Обзоры
Patch management: инициатива сверху
0

Patch management: инициатива сверху

Несмотря на то, что описанный в прошлой статье ("Компьютерное Обозрение",
# 15, 2003) программный продукт
Software Updates Services (SUS) в самом деле способен организовать и упорядочить
централизованное обновление рабочих мест под управлением ОС Windows 2000/XP (и
тем самым существенно облегчить жизнь системному администратору), некоторые недостатки
реализованного в нем подхода лежат, что называется, на поверхности.

Во-первых, обслуживаются только операционные системы и их стандартные компоненты.
Скажем, контролировать защищенность Microsoft Office (который в том или ином виде
установлен на большинстве компьютеров) придется уже иным способом. То же самое
относится и к серверным продуктам (речь, естественно, о продукции Microsoft) —
Exchange, SQL Server и пр.

Во-вторых, Windows Updates и SUS представляют собой, выражаясь фигурально, "инициативу
снизу". Хотя службы и управляются централизованно, процессы обновления исходят
именно от рабочих мест, и нет никакой гарантии, что в их функционирование не вмешаются
досужие пользователи. Полагаться же на индивидуальную ответственность каждого
сотрудника не приходится — это не зависит ни от менталитета, ни от размера компании.
Например, недавняя эпидемия
SQL Slammer
затронула даже саму Microsoft.

Поэтому по-настоящему эффективное решение в области patch management должно обеспечивать не только механизм распространения "заплаток", но и определенные средства контроля, который, как нетрудно догадаться, может быть осуществлен только "сверху".

Microsoft



Только MBSA проверяет конкретность
настроек безопасности

Поскольку patch management в значительной
степени относится к продукции софтверного гиганта, то начнем поиск средств контроля
именно с него. После объявления инициативы Trustworthy Computing компания выпустила
целый сонм утилит для проверки рабочих станций и серверов на наличие соответствующих
заплаток для типового ПО и отдельных установок безопасности. Квинтэссенцией стала
программа Microsoft Baseline Security Analyzer (MBSA), которую можно загрузить
совершенно бесплатно
. Она определяет корректность (именно с точки зрения безопасности)
настроек Windows NT4/2000/XP/2003, IIS 4/5, SQL Server 7/2000, IE 5/6, Exchange
5.5/2000, Windows Media Player 6.4 и более поздних версий по наличию обновлений
и нескольким формальным показателям (пустые пароли и пр.).

Следует также отметить одно важное отличие MBSA (и всех последующих продуктов) от SUS. Последний в своей работе полагается только на весьма поверхностную информацию в основном из реестра, тогда как все попавшие в этот обзор программы дополнительно проверяют реальные версии ключевых файлов (которые, как правило, указываются в документах Microsoft), что обеспечивает большую точность собираемых данных.

MBSA является исключительно средством контроля, т. е. о конфигурировании и обновлении ПО администратор должен позаботиться самостоятельно. Впрочем, это не так уж сложно, поскольку пакет готовит достаточно подробные отчеты со ссылками на бюллетени, статьи Knowledge Base и прочую информацию от Microsoft. Там же, кстати, можно поискать и советы о том, как лучше всего организовать централизованное распространение заплаток.

В списке поддерживаемого MBSA программного обеспечения отсутствует Microsoft Office. Формально пользовательские приложения представляют гораздо меньшую проблему, чем серверные продукты, однако и с ними случаются неприятные инциденты. Скажем, Outlook нередко становилась "питательной средой" для почтовых "червей" и пр.

К сожалению, средство проверки инсталляций Microsoft Office пока выполнено в виде
отдельных модулей, не слишком удобных для широкого применения (по сравнению, например,
с MBSA). Оно называется Office
Update Inventory Tool
и представлено двумя утилитами: Inventory — для сбора
данных и Convert — для их интерпретации. В результате совместного применения
этих программ получается XML-файл, в котором рассортированы все заплатки — уже
присутствующие, новые, административные.

Сами по себе вышеупомянутые утилиты работу с удаленными ПК не поддерживают, поэтому для обслуживания всей сети сисадмину придется довольно тщательно продумать процедуру (с помощью сценариев входа в систему, WSH и пр.) их применения. Это не слишком удобно, и механизм наверняка будет совершенствоваться. Кстати, в высказываниях некоторых функционеров Microsoft уже мелькали намеки на возможное появление единой системы patch management. Однако пока данная идея не материализовалась, давайте обратимся к сторонним разработкам.

