及可以負擔得起的測試次數。

Microsoft 會為安全性公告主題的每種弱點提供等級。分級等級顯示在下表中。

表 6.1:Microsoft 定義的弱點等級

電腦類型

重大等級

中等等級

低等級

網際網路伺服器

網站損毀、拒絕服務 (DoS) 或完全控制。

難於利用、異常設定或暫時影響。

影響有限,例如:洩露指令碼。

內部伺服器

權限提升、資料洩漏或修改。稽核困難。

可稽核資料洩漏、修改或 DoS。

無目標的或部分資料竊取或修改、有限的 DoS。

用戶端系統

未經使用者動作即執行任意程式碼;遠端權限提升。

本機權限提升、無目標的資料洩露或 DoS、使用動作被利用。

有限或部分資料竊取或修改、惡意網站攻擊。


分級系統根據弱點的潛在影響和可能性將弱點分類。

您可以將此分級系統視為將補充程式分類的指南。但是,Microsoft 分級系統只是根據全球數百萬個客戶對潛在影響進行整體評估。嚴重性等級是以過去的經驗和主觀判斷為基礎。因此,這些分類可能無法為您的環境提供準確的影響預測。您最終還是必須根據自己的環境對補充程式進行分類。

評估補充程式

至少,您的補充程式評估應該包含下列步驟:

  1. 識別補充程式擁有者。對於所有補充程式,應該已識別出負責評估補充程式的擁有者。

  2. 檢閱所有文件。套用任何 Service Pack、Hotfix 或安全性補充程式之前,應該閱讀所有相關文件並進行同儕審查。同儕審查的程序非常重要,因為它可以降低一個人評估更新時遺漏相關重點的風險。

  3. 驗證補充程式類別。進一步評估補充程式後,您可能必須變更其類別。這將影響測試的其他方面。

當您閱讀文件時,可查尋以下問題的解答:

  • 更新是否相關?是否能解決未解決的問題?

  • 採用更新會造成其他問題,導致生產系統受到影響?

  • 這些相依性與更新有關? (例如,執行需要啟用或停用的特定功能,可以讓更新生效?)

  • 部署更新之前,您需要執行任何動作?

除了檢查隨更新發佈的說明文件之外,您還應搜尋 Microsoft 支援網站,查看是否有其他有關更新的發佈後續資訊。TechNet 也在網站的搜尋資料庫 (按產品名稱和 Service Pack) 中提供了安全性公告。這些資料提供必須參考的重要資訊。

測試補充程式

就像任何軟體一樣,補充程式也不能確保在每個環境下都能完美運作。在理想情況下,您應徹底測試要在您的環境中安裝的任何補充程式。但是,許多安全性補充程式需要快速安裝,以解決潛在的嚴重問題。

在許多情況下,您會發現測試程序必須在解決安全性問題的需求、與確保補充程式在環境中穩定的需求之間進行折衷。

適合的測試數量會因補充程式的分類方式而異。透過 Microsoft 分類,下表顯示您應為每種補充程式類型執行的最低限度測試。在 Trey Research 案例中,安裝建議的 Hotfix 後,每個伺服器角色仍然必須正常運作。這透過下列方式確認:驗證各種用戶端電腦仍然可以連線至每個伺服器角色上執行的網路服務,及執行其他基本測試程序來確認一切如預期般地運作。

表 6.2:補充程式的最低限度測試

補充程式類型

測試階段

重大嚴重性

評估補充程式

評估伺服器作業 (有限)

中等嚴重性

評估補充程式

在測試環境中安裝補充程式

評估伺服器作業 (完整)

檢查解除安裝程序

低嚴重性

評估補充程式

在測試環境中安裝補充程式

評估伺服器作業 (完整)

評估應用程式作業

檢查解除安裝程序


在風險管理程序中,您必須決定如何徹底執行每個步驟。如果由於緊急情況跳過某些階段,您仍然應在測試實驗室中繼續完成這些階段,以在已部署的系統出現潛在問題之前發現這些問題。

您應在儘可能與生產伺服器類似的伺服器上進行所有測試。

安裝補充程式

請以正確方式安裝補充程式、瞭解補充程式是否需要重新啟動、補充程式會佔用多少空間 (包括解除安裝資料夾)、您可以使用哪些選項等等。您還應閱讀任何支援說明文件以獲得更多資訊,來評估套用補充程式的優缺點。

