弱点修补管理
http://www.cert.org.tw/documen....php?key=105--------------------------------------------------------------------------------
所有的软体,无论是作业系统、应用程式、OFFICE 系列甚至各种网路服务如HTTP或
是FTP,都可能在程式撰写过程中,由于考虑不够周详而存在软体漏洞。这些漏洞可能会
造成使用者权限异常提升、非授权的使用者存取到机密或敏感资料或导致企业或个人提供
的网路服务无法正常运作。更甚者,骇客针对种种漏洞制作的攻击程式或病毒,造成的危
害对现在资讯化的社会所造成的冲击越来越严重,前者可能使普通的电脑使用者可以轻易
地进行骇客的举动,令人防不胜防;而后者更有可能导致全世界Internet的暂时瘫痪,造
成损失将以亿元美金计算。
2004年着名的Sassar杀手病毒,利用微软Windows 作业系统(NT/2000/XP)的漏洞进
行散布,除了造成未修补漏洞的电脑不断重复开机以外,传递速度之快使得众多银行甚至
必须关闭电脑主机,而采用传统的纸笔交易。此次病毒所造成的影响,估计全球损失达30
亿美元。
就台湾的情况而言,绝大多数的使用者用户端都采用Windows作业系统,目前Windows
XP已经发行近五年,也是占据大多数PC的主要环境。微软公司每个月都会发布最新的漏洞
与相关修补资讯,我们可于以下网址查询:
http://www.microsoft.com/taiwan/se...s/default.mspx。
一般来说,微软的漏洞编号以年份命名,格式为:MS(年份)-编号。例如:"Microsoft
安全性公告 MS06-048" 表示这是2006年的第48号安全性公告。
HOTFIX档案office2000-kb921568-fullfile-enu.exe,的命名规则如下:
(1)office2000 - 表示这是适用于Microsoft Office 2000下的修补程式。
(2)kb921568 - 微软知识库(Microsoft Knowledge Database) 编号为 kb921568,也就是
说搜寻kb921568便可找到关于这个hotfix更详细的说明。
(3)fullfile-enu - 表示本修补程式适合系统语言为英文,如需不同语言的修正程式可于
下载时选择。
历经一段时间后,整合多个修补程式的累积修正包便会发布,方便使用者更有效率的
进行各种漏洞的修补。例如:Service Pack是累积一段时间后的大规模修补程式,各版本
Service Pack 都采累进式,也就是说在安装Windows XP的Service Pack 2前,不需事先
安装Service Pack 1与其他之前的修补程式。
此外需要注意的还有,如果某些修补程式是由第三方的资讯安全厂商发布的,建议除
非本漏洞对于组织或个人产生十分急迫的威胁或微软尚未进行更新,否则不建议安装非微
软的修补程式。另外除了安装微软针对旗下软体发布的Service Pack外,在每个Service
Pack发布之间的时段,亦需要随时注意微软发布的修正hotfix,随时补齐任何可能威胁个
人或企业的漏洞。
所有的软体更正与修补程式都会在各原厂网站公布,多数的系统厂商会进行Advisory
的通报,以求即时。然而这些方式对于防范目前的系统漏洞是相当不足的,一般来说,组
织内的使用者没有特别注意修补讯息的习惯,就算是在资讯部门提示下,也常常会因为资
讯落差,甚至连修补的进行方法都无法了解,更何况去针对通报的讯息寻找修补档案。恶
意的程式目前甚至达成所谓的"零时差攻击"(zero-day attack),也就是说在系统厂商公布
系统漏洞的当天,就会有人针对该弱点发布攻击程式或是进行侵入方法,更让系统管理者
防不胜防。
由上可知,如果组织内所有的主机皆能进行自动的修补,那么对于组织的资讯安全以
及攻击后续产生的巨大修正成本都能有效避免。
市面上有许多针对修补漏洞的软体,依据不同组织的特性又可以采用"需安装代理程式"
或"不需代理程式"两种修补软体。若组织内部主机变化较大,或常有移动式的装置,那么
采用需安装代理程式的修补软体是不错的选择。若组织需要针对某单位的主机进行修补的
检验,那么使用不需代理程式的修补软体会较为便利。以下介绍数套修补程式:
1. Windows Update、Office Update
