|
Одним из способов контролировать то, какие заплаты уже были развернуты и когда должно запускатьсяразвертывание, является их установка с помощью Software Installation, являющейся частью Group Policies.
Марсин Полич (Marcin Policht)
Эта статья продолжает обзоррешений по развертыванию заплат, непосредственно интегрированных в операционныесистемы Windows и предлагаемые Microsoft на бесплатной основе. Механизмы,обсужденные нами до сих пор (Critical Update Notification и его наследник,Automatic Update), являются довольно простыми в реализации и управлении(при использовании представленных мною методов). Однакоони обладают и рядом значимых недостатков.
Прежде всего, они непредоставляют контроля над тем, какие заплаты должны быть развернуты иограничены еженедельными или ежедневными обновлениями. И хотя вы можетесконфигурировать различные настройки реестра для целой группы клиентов длядостижения многоступенчатого развертывания (через применение различных объектовгрупповой политики к различным наборам компьютеров, используя WMI или фильтрацию, основанную набезопасности), с большим числом клиентов это может оказаться трудновыполнимойзадачей. Более того, эти механизмы не предоставляют функциональной возможностипо составлению отчетов, позволяющую администратору определять степеньуспешности (или неудачи) развертывания.
Одним из способовконтролировать то, какие заплаты уже были развернуты и когда должно запускатьсяразвертывание, является их установка с помощью Software Installation, являющейся частью Group Policies. (Этот подход, однако, не можетбыть использован на старых операционных системах (до Windows 2000), не поддерживающих Group Policy). При использовании Group Policies этот подход требует создания пакета,основанного на Windows Installer (в формате .MSI), который может быть создан спомощью одной из трех утилит, предоставляемых Microsoft, таких как SMS Installer или WinINSTALL LE (являющимися урезанными версиямикоммерческих продуктов сторонних производителей) или более сложных инструментов:InstallShield или Wise for Windows Installer. После того, как пакет будетсоздан, вы должны настроить узел Software Installation части Computer Settings объекта групповая политика. Крометого на клиентских компьютерах должен быть отключен механизм Automatic Update.
Еще одним недостатком этогорешения является отсутствие функциональной возможности по составлению отчетов.
Чтобы заполнить этотпробел, Microsoft приобрела акции независимой компании – Shavlik Technologies – дляразработки соответствующей утилиты. Shavlik разработала утилиту HFNetChk (акроним, составленный из слов HotFix Network Checker), являющийся ограниченной пофункциям версией главного продукта компании, HFNetChkPro (и эквивалентом бесплатногопродукта Shavlik – HFNetchkLT). Эта утилита командной строкиможет быть использована только для инвентаризации заплат безопасности; вотличие от полнофункциональной HFNetChkPro, она не позволяет выполнять самиобновления. Другим преимуществом HFNetChkPro является то, что область еедействия выходит за рамки операционных систем и продуктов, поддерживаемыхслужбой Windows Update. Для более подробной информации овозможностях и синтаксисе этой утилиты, отсылаю вас к Статье303215 Базы Знаний (КВ) Microsoft.
Уже вскоре после своего выпускаHFNetChk был вытесненинструментом Microsoft Baseline Security Analyzer (MBSA), существующий сегодня в версии v.1.2 и предлагающий графическийинтерфейс и интерфейс командной строки, а также возможность оценивать уровень заплатбезопасности и статус конфигурации системы (но он также ограничен в возможностисоставления отчетов и не позволяет проводить сами обновления). Проверкаконфигурации системы MBSA включает такие функции, как политика использованияпаролей, членство в локальной административной группе, необязательные службы (ихсписок может быть настроен с помощью изменения содержания файла Services.txt, расположенного в каталоге, вкоторый установлены файлы MSBA), тип файловой системы, статус гостевой учетнойзаписи и целый ряд других, относящихся к продуктам или службам, установленнымна целевом компьютере (например, IIS, SQL и Office).
Полный перечень программ,поддерживаемых MBSA версий 1.2 и 1.1.1 можно найти в статье 306460 БазыЗнаний (КВ) Microsoft.
