Windows NT 4.0 與 Windows 98 降低安全性威脅指南
第 6 章:補充程式管理
發佈日期: 2004 年 9 月 13 日 | 更新日期: 2006 年 3 月 30 日
防止攻擊的一個重要方式是套用所有必要的安全性補充程式,確保您的環境永遠是最新的。您必須在伺服器與用戶端層級同時套用補充程式。本章說明如何確保及時找到新的補充程式,並在整個組織中迅速可靠地加以執行,以及監視系統以確保整個組織都已完成部署。它說明了補充程式管理實作的折衷辦法,並以對 Trey Research 補充程式管理系統的詳細說明作為結束。
本頁內容
背景
補充程式管理是資訊安全性的重要元件。現有程式碼中識別到新弱點或新威脅出現時,廠商會發佈補充程式以修正弱點或新增安全性功能。像 Trey Research 之類的組織必須快速識別哪些電腦需要哪些補充程式,然後依需要部署補充程式。各組織必須一致地持續執行此作業,因為即使遺漏安裝補充程式的電腦數目極少,整個網路仍有可能受到攻擊。
解決方案設計
應如何進行實作補充程式管理須視組織的規模與複雜度而定。但是,瞭解補充程式管理的重要性、及如何與組織的整體風險管理策略配合非常重要。
例如,如果您決定必須不惜代價將風險降至最小,則每次發現軟體新弱點時,您可以關閉所有生產系統。接著,對安全性補充程式進行全面測試並在整個組織中部署補充程式後,再重新啟動系統。這個程序非常費時而且成本很高,對大多數組織而言顯得不切實際。
在補充程式管理程序中,您必須根據部署適當因應對策的成本評估風險。發現安全性弱點後,補充程式可能一小段時間後才會發佈。您將必須評估弱點造成的風險,並決定在測試和部署補充程式之前應採取的措施。
您可能必須停用服務、將系統離線,或依需求限制對內部使用者或其他群組的存取。補充程式發佈後,您可以立即部署;也可以停止服務、或使用不受保護的系統的同時,先進行測試以確定補充程式不會對系統有不良影響;此時您必須依照這兩個方法的風險與成本做出決定。如果您決定進行測試,您必須判斷負擔得起多少次測試,而不會使不部署的風險超過部署的成本。
注意:您的組織應實作變更管理程序。Microsoft 作業架構 (MOF) 包含可以作為組織基本程序的變更管理程序。如需有關 MOF 的詳細資料,請參閱本章結尾的<其他資訊>一節。
解決方案先決條件
Trey Research 的補充程式管理解決方案必須允許 IT 部門進行下列事項:
自動清查電腦以識別哪些電腦已安裝補充程式,哪些電腦尚未安裝。
快速執行隨選清查以立即識別遺漏指定補充程式的電腦。
針對補充程式規範自動執行排定掃描,產生可隨時維護和追蹤的報告。
將一個或多個補充程式安裝到選定的電腦上,而無需使用者介入,儘可能減少重新啟動的次數。
由於 Trey 有多個辦公室,每個辦公室都有系統管理人員,因此公司必須採用一套統一的工具和程序進行補充程式管理。雖然這主要是程序問題 (可由後續章節中所述的解決方案設計解決),但仍然會存在一些會影響 Trey 解決方案設計的技術問題:
Trey 執行 Microsoft Windows® XP 或 Windows 2000 作業系統的電腦使用的 Microsoft® Software Update Service (SUS) 安裝不支援 Windows 98 或 Microsoft Windows NT® 4.0 版。舊版作業系統的存在會限制系統自動下載新安全性更新、並將更新傳送至用戶端電腦的能力。
執行 Windows 98 和 Windows NT 的電腦可以使用由 Microsoft 提供的公用 Windows Update 服務下載補充程式和更新,但這些電腦無法使用系統原則設定限制使用者下載的更新集。此外,這些用戶端還無法使用內部 SUS 或 Windows Update Services 伺服器。
解決方案架構
補充程式管理架構會因不同的組織而有很大的差異。某些組織會選擇高度集中、管理嚴密的系統,並儘可能使用現成工具;而其他組織會建立自訂的補充程式記錄和部署工具。但是,所有這些架構都有部分相同的常見功能和需求。基本補充程式管理程序包括下列四個階段:
評估環境中存在哪些電腦、散佈補充程式到這些電腦的方式,以及套用補充程式後會以何種方式影響哪些業務流程。為此,您必須查看目前環境並評估潛在威脅 (如本指南的第 2 章所述)。完成評估後,您就可以判斷出為減少環境威脅而必須部署的補充程式。
識別哪些電腦需要哪些補充程式。您可以使用 Microsoft Baseline Security Analyzer 或 Systems Management Server 之類的工具自動完成此程序、也可以手動完成,或使用可檢查補充程式修訂版的環境專屬指令碼。
評估並計畫補充程式部署,包括測試補充程式、針對安裝失敗的補充程式的回復預備措施,以及決定哪些重要補充程式必須立即套用。此外,您還必須識別執行補充程式測試和部署的人員。
將補充程式部署至所需的系統、確認已套用所有需要的補充程式,並確認系統已重新啟動 (如有必要)。
重要事項:強烈建議您在部署補充程式之前備份所有生產系統。
評估環境
為了進行補充程式管理,您的 IT 人員至少必須瞭解下列資訊:
環境中的系統,包括:
作業系統及版本。
使用中的補充程式層級 (Service Pack 版本、Hotfix 及其他修改項目)。
系統執行的功能。
整個環境使用的應用程式。
負責維護每個系統的個人或群組之連絡資訊。
現有的資產及其相關價值。
已知的威脅,以及識別新威脅或威脅等級變更的程序。
已知的弱點,以及識別新弱點或弱點等級變更的程序。
已部署的因應對策。
強烈建議您將這些資訊開放給補充程式管理程序中的所有相關人員,並確定這些資訊是最新的。當您瞭解資產、弱點、威脅及環境如何設定後,即可判定並排出威脅與弱點影響的優先順序。
如果您依照第 2 章<Trey Research 安全性風險管理法則應用案例>中提供的指引進行,則其中許多資訊在您計畫補充程式管理部署時則已備妥。您可以使用下列章節所述的步驟收集有關使用中的特定補充程式資訊。您可以根據 SRMD 資料與本指南之前幾章的建議,尋找有關應用程式、資產、風險及因應對策的資料。
識別安裝補充程式的需求
您必須持續、不斷確認電腦的補充程式是最新的。在某些情況下,所有伺服器都需要安裝新發佈的補充程式。在其他情況下,處於線上的新伺服器需要安裝適當的補充程式。您應繼續分析所有伺服器,以確保這些伺服器都具備最新的補充程式,處於最新狀態。若要有效地讓組織中的電腦保持最新狀態,您必須瞭解現存的的弱點和已採取的保護措施。您可以用來協助執行此程序的工具包括 Microsoft Baseline Security Analyzer (MBSA)、Microsoft Systems Management Server (SMS) 2.0 版和 SMS 2003,以及 Office Update Inventory 工具。
使用 Microsoft Baseline Security Analyzer
雖然知道您的系統已套用哪些補充程式非常重要,但知道尚未套用哪些補充程式更為重要。MBSA 專門設計用來掃描執行 Windows NT 4.0、Windows 2000、Windows XP Professional 及 Windows XP Home Edition 的電腦,並產生報告,說明哪些補充程式已存在和需要哪些補充程式。
注意:MBSA 可以在任何 Windows 2000 Professional、Windows 2000 Server、Windows XP Home 或 Windows XP Professional 電腦上執行。但它無法在 Windows 98 或 Windows NT 4.0 上執行,也無法掃描執行 Windows 98 的電腦。
MBSA 工具執行掃描的方式是透過參照到 Microsoft 定期更新的可延伸標記語言 (XML) 資料庫。它還使用 Microsoft 在 2001 年 8 月發佈的常用 HFNetChk 工具。XML 檔案包含安全性公告名稱與標題,以及有關產品專屬的安全性 Hotfix 詳細資料,其中包括:每個 Hotfix 封裝中的檔案及檔案版本與總和檢查碼、Hotfix 安裝封裝套用的登錄機碼、有關哪些補充程式可以取代其他補充程式的資訊、相關的 Microsoft 知識庫 (KB) 文章編號等等。
當您第一次使用 MBSA 工具時,該工具必須取得一份此 XML 檔案,才能找到每個產品可用的 Hotfix。Microsoft 下載中心網站以壓縮形式 (經數位簽署的 .Cab 檔案) 提供 XML 檔案。MBSA 會下載 .Cab 檔案、驗證簽章,然後將該 .Cab 檔案解壓縮至執行 MBSA 的本機電腦上。請注意,.Cab 檔案是一種與 WinZip (.Zip) 檔案類似的壓縮檔。
注意:每次執行 MBSA 時,它都會嘗試連線至網際網路以從 Microsoft 下載 XML 檔案。如果網際網路連線無法使用,該工具會在工具安裝資料夾中尋找 XML 檔案的本機複本。每次檔案在掃描期間成功下載後,本機複本會儲存在電腦上,以防止後續掃描無法連線至網際網路。或者,對於永遠不連線至網際網路的電腦,使用者可以單獨從 Microsoft 下載中心網站下載此檔案,然後將其複製到執行該工具的電腦。
解壓縮 .Cab 檔案後,MBSA 會掃描您的電腦 (或所選電腦),以決定執行的作業系統、Service Pack 及其他程式。然後,MBSA 會解析 XML 檔案,並識別適合所安裝軟體組合的安全性補充程式。
MBSA 為了要判斷指定電腦是否已安裝特定的補充程式,會評估下列三個項目:補充程式安裝的登錄機碼、檔案版本,以及由補充程式安裝的每個檔案的總和檢查碼。
在預設設定中,MBSA 會比較產生的 XML 子集與被掃描電腦中的檔案詳細資料與登錄機碼。如果電腦上的任何檔案或登錄機碼詳細資料與 XML 檔案中儲存的資訊不相符,相關的安全性補充程式會識別為未安裝,結果會顯示在安全性報告中。螢幕會同時顯示與補充程式相關的 KB 文章編號。
一般來說,MBSA 工具會掃描 Windows 作業系統 (Windows NT 4.0、Windows 2000 及 Windows XP),搜尋其中的安全性問題,例如:來賓帳戶狀態、檔案系統類型、可用的檔案共用區、系統管理員群組的成員等等。安全性報告會顯示每個作業系統的檢查說明,以及有關如何解決找到的任何問題的說明。
注意:若要使用 MBSA,在要檢查是否有補充程式的電腦上,您必須有本機系統管理員或網域系統管理員的存取權限。
MBSA 工具有許多命令列參數,可以在下列兩種模式下使用:MBSA 模式和 HFNetChk 模式。MBSA 式掃描會將結果 (如同 MBSA 1.0 版) 儲存在個別 XML 檔案中,以便稍後在 MBSA 使用者介面 (UI) 中檢視。MBSA 式掃描包括整套可用的 Windows、網際網路資訊服務 (IIS)、Microsoft SQL Server™、桌面應用程式及安全性更新檢查。
HFNetChk 式掃描會檢查是否有遺失的安全性更新,並將掃描結果以文字顯示在命令列視窗中,方式與獨立的 HFNetChk 工具相同。MBSA 1.1 包含 "/hf" 旗標,該旗標將指示 MBSA 引擎進行 HFNetChk 掃描。此外,在 HFNetChk 模式中,MBSA 可以掃描以文字檔案提供的電腦清單,檢查這些電腦是否都具有由具名 Software Update Service (SUS) 伺服器發佈的所有補充程式。
如果您使用 MBSA 確認補充程式狀態,請定期執行 MBSA。在大多數環境下,執行此操作的最佳方式是將其排定為以預設的時間間隔執行。
注意:如需更多有關使用 MBSA 工具的資訊,請參閱 Microsoft TechNet 上的 Microsoft Baseline Security Analyzer 頁,網址是:https://www.microsoft.com/technet /security/tools/mbsahome.mspx。
Office Update Inventory Tool
由於 Microsoft Office 內建了功能強大的應用程式發展功能後,注意應用程式自身的弱點變得亦發重要。許多病毒與特洛伊木馬程式會利用現今生產力應用程式的功能,利用文件、試算表及電子郵件通訊中的主動式內容。為了使 Office 部署處於最新和安全狀態,Microsoft 發佈了 Office Update Inventory Tool。此公用程式可以在 Windows 98 以上的作業系統、和 Office 2000 或更新版本的電腦上執行。它可讓系統管理員準確地評估 Office 部署的補充程式等級。
Office Update Inventory Tool 可以從下列網站取得:https://www.microsoft.com/office/ork /2003/journ/offutoolv2.htm。
其他判定 Hotfix 等級的方法
如果在部分環境中您不想或無法使用 MBSA 工具,可以使用其他方法判斷是否已安裝 Hotfix。
最簡單的方法是查看 HKLM\Software\Microsoft\Windows NT\Currentversion\hotfix 機碼下的電腦登錄。每個新安裝的 Hotfix 應該都有一個具有 Q 名稱的機碼,該名稱與討論 Hotfix 的 KB 文章相符。但是,對於某些舊 Hotfix 和某些特定應用程式的 Hotfix 則例外。
其他判定 Hotfix 等級的工具
您可以使用 Microsoft 提供的另外兩種免費工具來收集此資訊。這些工具是:
與 /v 參數一起使用的 Qfecheck.exe。此工具在 Microsoft 知識庫文章 282784<Qfecheck.exe 驗證 Windows 2000 和 Windows XP Hotfix 的安裝>中討論,網址為 :https://support.microsoft.com/?kbid=282784。此工具會告訴您伺服器已安裝的 Service Pack 等級和 Hotfix 版本。如果您的環境未正確安裝補充程式,Qfecheck 也會告訴您。
與 –l 參數一起使用的 Hotfix.exe。此工具在《Microsoft Windows NT 與 Windows 2000 Hotfix 安裝與部署指南》(英文) 中有詳細討論,網址是:https://www.microsoft.com/technet/archive /security/tools/tools/hfdeploy.mspx。該工具會顯示電腦中安裝的 Hotfix 數量和版本。
評估與計畫補充程式的套用
並非每種威脅或弱點都會對您的環境構成重大風險。看到新的潛在作業系統或應用程式弱點通知時,您應評估這些弱點是否適用於您的特定環境。
例如:如果弱點影響的是 Windows 2000 中的檔案傳輸通訊協定 (FTP) 服務,而您從未啟用此服務,則弱點不適用於您。同樣地,如果您瞭解到今年出現颶風的可能性會更高,但您的 IT 環境在內陸,則此威脅是的影響便有限。如果您對不適用於您的環境的威脅和弱點採取因應措施,則會消耗寶貴的資源,還可能會對環境的穩定性造成不利的影響,而不會有任何相應的益處。
新威脅和弱點出現時,您應閱讀任何相關的支援資訊。這樣可讓您充分地瞭解新威脅和弱點對您的環境造成的風險嚴重程度,然後決定適當的因應措施。主要替代方法是不採取措施、停用處於風險中的服務,或部署補充程式。
重要事項:建立部署新補充程式的計畫時,您還應建立復原計畫,說明如何移除補充程式或降低補充程式安裝失敗時的影響。
為確保您擁有最新的補充程式,請務必從 Microsoft 接收定期安全性公告。若要註冊以接收更新公告,請造訪 Microsoft 全球網站 (https://www.microsoft.com/worldwide),選擇國家,然後進入 Microsoft 資訊安全首頁 (https://www.microsoft.com/security/)。
將補充程式分類
出現新補充程式時,您應判斷它對您的環境的重要性,這可以協助您決定必須部署補充程式的時機,以及可以負擔得起的測試次數。
Microsoft 會為安全性公告主題的每種弱點提供等級。分級等級顯示在下表中。
表 6.1:Microsoft 定義的弱點等級
| 電腦類型 | 重大等級 | 中等等級 | 低等級 |
|---|---|---|---|
| 網際網路伺服器 | 網站損毀、拒絕服務 (DoS) 或完全控制。 | 難於利用、異常設定或暫時影響。 | 影響有限,例如:洩露指令碼。 |
| 內部伺服器 | 權限提升、資料洩漏或修改。稽核困難。 | 可稽核資料洩漏、修改或 DoS。 | 無目標的或部分資料竊取或修改、有限的 DoS。 |
| 用戶端系統 | 未經使用者動作即執行任意程式碼;遠端權限提升。 | 本機權限提升、無目標的資料洩露或 DoS、使用動作被利用。 | 有限或部分資料竊取或修改、惡意網站攻擊。 |
| 補充程式類型 | 測試階段 |
|---|---|
| 重大嚴重性 | 評估補充程式 評估伺服器作業 (有限) |
| 中等嚴重性 | 評估補充程式 在測試環境中安裝補充程式 評估伺服器作業 (完整) 檢查解除安裝程序 |
| 低嚴重性 | 評估補充程式 在測試環境中安裝補充程式 評估伺服器作業 (完整) 評估應用程式作業 檢查解除安裝程序 |
在風險管理程序中,您必須決定如何徹底執行每個步驟。如果由於緊急情況跳過某些階段,您仍然應在測試實驗室中繼續完成這些階段,以在已部署的系統出現潛在問題之前發現這些問題。
您應在儘可能與生產伺服器類似的伺服器上進行所有測試。
安裝補充程式
請以正確方式安裝補充程式、瞭解補充程式是否需要重新啟動、補充程式會佔用多少空間 (包括解除安裝資料夾)、您可以使用哪些選項等等。您還應閱讀任何支援說明文件以獲得更多資訊,來評估套用補充程式的優缺點。
測試伺服器作業
安裝補充程式後,您必須確定伺服器能繼續正常運作。您也可以監視事件記錄和系統監視器是否有任何非預期的結果。
測試所有伺服器功能並確定一切運作正常。您可以在具有特定弱點的特定伺服器上處理多少風險,將決定確定一切正常之前您應讓伺服器執行多久。如果有任何問題,您必須確定已記錄這些問題並儘快回報給 Microsoft。
注意:您可以使用 Microsoft Operations Manager (MOM) 從 Windows NT 4.0 伺服器收集事件記錄和系統監視器資訊。
測試應用程式作業
在測試程序中,請務必使用伺服器上同時存在的任何應用程式測試補充程式,以及確定已識別相關的任何問題。安裝補充程式後,您應該檢查所有應用程式是否可如往常繼續運作。
準備解除安裝
就算已經進行過測試,安裝補充程式後,還是會發生問題,造成您必須解除安裝補充程式。因此,請務必測試解除安裝是否有作用。解除安裝之後,您應該檢查伺服器是否繼續正常執行,並繼續監看「事件日誌」和「系統監視器」計數器。
建立復原計畫
即使測試過程非常順利,在整個組織中部署補充程式時,仍然可能會發生問題。在部署補充程式之前,您必須建立可將系統還原到原始狀態的行動計畫。
在某些情況下,此計畫包括在安裝之前對伺服器進行快照備份,讓伺服器可以在問題發生時快速地還原。您應徹底測試您的組織設計的復原計畫。
部署補充程式
如果測試非常順利,表示您已準備就緒,可在組織中部署補充程式。部署的方法很多,其中包括下列方法和程序:
手動部署
Microsoft 或其他廠商提供的自動部署工具。
環境內建或為環境自訂的指令碼。
注意:如需有關部署補充程式的其他資訊,請參閱 Microsoft TechNet 文件<套用 Service Pack、Hotfix 與安全性補充程式的最佳作法>(英文),網址是:https://www.microsoft.com/technet/security /bestprac/bpsp.mspx。
手動部署
手動安裝 Hotfix 是最常見的安裝方法。此方法僅需執行與每台伺服器上的 Hotfix 相對應的可執行檔即可。但是,如果您的組織有許多伺服器,此方法則不切實際。由於 Trey Research 的伺服器數量並不多,而且遍佈於多個地方,因此手動部署是目前的補充程式部署方法。
大多數 Hotfix 的名稱可提供有關修正程式的重要資訊。例如:Hotfix 的標準名稱為 Q292435_W2K_SP3_x86_en.exe。在此情況下:
Q292435 是 KB 文件編號,可提供有關 Hotfix 的更多資訊。
W2K 是所適用的產品 (Microsoft Windows 2000)。
SP3 是包含在其中的 Service Pack。
x86 是適用的處理器架構。
en 表示 Hotfix 的發行語言 (在此情況下為英文)。
注意:檔案名稱為 QXXXXXX.exe、且名稱後未附加 W2K_SP3_x86 的 Hotfix 專門適用於 Microsoft Internet Explorer 之類的應用程式。
Hotfix 還支援多個命令列參數,可以用來控制 Hotfix 安裝程序的行為。這些參數列於下表:
表 6.3:Hotfix 可執行檔的參數
| 參數 | 說明 |
|---|---|
| -y | 執行解除安裝 |
| -f | 關機時強制應用程式關閉 |
| -n | 不建立解除安裝目錄 |
| -z | 更新完成後不重新啟動 |
| -q | 使用無訊息模式 — 無 UI |
| -m | 使用自主式模式 |
| -l | 列出已安裝的 Hotfix |