Диспетчеры исправлений облегчают установку программ коррекции системы безопасности
Угроза со стороны хакеров, вирусов и «червей» из Internet становится все более серьезной, поэтому системы управления исправлениями следует считать одним из важнейших компонентов системы безопасности предприятия. В процесс управления исправлениями входят идентификация, проверка, загрузка из сети и распространение обновлений для системы безопасности. Обновления для системы безопасности — специальные исправления или программы коррекции, выпускаемые поставщиком программного обеспечения для устранения конкретных изъянов в системе безопасности. Компания Microsoft располагает развитой системой широкого оповещения об опасностях, исправления регулярно публикуются по адресу http://www.microsoft.com/technet/security.
Отслеживание и оценка угроз безопасности, а также поиск и развертывание соответствующих исправлений для каждой среды — ежедневная обязанность администраторов. Процесс управления исправлениями можно упростить с помощью специальных программ корпоративного уровня. Число таких продуктов растет, и эту тенденцию можно только приветствовать, однако имеющиеся решения нуждаются в значительном усовершенствовании.
Вместе с другими исследователями я протестировал семь продуктов для управления исправлениями, чтобы выяснить их пригодность для работы в корпоративной сети на базе Windows. Список имеющихся в продаже программ этими решениями не исчерпывается, но они дают достаточно хорошее представление о состоянии рынка. Мы построили полную испытательную сеть, отражавшую многие типичные и некоторые не столь распространенные конфигурации, с которыми приходится работать специалистам по информационным технологиям. Затем мы установили каждый продукт и оценили его рабочие характеристики.
Начиная процесс тестирования, мы исходили из предположения, что корпоративная программа управления исправлениями должна отвечать определенным минимальным требованиям: гибкие методы сканирования разнообразных систем, в том числе возможность поиска внутри нескольких организационных единиц (OU) Active Directory (AD), диапазонов IP-адресов и автономных систем; программа должна обнаруживать отсутствующие исправления, но пропускать устаревшие и бесполезные исправления; простая процедура развертывания исправлений через сеть.
Наряду с перечисленными минимальными требованиями мы обращали внимание на следующие дополнительные возможности:
- точное, своевременное информирование и анализ текущих исправлений для системы безопасности;
- совместимость с наиболее распространенными операционными системами и продуктами;
- принудительное применение политик с использованием специализированных групп компьютеров или исправлений;
- защищенный механизм поиска, получения и распространения исправлений;
- масштабируемость для работы с разветвленными сетями, где имеется несколько администраторов и установлен ряд станций сканирования;
- гибкие функции планирования и предупреждения;
- гибкие функции подготовки отчетов.
В наших тестах не было явных победителей: ни один продукт не показал лучших результатов в любых условиях. Несмотря на очевидные преимущества некоторых продуктов, у каждого из них есть свои достоинства и недостатки, так что подбирать продукт нужно для конкретной сети. Выбирая продукт, отвечающий требованиям предприятия, необходимо досконально изучить его возможности. Технология развивается быстро; самую свежую информацию и новейшие версии продуктов можно получить у поставщиков.
Гибкость сканирования
Один из недостатков большинства диспетчеров исправлений — трудность настройки системы для сканирования сложной сети. В нашей тестовой сети было реализовано множество типичных, но иногда непростых конфигураций. В процессе сканирования сети большинство продуктов использует стандартные протоколы Windows и удаленный доступ к реестру для опроса каждой системы (т. е. без применения агентов). Некоторые решения устанавливают на каждой системе агентов, направляющих отчеты в центральную станцию (метод с применением агентов). В табл. 1 приведены сравнительные достоинства и недостатки двух методов сканирования.
В продуктах Patch Manager от Ecora, Service Pack Manager 2000 компании Gravity Storm Software и HFNetChkPro компании Shavlik Technologies агенты не используются. Продукты на базе агентов — Patch Manager от BigFix, Update от PatchLink и SysUpdate компании SecurityProfiling. Только в одном продукте, UpdateEXPERT компании St. Bernard Software, используются оба метода сканирования, хотя в будущем поставщики многих решений намерены применять оба способа.
