Protože se neustále zkracuje doba mezi odhalením chyb zabezpečení a jejich reálným zneužitím, je kriticky důležité pro bezpečnost každého systému identifikovat správnou aktualizaci a zajistit její distribuci v co nejkratším možném čase. Nová verze oblíbeného produktu Windows Server Update Services 3.0 přináší celou řadu novinek jak tento proces ve firmě optimalizovat.
Úvod
Protože se neustále zkracuje doba mezi odhalením chyb zabezpečení a jejich reálným zneužitím, je kriticky důležité pro bezpečnost každého systému identifikovat správnou aktualizaci a zajistit její distribuci v co nejkratším možném čase.
Pro podporu tohoto procesu musí být splněny 3 základní předpoklady:
|
•
|
Rychlé vydání spolehlivé aktualizace, která zranitelné místo odstraní
|
|
•
|
IT profesionálové musí mít včas relevantní informace
|
|
•
|
Nástroje, které identifikují zranitelné systémy a udržují je aktualizované, musí být snadno použitelné a efektivní
|
Přestože se v tomto článku budeme věnovat především novinkám v produktu WSUS 3.0, nejdříve pojďme shrnout jakým způsobem je tento proces podporován ze strany společnosti Microsoft.
Tvorba aktualizací
Microsoft Security Response Center (MSRC) je celosvětový systém k ochraně zákazníků společnosti Microsoft před zneužitím chyb zabezpečení. MSRC proaktivně monitoruje odhalená zranitelná místa a koordinuje činnosti vedoucí k vytvoření bezpečnostní aktualizace. Aktualizace je pak podrobena důkladnému testování z hlediska stability a kompatibility. Teprve pokud projde těmito testy, je tato aktualizace oficiálně vydána. Vydávání aktualizací bylo sjednoceno na každé druhé úterý v měsíci (tzv. Patch Tuesday), což umožňuje zákazníkům lépe plánovat instalaci aktualizací, minimalizovat počet restartů a tím snižovat celkovou nedostupnost systému. V případě kritické chyby ale může být aktualizace vydána i mimo toto určené datum.
Informace
Ke každé chybě zabezpečení je vydán tzv. bulletin zabezpečení společnosti Microsoft, který popisuje dopad této chyby, stupeň závažnosti a nejčastější dotazy související s touto aktualizací zabezpečení. Tyto informace jsou dostupné také formou RSS kanálu nebo si v případě zájmu můžete nechat posílat oznámení přímo do vaší poštovní schránky.
Nástroje pro správu aktualizací
Microsoft nabízí několik nástrojů, které umožňují identifikovat existující aktualizace a nasadit je včas a automatizovaně. Tyto nástroje jsou navrženy tak, aby pokryly požadavky individuálních uživatelů, malých a středních společností i velkých firem. Následující tabulka nabízí přehled těchto nástrojů.
|
Přehled nástrojů pro správu aktualizací
|
|
Identifikace chybějících aktualizací
|
Microsoft Baseline Security Analyzer (MBSA)
|
|
Online služba
|
Microsoft Update
|
|
Automatizovaná správa aktualizací
|
Automatické aktualizace ve Windows
Windows Server Update Services (WSUS)
SMS 2003
|
Co je WSUS?
Microsoft Windows Server Update Services (WSUS) je technologie, která umožňuje administrátorům plně spravovat a kontrolovat distribuci aktualizací, které byly publikovány prostřednictvím služby Microsoft Update.
Obrázek: Architektura služby WSUS
Celá služba se skládá ze tří komponent:
|
•
|
Microsoft Update – web, ze kterého si WSUS server stahuje metadata o aktualizacích i binární soubory potřebné pro jejich instalaci.
|
|
•
|
WSUS server – serverová komponenta, která umožňuje skrze administrátorské rozhraní získávat informace o nových aktualizacích, schvalovat či odmítat aktualizace pro skupiny počítačů, reportovat stav jednotlivých počítačů atd.
|
|
•
|
Automatické aktualizace – služba začleněná do klientů Windows 2000 SP3 a vyšší, která ze serveru WSUS stahuje potřebné aktualizace a iniciuje jejich instalaci.
|
WSUS 3.0 – klíčové novinky
WSUS 3.0 přináší celou řadu vylepšení v oblasti administrace, dostupnosti, výkonu, síťové zátěže a podpoře komplexní hierarchie serverů.
