Patch management: инициатива сверху

Несмотря на то, что описанный в прошлой статье ("Компьютерное Обозрение", # 15, 2003) программный продукт Software Updates Services (SUS) в самом деле способен организовать и упорядочить централизованное обновление рабочих мест под управлением ОС Windows 2000/XP (и тем самым существенно облегчить жизнь системному администратору), некоторые недостатки реализованного в нем подхода лежат, что называется, на поверхности.

Во-первых, обслуживаются только операционные системы и их стандартные компоненты. Скажем, контролировать защищенность Microsoft Office (который в том или ином виде установлен на большинстве компьютеров) придется уже иным способом. То же самое относится и к серверным продуктам (речь, естественно, о продукции Microsoft) -- Exchange, SQL Server и пр.

Во-вторых, Windows Updates и SUS представляют собой, выражаясь фигурально, "инициативу снизу". Хотя службы и управляются централизованно, процессы обновления исходят именно от рабочих мест, и нет никакой гарантии, что в их функционирование не вмешаются досужие пользователи. Полагаться же на индивидуальную ответственность каждого сотрудника не приходится -- это не зависит ни от менталитета, ни от размера компании. Например, недавняя эпидемия SQL Slammer затронула даже саму Microsoft.

Поэтому по-настоящему эффективное решение в области patch management должно обеспечивать не только механизм распространения "заплаток", но и определенные средства контроля, который, как нетрудно догадаться, может быть осуществлен только "сверху".

Microsoft

Только MBSA проверяет конкретность настроек безопасности

Поскольку patch management в значительной степени относится к продукции софтверного гиганта, то начнем поиск средств контроля именно с него. После объявления инициативы Trustworthy Computing компания выпустила целый сонм утилит для проверки рабочих станций и серверов на наличие соответствующих заплаток для типового ПО и отдельных установок безопасности. Квинтэссенцией стала программа Microsoft Baseline Security Analyzer (MBSA), которую можно загрузить совершенно бесплатно. Она определяет корректность (именно с точки зрения безопасности) настроек Windows NT4/2000/XP/2003, IIS 4/5, SQL Server 7/2000, IE 5/6, Exchange 5.5/2000, Windows Media Player 6.4 и более поздних версий по наличию обновлений и нескольким формальным показателям (пустые пароли и пр.).

Следует также отметить одно важное отличие MBSA (и всех последующих продуктов) от SUS. Последний в своей работе полагается только на весьма поверхностную информацию в основном из реестра, тогда как все попавшие в этот обзор программы дополнительно проверяют реальные версии ключевых файлов (которые, как правило, указываются в документах Microsoft), что обеспечивает большую точность собираемых данных.

MBSA является исключительно средством контроля, т. е. о конфигурировании и обновлении ПО администратор должен позаботиться самостоятельно. Впрочем, это не так уж сложно, поскольку пакет готовит достаточно подробные отчеты со ссылками на бюллетени, статьи Knowledge Base и прочую информацию от Microsoft. Там же, кстати, можно поискать и советы о том, как лучше всего организовать централизованное распространение заплаток.

В списке поддерживаемого MBSA программного обеспечения отсутствует Microsoft Office. Формально пользовательские приложения представляют гораздо меньшую проблему, чем серверные продукты, однако и с ними случаются неприятные инциденты. Скажем, Outlook нередко становилась "питательной средой" для почтовых "червей" и пр.

К сожалению, средство проверки инсталляций Microsoft Office пока выполнено в виде отдельных модулей, не слишком удобных для широкого применения (по сравнению, например, с MBSA). Оно называется Office Update Inventory Tool и представлено двумя утилитами: Inventory -- для сбора данных и Convert -- для их интерпретации. В результате совместного применения этих программ получается XML-файл, в котором рассортированы все заплатки -- уже присутствующие, новые, административные.

Сами по себе вышеупомянутые утилиты работу с удаленными ПК не поддерживают, поэтому для обслуживания всей сети сисадмину придется довольно тщательно продумать процедуру (с помощью сценариев входа в систему, WSH и пр.) их применения. Это не слишком удобно, и механизм наверняка будет совершенствоваться. Кстати, в высказываниях некоторых функционеров Microsoft уже мелькали намеки на возможное появление единой системы patch management. Однако пока данная идея не материализовалась, давайте обратимся к сторонним разработкам.

