Управление обновлениями

Согласно данным опроса, проведенного Институтом компьютерной безопасности и Федеральным бюро расследований США, 90% респондентов обнаружили в 2002 году бреши в своих информационных системах, из которых 95% были вызваны неверными настройками. При этом около 85% опрошенных выявили случаи проникновения вредоносных программ, хотя у большинства были установлены межсетевые экраны и антивирусные комплексы. Атаки принимали различные формы, включая хищение интеллектуальной собственности, нанесение финансового ущерба, перегрузку сетевого трафика и т. д. Исследование агентства Forrester Research показало, что для всех уязвимых мест, найденных в системе безопасности продуктов Microsoft, обновления и исправления были выпущены за недели и даже месяцы до первых предпринятых атак. По подсчетам CERT, убытки, понесенные компаниями в результате вторжения злоумышленников в их информационное пространство, составили за год около 15 миллиардов долларов США.

Приведенные данные показывают, насколько важно и одновременно тяжело сохранять безопасность ИТ-системы. Ситуация усугубляется тем, что промежутки между выходом обновлений и появлением новых уязвимых мест существенно сократились. Решение этой задачи требует привлечения большого объема ресурсов — денежных, человеческих и технологических.

Выход бесплатного инструмента Microsoft Software Update Services (SUS) в свое время оказался важным шагом на пути устранения данной проблемы. Он был разработан с учетом пожеланий многочисленных организаций, которые перед окончательным внедрением хотели тестировать все выпускаемые Microsoft обновления внутри своих собственных ИТ-систем. Находясь в постоянной синхронизации с сайтом Windows Update, SUS-сервер позволял в автоматическом режиме получать актуальные обновления, проводить их проверку и распространять дальше на клиентские машины, используя групповые политики.

В данный момент корпорация Microsoft предлагает усовершенствованную версию SUS. Новый продукт называется Windows Server Update Services (WSUS). Он предоставляет инфраструктуру управления обновлениями, включающую следующие компоненты:

Служба Automatic Updates, интегрированная с ОС Windows, конечно же, решает задачу распространения обновлений на отдельных компьютерах, а WSUS предоставляет дополнительные рычаги управления, позволяя определять какие обновления на какие компьютеры в сети устанавливать. Но что, если обновления нужно распространять на тысячи компьютеров всевозможных типов в разных географических регионах с различными требованиями к операционной среде? Решение — SMS 2003 со средствами управления обновлениями. В отличие от Automatic Updates и WSUS, средства обновления SMS 2003 позволяют осуществлять поэтапное контролируемое развертывание обновлений ПО большого числа ПК.

Средства управления обновлениями SMS включают две части: инструменты сканирования и мастер распространения обновлений ПО, которые сканирует все клиентские компьютеры, определяет какие обновления нужны и передает собранную информацию серверу сайта SMS. Модульность средств управления обновлениями SMS позволяет применять утилиты сканирования сторонних производителей ПО и аппаратных средств. Например, фирма Dell разработала собственную утилиту сканирования — SMS 2003 Inventory Tool for Dell Updates, которая определяет потребность обновления драйверов, микропрограмм и BIOS своих серверных продуктов и передает эту информацию SMS.