第七章 补丁管理

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第七章,补丁,管理,7.1,补丁管理概述,7.2,补丁管理技术,7.3,实验一 安装,WSUS,服务器,7.4,实验二,WSUS,客户端的配置,7.5,实验三,WSUS,系统的管理,补丁,对于大型软件系统,(,如微软,操作系统,),在使用过程中暴露的问题,(,一般由,黑客,或,病毒,设计者发现，或者是用户使用过程中产生的，把错误信息发送到服务器端，开发人员进行纠正的一项工作,),而发布的解决问题的小程序。,按应用属性来分,系统补丁,就是操作系统的不定期错误漏洞修复程序,系统补丁关系到操作系统运行的稳定性， 关系到运行于系统里的软件程序是否容易 中途出现非法操作，系统是否会在运行过 程中容易产生死机现象。一旦死机将导致 辛辛苦苦的工作因没有保存而丢失,。,软件补丁,是指一种插入到程序中并能对运行中出现的软件错误进行修改的软件编码,它是漏洞被发现后由软件开发商开发和发布的,游戏补丁,所谓游戏补丁，其实也是一种升级更新程序。一般有两种情况：一种是这款游戏推出了新东西，需要玩家进行升级更新；另一种是游戏制作的时候有缺陷（,bug,），需要进行修补。通过修改原有的程序，而使游戏变得更加新鲜和完美。,汉化补丁,许多软件都是英文版本的，国人的英语水平普遍不高，因此影响了不少人学习电脑的兴趣。为了占领市场，软件开发商提供了中文版本；为了大家学习方便，爱好汉化工作的国人制作了汉化包。,硬件补丁,硬件打补丁实质上就是软件打补丁，就是硬件驱动的补丁。打好硬件补丁，可以增强系统的稳定性，可以增强硬件支持的效果，可以增强对操作系统的支持。,按功能分,安全补丁,主要针对系统软件或应用程序中存在的安全漏洞或缺陷,非安全丁,主要针对与安全因素无关的功能,如运行错误等,常用方法,自动打补丁,手动打补丁,补丁管理与,网络安全,2002,年全球的根域名服务器遭到大规模,拒绝服务攻击,。,2003,年,8,月,11,日，利用,MS03-26,漏洞的,“,冲击波,”,蠕虫病毒（,W32.BIaster.Worm,）开始在全世界范围内爆发并造成巨大经济损失。,人们逐渐,发现系统存在的安全漏洞是产生以上安全问题的主要根源。,就可以及时发现这些漏洞并采取适当的处理措施进行修补，有效地阻止入侵、蠕虫等事件的发生。,几乎所有的网络攻击都是基于操作系统或应用程序的漏洞进行的,及时发现这些漏洞并采取适当的处理措施进行修补，就可以有效地阻止入侵、蠕虫等事件的发生。,然而现实情况是在相应的漏洞补丁发布后，用户往往并不及时更新系统的补丁程序。,用户往往并不及时更新系统的补丁程序，其主要原因：,用户安全意识薄弱，没有对网络中隐藏的各种引起足够的重视；,没有根据单位网络的具体情况，有针对性地部署补丁管理系统；,补丁管理本身也是一件比较繁琐枯燥的工作，需要在管理人员、制度等方面保障此项工作的正常进行，然而实际情况并非如此。,以微软的,Windows,操作系统为例，每个星期都有漏洞警报和补丁程序发布，网络管理员要追踪和应用这些最新的升级信息,.,7.1.2,补丁管理的特性,及时性,严密性,持续性,及时性,一个漏洞从公开到被利用，所用的时间越来越短，这就要求计算机，尤其是连入,Internet,的计算机，必须在第一时间安装补丁程序，即需要考虑操作系统补丁安装的及时性,2004,年,9,月份发生的,Half Life2,源代码泄漏事件就是由于企业内部客户端没有及时打补丁，而导致被,IE,漏洞攻击，造成重大损,失,67,35,Days After Product Release,8,5,Released11/29/2000,Released09/28/2003,2003,8,4,Released05/31/2001,Released11/17/2003,Bulletins 614 Days After Product Release,Bulletins 564 Days After Product Release,As of June 2, 2005,微软系列产品补丁发布情况,蠕虫名称,利用的漏洞,微软公告,补丁发布时间,攻击代码发现时间,蠕虫出现时间,可以弥补时间,CodeRed,IIS Index Server,MS01-033,2001.6.18,2001.6.21,2001.7.13,3,天,/25,天,Nimda,Unicode,漏洞,MIME,漏洞,ms00-078,ms01-020,2000.10.20,2001.03.29,2000.10.20,2001.9.18,0,天,/140,天,SQLSlammer,SQLServer,2000 