廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2228 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 弱點修補管理
弱點修補管理
http://www.cert.org.tw/documen....php?key=105
--------------------------------------------------------------------------------

  所有的軟體,無論是作業系統、應用程式、OFFICE 系列甚至各種網路服務如HTTP或
是FTP,都可能在程式撰寫過程中,由於考慮不夠周詳而存在軟體漏洞。這些漏洞可能會
造成使用者權限異常提升、非授權的使用者存取到機密或敏感資料或導致企業或個人提供
的網路服務無法正常運作。更甚者,駭客針對種種漏洞製作的攻擊程式或病毒,造成的危
害對現在資訊化的社會所造成的衝擊越來越嚴重,前者可能使普通的電腦使用者可以輕易
地進行駭客的舉動,令人防不勝防;而後者更有可能導致全世界Internet的暫時癱瘓,造
成損失將以億元美金計算。

  2004年著名的Sassar殺手病毒,利用微軟Windows 作業系統(NT/2000/XP)的漏洞進
行散佈,除了造成未修補漏洞的電腦不斷重複開機以外,傳遞速度之快使得眾多銀行甚至
必須關閉電腦主機,而採用傳統的紙筆交易。此次病毒所造成的影響,估計全球損失達30
億美元。

  就台灣的情況而言,絕大多數的使用者用戶端都採用Windows作業系統,目前Windows
XP已經發行近五年,也是佔據大多數PC的主要環境。微軟公司每個月都會發佈最新的漏洞
與相關修補資訊,我們可於以下網址查詢:
http://www.microsoft.com/taiwan/se...s/default.mspx

  一般來說,微軟的漏洞編號以年份命名,格式為:MS(年份)-編號。例如:"Microsoft
安全性公告 MS06-048" 表示這是2006年的第48號安全性公告。
HOTFIX檔案office2000-kb921568-fullfile-enu.exe,的命名規則如下:
(1)office2000 - 表示這是適用於Microsoft Office 2000下的修補程式。
(2)kb921568 - 微軟知識庫(Microsoft Knowledge Database) 編號為 kb921568,也就是
說搜尋kb921568便可找到關於這個hotfix更詳細的說明。
(3)fullfile-enu - 表示本修補程式適合系統語言為英文,如需不同語言的修正程式可於
下載時選擇。

  歷經一段時間後,整合多個修補程式的累積修正包便會發佈,方便使用者更有效率的
進行各種漏洞的修補。例如:Service Pack是累積一段時間後的大規模修補程式,各版本
Service Pack 都採累進式,也就是說在安裝Windows XP的Service Pack 2前,不需事先
安裝Service Pack 1與其他之前的修補程式。

  此外需要注意的還有,如果某些修補程式是由第三方的資訊安全廠商發佈的,建議除
非本漏洞對於組織或個人產生十分急迫的威脅或微軟尚未進行更新,否則不建議安裝非微
軟的修補程式。另外除了安裝微軟針對旗下軟體發佈的Service Pack外,在每個Service
Pack發佈之間的時段,亦需要隨時注意微軟發佈的修正hotfix,隨時補齊任何可能威脅個
人或企業的漏洞。

  所有的軟體更正與修補程式都會在各原廠網站公佈,多數的系統廠商會進行Advisory
的通報,以求即時。然而這些方式對於防範目前的系統漏洞是相當不足的,一般來說,組
織內的使用者沒有特別注意修補訊息的習慣,就算是在資訊部門提示下,也常常會因為資
訊落差,甚至連修補的進行方法都無法了解,更何況去針對通報的訊息尋找修補檔案。惡
意的程式目前甚至達成所謂的"零時差攻擊"(zero-day attack),也就是說在系統廠商公佈
系統漏洞的當天,就會有人針對該弱點發布攻擊程式或是進行侵入方法,更讓系統管理者
防不勝防。

  由上可知,如果組織內所有的主機皆能進行自動的修補,那麼對於組織的資訊安全以
及攻擊後續產生的巨大修正成本都能有效避免。

  市面上有許多針對修補漏洞的軟體,依據不同組織的特性又可以採用"需安裝代理程式"
或"不需代理程式"兩種修補軟體。若組織內部主機變化較大,或常有移動式的裝置,那麼
採用需安裝代理程式的修補軟體是不錯的選擇。若組織需要針對某單位的主機進行修補的
檢驗,那麼使用不需代理程式的修補軟體會較為便利。以下介紹數套修補程式:

1. Windows Update、Office Update
微軟作業系統內建的修補功能,可以設定自動進行下載修補更新,甚至自動安裝。使用方
式對於大多數使用者也相當容易,只要點選程式集中的Windows Update便會自動連接到
Microsoft的更新網站,也可以安裝微軟相關的應用程式;該網站也有Office Update功能
可以點選進行更新,安裝完更新後請重新開機使修補程式生效。使用這種修補方式有三個
缺點:
(1)無法更新Windows以外的系統:Windows Update是微軟提供的服務,無法支援其他的應
用程式或系統。
(2)管理不便:資訊部門無法針對使用者是否進行某更新進行管理,如果發生如Windows XP
Service Pack 2發行時產生的相容性問題,那麼後續的處理更是麻煩。
(3)浪費資源:組織中所有的主機皆連接到微軟網站下載更新,相當沒有效率且耗費網路資
源。
Windows Update網站 http://windowsupdat...oft.com
Office Update網站 http://officeupdate...oft.com

2. Software Update Services (SUS)
SUS是微軟發佈的免費修補服務,本軟體使用IIS模擬出Windows Update網站的功能,系統
需求為Microsoft Windows Server 2000與2003搭配IIS即可。使用者端需要進行組態設定
即可將Windows Update的目標轉為內部的SUS主機。進行更新時,管理者可以明確定義那些
修補需要安裝,那些修正檔案不需要安裝,目前已經進步到WSUS。

3. Systems Management Server(SMS)
Microsoft Systems Management Server 2003 增強了許多功能,並且使用微軟發佈的MBSA
與Inventory Tool (盤點工具)來進行組織內部的弱點分析與組織內部資產的管理。SMS比起
SUS強大許多,最大的差異是可以由管理端直接要求用戶端安裝修補,而SUS只能被動等用戶
端進行更新。SMS的系統需求比起SUS複雜許多,Server端需要安裝SQL Server 並且組織內
必須建置Active Directory (AD) ,如此一來當使用者主機加入網域時便會部署原先設定的
程式。

4. PatchLink Update
PatchLink Update這套管理軟體不僅提供類似SMS,並且擁有SMS無法比擬的功能:支援
Linux以及其他作業系統。PatchLink Update透過用戶代理程式,可以監看各個用戶端目前
的修補情形,用戶端軟體的安裝清單也可以一覽無遺。

5. HFNetChkPro
HFNetChkPro 這套修補軟體不需要在使用者端安裝任何代理程式,透過Microsoft Baseline
Security Analyzer (MBSA) 引擎進行掃描,並產生相對應的報表。安裝修補程式時本軟體
不需要在用戶端事先安裝代理程式是一特點。

  就算在組織中的資訊部門,修補管理還是相當新的觀念,近年來微軟幾個重大的漏洞
及對應產生的蠕蟲如NIMDA、Blaster、Sasser的風暴所造成的損失才讓大家驚覺系統漏洞
的可怕。Blaster病毒是Microsoft發布該漏洞約一個月後才出現,但是到Sasser 出現時,
與漏洞發佈的間隔已經縮短為兩個禮拜。這種趨勢只會越來越快,因此針對軟體進行修補
最重要的概念就是 -- 即時。資訊部門必須注意並隨時蒐集各種弱點警訊,如果沒有在最
短時間將漏洞補齊,那麼惡意程式碼還是會透過各種途徑進入防火牆內的系統。

  對於大多數的公司或組織而言,修補管理概念最重要的一點是設定標準的修補程序給
所有的使用者知道。網管人員或系統管理者必須知道修補的重要性,尤其現在許多公司的
服務缺乏Internet便無法正確執行,任何的惡意程式或病毒都會產生對公司極大的威脅。
然而修補程式本身也是一套軟體,也有可能會出現漏洞,這方面的漏洞也是管理者需要特
別留心的。

參考資料:
(1)TaiwanCNET http://taiwan....com/
(2)Microsoft安全性公告
http://www.microsoft.com/taiwan/se...s/default.mspx
(3)行政院資通安全會報-技術服務中心 http://www.ics....tw/
(4)IThome http://www.itho...m.tw/
(5)Tom's Hardware Guide http://www.th....tw/



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:台灣 | Posted:2006-11-06 20:37 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.067502 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言