Каждому продукту свойственны свои особенности, а процесс определения целевых систем был неизменно утомительным и сложным. В большинстве безагентных решений предусмотрено несколько способов выбора проверяемых систем, например по диапазону IP-адресов, по имени домена, по OU в AD и методом импорта списка имен компьютеров в текстовом файле. Наиболее гибкими механизмами располагают программы Ecora Patch Manager и HFNetChkPro. Во всех безагентных продуктах можно использовать специальные учетные данные для регистрации на каждой системе или группе компьютеров.
Добавление компьютеров к тестовой сети — сложная задача при работе с любым продуктом, в котором не используются агенты. Процесс идентификации всех тестовых компьютеров из разных доменов и рабочих групп, часто с различными системными учетными данными, был очень неудобным. У программ UpdateEXPERT и Ecora Patch Manager возникали трудности с распознаванием всех систем в каждом домене, HFNetChkPro не могла разрешить конфликты учетных данных, а при работе с Service Pack Manager 2000 не удалось добавить в сеть систему, слишком длинный пароль которой не умещался в соответствующем поле на экране регистрации. Ни один из продуктов без агентов не избежал проблем при вводе автономных членов домена. Возможно, некоторые из этих недостатков будут устранены ко времени публикации данной статьи и многие из них никак не проявятся в простых сетях, но, изрядно повозившись с каждым из безагентных продуктов, я пришел к выводу, что программы на базе агентов более удобны.
С помощью агентов удается обойти некоторые препятствия, неизбежные при использовании безагентных продуктов, но для установки агентов на каждой системе придется затратить немало усилий. В большинстве продуктов на базе агентов есть функция «заброса» агентов на удаленные клиентские машины, но этим функциям свойственны те же ограничения, что и процедуре установки безагентных продуктов: необходим дистанционный доступ к каждой системе. Подсказки на ввод информации, поступающие от большинства утилит установки агентов, затрудняют их массовое развертывание автоматизированными методами. Например, в программе UpdateEXPERT требуется вручную вводить серийный номер для установки агента на каждом клиенте. Процедура установки в программе BigFix Patch Manager упрощена благодаря специальным клиентским конфигурациям, содержащим все необходимые данные для подключения к серверу. Безагентным программам не свойствен один из недостатков продуктов на базе агентов, после установки которых иногда нарушается связь между агентами и центральной консолью. Сводная информация обо всех продуктах представлена в табл. 2.
Обнаружение исправлений
После запуска каждого диспетчера исправлений в тестовой сети я был удивлен несовпадением результатов. Мы не предполагали, что удастся полностью избежать ложных положительных срабатываний и пропусков нужных исправлений, но в ходе испытаний ни один продукт не показал стопроцентного результата на всех тестах. HFNetChkPro был единственным продуктом, показавшим стопроцентный результат на некоторых тестах. Но самым удивительным было то, что отчеты двух разных продуктов ни разу не совпали и ни один продукт не выдал однинаковый отчет дважды. Каждому продукту свойственны различные ошибки. Справедливости ради необходимо отметить, что причиной большинства проблем были несогласованности в некоторых исправлениях Microsoft.
Процесс развертывания исправлений Windows сложнее, чем кажется большинству пользователей. Просто заменить старые файлы новыми недостаточно; кроме того, система управления исправлениями должна учитывать наличие других программ и версий таких приложений, как Microsoft Internet Explorer (IE), Microsoft Data Access Components (MDAC) и Microsoft XML Core Services (MSXML), иначе невозможно правильно выбрать версию файла. Положение осложняется, если файл исправления имеет более позднюю дату, но более раннюю версию, чем установленный ранее файл. Если Windows была развернута вместе с пакетом исправлений, то приходится преодолевать еще больше препятствий.