И хотя Microsoft более не предлагает утилиту HFNetChk для загрузки (обновленная ее версиядоступна на Web-сайте компании Shavlik), вы можете использовать еефункциональные возможности, запустив для MSBA интерфейс командной строки – MSBACLI.EXE с параметром /hf. Microsoft недавно выпустила MBSA версии 1.2. Улучшения включают всебя поддержку французского, немецкого и японского (в дополнение к английскому)языка и улучшенное определение продукта для отсутствующих обновленийбезопасности и проверок системной конфигурации (таких как Internet Configuration Firewall, Automatic Updates и конфигурации зон IE). MBSA 1.2 может быть установлен на Windows 2000, XP и 2003, но в область его действиятакже попадает Windows NT 4.0 с такими системнымикомпонентами и службами, как Microsoft Access Data Components (MDAC), MSXML, Microsoft Virtual Machine, Windows Media Player 6.4 и более поздними версиями, Information Server 4.0 and 5.0, Internet Explorer 5.01 и более поздние версии, Office 2000 и более поздние версии(только для локальных сканирований), SQL Server 7.0 и 2000, Exchange 5.5 и более поздние версии, Commerce Server, Content Management Server, BizTalk Sever и Host Integration Server.
Работа MBSA и HFNetChk основывается на информации,предоставляемой в XML-файле, называемом mssecure.xml, распространяемого, по умолчанию,в версии сжатого, с цифровой подписью, файла с расширением .cab (mssecure_1033.cab для сканирований на основеанглийского языка), хотя вы можете заставить их использовать развернутый XML-файл с помощью параметра –x для HFNetChk или MSBACLI.EXE, запущенного в режиме HFNetChk. Наиболее свежая версия этогофайла загружается автоматически по мере того, как эти инструменты запускается икэшируется локально (на тот случай, если в ходе последующих сканированийдоступа в Интернет не будет). Как уже пояснялось в первой статье этой серии,существует два главных источника файлов mssecure.cab и mssecure.xml:
Распространяемые компаниейShavlikинструменты, по большейчасти, загружаются с ее Web-сайта, тогда как HFNetChk и MBSA используют в качестве источника Web-сайт Microsoft, что, к сожалению, порою приводитк несогласованным результатам сканирования.
Для того чтобы этиинструменты функционировали должным образом, пользователь, инициирующийсканирование, должен быть членом локальной административной группы на целевыхкомпьютерах. На удаленных системах должна быть активирована служба Server, служба Remote Registry, File and Print Sharing, а также совместно используемыепо умолчанию административные ресурсы. MBSA также требует наличия XML-анализатора (parser), включенного в IE 5.0 и более поздние версии,который также может быть добавлен к IE 4.0 с помощью установкизагружаемого файла MSXML 4.0 SP1 с http://www.microsoft.com/xml. Если сканируемыекомпьютеры помещаются за брандмауэром, то должны быть открыты порты 139 и 445 (TCP) и 137 и 138 (UDP).
При инициированиисканирования, MBSA иHFNetChkсравнивают их собственные номера версий с версиями, определенными в XML-файле (они должны совпадать), проверяютверсии и местные настройки операционной системы, уровень пакета обновления,компоненты и установленные приложения. Основываясь на этой информации,определяются применимые заплаты обновления безопасности. Эти инструменты такжепроверяют содержание ключей реестра в разделе HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdates (остальная часть этого путизависит от версии операционной системы на целевой машине) для того, чтобы определить,не присутствуют ли уже данные заплаты на целевом компьютере. Если данный ключне может быть найден, то делается вывод о том, что данная заплата не былаустановлена и ее отсутствие фиксируется в отчете. Проверка реестра может бытьопущена, если запустить MBSACLI.EXE в режиме HFNetChk с параметром /z (т.е. MBSACLI.EXE /hf /z). Пропуск проверки реестра можетоказаться полезным, если у вас есть причины считать, что определенная заплатауже была установлена. При этом инструменты игнорируют отсутствие ключа реестраи переходят к следующей стадии проверки. В этот момент версия целевого файла иконтрольная сумма сравнивается с соответствующей информацией в XML-файле.
Как я уже отмечал, Microsoft Baseline Security Analyzer может запускаться в трех режимах:
- Графическом (MBSA.EXE): запускается напрямую из меню All Programs или из папки, в которую установлены его файлы (Program FilesMicrosoft Baseline Security Analyzer). В этом режиме применимы параметры /baseline и /nosum. Параметр /baseline включает проверку для обновлений безопасности Windows, оцениваемых как критические, а параметр /nosum пропускает проверку контрольной суммы файла (что увеличивает скорость сканирования и ограничивает полосу пропускания, используемую при исследовании инструментом удаленных компьютеров). Эти результаты сканирования безопасности сохраняются в виде файла, отформатированного в XML, в подкаталоге SecurityScans в каталоге профиля пользователя, запустившего сканирование. Параметр /f, за которым следует путь и имя выходного файла, может менять эти значения по умолчанию.