微软作业系统内建的修补功能,可以设定自动进行下载修补更新,甚至自动安装。使用方
式对于大多数使用者也相当容易,只要点选程式集中的Windows Update便会自动连接到
Microsoft的更新网站,也可以安装微软相关的应用程式;该网站也有Office Update功能
可以点选进行更新,安装完更新后请重新开机使修补程式生效。使用这种修补方式有三个
缺点:
(1)无法更新Windows以外的系统:Windows Update是微软提供的服务,无法支援其他的应
用程式或系统。
(2)管理不便:资讯部门无法针对使用者是否进行某更新进行管理,如果发生如Windows XP
Service Pack 2发行时产生的相容性问题,那么后续的处理更是麻烦。
(3)浪费资源:组织中所有的主机皆连接到微软网站下载更新,相当没有效率且耗费网路资
源。
Windows Update网站
http://windowsupdat...oft.comOffice Update网站
http://officeupdate...oft.com2. Software Update Services (SUS)
SUS是微软发布的免费修补服务,本软体使用IIS模拟出Windows Update网站的功能,系统
需求为Microsoft Windows Server 2000与2003搭配IIS即可。使用者端需要进行组态设定
即可将Windows Update的目标转为内部的SUS主机。进行更新时,管理者可以明确定义那些
修补需要安装,那些修正档案不需要安装,目前已经进步到WSUS。
3. Systems Management Server(SMS)
Microsoft Systems Management Server 2003 增强了许多功能,并且使用微软发布的MBSA
与Inventory Tool (盘点工具)来进行组织内部的弱点分析与组织内部资产的管理。SMS比起
SUS强大许多,最大的差异是可以由管理端直接要求用户端安装修补,而SUS只能被动等用户
端进行更新。SMS的系统需求比起SUS复杂许多,Server端需要安装SQL Server 并且组织内
必须建置Active Directory (AD) ,如此一来当使用者主机加入网域时便会部署原先设定的
程式。
4. PatchLink Update
PatchLink Update这套管理软体不仅提供类似SMS,并且拥有SMS无法比拟的功能:支援
Linux以及其他作业系统。PatchLink Update透过用户代理程式,可以监看各个用户端目前
的修补情形,用户端软体的安装清单也可以一览无遗。
5. HFNetChkPro
HFNetChkPro 这套修补软体不需要在使用者端安装任何代理程式,透过Microsoft Baseline
Security Analyzer (MBSA) 引擎进行扫描,并产生相对应的报表。安装修补程式时本软体
不需要在用户端事先安装代理程式是一特点。
就算在组织中的资讯部门,修补管理还是相当新的观念,近年来微软几个重大的漏洞
及对应产生的蠕虫如NIMDA、Blaster、Sasser的风暴所造成的损失才让大家惊觉系统漏洞
的可怕。Blaster病毒是Microsoft发布该漏洞约一个月后才出现,但是到Sasser 出现时,
与漏洞发布的间隔已经缩短为两个礼拜。这种趋势只会越来越快,因此针对软体进行修补
最重要的概念就是 -- 即时。资讯部门必须注意并随时搜集各种弱点警讯,如果没有在最
短时间将漏洞补齐,那么恶意程式码还是会透过各种途径进入防火墙内的系统。
对于大多数的公司或组织而言,修补管理概念最重要的一点是设定标准的修补程序给
所有的使用者知道。网管人员或系统管理者必须知道修补的重要性,尤其现在许多公司的
服务缺乏Internet便无法正确执行,任何的恶意程式或病毒都会产生对公司极大的威胁。
然而修补程式本身也是一套软体,也有可能会出现漏洞,这方面的漏洞也是管理者需要特
别留心的。
参考资料:
(1)TaiwanCNET
http://taiwan....com/ (2)Microsoft安全性公告
http://www.microsoft.com/taiwan/se...s/default.mspx (3)行政院资通安全会报-技术服务中心
http://www.ics....tw/ (4)IThome
http://www.itho...m.tw/(5)Tom's Hardware Guide
http://www.th....tw/