Как правило, Service Pack Manager 2000 выдавал самый длинный список отсутствующих исправлений, но многие из них были устаревшими или излишними для данной конфигурации. Программы HFNetChkPro, Ecora Patch Manager и PatchLink Update стабильно показывали самые точные результаты. Точность остальных продуктов была различной, и средний показатель составлял от 5 до 10 ошибок (ложных обнаружений и пропусков) для каждой системы. Уже после тестирования фирма St. Bernard Software дополнила UpdateExpert 6.1 функцией проверки исправлений, которая должна повысить точность работы программы. Пока я эту функцию не тестировал.
Ложные обнаружения (неверное сообщение об отсутствии исправления, которое в действительности установлено) — не такая серьезная ошибка, как пропуск исправлений, но при установке лишних исправлений создается дополнительная нагрузка на сеть и могут возникнуть конфликты между версиями файлов. Тем не менее лучше, когда рекомендовано лишнее, чем пропущено нужное исправление.
Существует три причины ложных обнаружений.
- Исправление уже инсталлировано.
- На смену старому исправлению выпущено более новое или пакет обновлений, поэтому устанавливать старую версию исправления не нужно.
- Исправление в данной конфигурации неприменимо.
Если продукт рекомендует развернуть исправление в одной из этих ситуаций, значит, имеет место ложное обнаружение. Наименьшее число ложных обнаружений было в отчетах HFNetChkPro и SysUpdate.
Пропуски, когда программа не сообщает об отсутствующих исправлениях, могут иметь серьезные последствия. На одной из тестовых систем Windows Update пропустила три исправления, которые необходимо было установить. Обычно пропуски случаются в результате ошибок при распознавании установленных продуктов. Многие диспетчеры исправлений ошибались при работе с MSXML, Windows Media Player (WMP) и MDAC из-за непоследовательной нумерации версий в этих и некоторых других программах. Другая причина пропусков заключается в том, что диспетчер исправлений ряд продуктов просто не проверяет. Необходимо точно знать круг продуктов, охватываемых диспетчером, чтобы не пропустить важных исправлений. Этот круг постоянно меняется, поэтому следует получить у поставщика самый свежий список поддерживаемых программ. Во время тестирования наиболее исчерпывающими были списки Ecora Patch Manager, PatchLink Update и HFNetChkPro.
Развертывание исправлений
После того как будет определен набор исправлений, необходимых для каждой системы, потребуется эффективный механизм распространения исправлений. Во всех испытанных продуктах реализован какой-либо метод дистанционной установки с различными уровнями автоматизации. Например, с помощью BigFix Patch Manager можно автоматически установить одобренные исправления на существующих системах, а также новых машинах, добавленных в сеть. В большинстве продуктов имеются гибкие функции планирования загрузки из сети и установки исправлений, а также управления полосой пропускания канала связи.
После установки многих исправлений требуется перезагрузка компьютера. Все протестированные продукты располагают более или менее мощными функциями управления дистанционной перезагрузкой. Функция «спячки» программы Ecora Patch Manager дает пользователям возможность отложить перезагрузку. SysUpdate располагает аналогичной функцией, хотя администраторы могут отключить ее из групповой политики. Функция BigFix Patch Manager выдает список не только компьютеров, требующих перезагрузки, но и компьютеров, для завершения процедуры модернизации которых администратору придется зарегистрироваться локально.
PatchLink Update и BigFix Patch Manager располагают развитыми механизмами настраиваемого развертывания исправлений, в том числе функциями создания наборов исправлений. Эти функции позволяют обновлять продукты, не поддерживаемые диспетчером исправлений. В UpdateEXPERT также предусмотрены ограниченные функции для работы с настраиваемыми исправлениями.
Информация об исправлениях
Бюллетени безопасности Microsoft зачастую не ограничиваются лишь проблемой установки исправлений. Иногда в бюллетенях рекомендуются конкретные методы обеспечения безопасности или приемы устранения ошибок вручную. Например, в бюллетене Microsoft Security Bulletin MS02-064 (Windows 2000 Default Permissions Could Allow Trojan Horse Program) указывается, что для решения данной проблемы требуется не исправление, а административная процедура; необходимо задать более строгий порядок доступа к корневому каталогу системного диска. В пакете исправления Windows 2000 Service Pack 4 (SP4) нет соответствующего исправления, и данный бюллетень не удается обнаружить, если провести поиск материалов Windows 2000 SP4 на странице Security Bulletin (http://www.microsoft.com/technet/security/ current.asp). Поэтому от внимания администраторов может ускользнуть, что проблема и исправление относятся к SP4. В таких ситуациях диспетчер исправлений должен дать специальные инструкции устранению неполадок вручную.
