笔者最近在使用一个约1000台计算机的网络时,发现有两台计算机大约有一年没有打补丁了。这也许不算什么,不过是千分之二嘛,有人也许这样认为。
但是,即使一台计算机没有打上补丁也就意味着它会影响整个网络。也就是说一台未打补丁的工作站实在是一个不小的问题。
如果你还怀疑事情是不是真得如此糟糕,可以看一下这些潜在的后果:
由于重新安装造成一定的“岩机”时间和破坏生产效率;
由于被攻击或滥用造成数据完整性成为可疑的问题;
由于系统不能被你的客户使用引起消极的与公众的联系。
虽然补丁管理工具在大大小小的公司里已经变得相当的普遍了,不过仍会有一些问题没有被注意或解决:还有一些机器一直没有打上补丁。
没有什么工具可以为你解决这个问题。打补丁是一个真实的过程而非一个工具。有些单位将补丁当作一个任务。这不是一项任务,而是一件全天的工作。
解决这种问题需要几个前摄性的措施。下面我们给出管理补丁的五种措施或步骤:
1.网络清查
清查需要从调查企业的网络和部署在其上的软件开始。如果没有这一步,你就不能知道到底需要部署哪些补丁。此外,通过创建一个风险预测来对企业的机器对行一次优先次序的排队,这种预测需要根据它们对企业的必要性来进行。
2.监视供应商的站点
一旦你对企业的网络进行了清查并且对机器进行了优先排序,你就为补丁的监视开始了准备工作。不过不要依赖你的卖主(卖给你产品的人)能够及时给你有关问题的通知。厂商在没有形成一个完整的解决方案之前有可能不通知你,这就有可能有点儿太晚了。这就是你为什么需要监视厂商的Web站点,以求在第一时间清楚有关问题的原因。
3.部署
在设定了监视过程之后,你就可以开始部署打补丁工作了。有许多补丁部署方案可以使用,因此需要选择一个适合你企业需要和预算的方案。
所有的方案都可以打补丁。然而,你可从补丁管理系统中最需要得到的是能够报告其打了哪些补丁以及有哪些机器它没有为它们打补丁。
4.解决问题
现在到了解决问题的步骤。根据报告中所显示的有哪些机器没有打上补丁,对其进行跟踪,并监视它们的活动。
有些用户习惯性地在一天的末了关闭工作站,完全不管收到多少警告他们“让电脑开着就行”的电子邮件。你可以考虑监视来自这些计算机的网络活动。
你还可以考虑使用Wake-On-LAN (WOL) 或者Wake On Wireless LAN (WoWLAN)。如果你不再能够跟踪某台电脑或者使其唤醒,就可以采取进一步的行动。
5.作出响应
有时需要作出一些更强烈的行动来保护你企业的网络。你可以一直禁用某机器的账户,并将一个注意事项发送到其帮助桌面。
如果这还不能奏效,你可以禁用工作站连接到的端口。任何一种补丁方案都会生成来自客户的响应,并允许你解决部署补丁的短期问题。然后你就可以开始着手解决这个工作站为什么不能收到补丁的长期问题。
结束语
虽然自动补丁管理是可用的,却不总是最好的方案。对于安全部门来说,及时通知管理部门这种情况的严重性并且请求一定的资源来做好工作是相当重要的。总之,我们的目标是零风险。这需要我们付出持续不断的努力。