第九章 补丁管理
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 其他产品补丁可以到相应的厂商网站去查找和下载。
2022/3/23
15
9.2 补丁管理流程
补丁跟踪
• 安全机构:大部分官方的安全机构会针对一些影响特别大的安全 事件进行通告,比如严重的安全漏洞,危害很大的蠕虫病毒等, 它的特点是正规可靠。如http://www.cert.org , http://www.cert.org.cn/
2003.01.25 2天/210天
Blaster
Windows
(冲击波) RPC 漏洞
MS03-026 2003.7.16 2003.7.24 2003.8.13 8天/27天
LSASS(震 LSASS漏洞 MS04-011 2004.04.13 2004.04.13 2004.5.5 荡波 )
0天/20天
• http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage Sun的安 全补丁网站,上面有Sun提高的补丁管理工具和最新的补丁列表。
• http://metalink.oracle.com/ Oracle的安全补丁网站,必须是注册用户 才可以下载补丁。
• 还有一种形式为KB(2003年4月份后用此编号)的编号, 这个编号是微软知识库中的一个编号,通过该编号我们 可以在微软知识库(http://support.microsoft.com) 中查找到有关该问题的所有技术性文章和相应的解决方 案。例如“WindowsXP-KB823980-x86-CHS32λ.exe”
• 安全组织和安全公司:安全组织和安全公司是研究安全的主要力 量,他们会对漏洞和补丁进行详细而深入的研究,找出问题和解 决办法。这些公告的特点是发布快速、内容详细、方案全面,并 且可以知道是否已经或者可以被利用,是技术人员日常工作必不 可少的参考网站。
2022/3/23
16
9.2 补丁管理流程
补丁跟踪
• http://www.eeye.com 该公司对Windows 漏洞的研究出神入化, 很多windows的严重漏洞都是他们发布的
• http://www.xfocus.net 中国权威的安全组织站点,对漏洞、蠕 虫的研究、跟踪和分析比较迅速,提供一些针对性的解决办法和 补丁
• http://www.nsfocus.net 中国对漏洞研究最深的安全公司,有 大批的漏洞研究人员,曾发布了多个重大的安全漏洞
●如果在测试中发现问题,就要做详细的分析,以判断发生问题的原因,并 做及时解决。如果不能解决则需要记录下发生该问题的环境,并进行重复验 证,如果确实是该环境和补丁发生冲突,则立即反馈给厂商。
机器名
系统环境
典型应用
安装是否正常 重启是否正常 应用是否正常 其他重要事项
补丁测试结果记录表
2022/3/23
67 35
Days After Product Release
8 5
Released 11/29/2000
Released 09/28/2003
2022B/u3l/le2t3ins 614 Days After Product Release
2003
8 4
Released 05/31/2001
Released 11/17/2003
• 操作系统和各种应用软件发布补丁的趋势越来越频繁。同时在大 型单位或组织中,随着信息化建设步伐的加强,网络覆盖范围越 来越大,网络上运行的服务器、客户端系统也越来越多、越来越 杂。这种情况下,为数量庞大的计算机系统安装数量众多的补丁, 如果没有专用的补丁管理工具,将是一项难以完成的工作。
2022/3/23
第九章 补丁管理
2022/3/23
1
第九章 补丁管理
●9.1 补丁管理概述 ●9.2 补丁管理流程 ●9.3 微软公司的补丁及管理工具 ●9.4 安装WSUS服务器 ●9.5 WSUS客户端的配置 ●9.6 WSUS系统的管理
2022/3/23
2
第九章 补丁管理
9.1.1 补丁管理与网络安全
●2002年全球的根域名服务器遭到大规模拒绝服 务攻击。
如用防火墙或者限
制功能等方式,同时
增加监控
5-10天
补丁方式修补
中等 低等
获取普通用户访问
权限/提升权限/远 程拒绝服务
客户端程序堆栈溢 出、竞争条件、协 议设计
10-30天
本地拒绝服务
返回信息过多
30天-90天
补丁方式 补丁方式
漏洞等级定义
2022/3/23
19
9.2 补丁管理流程
测试补丁
●测试补丁首先要从安全可靠的地方获取补丁软件,推荐是从软件产商网站 上下载,如果补丁支持校验,必须进行安全校验,以验证补丁的可靠性,防 止补丁被恶意用户篡改。
漏洞、攻击程序、补丁和蠕虫的时间关系
2022/3/23
9
9.1.2 补丁管理的特性