測試伺服器作業

安裝補充程式後,您必須確定伺服器能繼續正常運作。您也可以監視事件記錄和系統監視器是否有任何非預期的結果。

測試所有伺服器功能並確定一切運作正常。您可以在具有特定弱點的特定伺服器上處理多少風險,將決定確定一切正常之前您應讓伺服器執行多久。如果有任何問題,您必須確定已記錄這些問題並儘快回報給 Microsoft。

注意:您可以使用 Microsoft Operations Manager (MOM) 從 Windows NT 4.0 伺服器收集事件記錄和系統監視器資訊。

測試應用程式作業

在測試程序中,請務必使用伺服器上同時存在的任何應用程式測試補充程式,以及確定已識別相關的任何問題。安裝補充程式後,您應該檢查所有應用程式是否可如往常繼續運作。

準備解除安裝

就算已經進行過測試,安裝補充程式後,還是會發生問題,造成您必須解除安裝補充程式。因此,請務必測試解除安裝是否有作用。解除安裝之後,您應該檢查伺服器是否繼續正常執行,並繼續監看「事件日誌」和「系統監視器」計數器。

建立復原計畫

即使測試過程非常順利,在整個組織中部署補充程式時,仍然可能會發生問題。在部署補充程式之前,您必須建立可將系統還原到原始狀態的行動計畫。

在某些情況下,此計畫包括在安裝之前對伺服器進行快照備份,讓伺服器可以在問題發生時快速地還原。您應徹底測試您的組織設計的復原計畫。

部署補充程式

如果測試非常順利,表示您已準備就緒,可在組織中部署補充程式。部署的方法很多,其中包括下列方法和程序:

  • 手動部署

  • Microsoft 或其他廠商提供的自動部署工具。

  • 環境內建或為環境自訂的指令碼。

注意:如需有關部署補充程式的其他資訊,請參閱 Microsoft TechNet 文件<套用 Service Pack、Hotfix 與安全性補充程式的最佳作法>(英文),網址是:http://www.microsoft.com/technet/security
/bestprac/bpsp.mspx

手動部署

手動安裝 Hotfix 是最常見的安裝方法。此方法僅需執行與每台伺服器上的 Hotfix 相對應的可執行檔即可。但是,如果您的組織有許多伺服器,此方法則不切實際。由於 Trey Research 的伺服器數量並不多,而且遍佈於多個地方,因此手動部署是目前的補充程式部署方法。

大多數 Hotfix 的名稱可提供有關修正程式的重要資訊。例如:Hotfix 的標準名稱為 Q292435_W2K_SP3_x86_en.exe。在此情況下:

  • Q292435 是 KB 文件編號,可提供有關 Hotfix 的更多資訊。

  • W2K 是所適用的產品 (Microsoft Windows 2000)。

  • SP3 是包含在其中的 Service Pack。

  • x86 是適用的處理器架構。

  • en 表示 Hotfix 的發行語言 (在此情況下為英文)。

注意:檔案名稱為 QXXXXXX.exe、且名稱後未附加 W2K_SP3_x86 的 Hotfix 專門適用於 Microsoft Internet Explorer 之類的應用程式。

Hotfix 還支援多個命令列參數,可以用來控制 Hotfix 安裝程序的行為。這些參數列於下表:

表 6.3:Hotfix 可執行檔的參數

參數

說明

-y

執行解除安裝

-f

關機時強制應用程式關閉

-n

不建立解除安裝目錄

-z

更新完成後不重新啟動

-q

使用無訊息模式 — 無 UI

-m

使用自主式模式

-l

列出已安裝的 Hotfix


注意:檔案名稱為 QXXXXXX.exe 的應用程式專屬的 Hotfix 通常不支援上表列出的所有參數。

如果是編寫多個 Hotfix 的安裝指令碼,您可以使用 -q 和 -z 參數,如此一來安裝 Hotfix 時就不會有 UI、系統也不會強迫重新啟動。

通常安裝多個 Hotfix 時,您必須每完成一個安裝就重新啟動電腦。這是因為已鎖定或使用中的任何檔案都無法取代,因此在系統重新啟動後,這些檔案才會置於要取代的佇列中。

QChain 是一種工具,可讓您只重新啟動一次即可將數個 Windows NT 4.0 Hotfix 串列在一起,而無須反覆重新啟動。若要使用 QChain,請使用 -z 參數執行 Hotfix 安裝程式,指示安裝程式在安裝後不要重新啟動。然後執行 QChain.exe 並重新啟動電腦。