Mezi klíčové novinky patří:
|
•
|
Správa přes MMC 3.0
Rozhraní pro administraci bylo přesunuto z webu do mudulu snap-in pro MMC 3.0. Kromě větší komfortnosti a přehlednosti nástroj umožňuje správu více WSUS serverů v jednom okně. Každého správce také určitě potěší možnost si nástroj personalizovat dle svých potřeb. Je možné například nadefinovat, které akce se budou zobrazovat na úvodní stránce (tzv. To Do List) nebo si vytvářet vlastní pohledy pro přehledy a reporty.
Obrázek: Administrátorské rozhraní
Konzolu je možné také samostatně nainstalovat na Windows XP SP2 a vyšší (včetně Windows Vista).
|
|
•
|
Jednoduché mazání zastaralých informací
WSUS cleanup wizard umožňuje pohodlně odstranit z WSUS serveru informace o již neexistujících počítačích, nepotřebné aktualizace a aktualizace, jejichž platnost vypršela nebo byly nahrazeny aktualizacemi novějšími.
Obrázek: WSUS cleanup wizard
|
|
•
|
Zasílání upozornění o nových aktualizacích e-mailem
Správce může být formou e-mailové zprávy upozorněn na každou nově dostupnou aktualizaci, případně si může nechat pravidelně posílat zprávy o stavu instalace schválených aktualizací.
Obrázek: Nastavení upozornění
|
|
•
|
Tvorba pravidel pro automatické schvalování
WSUS 3.0 umožňuje vytvářet pravidla pro automatické schvalování aktualizací na základě jména produktu, typu aktualizace a pro konkrétní počítačovou skupinu. Takže je možné například vytvořit pravidlo, které automaticky schválí k instalaci aktualizace detekčních definic pro Windows Defender na všech počítačích. Takovýchto pravidel je možné nadefinovat neomezené množství.
Obrázek: Tvorba pravidla pro automatické schvalování
|
WSUS 3.0 – další novinky
Mezi další zajímavé novinky patří:
|
•
|
Připravený průvodce Vám po instalaci pomůže WSUS nakonfigurovat
|
|
•
|
Reporty je možné ukládat ve formátu PDF nebo XLS
|
|
•
|
WSUS je možné monitorovat pomocí agenta pro MOM
|
|
•
|
Synchronizaci je možné naplánovat ke spuštění několikrát denně
|
|
•
|
Skupina WSUS Reporters umožňuje delegovat právo pouze ke čtení pro WSUS
|
|
•
|
Vytvoření reportu pro všechny počítače spravované v jedné WSUS hierarchii (v módu replica)
|
|
•
|
Dostupnost WSUSu je možné zvýšit pomocí NLB
|
|
•
|
Je možné se přepínat mezi módem replica a autonomous bez reinstalace
|
|
•
|
Počítač může být členem několika cílových skupin např. Servers a Exchange Servers
|
|
•
|
A mnoho dalších…
|
Upgrade z WSUS 2.0 na WSUS 3.0
In-place upgrade je plně podporován, instalační proces zachová veškerá nastavení včetně informací o schválených aktualizacích. Upgrade hierarchie by měl vždy začít od centrálního WSUS serveru, protože WSUS 2.0 může synchronizovat obsah z WSUS 3.0, ale opačně to nelze. Přímý upgrade není možný ze SUS 1.0. Jediná možnost je nejprve provést migraci na WSUS 2.0. Podpora včetně možnosti stahovat nové aktualizace končí pro SUS 10. července 2007.
Závěr
V tomto článku jsme popsali systém vytváření bezpečnostních aktualizací včetně způsobu, jak o nich jsou zákazníci informováni. Stručně jsme vysvětlili princip fungování služby WSUS a seznámili se s novinkami, které nám přináší právě dokončovaná nejnovější verze WSUS 3.0.
Zajímavým výhledem do budoucnosti WSUS bude také jeho pozdější začlenění do rodiny bezpečnostních nástrojů ForeFront. V polovině roku 2007 by se měla objevit klientská verze ForeFront, která bude pro distribuci antivir aktualizací využívat právě WSUS.
Zajímavé odkazy