Shavlik Technologies (www.shavlik.com)



HFNetChkLT — единственный бесплатный
продукт, обеспечивающий удаленную установку "заплаток"

Поинтересоваться продукцией компании Shavlik
в контексте нашей статьи было более чем логично, ибо именно ею создана утилита
HFNetChk.exe, графической "обвязкой" которой по большому счету и является
MBSA. Впрочем, здесь налицо несомненная кооперация, поскольку и в решениях Shavlik
(скажем, в EnterpriseInspector) используются некоторые идеи и технологии Microsoft.
Хотя в арсенале фирмы имеется несколько интересных продуктов, остановимся только
на программе HFNetChkPro 4, наиболее соответствующей теме patch management, и
ее бесплатной (и слегка урезанной) версии HFNetChkLT.

Принципиальных отличий HFNetChkPro от MBSA всего два: детище Shavlik поддерживает несколько более широкий спектр ПО (главное дополнение — Microsoft Office 2000/XP) и способно выполнять не только функции контроля, но и дистанционную установку заплаток (с созданием их локального архива и пр.). Однако при этом также обеспечивается немало дополнительных удобств: организация групп "подопытных" компьютеров и заплаток; возможность точного описания процесса установки обновлений (к примеру, закрывать ли обслуживаемое приложение) и контроль за их развертыванием (PatchPush Tracker); предоставление исчерпывающей информации, в том числе и не только от Microsoft; удобный интерфейс с множеством визуальных пояснений и напоминаний.

Имеются даже некоторые зачатки поддержки локализованного ПО, хотя группирование компьютеров и заплаток должно выполняться вручную, что не только неудобно, но и чревато ошибками. Впрочем, несложно догадаться, что интернациональные пользователи пока компанию не слишком волнуют. Так, HFNetChkPro категорически не приемлет форматы системной даты, кроме mm/dd/yyyy, всем "инакомыслящим" следует сделать именно такую установку в региональных настройках, иначе программа просто не сможет работать.

Бесплатная версия HFNetChkLT представляет собой абсолютно тот же самый продукт, что и HFNetChkPro, но с некоторыми искусственными ограничениями. Во-первых, обслуживается не более пятидесяти рабочих станций, во-вторых, предметом внимания является только операционная система (Windows NT4/2000/2003) и наиболее стандартные компоненты вроде Windows Media Player и .NET Framework. Отсутствует и техническое сопровождение. В остальном же это чрезвычайно полезный и удобный продукт, который, несомненно, приживется в арсенале любого системного администратора.

Ecora (www.ecora.com)



Только Ecora Patch Manager может
похвастать столь гибкой системой оповещения

Сферу деятельности компании Ecora можно
очертить фразой "Total Configuration Management", а значит, сюда прекрасно
укладывается и patch management. Флагманский продукт в этой категории — Patch
Manager 2 — формально обеспечивает те же возможности, что и HFNetChkPro 4: тот
же спектр обслуживаемых приложений, дополнительная верификация заплаток (вплоть
до контрольной суммы), гибкая работа с сетевой инфраструктурой, дистанционное
обновление ПО и пр.

Основные отличия находятся в области "usability" и вспомогательной функциональности. В частности, Patch Manager имеет два механизма, призванных еще больше автоматизировать труд сисадмина: планировщик заданий (вообще-то, это можно самостоятельно реализовать и в HFNetChkPro, разобравшись с параметрами командной строки) и, что еще интереснее, довольно гибкий механизм оповещения о различных событиях — появлении в базе данных новых заплаток, удачном/неудачном сканировании или обновлении и пр. Благодаря им Patch Manager способен функционировать практически в автономном режиме (во всяком случае, большую часть времени и после должной настройки) даже независимо от присутствия администратора.

Имеется также одно интересное интерфейсное решение — по результатам сканирования программа может представить различные срезы информации: по компьютерам, по обнаруженному программному обеспечению, по (что, пожалуй, самое полезное) необходимым заплаткам. Данный механизм даже получил собственное патентованное название — 3-D Patch Views. Однако есть у программы и некоторые недостатки. Скажем, результаты исследования необходимо сохранять специально — автоматически (как в MBSA и HFNetChkPro) они не накапливаются. Это тем более огорчительно, что Patch Manager (по крайней мере пробная версия) отличается некоторой нестабильностью работы и в каких-то особых случаях может попросту "свалиться", что, впрочем, не катастрофично — в процессе тестирования Patch Manager справилась со всеми возложенными на нее задачами.