Resolution,漏洞,MS02-039,2002.6.24,2002.6.26,2003.01.25,2,天,/210,天,Blaster,（冲击波）,Windows RPC,漏洞,MS03-026,2003.7.16,2003.7.24,2003.8.13,8,天,/27,天,LSASS,（震荡波 ）,LSASS,漏洞,MS04-011,2004.04.13,2004.04.13,2004.5.5,0,天,/20,天,漏洞、攻击程序、补丁、蠕虫的时间关系,严密性,由于补丁是厂商为了修补第,3,方发现的漏洞而进行的程序更改，迫于用户的压力，厂商一般会尽快发布补丁，而为了尽早的发布补丁，补丁的测试就会减少，因此补丁的兼容性很容易出问题,微软就承认其发布的,MS04-011,的补丁存在瑕疵，可引起某些,Windows2000,系统锁死或者不能启动,因此企业内部如果需要大规模推广补丁之前，一定要针对内部的系统和应用环境做一个严密的测试，否则有可能导致内部的重要系统无法运作，导致了业务的巨大损失,除了补丁测试需要严密性以外，补丁的推广同样也需要严密的计划，哪些系统需要安装补丁，什么时候开始安装，安装补丁之前需要备份哪些数据，如何制订应急方案都需要一个严密的计划,持续性,补丁管理工作不是一蹴而就的，而是一个长期的，持续性的工作。因为随着漏洞的不断被发现，补丁也就会持续不断地发布,因此要求时刻跟踪厂商的补丁公告和安全公司（主要是病毒软件开发商）的安全公告,7.2.1,补丁管理技术产生的动因,病毒和蠕虫的泛滥是现代计算机网络面对的首要安全风险,.,像红色代码,冲击波,SQL,杀手,ARP,欺骗,DHCP,欺骗等病毒和蠕虫的广泛传播,对网络造成极大的破坏，尤其是蠕虫产生的大量网络流量经常使业务数据无法正常传输，甚至使网络陷入瘫痪,杀毒软件和一些专门的清除工具一般是针对具体的病毒和蠕虫的,但是，在现实网络环境中，当一种病毒或蠕虫出现后，很快就会出现这种病毒的各类变种。针对新的变种，以前的查杀方法将失效，必须尽快推出新的查杀方法,为每台计算局系统及时安装最新的补丁才是网络管理中的“ 预防为主，积极防御 ”的有效方法。,7.2.2,补丁管理系统的功能,一个功能完善的补丁管理系统，将从,“,配置管理,”,的角度考虑操作系统和应用软件的维护和更新问题（收集、验证、分发、安装和统计）,从系统组成的角度来看，补丁管理系统包括,补丁制作与发行系统,补丁应用管理系统,补丁中心服务器,补丁管理客户端,补丁应用管理系统,补丁管理系统,补丁制作与发行系统,补丁中心服务器,补丁管理客户端,补丁管理系统的组成示意图,补丁制作与发行系统,收集各种操作系统和应用软件的补丁。,总结补丁文件的相关信息（如运行平台、功能、解决的问题、对系统的影响等）。,进行补丁的测试和验证。,提供已验证补丁的下载和补丁信息文件的下载,。,补丁应用管理系统,补丁中心服务器,以网络方式或手工拷贝方式从,“,补丁制作与发行系统,”,或上级,“,补丁中心服务器,”,得到补丁和补丁信息文件，提供给下级,“,补丁中心服务器,”,和,“,补丁管理客户端,”,。,补丁管理客户端,安装在每个需要进行系统更新和补丁安装的计算机系统上,从的,“,补丁中心服务器,”,上获得补丁文件列表，检查本系统所需要安装的补丁文件，然后进行下载和安装，最后还要报告本机的补丁状态。,“,补丁管理客户端,”,也可以利用浏览器替代，通过浏览器访问,“,补丁中心服务器,”,，进行系统检测、补丁下载和状态汇报。,一个功能完善的补丁管理系统应提供以下的主要功能,：,升级补丁数据库，补丁信息应该包括最新的升级。,客户端自动置发现升级补丁。,自动为客户端配补丁程序。,用户可有选择地安装或删除补丁程序。,存储不同时期补丁的跟踪报告及变更信息,7.2.3,Hotfix,和,SP,Hotfix,Hotfix,是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序，通常称为修补程序,微软公司会及时地将软件产品中发现的重大问题以安全公告的形式公布于众，这些公告都有一个惟一的编号，即,“,MS,”,，如,MS04-011,还有一种形式为,KB,（,2003,年,4,月份后用此编号）的编号，这个编号是微软知识库中的一个编号，通过该编号我们可以在微软知识库（,http:/,）中查找到有关该问题的所有技术性文章和相应的解决方案。例如,“,WindowsXP-KB823980-x86-CHS32.exe,”,SP,SP,（,Service Pack,，服务包）是微软公司针对已经发现的问题进行修补的程序。对一般用户来说，下载安装各种,Hotfix,很繁琐，于是微软公司开始发布,SP,补丁包。,SP,补丁包中包含有,SP,发布日期前所发布的所有,Hotfix,Windows,操作系统的,SP,补丁包是可叠加补丁包，也就是说,SP2,中已包含有,SP1,中的所有补丁，,SP3,中已包含有,SP2,、,SP1,中的所有补丁。