在许多补丁管理工具厂商宣扬新的产品功能和自动化的奇迹的时候,不偏信这些宣传并且了解自动化补丁管理的优点和缺陷是非常重要的。总的来说,支持者多于反对者。
这个好处是很明显的。自动化能够保证你的系统总是安装最新的补丁。自动化系统意味着显著减少了管理人员的负担。而且系统保持最新状态的工作会做得更好。这意味着你的超负荷工作的技术支持人员可以有充裕的时间保持用户的机器处于最新的状态和正常运行。
虽然我说了很多自动化补丁管理的好处,但是,副作用也不可忽视。每一个好处都对机构有积极的影响。但是,要记住,还存在消极影响。
自动化补丁管理一个最容易忽视的负面影响是什么?这就是让管理员的工作太轻松了。
假设一个管理员为一个中型机构设置一个自动化补丁管理系统。在最初的几个星期,管理员可能会认真检查补丁管理系统的记录。总之,这是一个新的系统,管理员需要确保这个系统的正常工作。
然而,随着时间的推移,这些记录变得很容易被忽略。为什么?因为管理员工作很忙。对于一个一直正常工作的记录来说,管理员总是有更重要的工作要做。
最后,补丁管理记录像检查记录一样被忽略了。我曾看到过无数次管理员启动检查功能而从来不看检查记录的事情,除非发生了什么事情。有时候,补丁可能成为预防措施中的隐患。
如果系统是真正自动化的,那么,不用你的批准也会使用补丁。如果补丁碰巧有问题,这个补丁会自动在整个机构传播,通过破坏应用程序或者建立新的安全漏洞使它接触的所有的计算机崩溃或者减慢速度。因此,很多系统都有恢复原状的功能。但是,在大量的计算机上使用这种功能会耗费很多时间。
自动化补丁管理的最后一个缺陷是恶意的内部人员或者黑客可以使用这种系统作为发布恶意代码的手段。我承认,微软使用代码签名和其它防御措施防止识别码被发送出去。但是,微软是一个大目标和黑客极想攻击的目标。我认为,有人搞懂如何骗取微软的代码签名只是一个时间的问题。
即使你不同意我的观点,你必须承认几乎所有的软件公司偶尔都会发布他们产品的补丁。除了微软之外还有许多公司提供自动的补丁管理解决方案。从安全的观点看,有些产品编写的比其它产品好。利用有问题的补丁解决方案作为发布恶意代码的发送点是很容易的。
尽管提出这些警告,我个人认为,只要你合理使用这个解决方案,自动补丁管理还是一个好主意。这就是说要每天检查记录和选择安全声誉比较好的产品。