Мы не забыли проверить и интернациональную поддержку. В явном виде она отсутствует, однако Patch Manager находит русскоязычный Microsoft Office XP (не акцентируя внимание на локализации) и все недостающие обновления. При этом сами модули заплаток загружаются англоязычные, причем в нашем случае они были корректно установлены и в дальнейшем обнаруживались любыми средствами, вплоть до наиболее стандартных. В принципе, это давнишняя мечта и стратегия Microsoft — разделить ключевой код ПО и его интерфейсную часть, однако сам факт существования интернациональных заплаток и пакетов обновлений свидетельствует о том, что до конца она еще не воплощена. Соответственно подобные ситуации потребуют от сисадмина дополнительного изучения и экспериментов.

Кроме пробной версии Patch Manager, на сайте Ecora можно получить и бесплатную программу PatchLite, реализованную на том же самом "движке", однако лишенную механизма установки заплаток, планировщика и системы оповещений. Таким образом она является только средством контроля, зато, в отличие от MBSA и HFNetChkLT, проверяет и приложения Microsoft Office 2000/XP.

Кстати, при посещении сайта Ecora стоит обратить внимание на еще два бесплатных продукта: Configuration Reporter, предоставляющий подробные данные о сетевых серверах, и NetExplorer — для сбора первичной информации о сетевых устройствах.

St. Bernard Software (www.stbernard.com)



UpdateEXPERT лучше других подходит
для использования в крупных организациях

Хотя с точки зрения поддерживаемого ПО
и обеспечиваемой функциональности приложение UpdateEXPERT 6 весьма похоже на предыдущие
разработки, оно все же имеет некоторую специфику, а именно — "прицел"
на более крупные организации. Выражается это в двух аспектах — поддержке Active
Directory и опциональной клиент-серверной архитектуре.

Последнее подразумевает установку на сетевые компьютеры специального клиентского ПО, которое и будет выполнять всю "черную" работу. Хотя сами создатели подчеркивают необязательность такого подхода — в определенных случаях он не только предпочтителен, но и необходим. Например, при сложной структуре сети с изолированными (скажем, закрытыми межсетевым экраном) сегментами или отдельными машинами. Кроме того, в больших организациях использование программ-агентов позволит несколько снизить трафик (особенно на рабочем месте с центральной консолью) и повысить скорость функционирования всей системы.

В то же время некоторые решения (прежде всего интерфейсные) не показались нам уж очень удачными. В частности, программа предоставляет явно избыточные данные (зачем-то даже об отсутствующих приложениях) и не всегда может корректно провести верификацию заплаток. Возможно, подобное связано с тем, что, несмотря на реализованную поддержку локализованного ПО, UpdateEXPERT не располагает информацией для русскоязычных продуктов. Тем не менее с пробной версией познакомиться стоит хотя бы для того, чтобы выяснить степень ценности указанных особенностей.

Прочее

Имеется еще по крайней мере два известных решения в области patch management
BigFix Patch Manager и
PatchLink Update. Оба
отличаются ориентацией исключительно на крупные организации с тысячами рабочих
мест, потому стоимость их минимальной поставки на порядок выше, чем у всех вышеупомянутых
продуктов (даже пробную версию получить крайне непросто). Соответственно и все
их особенности связаны с работой именно в масштабных распределенных средах: они
применяют клиент-серверный подход, обладают дополнительными средствами безопасности,
поддерживают фоновую загрузку данных, автоматическое возобновление операций (к
примеру, при обрыве связи с удаленной машиной) и некоторые другие вспомогательные
административные функции.

Кстати, компания BigFix одной из первых занялась централизованным сбором и доставкой информации о заплатках, настройках безопасности и обновлениях ПО. Свой одноименный бесплатный клиентский продукт она распространяет до сих пор (help.bigfix.com). Нетрудно догадаться, что именно на нем обкатывались технологии программ-агентов, используемых теперь в корпоративных продуктах.

Вместо краткого итога хотим еще раз обратить внимание заинтересовавшихся читателей на широкий спектр доступного ПО, среди которого наверняка найдется решение и по вкусу, и по карману. Не стоит пренебрегать и бесплатными продуктами — они представляют определенный интерес как сами по себе, так и в качестве дополнения к другим технологиям и инструментам (вроде SUS).


Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: