logo search
Проектування інфраструктури оновлення системи безпеки

1.1 Вибір оптимальної комбінації методів оновлення

Мало які з методів здатні поодинці забезпечити оновлення всіх аспектів системи безпеки. Швидше за все, нам доведеться використовувати різні методи для настройки параметрів захисту і установки виправлень системи безпеки. У виборі оптимальної комбінації методів оновлення захисту нам допоможуть наступні рекомендації.

Вибір методу залежить від числа обновлюваних систем. Дотримуйтеся наступних правил:

· Сайт Windows Update зручний, тільки якщо оновлюваних систем не більше 50;

· масштабованість ручного оновлення ще менша. Для оновлення вручну доведеться завантажувати виправлення і встановлювати їх на всі компютери окремо. Ця процедура дуже трудомістка для оновлення значної кількості систем;

· служб SUS достатньо для оновлення машинного парку розміром до декількох сотень систем, можливості ієрархії SUS ще ширші;

· можливостей сервера SMS достатньо для оновлення будь-якого числа систем, зазвичай такі сервери використовують у великих мережах із-за складності установки і підтримки інфраструктури SMS

· програмні продукти сторонніх виробників володіють різними можливостями і значно розрізняються за вартістю і складністю;

· параметрами захисту краще всього управляти через групову політику, але в організаціях з невеликим числом компютерів, де немає інфраструктури домену, немає і можливості використання групової політики;

· оснащення Аналіз і настройка безпеки дозволяє оновлювати параметри компютерів тільки окремо, якщо мережа невелика і в ній всього декілька компютерів, цей спосіб цілком підійде;

· утиліту secedii можна задіювати в сценаріях і застосувати для оновлення безліч систем, але це складніше за використання групової політики.

· настройте підключення до Windows Update для автоматичного оновлення на декількох системах, проте кожну з них спочатку доведеться відвідати особисто, щоб зробити необхідні настройки. Оновлення можна встановити або ігнорувати, але у разі одиночної системи це можна зробити, лише прочитавши його опис;

автоматичне оновлення (Automatic Updates) можна настроїти для загрузки негайної установки оновлень. Як і при використанні Windows Lptlates, можна прийняти або відхилити оновлення, але отримати про нього інформацію можна, тільки прочитавши опис;

· SUS, SMS і аналогічні ним служби можна набудувати для автоматичного оновлення безлічі компютерів; завантаженням, тестуванням і аналізом оновлень перед їх розповсюдженням повинні займатися адміністратори;

· самостійно написані сценарії. При їх використанні передбачається,

що оновлення вже протестовані; це допускають автоматизацію;

· для розповсюдження протестованих виправлень можна застосовувати групову політику, а всі настройки і виправлення системи безпеки повинні тестуватися перед впровадженням. а може потрібно декілька методів оновлення, підбирайте комбінацію, згідно розміру і потребам вашої організації;

Пошук актуальної інформації про вразливості

Щоб дізнатися, які зміни потрібно внести до системи безпеки, потрібно знати де шукати відповідну інформацію і розуміти призначення тих або інших змін. Відомості, необхідні для забезпечення надійного захисту, можна і потрібно шукати в різних джерелах. Оновлення може потрібно після попередження про небезпеку або ухвалення строгішої політики безпеки. Зміни в системі безпеки включають установку виправлень, пакетів оновлень, відключення невживаних служб, оновлення антивірусного ПО і інші заходи. Для отримання попереджень про небезпеку:

· підпишіться на розсилки Microsoft, присвячені безпеці;

· регулярно відвідуйте Web-сайты, де публікують попередження про небезпеку;

· підпишіться на розсилки виробників антивірусного ПО.

Для пошуку загальної інформації по темі безпеки:

· відвідаєте розділи Security і Technet Security Web-сайта Microsoft і інші джерела інформації з цієї тематики

· виконуйте пошук вразливостей за допомогою Microsoft Security Baseline Analyzer або аналогічних програм;

· відвідуйте сайти по інформаційній безпеці.

Проектування інфраструктури оновлення системи безпеки

Визначивши зміни, необхідні для впровадження оновлення системи безпеки доступні методи оновлення і джерела відомостей про вразливості, можна приступати до проектування інфраструктури оновлення.

Проектування інфраструктури оновлення системи безпеки

· зясуєте, які ОС і додатки застосовуються в мережі;

· визначите загальне число систем мережі і оціните їх важливість. Особливу увагу приділіть системам, які оперують критичними даними і повинні бути доступні постійно;

· зясуєте, які системи більш не підтримуються, а також системи, не охоплені адмініструванням;

· оціните існуючу інфраструктуру мережі і системи безпеки. Визначите, чи захищені внутрішні компютери від атак ззовні, чи встановлені брандмауери, захисні і охоронні системи; і виявите всі альтернативні способи підключення до корпоративної мережі, такі як бездротові мережі, компютери віддалених співробітників і модеми; оцінить надійність їх захисту; оціните надійність захисту мобільних компютерів, наприклад лептопів - вони можуть стати найуразливішою частиною мережі.

· Оціните поточний рівень уразливості, визначте поточну стратегію оновлень;

· складіть список необхідних оновлень.

· Оціните наявні процедури установки ПО:

· зясуєте, чи автоматизована установка ПО;

· визначите, чи придатні ці процедури для установки оновлень.

· Оціните роботу персоналу: зясуєте, хто управляє внесенням змін;

· оціните навики персоналу, уповноваженого для внесення змін в

систему. Чи достатньо компетентні ці особи?

Рада Microsoft публікує інформацію про серйозність уязвімостей (Security Levelsof Vulnerability) в своєму бюлетені. Інші організації привласнюють попередженням про небезпеку різні ступені серйозності. У Microsoft прийняті наступні рівні серйозності: критичний, важливий, середній і низький. Орієнтуючись на цей рейтинг, встановлюйте перш за все критичні оновлення. Не жалійте часу на аналіз обставин, що змінюють пріоритет оновлень, таких як цінність окремих систем, досвід минулих атак, наявність заходів захисту і так далі Не слідує орієнтуватися на рейтинг серйозності в інших організаціях, краще проаналізувати погрози, що отримали найвищий в декількох організаціях: можливо, виправлення такої уразливості і у вашому списку повинно займати перший рядок. Оновлення повинне охоплювати компютери всіх конфігурацій:

· використовуйте службу віддаленої установки (Remote Installation Service, RIS) та інші технології автоматизованої установки. щоб забезпечити установку на серверах мережі всіх необхідних оновлень;

· вимагайте оновлення систем, підключених за допомогою віддаленого доступу і VPN. Можливості Windows Server 2003, наприклад Network Access Quarantine Control, дозволяють обмежувати доступ до систем, не задовольняючим заданим вимогам безпеки;

· вимагайте оновлення портативних компютерів мандрівних користувачів і перевірки їх безпеки після повернення в мережу.

Оновлення повинне охоплювати всі програми:

· оновлюйте всі програмні продукти. Будь-який з них має свої уразливості

· для зміцнення захисту і запобігання атакам не упускайте при оновленні ніякі з наявних програмних продуктів;

· переконаєтеся, що вибраний метод оновлення охоплює всі системи і програмні продукти;

· використовуйте служби SUS. Windows Update і служби автоматичного оновлення для установки виправлень Windows і її компонентів, включаючи Internet Explorer і Windows Media;

· використовуйте Office Update - службу, аналогічну Windows Update, для оновлення Microsoft Office 2000 і вищих версій.

Розбийте оцінку уразливості на окремі завдання:

· перед оновленням перевірте всі системи на уразливість - це допоможе зясувати які системи потребують оновлення, і які виправленні слідує встановити;

· після оновлення перевірте, чи успішно внесені необхідні зміни; і періодично перевіряйте оновлення систем;

· при виникненні нової загрози перевіряйте системи на уразливість до неї;

Сплануйте періодичну перевірку оновлень:

· складіть графік отримання і проглядання відомостей про рекомендовані змінах системи безпеці;

· отримуйте і проглядайте оновлення мінімум раз на тиждень;

· розбийте вивчення рекомендованих змін на етапи: пошук можливих змін, перевірка потреби в цих оновленнях і ступені їх серйозності завантаження виправлень, установка і аналіз в тестовому середовищі.

1.2 Служби SUS

Служби Software Update Services (SUS) дозволяють автоматизувати поширену установку виправлень, вибраних адміністратором. SUS підтримуються Windows Server 2003 і 2000 Server, вони автоматично поширюють виправлення до компютерів під управлінням Windows 2000, Server 2003 і ХР Professional, на котрих запущений клієнт автоматичного оновлення.

По суті, SUS - це аналог сайту Windows Update в локальній мережі, що контролюється її адміністратором. Розгортання SUS дозволяє відмовитися від настройки всіх компютерів для автоматичного завантаження виправлень з Інтернету. Замість цього адміністратор указує виправлення, які будуть доступні для викачування з локального сервера SUS. Так вдається розвантажити канал звязку з Інтернетом Служби SUS підтримують додаткові можливості, але все таки не являються комплексним рішенням для установки оновлень. Нижче описані можливості і обмеження служб SUS, приводяться вимоги до їх розгортання в мережі, а також розповідається про клієнтів і ієрархію SUS.