如果在套用 Service Pack 和補充程式後新增了其他 Windows 元件,如網域名稱系統 (DNS) 服務,則必須重新套用 Service Pack 和補充程式,以確保新元件已正確安裝。

指令碼部署

您可以使用 Microsoft Visual Basic® Scripting Edition (VBScript) 語言或批次檔建立自己的指令碼,全面部署補充程式。這些指令碼可以是登入或啟動指令碼的格式,它們會檢查目前補充程式的狀態,然後檢查中央伺服器的更新。指令碼可以包含 QChain,確保在需要安裝多個 Hotfix 時,只需重新啟動一次即可。

部署監視和報告

將補充程式安裝到生產環境後,您必須繼續監視伺服器。確定您已注意事件記錄和系統監視器計數器是否有問題。如果幾週後電腦顯示任何其他錯誤,請進行測試,以確定這些錯誤與部署的補充程式無關。此外,如果由於時間緊急,在未徹底進行實驗室測試的情況下就安裝了補充程式,您應該在事後繼續在實驗室環境下測試補充程式,以確定未遺漏任何事項。

除了監視現有伺服器之外,監視整個環境也非常重要,這可以確保未安裝最新補充程式的新伺服器不會出現在網路中。新伺服器應一律使用最新版本,而組織的監視原則應做到這點。

確保任何程序都正常運作的唯一方法是進行檢閱。當您完成每個補充程式的補充程式管理程序時,您應檢閱這些程序,確保每個補充程式均已正確部署,且所有程序均正確執行。這道檢閱手續有助於確保補充程式管理程序持續正常運作。當您檢閱程序時,應繼續分析環境是否有其他變更。如果出現任何變更,您必須重新開始補充程式管理程序。

實作

Trey Research 補充程式管理解決方案包含許多獨立的元件,這些元件可互相配合,提供可靠、穩健的清查與傳遞服務。Trey 執行的第一個步驟是全面分析公司的現有網路和系統。組織中套用補充程式的動作常常不一致,而且沒有任何文件說明套用補充程式的原因、時間及地點。Trey 想要建立一套可重複執行的統一補充程式管理程序,以適時一致地將補充程式套用於正確的電腦。

建立更新執行伺服器

在許多環境中,專用電腦可能很有幫助,您可以使用這些電腦來執行許多補充程式管理程序的步驟。這些系統提供專用位置,可存放安全性工具、補充程式、Hotfix、Service Pack 及說明文件。您可以將這些系統作為分析、擷取及部署補充程式的地方。Microsoft Software Update Service (SUS) 和 Windows Update Services (WUS) 是為 Windows 網路執行上述所有功能的產品。但是,由於 Windows 98 和 Windows NT 4.0 不支援 SUS,因此 Trey 無法使用 SUS。因此 Trey 選擇建立自己的執行伺服器來測試和遞送補充程式。這些伺服器實際上是由 Microsoft Windows Server™ 2003 網域控制站主控的共用區;Trey 下載 Microsoft Security Tool Kit 後,將其放在執行伺服器上,並使用此處包含的補充程式強化現有的電腦。此外,Trey 還更新了伺服器和工作站組建程序,在組建新電腦時使用 Security Tool Kit 的補充程式。

Trey 選擇將網域控制站作為執行伺服器使用,以確保安全性更新系統位於一台或多台專用電腦中,便於嚴密控制和保護。Trey 做出這個決定的原因在於,這些系統將用來為環境中所有系統部署和維護安全性補充程式。

雖然安全性更新系統通常不需要是功能強大的伺服器 (因為其負載通常很小),但是仍然必須維持高可用性。

為了正確部署安全性更新系統,電腦必須直接或間接地存取網際網路,以從信任來源下載最新的補充程式資訊,以及存取負責保持最新狀態的各台電腦。

注意:MOF 將更新系統視為版本管理程序的一部分。

識別遺漏的補充程式

您應該持續不斷地進行分析,才能確保所有伺服器和工作站一直有最新的補充程式。為了有效地讓網路上的電腦保持最新狀態,Trey 的 IT 人員結合使用了本章先前提到的一些工具。

掃描基本作業系統

MBSA 可讓 Trey 的 IT 人員定期掃描 Windows NT 伺服器和工作站,並將結果分類。首先,IT 主管使用 MBSA 執行快速基準掃描以識別遺漏補充程式的系統;這些系統都安裝補充程式後,MBSA 則排定在不同系統集上定期執行。