在实际应用中，用户只需要下载并安装最新的,SP,补丁包即可,而对于,Office,产品则必须下载并安装所有的,SP,补丁包,7.2.4,补丁管理工具,微软公司的补丁管理工具：,通过服务器管理系统控制台，向用户推送软件升级包。目前主要的产品有,WSUS,（,Windows Server Update Services,，,Windows,更新服务）和,SMS,（,Systems Management Server,，系统管理服务器）,提供让用户桌面系统自动登陆微软公司网站并自动下载补丁程序的系统升级服务（,System Update Services,）,提供安全漏洞,Security Analyzer),，可用于识别微软产品中错误的安全评估的免费在线工具，即微软基线安全分析器（,Microsoft Baseline,配置问题，生成并存储个人,XML,安全报告,在漏洞管理方面，,BigFix,可以不间断地监控被管理系统，自动检测并修复系统安全漏洞，保证系统安全,在补丁管理方面， 可以自动检测、下载、定位和安装补丁包，并实现基于策略的自动补丁化管理,它支持,Windows,、,Linux,、,UNIX,、,Macintosh,等主流操作系统平台,BigFix,Shavlik,Technologies,公司产品。,侧重补丁管,理。,面向,Windows,。,可以读取,Microsoft,网站上的特定,XML,文件，该文件描述了当前可用的补丁程序（针对,NT,及以上操作系统、,SQL Server,和,Exchange Server,）,然后，,HFNetChkPro,会对网络中的系统进行扫描，查出计算机上已经安装过的补丁。在主用户界面中可以用几种不同的视图来查看当前的系统情况,HFNetChkPro,Configuresoft,公司的,ECM,ECM,（,Enterprise Configuration Manager,）,能够有效地完成报告、分析、标准化、执行、变化管理等工作,它首先从所管理的每台计算机上收集大量的数据点，然后把这些数据存入,Microsoft SQL,数据库,ECN,可以执行不同的功能，包括安全漏洞评估、一致性审计、补丁管理。在补丁管理方面，,ECM,能对从补丁检测、测试、部署直到验证的所有功能进行管理,侧重虚拟化技术,WUSU,（,Windows Server,Updata,Services,Windows,更新服务）是,Microsoft,公司推出的用于局域网内计算机操作系统和,Office,等应用软件升级的一种服务器软件，他可以快速、方便的为网络中的每台运行,Windows,操作系统的计算机升级操作系统和应用软件的补丁,它是,SUS,的升级产品,7.3.1 WSUS,的特点,与,SUS,相比，,WSUS,具有以下特点,客户端不需要加入,Active Directory,也不要需要身份验证，只要能通过网络访问,WSUS,服务器，就可以从,WSUS,服务器下载相应的补丁进行升级,WSUS,服务器的安装、配置都很简单，使用非常方便,使用,WSUS,进行升级的客户端，不需要安装软件，只要进行简单的配置即可,使用,WSUS,与使用,Windows,Updata,程序从,Microsoft,公司站点升级的效果相同，使用方法也相同,WSUS,是免费产品，不需要购买,WSUS,支持的补丁除了,Windows 2000,及以上版本操作系统的补丁外，还支持,Microsoft SQL Server Exchange Server 2000/2003/Vista,和,OfficeXP/2003,等产品的升级补丁,WSUS,通过,BITS 2.0,（，后台智能传送服务）来最大化有效带宽,WSUS,支持统计和报告功能,多语言支持，,WSUS,提供了包括中文在内的多种语言版本,SUS,技术,此技术应用了,Windows,Updata,的技术，即客户端可通过在内网建立的,SUS Server,自动下载升级补丁。,采用此方法的优点是简单方便，但是此系统也有不易控制的缺点,WSUS,优点,使用,WEB,管理界面简化管理工作,同步引擎从,Windows Update,站点自动下载更新,基于,SQL,的数据库信息存储,可配置树形架构满足企业级管理需求,软件更新报表,使用,BITS,有效优化网络带宽,客户端自动定时更新,安全,可靠,Microsoft Update,WSUS Server,Desktop ClientsTarget Group 1,Server ClientsTarget Group 2,WSUS Administrator,WSUS,解决方案概览,谢谢,!,亲们，给赞喔！,