及时性
• 从一个漏洞发现到攻击代码实现,到蠕虫病毒 产生,几年前可能是几个月甚至半年多,而现 在几周甚至一天就可以完成
• 由于黑客技术的不断积累和发展,留给管理员 的时间将会越来越少,在最短的时间内安装补 丁将会极大地保护企业和组织地机密,同时也 可以使企业和组织免受蠕虫地侵袭。
2022/3/23
25
SP
• SP(Service Pack,服务包)是微软公司针对已经发现的问题进行修补 的程序。对一般用户来说,下载安装各种Hotfix很繁琐,于是微软公司 开始发布SP补丁包。SP补丁包中包含有SP发布日期前所发布的所有 Hotfix
2022/3/23
11
9.1.2 补丁管理的特性
持续性
• 补丁管理工作不是一蹴而就的,而是一个长期 的,持续性的工作。因为随着漏洞的不断被发 现,补丁也就会持续不断地发布
• 因此要求时刻跟踪厂商的补丁公告和安全公司 (主要是病毒软件开发商)的安全公告
2022/3/23
12
9.2 补丁管理流程
• 现状分析 • 补丁跟踪 • 补丁分析 • 部署安装 • 疑难处理 • 补丁检查
Nimda
Unicode漏 洞
MIME漏洞
ms00-078 ms01-020
2000.10.20 2000.10.20 2001.9.18 2001.03.29
0天/140天
SQLSlamm er
SQLServer 2000 Resolution 漏洞
MS02-039
2002.6.24
2002.6.26
9.2 补丁管理流程
补丁跟踪
确定了企业目前的IT状况后,就可以根据这些信息跟踪对应软件的 补丁。查看补丁的信息来源主要可以分为3大类:
软件厂商:软件厂商是补丁的主要来源,每一次安全补丁的发布,产 商都会发布通告。常用的软件补丁网站有:
• http://www.microsoft.com/technet/security 微软的安全补丁网站,上 面列有漏洞的简要描述、受影响系统和补丁地址。2003年10月份以前, 微软每周三发布补丁,现在微软在每月第二个星期二在太平洋时间上午十 点到十一点发布补丁。
2022/3/23
13
9.2 补丁管理流程
现状分析
• 要在一个企业中做好补丁管理工作,首先 需要分析信息资产、IT系统环境、IT网络 环境和信息资产重要等级,以便下一步有
针对性地跟踪企业所需要的补丁和要采取 的措施。
操作系统
版本
目前补丁版 未打补丁 本
原因
补救措施
软件信息收集表
2022/3/23
14
2022/3/23
22
9.2 补丁管理流程
补丁检查
●为了确认补丁安装情况,需要对安装的系统进行检查。如果采 用了工具,则可以通过工具进行全网检查,也可以通过漏洞扫描 工具进行检查,否则可以通过自己编写脚本或者人工抽查
●根据经验,一般服务器都是有管理员进行统一管理,所以补丁 的安装情况比较好,对于桌面系统,由于是用户自己进行维护, 所以经常存在很多补丁没有打的情况
20
9.2 补丁管理流程
部署安装
• 补丁测试后,如果没有问题,则要根据紧急程 度制定分发计划,这里一个关键就是要根据企 业的环境分批安装
• 原则是资产价值大、威胁等级高的系统优先安 装确定顺序后,提交变更,组织相关人员进行 补丁安装。
2022/3/23
21
9.2 补丁管理流程
疑难处理
在补丁的安装过程中,由于系统的多样性和负责性,经常会 发生很多问题,我们应该时刻记录这些问题,并进行技术分析, 以便尽快解决。对于一些不能解决的问题,可以分为两种情况: • 不能安装补丁,这时就需要确定一个临时的解决办法消除漏洞的 威胁,或者暂时接受这个风险。 • 打上补丁系统或者应用不能正常运行,这时就需要采用应急方案, 采用备份系统或者卸载补丁,而采用临时解决办法。
Bulletins 564 Days
6
After Product Release As of June 2, 2005
第九章 补丁管理
9.1.1 补丁管理与网络安全
• 随着操作系统和各种应用软件复杂化的增加,其内部存在的安全 隐患便会随之增多。一旦这些安全隐患被公布,系统和软件提供 商就将推出更新补丁,以弥补安全隐患。这些补丁和软件更新程 序的及时安装,是保障系统安全性的必要措施。
2022/3/23
10
9.1.2 补丁管理的特性
严密性
• 由于补丁是厂商为了修补第3方发现的漏洞而进行的程序更改,迫于用户的压力,厂商一般 会尽快发布补丁,而为了尽早的发布补丁,补丁的测试就会减少,因此补丁的兼容性很容易 出问题
• 微软就承认其发布的MS04-011的补丁存在瑕疵,可引起某些Windows2000系统锁死或者不 能启动
制度等方面保障此项工作的正常进行,然而实际情况并非如此。 以微软的Windows操作系统为例,每个星期都有漏洞警报和补 丁程序发布,网络管理员要追踪和应用这些最新的升级信息.
