任何管理员的最乏味但是却最重要的任务之一就是跟踪补丁--无情的洪水般涌来的软件升级、安全补丁和修订的操作系统组件。你不仅必须了解都发出了什么补丁,而且还要了解“谁使用了什么补丁”和“谁仍然需要使用补丁”。
一个明智的管理员可以创建一个补丁数据库,跟踪已经使用和需要使用补丁的机器和应用程序。制作这种数据库大体上有三种方法(按效率排序):手工;第三方软件;微软自己的Windows管理规范(WMI)和组策略对象(GPO)。
手工补丁跟踪
这是最明显的方法,但是,也是最乏味和最不准确的做法。这项工作无非就是做详细记录,可以在表单上做,也可以在关系数据库中做。但是,这项工作需要严格和耐心。如果你仅处理定制的应用程序和第三方程序,这些程序都没有像Windows那样的管理规范,手工跟踪也许是惟一的选择。
如果你选择手工跟踪补丁,详细记录是很重要的。你需要为每一个补丁建立一个清单:
·补丁发布的日期
·修改的号码
·这个补丁解决的安全问题
·哪个用户和机器收到了这个补丁
·任何已知的或者值得注意的副作用,或者与其它产品的冲突
最后一点是非常重要的。如果你有厂商的文件说明任何已知的副作用,记下来并且保证收到补丁的用户不要受到影响。另一个重要的细节是这个补丁取代或者替换的其它补丁。例如,考虑一下Windows服务包相互取代的情况。最后,如果这个补丁很小,并且你正在使用一个软件能够把这个补丁粘贴为一个文件的附件,你甚至还可以把这个补丁放到文件中保留起来。如果做不到这一点,加上一个内部网的链接或者网站的链接也是很好的。
MyITForum网站有很多脚本。管理员在做补丁管理的时候可以利用这些脚本。一个快速而有效的脚本是“GetPatchList”。这个脚本能够生成本地或者远程机器的所有补丁的列表,这些机器可通过WMI列表显示出来。
用第三方产品进行补丁跟踪
第三方产品减轻了补丁管理的许多痛苦,能够让一个人使用一个工作台对整个机构的计算机使用补丁的状况进行检查。
在这个领域长期保持第一位的产品可能是Gravity Storm软件公司的“Service Pack Manager 7.1”。这个软件能够扫描整个网络并且确定哪一台机器需要(或者已经使用了)什么补丁。这个软件还有高级的报告生成功能和规则过滤功能,允许你根据某些配置文件测试你的系统是否需要使用补丁。也就是说,你可以提问,“这个机构的所有的Windows XP电脑是否都要使用SP2?”。这种询问方式更容易处理补丁与软件产品之间的冲突。你可以过滤掉可能存在问题的电脑。这个服务包管理软件还支持微软为SQL Server和Windows媒体播放器等非操作系统产品提供的补丁。但是,对于非微软产品,这个管理软件还不支持查询的功能。
使用WMI和GPO跟踪补丁
要保持非微软的软件程序处于最新的更新状态,可考虑使用基于WMI和GPO处理补丁的其它产品。使用基于WMI的产品能够让管理员简单地列出将要发布的补丁列表,确定那些机器需要这些补丁,然后让GPO处理其余的机器。不需要扫描或者推动更新,这对于拥有数千台台式电脑的机构来说很有帮助。这是本文介绍的三个解决方案中最畅通无阻的解决方案,不过,这个解决方案需要做更多的工作来提高效率。
DesktopStandard公司的“PolicyMaker Software Update”就是一个这种软件。这个软件是用一个组策略客户端扩展功能(微软GPO的一个标准的附件机制)让系统确定它是否需要更新。有疑问的补丁可能是微软的补丁、拥有自己的元数据的第三方补丁或者你自己制作的不符合特定模式的补丁。这个软件还有一些规则,允许补丁自动地相互替换。这个功能是使用GPO跟踪补丁时的做法,手工操作是办不到的。
更多内容请看网络管理实用手册、补丁分发管理策略概况、补丁自动分发相关产品解决方案专题,或进入讨论组讨论。
相关专题
- 网络管理实用手册 (22482篇文章)
- 补丁分发管理策略概况 (23篇文章)
- 补丁自动分发相关产品解决方案 (76篇文章)
- 加固Wi-Fi无线网络安全的17招式 (11次浏览)
- 网管秘籍 审核网络安全的十大必备工具 (6次浏览)
- 个人用户的网络安全防范 (0次浏览)
- 驱逐威胁 六把安全利剑清除僵尸网络 (0次浏览)
- CISSP的成长之路(十九):详述安全威胁控制手 (0次浏览)
- 07年电脑安全大盘点:蠕虫网络威胁Web 2.0 (0次浏览)
- Web应用安全的全新探索 (0次浏览)
- 到底谁需要网络访问控制 (NAC)? (0次浏览)
- 针对性的防御手段 十招应对邮件欺诈 (0次浏览)
- 跨站打印攻击 网络打印机成攻击新途径 (0次浏览)