- Командной строки (MBSACLI.EXE): является гибким и масштабируемым. Напечатав MBSACLI.EXE /? в окне Command Prompt, вы получите полный список опций командной строки. Как и в графической версии MBSA, результаты сканирования сохраняются в виде XML-файла в подкаталоге SecurityScans каталога профиля для текущего пользователя.
- HFNetChk (MBSACLI.EXE /hf): предоставляет функциональные возможности HFNetChk со всеми параметрами, имеющимися в режиме работы командной строки. Это может оказаться полезным в том случае, если переход к MBSA осуществляется из сред, где HFNetChk являлся главным инструментом для сканирования заплат и на него существуют многочисленные ссылки во многих пользовательских административных сценариях. Результаты отображаются в текстовом формате в окне Command Prompt, из которого был запущен инструмент. Результаты могут также быть перенаправлены в текстовый файл с помощью применения параметра /f и определения его формата с помощью параметра /o.
Важно отметить, что:
- По умолчанию, оба эти инструмента будут пытаться загрузить наиболее свежую копию файла mssecure.cab с серверов в Интернете; однако, если эта загрузка потерпит неудачу, они будут обращаться к кэшированной локально копии (находящейся в папке с файлами Microsoft Baseline Security Analyzer). В качестве альтернативы, вы можете указать для MSBACLI.EXE, запущенном в режиме HFNetChk, определенное расположение файла mssecure.xml (или mssecure.cab), добавив параметр -х (т.е. запустив MBSACLI.EXE /hf /x mssecure.xml или MBSACLI.EXE /hf /x http://myWebServer/mssecure.xml).
- Вместо сканирования уровня заплат по сравнению со списком, содержащимся в mssecure.xml, вы можете указать этим инструментам на серверы Software Update Services в локальной сети (это решение будет обсуждаться более детально в следующих статьях). Это ограничивает область сканирования только теми заплатами, которые будут указаны явным образом. Это поведение вызывается с помощью применения параметра /sus, за которым следует либо имя сервера SUS, либо расположение файла ApprovedItems.txt (содержащего список определенных заплат), например, MBSACLI.EXE /sus http://MySUSServer или MBSACLI.EXE /sus http://MySUSServer/ApprovedItems.txt. Если сервер или имя файла не будут определены, то MBSACLI.EXE попытается извлечь информацию из реестра на сканируемой системе (запись HKLMSoftwarePoliciesMicrosoftWindowsWindowsUpdateWUServer).
- При соединении с удаленными компьютерами у вас есть опция, позволяющая определять альтернативные полномочия (т.е. MBSACLI.EXE /hf /u domain/username /p password).
- Вы можете сканировать отдельные узлы (т.е. использовать параметр /r для определения IP-адреса и /с для определения NetBIOS-имени компьютера в формате доменкомпьютер), диапазон компьютеров (т.е. использовать /r IPНачальный-IPКонечный для сканирования IP-диапазона) или целый домен (т.е. использовать /d для определения имени домена). В режиме HFNetChk, можно также определить список компьютеров, которые будут сканироваться, именуя их напрямую в формате, разделенном запятыми (MBSACLI.EXE /hf /h computer1,computer2,computer3) или включая их в файл, в каждой строке которого содержится одно имя (MBSACLI.EXE /hf /fh filename) или один IP-адрес (MBSACLI /hf /fi filename).
Последующие статьи этойсерии будут посвящены обсуждению ряда продуктов по развертыванию заплат от Microsoft (таких как Software Update Services и Systems Management Server), которые используют технологию,реализованную в MBSA, для оценки уровня заплат перед пересылкой обновлений. Ксожалению, этот подход не является полностью согласованным. Особенно важно, чтомеханизм, используемый Windows Update, отличается от реализованного в MBSA, что порой приводит к тому, чтозаплаты не устанавливаются должным образом.
|
_3963_3919_little.png)
_1079_1080_1078_little.png)
Навигация
ISRAland - РЕКЛАМА