2022/3/23
5
微软系列产品补丁发布情况
750 690 630 570 510 450 390 330 270 210 150 90 30
• 因此企业内部如果需要大规模推广补丁之前,一定要针对内部的系统和应用环境做一个严密 的测试,否则有可能导致内部的重要系统无法运作,导致了业务的巨大损失
• 除了补丁测试需要严密性以外,补丁的推广同样也需要严密的计划,哪些系统需要安装补丁, 什么时候开始安装,安装补丁之前需要备份哪些数据,如何制订应急方案都需要一个严密的 计划
●2003年8月11日,利用MS03-26漏洞的“冲击波” 蠕虫病毒(W32.BIaster.Worm)开始在全世界 范围内爆发并造成巨大经济损失。
●人们逐渐发现系统存在的安全漏洞是产生以上 安全问题的主要根源。
2022/3/23
3
第九章 补丁管理
9.1.1 补丁管理与网络安全
• 绝大部分的网络攻击都是基于操作系统或应用程序的 漏洞进行的。
7
9.1.2 补丁管理的特性
●及时性 ●严密性 ●持续性
2022/3/23
8
蠕虫名称 利用的漏 微软公告 补丁发布 攻击代码 蠕虫出现 可以弥补
洞
时间
发现时间 时间
时间
CodeRed
IIS Index MS01-033 2001.6.18 Server
2001.6.21
2001.7.13
3天/25天
2022/3/23
17
9.2 补丁管理流程
补丁分析
• 分析漏洞的影响 • 确定补丁的严重等级 • 测试补丁
2022/3/ຫໍສະໝຸດ Baidu3
18
9.2 补丁管理流程
等级
紧急
严重
定义
成因
利用漏洞可以远程 堆、栈溢出 获取管理员权限
攻击程序和病毒结 堆、栈溢出 合,形成蠕虫
允许修补时间 修补方式
2天
用非补丁方式修补,
• 如果我们能够根据具体的应用环境,及时发现这些漏 洞并采取适当的处理措施进行修补,就可以有效地阻 止入侵、蠕虫等事件的发生。
• 美国软件工程研究所估算,如果给系统安装合适的软 件补丁,则可以避免95%的网络入侵
2022/3/23
4
第九章 补丁管理
9.1.1 补丁管理与网络安全
用户往往并不及时更新系统的补丁程序,其主要原因: • 用户安全意识薄弱,没有对网络中隐藏的各种引起足够的重视; • 没有根据单位网络的具体情况,有针对性地部署补丁管理系统; • 补丁管理本身也是一件比较繁琐枯燥的工作,需要在管理人员、
2022/3/23
23
9.3 微软公司的补丁及管理工具 微软公司的主要补丁类型:
●Hotfix ●SP
2022/3/23
24
Hotfix
• Hotfix是针对某一个具体的系统漏洞或安全问题而发布 的专门解决该漏洞或安全问题的小程序,通常称为修补 程序
• 微软公司会及时地将软件产品中发现的重大问题以安全 公告的形式公布于众,这些公告都有一个惟一的编号, 即“MS”,如MS04-011
2022/3/23
15
9.2 补丁管理流程
补丁跟踪
• 安全机构:大部分官方的安全机构会针对一些影响特别大的安全 事件进行通告,比如严重的安全漏洞,危害很大的蠕虫病毒等, 它的特点是正规可靠。如http://www.cert.org , http://www.cert.org.cn/
2003.01.25 2天/210天
Blaster
Windows
(冲击波) RPC 漏洞
MS03-026 2003.7.16 2003.7.24 2003.8.13 8天/27天
LSASS(震 LSASS漏洞 MS04-011 2004.04.13 2004.04.13 2004.5.5 荡波 )
0天/20天
• http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage Sun的安 全补丁网站,上面有Sun提高的补丁管理工具和最新的补丁列表。
• http://metalink.oracle.com/ Oracle的安全补丁网站,必须是注册用户 才可以下载补丁。
• 还有一种形式为KB(2003年4月份后用此编号)的编号, 这个编号是微软知识库中的一个编号,通过该编号我们 可以在微软知识库(http://support.microsoft.com) 中查找到有关该问题的所有技术性文章和相应的解决方 案。例如“WindowsXP-KB823980-x86-CHS32λ.exe”
• 安全组织和安全公司:安全组织和安全公司是研究安全的主要力 量,他们会对漏洞和补丁进行详细而深入的研究,找出问题和解 决办法。这些公告的特点是发布快速、内容详细、方案全面,并 且可以知道是否已经或者可以被利用,是技术人员日常工作必不 可少的参考网站。
2022/3/23
16
9.2 补丁管理流程
补丁跟踪
• http://www.eeye.com 该公司对Windows 漏洞的研究出神入化, 很多windows的严重漏洞都是他们发布的
• http://www.xfocus.net 中国权威的安全组织站点,对漏洞、蠕 虫的研究、跟踪和分析比较迅速,提供一些针对性的解决办法和 补丁
• http://www.nsfocus.net 中国对漏洞研究最深的安全公司,有 大批的漏洞研究人员,曾发布了多个重大的安全漏洞
●如果在测试中发现问题,就要做详细的分析,以判断发生问题的原因,并 做及时解决。如果不能解决则需要记录下发生该问题的环境,并进行重复验 证,如果确实是该环境和补丁发生冲突,则立即反馈给厂商。
机器名
系统环境
典型应用
安装是否正常 重启是否正常 应用是否正常 其他重要事项
补丁测试结果记录表
2022/3/23
67 35
Days After Product Release
8 5
Released 11/29/2000
Released 09/28/2003
2022B/u3l/le2t3ins 614 Days After Product Release
2003
8 4
Released 05/31/2001
Released 11/17/2003
• 操作系统和各种应用软件发布补丁的趋势越来越频繁。同时在大 型单位或组织中,随着信息化建设步伐的加强,网络覆盖范围越 来越大,网络上运行的服务器、客户端系统也越来越多、越来越 杂。这种情况下,为数量庞大的计算机系统安装数量众多的补丁, 如果没有专用的补丁管理工具,将是一项难以完成的工作。
2022/3/23
第九章 补丁管理
2022/3/23
1
第九章 补丁管理
●9.1 补丁管理概述 ●9.2 补丁管理流程 ●9.3 微软公司的补丁及管理工具 ●9.4 安装WSUS服务器 ●9.5 WSUS客户端的配置 ●9.6 WSUS系统的管理
2022/3/23
2
第九章 补丁管理
9.1.1 补丁管理与网络安全
●2002年全球的根域名服务器遭到大规模拒绝服 务攻击。
如用防火墙或者限
制功能等方式,同时
增加监控
5-10天
补丁方式修补
中等 低等
获取普通用户访问
权限/提升权限/远 程拒绝服务
客户端程序堆栈溢 出、竞争条件、协 议设计
10-30天
本地拒绝服务
返回信息过多
30天-90天
补丁方式 补丁方式
漏洞等级定义
2022/3/23
19
9.2 补丁管理流程
测试补丁
●测试补丁首先要从安全可靠的地方获取补丁软件,推荐是从软件产商网站 上下载,如果补丁支持校验,必须进行安全校验,以验证补丁的可靠性,防 止补丁被恶意用户篡改。
漏洞、攻击程序、补丁和蠕虫的时间关系
2022/3/23
9
9.1.2 补丁管理的特性
及时性
• 从一个漏洞发现到攻击代码实现,到蠕虫病毒 产生,几年前可能是几个月甚至半年多,而现 在几周甚至一天就可以完成
• 由于黑客技术的不断积累和发展,留给管理员 的时间将会越来越少,在最短的时间内安装补 丁将会极大地保护企业和组织地机密,同时也 可以使企业和组织免受蠕虫地侵袭。
2022/3/23
25
SP
• SP(Service Pack,服务包)是微软公司针对已经发现的问题进行修补 的程序。对一般用户来说,下载安装各种Hotfix很繁琐,于是微软公司 开始发布SP补丁包。SP补丁包中包含有SP发布日期前所发布的所有 Hotfix
2022/3/23
11
9.1.2 补丁管理的特性