Большинство продуктов предоставляют по крайней мере краткую информацию по каждому исправлению и ссылку на соответствующий бюллетень Microsoft Security Bulletin, но в пакете HFNetChkPro содержится подробная информация об исправлениях и анализ угрозы от специалистов как TruSecure, так и Microsoft. Кроме того, в HFNetChkPro имеются перекрестные ссылки на Common Vulnerabilities and Exposures (CVE — стандартный список известных проблем безопасности) и идентификаторы BugTraq.
Круг продуктов
Протестированные нами диспетчеры исправлений различаются по широте охвата продуктов: одни совместимы со многими операционными системами; другие ориентированы исключительно на продукцию Microsoft. Во многих случаях совместимость с большим числом систем необходима, но следует помнить, что шире не значит лучше. Если на предприятии применяются только продукты Microsoft, то решение компании, имеющей больше опыта в работе с продуктами Microsoft, может быть более полезным. PatchLink Update обеспечивает самый широкий охват продуктов и при этом совместим со многими решениями Microsoft.
Еще одна важная характеристика — распространение исправлений, не имеющих отношения к безопасности. Наиболее широко такие исправления представлены в UpdateEXPERT; соответствующие возможности предусмотрены в пакетах Service Pack Manager 2000 и PatchLink Update. Как упоминалось выше, BigFix Patch Manager позволяет создавать специальные исправления, поэтому данный инструмент можно использовать для распространения любых программ и обновлений; нужно лишь самостоятельно провести поиск и применить исправления.
Выбирая диспетчер, поддерживающий различные языки, следует провести тщательный предварительный анализ. Лишь несколько протестированных продуктов работают с исправлениями на языках, отличных от английского. Однако диспетчеры исправлений постоянно совершенствуются, и в будущем в них могут появиться необходимые функции.
Безопасность приложений
Естественно, устанавливая диспетчер исправлений, администратор не хочет увеличить число уязвимых мест в своей сети. Диспетчер исправлений имеет широкий доступ к информационным ресурсам предприятия, поэтому должен быть надежно защищен.
Диспетчеры должны получать исправления и информационные базы данных из надежных источников и проверять целостность файлов. Большинство продуктов наделено мощными функциями безопасности. В BigFix Patch Manager используется система шифрования с открытым ключом, для которой компания генерирует собственные сертификаты. Любой человек может получить доступ к приложению и увидеть информацию об исправлениях, но не сможет предпринять никаких действий, не зная параметров сертификата. Дополнительные меры предосторожности HFNetChkPro состоят в проверке не только сигнатур XML-файлов и загруженных из сети исправлений, но и каждого исполняемого файла приложения.
Один из недостатков безагентных диспетчеров исправлений заключается в том, что Windows не шифрует основную часть информации, запрашиваемой из сетевых узлов. Чтобы надежно защитить трафик такого типа, необходим протокол IP Security (IPSec) или другой метод шифрования данных, пересылаемых между сканирующим сервером и сетевыми узлами.
Масштабируемость
Масштабируемость — обязательное требование некоторых администраторов. Между протестированными продуктами существуют очевидные различия в возможностях масштабирования. Для оценки диспетчера исправлений полезно применять следующие критерии.
- Сколько компьютеров конечных пользователей предстоит обслуживать?
- Сколько администраторов будут пользоваться диспетчером исправлений?
- Сколько требуется консолей диспетчера исправлений?
- Каким образом будет проведена сегментация сети для управления исправлениями?
- Какова полоса пропускания канала связи?
- Сколько времени удастся выделить для управления исправлениями?
