安全补丁更新

1安全补丁更新中国教育和科研网紧急响应组（CCERT）清华大学信息网络工程研究中心郑先伟电子邮件：starry@ccert.edu.cn电话：010－62784301传真：010－62785933地址：清华大学中央主楼3102主要内容一、补丁管理的概念1、为什么要安装补丁程序2、补丁管理的十大法则3、补丁管理面临的问题二、常用的补丁安装与管理方法1、手工安装补丁程序windows、linux、solaris………3主要内容2、自动在线更新（OnlineUpdate）*nux系统的在线升级Up2dateApt-getportcvsWindows系统的在线升级AUtoupdateSUSSMSWUSCCERT安全资源管理系统NAC4为什么要安装补丁程序没有绝对安全的系统与应用软件2004年微软发布的45个安全公告，共修补了漏洞82个，推出补丁程序45类其中windows2000系统补丁程序24个windowsxp系统补丁程序21个windows2003系统补丁程序21个5为什么要安装补丁程序绝大多数的蠕虫病毒依靠系统漏洞进行传播CodeRed蠕虫利用的是IIS5.0或者IIS4.0的漏洞MS01-033Slammer蠕虫利用的是SQLserver的漏洞MS02-039Nachi蠕虫利用的是win2000和xp的rpc漏洞MS03-026Sasser蠕虫利用的是windows系统的Lsass缓冲区溢出漏洞MS04-0116为什么要安装补丁程序扫描和利用系统漏洞攻击是黑客最常用的攻击手段针对系统漏洞最有效的方法就是安装补丁程序因此防范病毒和攻击，我们第一步要做的就是安装系统补丁7补丁管理的十大法则法则法则11、打补丁保安全是基本常识。、打补丁保安全是基本常识。法则法则22、如果一开始就没注意安全问题的话，打、如果一开始就没注意安全问题的话，打补丁也没有用。补丁也没有用。法则法则33、对错误的判断是没有补丁可打的。、对错误的判断是没有补丁可打的。法则法则44、对于自己有什么软件不清楚的话是没法、对于自己有什么软件不清楚的话是没法打补丁的。打补丁的。法则法则55、最有效的补丁是不需要打的补丁。、最有效的补丁是不需要打的补丁。8补丁管理的十大法则法则法则66、一个服务包（、一个服务包（ServicePackServicePack）包含多个）包含多个补丁。补丁。法则法则77、补丁们生而不平等。、补丁们生而不平等。法则法则88、永远不要在看到攻击代码之后再决定是、永远不要在看到攻击代码之后再决定是否打补丁。除非你真地看到了。否打补丁。除非你真地看到了。法则法则99、不管你是否自知，每个人都有一个自己、不管你是否自知，每个人都有一个自己的补丁策略。的补丁策略。法则法则1010、补丁管理是真正的风险管理。、补丁管理是真正的风险管理。9补丁管理面临的问题留给我们用来打补丁的时间越来越少如何快速有效的将补丁分发到客户端成了补丁管理最关键的问题10内容导航一、补丁管理的概念1、为什么要安装补丁程序2、补丁管理的十大法则3、补丁管理面临的问题二、常用的补丁安装与管理方法11常用的补丁安装方法•手动安装补丁程序•系统管理员手动把补丁程序下载到本地后进行安装•自动在线更新（OnlineUpdate）•使用系统提供的自动更新程序进行补丁安装•例如：•Windows的autoupdate12手动安装补丁程序的方法•Windows系统•补丁程序后缀名为.exe或者.msi，下载后直接双击运行•Linux系统•补丁程序包通常是rpm格式的，请使用以下命令安装•Rpm–Fvh补丁程序名（如sendmail-8.12.8-1.0.rpm)•Solaris系统•补丁程序的后缀名为.zip，请先用gzip命令解压然后使用如下命令安装补丁•Patchadd/补丁包的路径/（如./random/)13在线自动更新补丁的方法*nux系统的在线升级Up2dateApt-getportcvsWindows系统的在线升级AUtoupdateSUSSMSWUSCCERT安全资源管理系统NAC14OnlineUpdate的优势•自动：不需人工干预；•快速：在攻击代码出现之前分发到桌面；•可靠：在网络出现故障时能够工作；•安全：完整性、来源的真实性；•可扩展：大规模网络；15OnlineUpdate主要应用•新版本软件分发•补丁管理•安全信息•安全工具•解决方案•…anything16在线自动更新补丁的方法*nux系统的在线升级Up2dateApt-getportcvsWindows系统的在线升级AUtoupdateSUSSMSWUSCCERT安全资源管理系统NAC17RedHat的在线更新•下载–up2date-gnome-2.8.40-3.7.3.i386.rpm–up2date-2.8.40-3.7.3.i386.rpm–rhn_register-gnome-2.8.27-1.7.3.i386.rpm–rhn_register-2.8.27-1.7.3.i386.rpm•安装–rpm-Fvhrhn_register-*–rpm-Fvhup2date-*•注册账号–•运行更新1819步骤一：注册用户20步骤二：启动自动更新程序21第三步：选择更新安全补丁22第四步：选择系统版本23第五步：选择需要更新的补丁24第六步：补丁下载并安装25第七步：补丁安装完成26在线自动更新补丁的方法*nux系统的在线升级Up2dateApt-getportcvsWindows系统的在线升级AUtoupdateSUSSMSWUSCCERT安全资源管理系统NAC27利用apt-get更新•vim/etc/apt/sources.list•#apt-getupdate•#apt-getinstalllibc6perllibdb2debconf•#apt-getinstallaptapt-utilsdselectdpkg•#apt-setupnoprobe28CVS的基本使用方法•初始化CVS–cvsinit•导入项目到CVS中去–cvsimport-mstartmyproject:Netantsnetantsyoyostart•从CVS中导出项目–cvscheckoutnetants•保存修改到CVS中–cvscommit-mMadesomeusefulchangesonsomefiles•添加文件到项目中–cvsaddftp.cftp.h;cvscommitftp.cftp.h-mAddtwofiles:ftp.candftp.h•从项目中删除文件–rmnetants.h;cvsremovenetants.h;cvscommitnetants.h-mDeleteafile.•设定特定版本号–cvstagrelease0-1•更新当前工作目录中的文件–cvsupdate-j1.5-j1.3netants.c29FreeBSD的在线更新•更新portstree–将/usr/share/examples/cvsup中的ports-supfile复制到/root中。–改动更新服务器为某个cvsup服务器。–cvsup-g-L2/root/ports-supfile•安装新软件–cd/usr/ports/misc/gnuls–makeinstallclean30微软的四种解决方案•WindowsUpdate•SUS•SMS•WUS31323334WindowsUpdateWindows2000sp3winxpsp1Windows2003后系统自带了Autoupdate的组件，我们可以通过点击控制面板内的自动更新选项来配置这项服务！35微软的四种解决方案•WindowsUpdate•SUS•SMS•WUS36SUS简介微软的SoftwareUpdateServices(SUS)是微软为客户提供的，致力于帮助用户对基于WIN2000/XP/2003等机器快速部署最新的重要更新和安全更新的免费软件。SUS由服务器组件和客户端组成。服务器组件负责软件更新服务，称为SUS服务器，用于安装在公司内网的Windows2000或Windows2003的服务器上。服务器提供通过基于Web的工具管理和分发更新的管理功能。而客户端组件就是微软的自动更新服务（AutomaticUpdates），负责接收从服务器中产品更新的计算机上运行。37下载更新列表下载更新列表下载被批准的的更新下载被批准的的更新SoftwareUpdateServicesSUS配置方案一InternetInternetSUSSUS服务器服务器WindowsUpdateWindowsUpdateServerServer管理员管理员检测是否有可用更新检测是否有可用更新从从WindowsWindowsUpdateServerUpdateServer下下载被批准的更新载被批准的更新防火墙防火墙WindowsUpdateWindowsUpdateServerServer38SoftwareUpdateServicesSUS配置方案二InternetInternetSUSSUS服务器服务器WindowsUpdateWindowsUpdateServerServer管理员管理员下载更新下载更新检查是否有被批准的检查是否有被批准的更新更新下载更新下载更新防火墙防火墙39SoftwareUpdateServicesSUS配置方案三广域网广域网SUSSUS服务器服务器11SUSSUS服务器服务器22同步同步40SUS客户端配置方法两种方法：1、通过组策略管理器配置2、通过修改注册表配置详细的SUS配置方法请参见CCERT的SUS服务网站：微软的四种解决方案•WindowsUpdate•SUS•SMS•WUS42SMS简介SystemsManagementServer（SMS）是微软提供的面向企业的网络管理软件，它是基于Windows2000动态目录管理，适用于大型企业。它能够协助系统管理员轻松收集企业内部计算机硬件配置和所安装的软件清单，准确判断哪些机器需要更新，哪些机器可以运行新的软件。SMS提供了远程故障处理工具，很大程度上减少企业维护成本。43SMS利用SUS扩展功能包扩展功能包的工作流程扫描工具包同步主机InternetInternet安装阶段同步阶段扫描更新阶段需更新的客户端软件更新工具包补丁库SMS服务器SMS服务器123456667896分布式软件更新向导44内建的分布式结构可以规划和避免通信流量支持层次结构和交叉拷贝n/a分布式在补丁分发和服务器同步方面在补丁分发方面No网络带宽优化YesNoNo通知客户端所有补丁、更新和服务包。同时支持其他厂商补丁、更新和应用程序安装。只有安全补丁,关键更新和服务包。所有补丁、更新和服务包。支持的软件WindowsVersionsNT4.0,2000,Server2003,XP,98WindowsVersions2000,Server2003,XPWindowsVersionsNT®4.0,2000,Server2003,XP,ME,98支持的系统平台SMS2003SUS1.0WindowsUpdate功能上述三种方法的比较45$免费免费费用Yesn/an/a补丁库管理Yesn/an/a配置计划全面有限No补丁安装情况报告管理员不同粒度控制管理员自动控制或用户手工控制手工，终端用户控制补丁安装和可规划性高级基本无补丁分布式控制46微软的四种解决方案•WindowsUpdate•SUS•SMS•WUS47WUSWindowsUpdateServices（WUS）是微软新的系统补丁发放服务器，它是SUS的继任者.WUS提供了必需的报告功能而且可以更新OfficeXP/2003，Exchange2003和SQL（以及MSDE）2000。而且在以后也会加入对其他应用程序更新的支持。目前WUS还属于公开测试阶段，只支持Win2000Server