持续性
• 补丁管理工作不是一蹴而就的,而是一个长期 的,持续性的工作。因为随着漏洞的不断被发 现,补丁也就会持续不断地发布
• 因此要求时刻跟踪厂商的补丁公告和安全公司 (主要是病毒软件开发商)的安全公告
2022/3/23
12
9.2 补丁管理流程
• 现状分析 • 补丁跟踪 • 补丁分析 • 部署安装 • 疑难处理 • 补丁检查
Nimda
Unicode漏 洞
MIME漏洞
ms00-078 ms01-020
2000.10.20 2000.10.20 2001.9.18 2001.03.29
0天/140天
SQLSlamm er
SQLServer 2000 Resolution 漏洞
MS02-039
2002.6.24
2002.6.26
9.2 补丁管理流程
补丁跟踪
确定了企业目前的IT状况后,就可以根据这些信息跟踪对应软件的 补丁。查看补丁的信息来源主要可以分为3大类:
软件厂商:软件厂商是补丁的主要来源,每一次安全补丁的发布,产 商都会发布通告。常用的软件补丁网站有:
• http://www.microsoft.com/technet/security 微软的安全补丁网站,上 面列有漏洞的简要描述、受影响系统和补丁地址。2003年10月份以前, 微软每周三发布补丁,现在微软在每月第二个星期二在太平洋时间上午十 点到十一点发布补丁。
2022/3/23
13
9.2 补丁管理流程
现状分析
• 要在一个企业中做好补丁管理工作,首先 需要分析信息资产、IT系统环境、IT网络 环境和信息资产重要等级,以便下一步有
针对性地跟踪企业所需要的补丁和要采取 的措施。
操作系统
版本
目前补丁版 未打补丁 本
原因
补救措施
软件信息收集表
2022/3/23
14
2022/3/23
22
9.2 补丁管理流程
补丁检查
●为了确认补丁安装情况,需要对安装的系统进行检查。如果采 用了工具,则可以通过工具进行全网检查,也可以通过漏洞扫描 工具进行检查,否则可以通过自己编写脚本或者人工抽查
●根据经验,一般服务器都是有管理员进行统一管理,所以补丁 的安装情况比较好,对于桌面系统,由于是用户自己进行维护, 所以经常存在很多补丁没有打的情况
20
9.2 补丁管理流程
部署安装
• 补丁测试后,如果没有问题,则要根据紧急程 度制定分发计划,这里一个关键就是要根据企 业的环境分批安装
• 原则是资产价值大、威胁等级高的系统优先安 装确定顺序后,提交变更,组织相关人员进行 补丁安装。
2022/3/23
21
9.2 补丁管理流程
疑难处理
在补丁的安装过程中,由于系统的多样性和负责性,经常会 发生很多问题,我们应该时刻记录这些问题,并进行技术分析, 以便尽快解决。对于一些不能解决的问题,可以分为两种情况: • 不能安装补丁,这时就需要确定一个临时的解决办法消除漏洞的 威胁,或者暂时接受这个风险。 • 打上补丁系统或者应用不能正常运行,这时就需要采用应急方案, 采用备份系统或者卸载补丁,而采用临时解决办法。
Bulletins 564 Days
6
After Product Release As of June 2, 2005
第九章 补丁管理
9.1.1 补丁管理与网络安全
• 随着操作系统和各种应用软件复杂化的增加,其内部存在的安全 隐患便会随之增多。一旦这些安全隐患被公布,系统和软件提供 商就将推出更新补丁,以弥补安全隐患。这些补丁和软件更新程 序的及时安装,是保障系统安全性的必要措施。
2022/3/23
10
9.1.2 补丁管理的特性
严密性
• 由于补丁是厂商为了修补第3方发现的漏洞而进行的程序更改,迫于用户的压力,厂商一般 会尽快发布补丁,而为了尽早的发布补丁,补丁的测试就会减少,因此补丁的兼容性很容易 出问题
• 微软就承认其发布的MS04-011的补丁存在瑕疵,可引起某些Windows2000系统锁死或者不 能启动
制度等方面保障此项工作的正常进行,然而实际情况并非如此。 以微软的Windows操作系统为例,每个星期都有漏洞警报和补 丁程序发布,网络管理员要追踪和应用这些最新的升级信息.