使用 MBSA 執行基準掃描

  1. 使用具有要掃描電腦的系統管理員權限的帳戶,登入執行 Windows 2000、Windows XP 或 Windows Server 2003 的電腦。

  2. 開啟命令提示。

  3. 使用 –b 參數啟動 MBSA 的命令列版本,如下所示:

    mbsacli.exe /hf –d <您的網域> -b

    –b 參數會在基準掃描模式下執行 MBSA,這樣僅會檢查 Microsoft Security Response Center 識別為基準的補充程式。

  4. 檢閱產生的文字報告,該報告列出了找到的每個系統、該系統是否已掃描,以及有關任何遺漏的補充程式之資訊。

使用 MBSA 執行標準掃描

  1. 使用具有要掃描電腦的系統管理員權限的帳戶,登入執行 Windows 2000、Windows XP 或 Windows Server 2003 的電腦。

  2. 啟動 MBSA,然後按一下 [Scan more than one computer] (掃描多台電腦)。

  3. 在 [Domain Name] (網域名稱) 欄位中,輸入要掃描的網域名稱。

  4. 按一下 [Start scan] (開始掃描) 按鈕,然後等待 MBSA 列舉和掃描網路上的系統。

  5. 按一下 [Pick a security report to view] (選取要檢視的安全性報告)。

  6. 從安全性報告清單中選取電腦,然後按兩下相關的電腦名稱。

  7. 檢閱報告。

您可以在 http://www.microsoft.com/technet
/security/tools/mbsawp.mspx
取得 Microsoft Baseline Security Analyzer V1.2 白皮書,其中包含有關 MBSA 執行的掃描模式和弱點檢查的完整說明。

掃描 Office 安裝

您可以使用本章前面提到的 Office Update Inventory Tool 掃描個別工作站是否有重大 Office 更新。但是,每個系統都必須安裝並執行用戶端可執行檔。由於在 IT 現代化計畫中,Trey Research 將移轉至 Office 2003,因此 Trey 目前混合使用 Office 2000 和 Office XP,系統管理員在日常系統維護中已安裝最新的 Service Pack。由於 Office 安全性瑕疵相對較小,因此 Trey 在評估網路風險後,採取可讓使用者直接造訪 Office Update 網站 (http://office.microsoft.com/officeupdate) 檢查是否有更新的策略。重要系統和主管的系統會透過下列其中一種方式掃描:

  • 使用 MBSA 在本機模式下掃描執行 Windows NT、Windows 2000 及 Windows XP 的系統,這僅檢查本機電腦上的 Office 安全性補充程式。

  • 使用 Office Update Inventory Tool 手動掃描執行 Windows 98 的系統。

計畫補充程式的套用

Trey Research 的 IT 主管編寫了補充程式套用計畫範本,作為公司每月補充程式套用計畫的基礎。由於 Microsoft 發行安全性補充程式的排程頗為固定,因此有了範本後,Trey 系統管理員即可在 Microsoft 發行每套安全性補充程式時,依照標準化程序來進行評估和部署。範本指南包括:

  • 哪些服務、系統及應用程式應視為關鍵,哪些是可選或不必要的。

  • 如何決定補充程式是否適用於特定系統或系統集。

  • 如何決定補充程式是否會導致其他問題。

  • 識別每個補充程式的相依性說明。

  • 決定某項弱點的重要性是否足以進行緊急安裝,或另外排定補充程式部署動作。

  • 誰必須檢閱和核准補充程式部署。

  • 如何在發生問題時回復補充程式安裝。

除了建立此範本之外,Trey 的 IT 人員註冊了 Microsoft 安全性通知服務,並定期瀏覽 Microsoft 資訊安全首頁:http://www.microsoft.com/security/

將補充程式分類

Trey Research 使用標準的 Microsoft 分類架構對補充程式嚴重性進行分類,如前面的表 6.1 所示。但是,公司新增了一項分類參數:補充程式是否適用於公司環境的指標。例如:由於 Trey 目前未使用 Office 2003,因此無論 Microsoft 相關弱點的重要性為何,補充程式將評為「不適用」。此外,由於 Trey 經常使用 Microsoft Data Engine (MSDE) 和 SQL Server 2000,因此所有 SQL Server 補充程式都評為「適用」。這個方法需要耗費更多分類心力,但可讓 Trey 將焦點集中在與公司環境最相關的補充程式上。

測試補充程式

Trey Research 的 IT 資深系統管理員建立了補充程式測試計畫,該計畫根據嚴重性、適用性及要修補系統的性質,為廣泛測試補充程式部署設立了各種條件。Trey 選擇採用 Microsoft 的測試等級建議 (表 6.2 所述),並建立了實驗室使用的生產網路模型,其中包含工作站和伺服器的代表。首先,將新補充程式部署至測試實驗室,確認補充程式安裝正確且不會造成任何重大中斷。如果初始測試成功,接著根據補充程式套用計畫中的條件部署補充程式。

在測試實驗室中安裝補充程式後,Trey 會執行標準測試集。這些測試包括在 Microsoft Active Directory® 目錄服務中新增和移除資源,以及執行標準的公司特定業務應用程式集。此外,測試通過條件包括檢查事件記錄和系統監視器是否有任何非預期的結果。

注意:您可以使用 Microsoft Operations Manager (MOM) 從 Windows NT 4.0 伺服器收集事件記錄和系統監視器資訊。

部署補充程式

如果測試非常順利,Trey Research 會將補充程式部署至需要的系統。它們混合使用兩種方法:由系統管理員或受影響的使用者手動部署,及使用自訂指令碼自動部署。

手動部署

手動安裝 Hotfix 是最常見的安裝方法。此方法僅需執行與每台伺服器上的 Hotfix 相對應的可執行檔即可。但是,如果您的組織有許多伺服器,此方法則不切實際。由於 Trey 的伺服器數量並不多,而且遍佈於多個地方,因此手動部署是目前伺服器的標準補充程式部署方法。為了避免不必要的停機時間,IT 人員使用 –z 參數安裝修正程式,以防止在安裝最後一個補充程式前重新啟動;安裝程序的最後一個步驟是執行 Qchain.exe 以統一安裝補充程式作業期間安裝的所有檔案。

指令碼部署

Trey Research 建立了自訂指令碼,該指令碼使用 QChain 安裝多個 Hotfix,並在安裝最後一個修正程式後重新啟動電腦。如需有關指令碼的說明,請參閱 KB 文件編號 296861<如何只重新開機一次就能安裝多個 Windows 更新程式或 Hotfix>,網址是:http://support.microsoft.com/?kbid=296861。下列指令碼顯示使用 Qchain 的範例:


@echo off
setlocal
set PATHTOFIXES=some path
%PATHTOFIXES%\Q123456_w2k_sp2_x86.exe -z -m
%PATHTOFIXES%\Q123321_w2k_sp2_x86.exe -z -m
%PATHTOFIXES%\Q123789_w2k_sp2_x86.exe -z -m
%PATHTOFIXES%\qchain.exe



總結

大多數破壞 IT 安全性的狀況起因於未完全更新最新安全性補充程式的系統環境遭到利用。若要將面臨的安全性風險降至最低,良好的補充程式管理非常重要。如果慎重地處理補充程式管理,可以大幅減少與安全性弱點相關的費用。與大多數組織一樣,Trey Research 必須持續不斷地維護補充程式管理;伺服器必須安裝安全性相關 Hotfix,維持在最新狀態。

其他資訊

協力廠商工具

許多協力廠商工具可協助您進行補充程式管理。這些工具提供 Microsoft 免費工具目前未提供的一些功能,例如:部署修正程式和回報狀態、建立更新需求類似的電腦群組、支援上述工具未包含的其他產品,以及使用圖形化使用者介面 (GUI) 執行系統管理工作等功能。您應評估這些功能並判斷它們是否適合您的環境。可用的協力廠商工具包括:

  • Shavlik HFNetChkPro。HFNetChkPro 以 HFNetChk 技術為基礎,提供 MBSA 中未包含的許多命令列功能。如需有關 HFNetChkPro 的更多資訊,請瀏覽 www.shavlik.com/pHFNetChkPro.aspx

  • Bindview bv-Control。此產品提供 GUI,有助於簡化檢查不相容電腦的程序。它還提供更新服務,讓您知道何時有最新的補充程式。如需更多資訊,請瀏覽 www.bindview.com/Products/VulnMgmt/index.cfm

  • Pedestal Software Security Expressions。此產品可讓系統管理員在 Windows 和 UNIX 電腦上實作安全性鎖定原則。它還具有檢查 Hotfix 並在必要時自動下載和安裝 Hotfix 的功能。如需更多資訊,請瀏覽 www.pedestalsoftware.com/products/se/


顯示: