您现在的位置是:首页 > IT基础架构 > 网络与安全 >
正版验证促使企业做好补丁管理策略
2008-10-23 18:28:00作者:彭亮来源:
摘要最近,一个任所有网络管理员震惊的消息公布了。微软于10月20日在中国投放新一轮的正版增至计划,如果微软的XP操作系统没有通过微软正版验证的话,则用户开机进入操作系统后,桌面的背景将变为黑色……...
最近,一个任所有网络管理员震惊的消息公布了。微软于10月20日在中国投放新一轮的正版增至计划,如果微软的XP操作系统没有通过微软正版验证的话,则用户开机进入操作系统后,桌面的背景将变为黑色。虽然用户可以重新设置背景,但是,每隔一个小时背景就会变为纯黑色。这虽然不影响正常的工作,但是至少会给员工的心情带来不良的影响。另外,当用户登录的时候还会出现“中断” 对话框,并在屏幕右下方出现一个永久通知和持续提醒的对话框,显示“您可能是软件盗版的受害者”。另外,如果Office办公软件用户没有通过正版验证的话,则在验证失败后1-14天内,将会有弹出式对话框提醒用户所使用的软件不是正版;每隔两个小时就会有这么一次提醒。另外,若十五天后,用户还没有采取行动的话,则在Office文件中讲会被加入视觉提醒标记。如此的话,肯定会给用户的正常办公带来很大的负面影响。
另外,据传这次的正版验证,不适用安装向导。操作系统会通过自动更新更具不知不觉中给用户装上这个正版验证工具。其实现在微软正版软件在企业中的普及率,大家都心中有数。据我所知,有些企业即使买了微软的正版操作系统与Office办公软件,但是,实际用的话,仍然是利用盗版的软件。因为正版的操作系统与Office软件安装起来太麻烦。但是,现在微软出了这一个狠招,作为网络管理员该如何应对呢?
其他网络管理员采取什么样的措施,我不敢保证。至少笔者已经不放心用户自己从网络上下载补丁,升级操作系统。其实,笔者在一年以前,已经在考虑这方面的内容。并不是说笔者有先见之明,遇见了微软会出这一招。而是因为自动打补丁已经给用户带来了不少的麻烦。如有些补丁打上之后,系统的性能明显下降。原来补丁跟操作系统上装有的软件有冲突,等等。现在微软有推出了正版验证策略,更加促使我们要做好微软的补丁与自动更新管理。
为此,笔者在企业网络中做了如下的调整。
一、 关闭所有客户端的自动更新功能。
微软的补丁,包括现在的正版验证工具,基本上都是通过客户端操作系统上的“UPDATE”自动更新功能从网上下载并安装的。所以,若要对补丁进行集中管理的话,首先需要做的就是禁止操作系统自动从网络上下载相关的补丁。
要实现这个目的,我们可以通过防火墙等手段,限制操作系统连接到微软的服务器下载补丁。而只允许某些特定的IP地址,如补丁服务器,才能够连接到微软的网站下载补丁。笔者现在就是通过防火墙的IP地址过滤策略与访问控制列表策略,限制了客户端连接到微软的网站。
不过笔者为了确保安全,还在客户端上禁用了操作系统自带的UPDATE功能,从根源上限制客户端操作系统从网络上私自下载相关的补丁。因为企业中大部分的用户根本不能够区分哪些补丁是有用的。而且,有些补丁,如这个正版验证补丁,会在不知不觉中通过网络下载到客户端电脑,并且自动安装。这无疑不是我们网络管理员所希望看到的。
所以,为了做好系统补丁的统一管理,现在要做的第一步就是禁止所有的客户端从网上下载补丁。我们可以通过防火墙或者直接从客户端禁用掉这个功能。为了保险起见,网络管理员可以双管齐下,在防火墙与客户端上都进行相关的配置。
二、 在网络中部署独立的服务器,通过服务器对客户端进行补丁管理。