2022/3/23
5
微软系列产品补丁发布情况
750 690 630 570 510 450 390 330 270 210 150 90 30
• 因此企业内部如果需要大规模推广补丁之前,一定要针对内部的系统和应用环境做一个严密 的测试,否则有可能导致内部的重要系统无法运作,导致了业务的巨大损失
• 除了补丁测试需要严密性以外,补丁的推广同样也需要严密的计划,哪些系统需要安装补丁, 什么时候开始安装,安装补丁之前需要备份哪些数据,如何制订应急方案都需要一个严密的 计划
●2003年8月11日,利用MS03-26漏洞的“冲击波” 蠕虫病毒(W32.BIaster.Worm)开始在全世界 范围内爆发并造成巨大经济损失。
●人们逐渐发现系统存在的安全漏洞是产生以上 安全问题的主要根源。
2022/3/23
3
第九章 补丁管理
9.1.1 补丁管理与网络安全
• 绝大部分的网络攻击都是基于操作系统或应用程序的 漏洞进行的。
7
9.1.2 补丁管理的特性
●及时性 ●严密性 ●持续性
2022/3/23
8
蠕虫名称 利用的漏 微软公告 补丁发布 攻击代码 蠕虫出现 可以弥补
洞
时间
发现时间 时间
时间
CodeRed
IIS Index MS01-033 2001.6.18 Server
2001.6.21
2001.7.13
3天/25天
2022/3/23
17
9.2 补丁管理流程
补丁分析
• 分析漏洞的影响 • 确定补丁的严重等级 • 测试补丁
2022/3/ຫໍສະໝຸດ Baidu3
18
9.2 补丁管理流程
等级
紧急
严重
定义
成因
利用漏洞可以远程 堆、栈溢出 获取管理员权限
攻击程序和病毒结 堆、栈溢出 合,形成蠕虫
允许修补时间 修补方式
2天
用非补丁方式修补,
• 如果我们能够根据具体的应用环境,及时发现这些漏 洞并采取适当的处理措施进行修补,就可以有效地阻 止入侵、蠕虫等事件的发生。
• 美国软件工程研究所估算,如果给系统安装合适的软 件补丁,则可以避免95%的网络入侵
2022/3/23
4
第九章 补丁管理
9.1.1 补丁管理与网络安全
用户往往并不及时更新系统的补丁程序,其主要原因: • 用户安全意识薄弱,没有对网络中隐藏的各种引起足够的重视; • 没有根据单位网络的具体情况,有针对性地部署补丁管理系统; • 补丁管理本身也是一件比较繁琐枯燥的工作,需要在管理人员、
2022/3/23
23
9.3 微软公司的补丁及管理工具 微软公司的主要补丁类型:
●Hotfix ●SP
2022/3/23
24
Hotfix
• Hotfix是针对某一个具体的系统漏洞或安全问题而发布 的专门解决该漏洞或安全问题的小程序,通常称为修补 程序
• 微软公司会及时地将软件产品中发现的重大问题以安全 公告的形式公布于众,这些公告都有一个惟一的编号, 即“MS”,如MS04-011