Shavlik Technologies (www.shavlik.com)

HFNetChkLT -- единственный бесплатный продукт, обеспечивающий удаленную установку "заплаток"

Поинтересоваться продукцией компании Shavlik в контексте нашей статьи было более чем логично, ибо именно ею создана утилита HFNetChk.exe, графической "обвязкой" которой по большому счету и является MBSA. Впрочем, здесь налицо несомненная кооперация, поскольку и в решениях Shavlik (скажем, в EnterpriseInspector) используются некоторые идеи и технологии Microsoft. Хотя в арсенале фирмы имеется несколько интересных продуктов, остановимся только на программе HFNetChkPro 4, наиболее соответствующей теме patch management, и ее бесплатной (и слегка урезанной) версии HFNetChkLT.

Принципиальных отличий HFNetChkPro от MBSA всего два: детище Shavlik поддерживает несколько более широкий спектр ПО (главное дополнение -- Microsoft Office 2000/XP) и способно выполнять не только функции контроля, но и дистанционную установку заплаток (с созданием их локального архива и пр.). Однако при этом также обеспечивается немало дополнительных удобств: организация групп "подопытных" компьютеров и заплаток; возможность точного описания процесса установки обновлений (к примеру, закрывать ли обслуживаемое приложение) и контроль за их развертыванием (PatchPush Tracker); предоставление исчерпывающей информации, в том числе и не только от Microsoft; удобный интерфейс с множеством визуальных пояснений и напоминаний.

Имеются даже некоторые зачатки поддержки локализованного ПО, хотя группирование компьютеров и заплаток должно выполняться вручную, что не только неудобно, но и чревато ошибками. Впрочем, несложно догадаться, что интернациональные пользователи пока компанию не слишком волнуют. Так, HFNetChkPro категорически не приемлет форматы системной даты, кроме mm/dd/yyyy, всем "инакомыслящим" следует сделать именно такую установку в региональных настройках, иначе программа просто не сможет работать.

Бесплатная версия HFNetChkLT представляет собой абсолютно тот же самый продукт, что и HFNetChkPro, но с некоторыми искусственными ограничениями. Во-первых, обслуживается не более пятидесяти рабочих станций, во-вторых, предметом внимания является только операционная система (Windows NT4/2000/2003) и наиболее стандартные компоненты вроде Windows Media Player и .NET Framework. Отсутствует и техническое сопровождение. В остальном же это чрезвычайно полезный и удобный продукт, который, несомненно, приживется в арсенале любого системного администратора.

Ecora (www.ecora.com)

Только Ecora Patch Manager может похвастать столь гибкой системой оповещения

Сферу деятельности компании Ecora можно очертить фразой "Total Configuration Management", а значит, сюда прекрасно укладывается и patch management. Флагманский продукт в этой категории -- Patch Manager 2 -- формально обеспечивает те же возможности, что и HFNetChkPro 4: тот же спектр обслуживаемых приложений, дополнительная верификация заплаток (вплоть до контрольной суммы), гибкая работа с сетевой инфраструктурой, дистанционное обновление ПО и пр.

Основные отличия находятся в области "usability" и вспомогательной функциональности. В частности, Patch Manager имеет два механизма, призванных еще больше автоматизировать труд сисадмина: планировщик заданий (вообще-то, это можно самостоятельно реализовать и в HFNetChkPro, разобравшись с параметрами командной строки) и, что еще интереснее, довольно гибкий механизм оповещения о различных событиях -- появлении в базе данных новых заплаток, удачном/неудачном сканировании или обновлении и пр. Благодаря им Patch Manager способен функционировать практически в автономном режиме (во всяком случае, большую часть времени и после должной настройки) даже независимо от присутствия администратора.

Имеется также одно интересное интерфейсное решение -- по результатам сканирования программа может представить различные срезы информации: по компьютерам, по обнаруженному программному обеспечению, по (что, пожалуй, самое полезное) необходимым заплаткам. Данный механизм даже получил собственное патентованное название -- 3-D Patch Views. Однако есть у программы и некоторые недостатки. Скажем, результаты исследования необходимо сохранять специально -- автоматически (как в MBSA и HFNetChkPro) они не накапливаются. Это тем более огорчительно, что Patch Manager (по крайней мере пробная версия) отличается некоторой нестабильностью работы и в каких-то особых случаях может попросту "свалиться", что, впрочем, не катастрофично -- в процессе тестирования Patch Manager справилась со всеми возложенными на нее задачами.

Мы не забыли проверить и интернациональную поддержку. В явном виде она отсутствует, однако Patch Manager находит русскоязычный Microsoft Office XP (не акцентируя внимание на локализации) и все недостающие обновления. При этом сами модули заплаток загружаются англоязычные, причем в нашем случае они были корректно установлены и в дальнейшем обнаруживались любыми средствами, вплоть до наиболее стандартных. В принципе, это давнишняя мечта и стратегия Microsoft -- разделить ключевой код ПО и его интерфейсную часть, однако сам факт существования интернациональных заплаток и пакетов обновлений свидетельствует о том, что до конца она еще не воплощена. Соответственно подобные ситуации потребуют от сисадмина дополнительного изучения и экспериментов.

Кроме пробной версии Patch Manager, на сайте Ecora можно получить и бесплатную программу PatchLite, реализованную на том же самом "движке", однако лишенную механизма установки заплаток, планировщика и системы оповещений. Таким образом она является только средством контроля, зато, в отличие от MBSA и HFNetChkLT, проверяет и приложения Microsoft Office 2000/XP.

Кстати, при посещении сайта Ecora стоит обратить внимание на еще два бесплатных продукта: Configuration Reporter, предоставляющий подробные данные о сетевых серверах, и NetExplorer -- для сбора первичной информации о сетевых устройствах.

St. Bernard Software (www.stbernard.com)

UpdateEXPERT лучше других подходит для использования в крупных организациях

Хотя с точки зрения поддерживаемого ПО и обеспечиваемой функциональности приложение UpdateEXPERT 6 весьма похоже на предыдущие разработки, оно все же имеет некоторую специфику, а именно -- "прицел" на более крупные организации. Выражается это в двух аспектах -- поддержке Active Directory и опциональной клиент-серверной архитектуре.

Последнее подразумевает установку на сетевые компьютеры специального клиентского ПО, которое и будет выполнять всю "черную" работу. Хотя сами создатели подчеркивают необязательность такого подхода -- в определенных случаях он не только предпочтителен, но и необходим. Например, при сложной структуре сети с изолированными (скажем, закрытыми межсетевым экраном) сегментами или отдельными машинами. Кроме того, в больших организациях использование программ-агентов позволит несколько снизить трафик (особенно на рабочем месте с центральной консолью) и повысить скорость функционирования всей системы.

В то же время некоторые решения (прежде всего интерфейсные) не показались нам уж очень удачными. В частности, программа предоставляет явно избыточные данные (зачем-то даже об отсутствующих приложениях) и не всегда может корректно провести верификацию заплаток. Возможно, подобное связано с тем, что, несмотря на реализованную поддержку локализованного ПО, UpdateEXPERT не располагает информацией для русскоязычных продуктов. Тем не менее с пробной версией познакомиться стоит хотя бы для того, чтобы выяснить степень ценности указанных особенностей.

Прочее

Имеется еще по крайней мере два известных решения в области patch management -- BigFix Patch Manager и PatchLink Update. Оба отличаются ориентацией исключительно на крупные организации с тысячами рабочих мест, потому стоимость их минимальной поставки на порядок выше, чем у всех вышеупомянутых продуктов (даже пробную версию получить крайне непросто). Соответственно и все их особенности связаны с работой именно в масштабных распределенных средах: они применяют клиент-серверный подход, обладают дополнительными средствами безопасности, поддерживают фоновую загрузку данных, автоматическое возобновление операций (к примеру, при обрыве связи с удаленной машиной) и некоторые другие вспомогательные административные функции.

Кстати, компания BigFix одной из первых занялась централизованным сбором и доставкой информации о заплатках, настройках безопасности и обновлениях ПО. Свой одноименный бесплатный клиентский продукт она распространяет до сих пор (help.bigfix.com). Нетрудно догадаться, что именно на нем обкатывались технологии программ-агентов, используемых теперь в корпоративных продуктах.

Вместо краткого итога хотим еще раз обратить внимание заинтересовавшихся читателей на широкий спектр доступного ПО, среди которого наверняка найдется решение и по вкусу, и по карману. Не стоит пренебрегать и бесплатными продуктами -- они представляют определенный интерес как сами по себе, так и в качестве дополнения к другим технологиям и инструментам (вроде SUS).

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365