Служби SUS дозволяють;

· завантажувати на сервер SUS виправлення, перераховані в бюлетенях безпеки Microsoft для Windows ХР, Windows 2000 і Windows Server 2003;

· регулярно синхронізувати БД виправлень SUS з БД виправлень Microsoft автоматично і в ручну;

· вибирати оновлення для розповсюдження в мережі - клієнти отримають тільки дозволені виправлення;

· настроювати компютери під управлінням Windows ХР, 2000 і Server 2003 для автоматичного завантаження і установки виправлень з сервера SUS;

· отримувати повідомлення про оновлення. Якщо ви підписані на розсилку повідомлень, при появі змін в БД виправлень Microsoft вам прийде по електронній пошті повідомлення.

Обмеження SUS

Служби SUS не підтримують:

· настройку параметрів безпеки;

· оновлення Microsoft Office n інше ПО від Microsoft, не вказане вище;

· оновлення ПО сторонніх виробників;

· установку і оновлення драйверів пристроїв;

· установку пакетів оновлень;

· завантаження оновлень від сторонніх виробників;

· індивідуальну настройку оновлення для окремих компютерів. Всі компютери, повязані з одним сервером SUS, отримують однакові оновлення, дозволені адміністратором для встановленої на них ОС.

Вимоги для розгортання SUS

процесор Pentium 700 Mru або вище;

12 Мб ОЗУ;

мережева плата;

розділ NTFS з 100 Мб вільного місця для установки SUS і не менше 6 Гб для оновлень у разі їх локального розміщення;

рядовий сервер домена Windows 2000 Server Sp2 і вище або Windows Server 2003 або контроллер домена Windows 2000 або Windows Server 2003, або Small Business Server;

встановлені служби IIS;

|Internet Explorer 5.5 або вище.

Примітку SUS можна отримати з Web-сервера Microsoft за адресою http://wwv/.microsoft.com/downhads/details.aspx?FamilyId=A7AA96E4-6E4]-4F54-972C-AE66A4E4BF6C&displaylang=en.

Клієнти SUS

Клієнтом SUS називається Автоматичне оновлення (Automatic Updates). Окремо клієнт SUS поставлявся в Windows 2000 Service Pack 2, а в Windows 2000 Service P.ick 3 Windows XP і Windows Server 2003 функція автоматичного оновлення стала вбудованою. У настройках клієнта необхідно вказати сервер SUS, з яким він буде працювати, а також поклопотатися про автоматичне перезавантаження, зміну графіка оновлень і інших речах.

Ієрархія SUS

Ієрархією SUS називають впорядкований набір систем SUS. Коренем ієрархії є батьківський сервер SUS, тільки йому дозволено завантажувати оновлення з сайту Microsoft. Дочірні сервери SUS можуть бути настроєні для отримання оновлень від батьківського сервера, щодня синхронізуючи свої БД з БД батьківського сервера. Виправлення, дозволені на батьківському сервері, вважаються дозволеними для всіх клієнтів. На мал. 1 показана ієрархія SUS і вірний спосіб це розміщення в мережі: батьківський сервер SUS підключений до сайту Windows Update через брандмауер, з ним сполучені дочірні сервери SUS і клієнтські системи.

Мал. 1. Ієрархія SUS

Ієрархію SUS можна використовувати і для тестування БД виправлень (мал. 2 і 3). На мал. 2 тестовий сервер SUS підключений до сайту Windows Update безпосередньо забезпечує виправленнями клієнтів в своїй ізольованій мережі. Окрема ієрархія SUS поширює виправлення робочої мережі. Після тестування виправлення що дістали схвалення на батьківському сервері SUS, розташованому в основний мережі, передаються клієнтам. Перевагою такого проекту є повна ізоляція тестовій мережі від робочої.

Мал. 2. Ізольована ієрархія SUS в тестовій мережі

На мал. показано рішення, в якому SUS-сервер тестової мережі є дочірнім сервером і входить в ієрархію робочої мережі. Дочірній сервер тестової мережі автоматично синхронізується з батьківським сервером, а той вимагає ручний синхронізації. Виправлення дістають схвалення на батьківському сервері, і при синхронізації з сервером тестової мережі готуються до розповсюдження в ній. Якщо виправлення протестоване успішно, дочірній сервер SUS робочої мережі вручну синхронізується з батьківським сервером і передає виправлення в робочу мережа, інакше батьківський сервер забороняє його розповсюдження.

сервер оновлення безпека