SUS, WSUS, SMS分别是软件更新服务、微软Windows服务器更新服务、系统管理服务器。微软明年将为软件更新服务(SUS)提供即时支持,这样的话,使用补丁管理工具的组织需要做出一个抉择。他们是采用Windows服务器更新服务――微软针对软件更新服务的下一代替换品――或者微软系统管理服务器,或者采用第三方解决方案呢?让我们先来看看软件更新服务、微软Windows服务器更新服务、系统管理服务器之间的区别,当公司可能希望在非微软的补丁和更新工具方面投资的话。
通过缩写分类
微软Windows服务器更新服务(WSUS)是在2005年7月发布的,并且免费。WSUS是对被取代事物的更新――软件更新服务(SUS),它也是微软为服务信息块(SMB)市场推荐的补丁和更新工具。WSUS运行在Windows Server2000和2003环境下,并且它对Windows2000(使用SP3)和XP主机下的微软更新代理产生影响使其支持补丁传送和安装。虽然这个工具功能强大,但是它可能并不支持大公司所要求的某些特性,如复杂灵活的行程安排和库存管理。
如果你的组织愿意支付一些费用,微软将会给你系统管理服务器(SMS)2003版。与微软Windows服务器更新服务(WSUS)相比,系统管理服务器(SMS)能够提供更加高级的管理员管理特性。特别地,系统管理服务器(SMS)包含对安装和重启的控制、一张各个组成部分的清单以确保一致性、以及一个可定制的界面。
虽然系统管理服务器(SMS)提供相对牢固的补丁和更新支持,但是仍然还是有一些缺陷。系统管理服务器(SMS)无法支持非Windows系统。当企业使用的是混合系统,如*NIX and MacOS 时,我们仍然需要寻找一种方法来实现在这些系统上的补丁和更新管理。许多大公司投资时间和精力来配置脆弱性管理部件,这些部件是通过网络或者桌面操作组被管理和监视的。举例说明,一个公司使用IBM公司的Tivoli工具来聚集并且存储他们的资产清单信息,或者使用CA公司的Unicenter工具来执行所有的软件更新和包传递,然而这家公司可能并不希望通过系统管理服务器(SMS)在执行这些功能时改变了原来的操作程序。事实上,也许背后存在着某些强迫的原因使他们不得不把这些功能保留。
是第三方有魅力吗?
完全脆弱性管理解决方案不仅仅是由发送补丁到Windows设备组成的。综合脆弱性管理包括保存当前网络上所有系统和应用程序的清单、通过使用扫描和消息机制来决定当前的脆弱性和暴露点,以及在系统上维护正确的补丁和配置等级。健壮的管理和发送报告对于大多数企业而言同样也是非常重要的。在对任何解决方案做出决定之前,请先明确的记录这一解决方案需要满足的业务需求,如哪些系统必须被覆盖、以及发送报告的能力需要达到何种粒度。
有许多公司关注Windows下安装非微软应用程序所导致的脆弱性,对于这些公司而言通过报警提示和咨询记录的方式实在是极度的耗费时间。第三方脆弱性管理经销商持有当前关于多种系统和应用程序脆弱性的列表,并且他们可以为用户发送报警提示和更新。
许多第三方脆弱性管理经销商也提供对脆弱性的粗粒度优先化、以及改变资产分类等级的能力,这个分类等级是根据对企业重要程度而得到的。通过把重要资产进行分类以及对脆弱性严重程度的排序,公司可以把他们的补救工作区分优先次序。对于大的企业来说,一次性安装上所有的补丁和更新也许是无法完成的,但是完全有能力首先针对最为严重和脆弱的系统,这就代表着避开蠕虫病毒和关闭生产服务器之间的差异。
还有一个选择
我们需要提及的是微软还提供一个工具――微软基线安全分析器(Microsoft Baseline Security Analyzer)。微软基线安全分析器(MBSA)是为服务信息模块(SMB)市场而设计的,它能够扫描Windows系统当前的补丁和更新等级并且配置相应的状态。它还可以与第三方经销商提供的安全解决方案兼容使用,如IBM公司的Tivoli 和PatchLink工具。
微软为实现补丁和更新管理提供大量的工具,但是补丁并不是脆弱性管理的唯一方式。对于一些企业而言,系统管理服务器(SMS)2003版是适合业务的需求的,但是对于另外一些,最适合的工具也许是第三方经销商所提供更加健壮和丰富特性的脆弱性管理工具。