但是,若不让客户端打补丁的话,则会大大降低客户端主机的安全性。所以,我们网络管理员也不能因噎废食,一帮子打死,拒绝所有的微软补丁。我们网络管理员希望客户端能够有选择的安装有用的补丁。但是,因为普通用户没有这个专业能力进行判断,所以,只有网络管理员帮他们完成这项任务。网络管理员可以在企业网络中部署一个补丁服务器,让客户端从这个企业自己的服务器中下载相关的补丁,而不是从微软的网站上进行下载。如此的话,有网络管理员来做这个甄别的动作,就可以有选择的给客户端安装相关的补丁。
现在微软自己推出了一款补丁管理软件。这是一个补丁管理平台,通过企业局域网内的一台服务器,统一管理其他客户端的操作系统补丁。通过服务器对客户端进行补丁管理,有如下的优点。
一是强制给客户打补丁。若让客户主动去打补丁的话,说实话,有点不现实。即使操作系统提示需要打补丁,否则的话,有被攻击的危险。用户仍然不会引起重视。所以,通过补丁管理服务器,强制给客户端安装必要的补丁,是保障局域网运行稳定与操作系统安全的一个必要的措施。
二是可以有选择的安装补丁。若有客户端自己从网上下载补丁进行安装的话,则会一古脑的进行全部安装。但是,我都知道,微软的操作系统补丁,有时会跟一些应用软件产生冲突,导致系统不稳定或者性能下降,甚至系统崩溃。这种好心做坏事的情况,还是时有发生的。故为了避免类似的情况发生,网络管理员需要先对补丁进行甄别。除非情况紧急,否则的话,一定要经过严格的测试才能够把补丁发放出去。当然,类似微软正版验证的补丁还是不要放出去的为好。不然的话,网络管理员是自寻麻烦。
三是可以有效地减少网络带宽的占用。若各个客户端自己从网络上下载补丁的话,无疑会占用比较多的网络带宽,从而降低企业互联网访问的性能。相反,现在只需要补丁服务器一台电脑从网络上下载补丁,然后其他客户端通过企业局域网从补丁服务器进行下载。这种方式,客户端下载的速度不但快,因为其是通过局域网下载;而且还不大会影响网络性能。可谓是一举两得。
所以,通过补丁服务器来管理客户端操作系统与办公软件的补丁,是网络管理员比较明智的选择。现在微软推出了正版策略这个狠招,迫使我们网络管理员要尽快部署这个补丁管理服务器。不然的话,以后网络管理员的麻烦事可会不少。
三、 在推广新的补丁之前,要经过严格的测试。
我们至所以要采取补丁服务器,其中有一个主要的目的就是对补丁进行过滤。把一些对企业不利的补丁过滤掉,而只安装一些对网络安全与操作系统稳定有利的补丁。说实话,现在主要就是把两类补丁过滤掉。一是跟企业现有软件有冲突的补丁,二就是所谓的微软正版验证补丁。
为此,企业在通过补丁管理服务器发布新的补丁之前,需要进行严格的测试,然后才能够大规模的发布。笔者现在在补丁发布之前,需要通过两道关卡。
一是需要在专门的主机上进行测试。笔者在企业中有一台专门用来测试补丁的客户端。有新的补丁下来,需要先在这台客户端上进行测试。因为这台客户端上装有企业中在使用的大部分软件。若在这台客户端上测试没有不良影响外,才能够进入下一个关卡。若装了补丁后,有负面作用,如导致系统性能下降等情况,则可能这个补丁就被过滤掉了。
二是在专门的测试客户端上通过之后,笔者就会在小范围上进行测试。通过补丁服务器,可以根据IP地址或者MAC地址来确定需要打补丁的客户端。笔者在这个阶段,是各部门一台主机。也就算说,每个部门抽取一台主机先进性安装,若一天后这些主机运行正常的话,再给所有的客户端打上新补丁。
除非遇到特别紧急的补丁,否则的话,所有的补丁都需要经过这个程序。如此的话,就可以保证补丁不会对现有的网络环境以及操作系统产生太大的影响。
(本文不涉密)
责任编辑:
上一篇:如何精准定位网络故障的肇事源