2.2 Управление патчами операционной системы

2.2.1 Введение в управление патчами операционной системы

Автоматизированная установка пакетов обновлений (service packs) и патчей (patches), категории обновлений, параметры командной строки для пакетов обновлений и патчей

После того, как уязвимость обнаружена (или просто вышел новый пакет обновления или критический патч), ее надо устранить. Обычно это делается путем установки пакета обновления/патча или (реже) путем изменения настроек. В соответствии с нормами, установленными Microsoft, установка патчей должна производится:

·        критических (critical) - в течение 24 часов;

·        важных (important) - в течение 1 месяца;

·        средней важности (moderate) - в течение 4 месяцев;

·        малой важности  (low) - в течение года.

Если на предприятии 100 компьютеров, то установка патчей может занять целый рабочий день (и при этом активно мешать работе пользователей). Поэтому, конечно, на предприятиях, в которых больше нескольких десятков компьютеров, есть смысл подумать про систему централизованного управления патчами (patch management), для целей автоматизации работы. Автоматизировать работу по управлению патчами можно разными способами:

·        использовать средства общего назначения (logon scripts, групповые политики, sysdiff, SMS, Tivoli и т.п.). Эти средства не очень удобны для управления патчами, но при обновлениях/автоматизированной установке другого программного обеспечения без них не обойтись. Эти средства будут рассмотрены в следующем разделе;

·        использовать мощные специализированные корпоративные средства управления патчами, такие, как BigFix, Ecora, St. Bernard, PatchLink, Gravity Strorm и т.п. В них предусмотрена группировка компьютеров и возможность назначения к группам отдельных профилей/политик, управление полосой пропускания, работа в сегментированных и географически распределенных сетях и т.п. Цены на такие продукты начинаются от 8-10 тыс. долларов, освоение их также требует немалого времени, и, конечно, такие продукты стоит использовать только в больших организациях с тысячами компьютеров. В каталоге "Управление патчами" лежат оценочные версии двух таких программных продуктов (BigFix и Ecora). Подробное описание корпоративных программных продуктов patch management и их сравнение можно найти в том же каталоге на компакт-диске. Неплохой источник информации - специализированный Web-сайт PatchManagement.org.

·        использовать менее мощные (но вполне приемлемые в наших условиях) средства, такие, как бесплатное средство от Microsoft SUS (Sofware Update Services, новая версия будет называться Windows Update Services - WUS), GFI Languard Security Scanner или MegaPing (они особенно удобны, поскольку одновременно сочетают в себе средства сканера безопасности и автоматизированной установки патчей). Эти два средства мы и рассмотрим ниже в этом разделе.

Чуть подробнее про процедуру установки патчей. В соответствии с классическими и проверенными временем требованиями всегда необходимо вначале протестировать патч в течение нескольких дней, прежде чем ставить его на рабочую систему (особенно сервер). В особенности это относится к пакетам обновлений, которые меняют едва ли не большую часть служебных файлов операционной системы. Однако в нынешней ситуации на тестирование каждого патча может элементарно не хватить времени и сил. Кроме того, требование Microsoft - устанавливать критические патчи в течение 24 часов, и, учитывая скорость появления червей, это - правильное требование. Поэтому здесь, по всей видимости, придется искать компромиссное решение - проверять патчи для самых важных серверов, для остальных компьютеров - устанавливать без проверки. Но все-таки обязательно рекомендуется всего устанавливать патчи и пакеты обновления с возможностью отката, чтобы уберечься от возможных крупных неприятностей.

Еще один момент: для любого патча от Microsoft вы можете использовать параметры командной строки, которые перечислены ниже:

·        ? (или /help) - помощь по параметрам командной строки;

·        /u (или passive) - автоматизированный (unattended) режим. Вопросы задаваться не будут - только выводиться сообщения о ходе установки;

·        /f - заставить (force) закрыть остальные программы без каких-либо вопросов при перезагрузке;

·        /forcerestart (по умолчанию) - после установки произвести перезагрузку;

·        /n -  не выполнять резервное копирование замещаемых файлов (то есть откатить установку патча будет невозможно). Будьте очень осторожны с этим режимом;

·        /o - перезаписывать исходные (OEM) файлы без предупреждений;

·        /z  (или /norestart) - не перегружать компьютер после установки;

·        /q (или /quiet) - без интеракции с пользователем.

·        /l - перечислить установленные патчи/пакеты обновлений.

·        /x - развернуть файлы патча без выполнения установки.

Не забывайте также о возможности интегрировать файлы пакетов обновлений с дистрибутивом операционной системы.

Получить учебные материалы по этому курсу