Среди всех протестированных продуктов самым масштабируемым был BigFix Patch Manager, вторым с небольшим отставанием стал PatchLink Update. Каждая консоль Patch Manager обеспечивает эффективное управление 15 тыс. клиентов. Ретрансляторы BigFix Patch Manager позволяют организовать в сети множество узлов распространения исправлений. В других решениях нет жестких пределов для числа обслуживаемых клиентов, но они плохо приспособлены для обслуживания более 5000 клиентов с одной консоли. Однако сеть можно поделить на сегменты и управлять каждым сегментом с отдельной консоли.
Подготовка отчетов
BigFix Patch Manager, Service Pack Manager 2000 и SysUpdate располагают самыми гибкими функциями подготовки отчетов. Аналогичные функции имеются и в большинстве других решений, но они ограничены по форматам вывода, возможностям и интерактивности. Web-модуль подготовки отчетов BigFix Patch Manager снабжен функциями фильтрации, составления специальных полей, диаграмм, ввода интерактивных ссылок и экспорта в Microsoft Excel. Функции подготовки отчетов на базе шаблонов Service Pack Manager 2000 в основном такие же, но без Web-интерфейса. В SysUpdate используется генератор Crystal Reports компании Crystal Decisions с мощными функциями генерации отчетов; для работы с ними необходимо иметь доступ к Crystal Reports Designer. HFNetChkPro также располагает мощными функциями подготовки отчетов с гибкими критериями и многочисленными экспортными форматами.
Не все продукты располагают собственными развитыми функциями, но все обеспечивают экспорт данных во внешнюю программу подготовки отчетов. Многие продукты обеспечивают ODBC-доступ к своим базам данных.
В наших лабораторных тестах, как уже говорилось выше, не было одного явного победителя, хотя некоторые продукты лучше приспособлены для определенных условий. Администратору следует учесть требования к гибкости, точности, развертыванию, кругу продуктов, безопасности, масштабируемости и отчетам и сравнить их со сводкой характеристик в табл. 2. Диспетчеры исправлений пока не достигли зрелости и нуждаются в значительном усовершенствовании. Тем не менее за последние несколько лет был пройден большой путь. Расширяется функциональность и повышается надежность диспетчеров исправлений. Самая сложная задача — правильно выбрать решение для конкретного предприятия.
Марк Барнетт (mburnett@xato.net) - независимый консультант по безопасности и автор статей, связанных с безопасностью IIS
Поставщики программ управления исправлениями
BigFix http://www.bigfix.com
Ecora http://www.ecora.com
Gravity Storm Software http://www.securitybastion.com
PatchLink http://www.patchlink.com
SecurityProfiling http://www.securityprofiling.com
Shavlik Technologies http://www.shavlik.com
St. Bernard Software http://www.stbernard.com
Организация тестовой сети
Основной целью лабораторных испытаний было определение пригодности и точности каждой системы управления исправлениями. Чтобы выяснить истинные возможности каждого продукта, мы постарались построить самую неудобную сеть. Она состояла наполовину из физических систем, наполовину из виртуальных компьютеров VMware, с различными пакетами исправлений Windows 2000 Server и различными установленными исправлениями. Мы еще более усложнили тестовую сеть, построив многодоменное дерево Active Directory (AD) с автономными рабочими группами, защищенными и скрытыми за брандмауэром серверами, а также ноутбуками, иногда функционирующими в автономном режиме. На каждой системе имеются различные программы, и мы составили различные сценарии применения диспетчеров исправлений. Некоторые из этих сценариев предусматривали ограничения в дисковом пространстве, изменения в файлах исправлений, изменения в датах создания файлов, одновременную установку операционной системы и пакетов исправлений, отказы административного доступа и бета-версии будущих пакетов исправлений. На одних компьютерах исправления были инсталлированы, а затем удалены, на других были инсталлированы случайные исправления в произвольном порядке. На базовых тестах на ряде машин не было вообще никаких исправлений, кроме новейших пакетов обновлений; некоторые машины были модернизированы с использованием службы Windows Update.