Jak si usnadnit záplatování softwaru

instalovat potřebné záplaty? Hlavní problém odstraňování chyb v softwaru dnes spočívá v úspěšné implementaci be...


instalovat potřebné záplaty?
Hlavní problém odstraňování chyb v softwaru dnes spočívá v úspěšné implementaci
bezpečnostních záplat v síťovém prostředí, kde není možné a účelné složitě
konfigurovat jednotlivé pracovní stanice nebo servery. Důležité je rovněž
vypořádat se s nutností udržet na co nejaktuálnější úrovni celý informační
systém firmy.
Bezpečnostní chyby (samotný Microsoft je dělí na kritické, důležité, středně
závažné a chyby s nízkou pravděpodobností zneužití) se objevují v nepravidelných
intervalech. Nelze tudíž zavést pravidlo "aktualizuj každý
měsíc/týden/den/hodinu apod." Ostatně, stačí si uvést několik případů. V tabulce
na této straně je uvedeno několik příkladů bezpečnostních chyb společně s daty
jejich zveřejnění a prvního zneužití.
Třeba chyba ISAPI Unchecked Buffer byla zneužívána první verzí internetového
červa CodeRed a stejně tak jednou z jeho pokročilých variant CodeRed.F, která se
ale objevila až v březnu 2003. Bohužel, stále bylo, je a bude značné množství
nezáplatovaných počítačů kritické chyby obsahujících. Příkladem může být právě
CodeRed, který se internetem šíří dodnes a který se pravděpodobně bude šířit až
do okamžiku, kdy se jím využívaný systém (Microsoft Index Server 2.0 nebo
Indexing Service s nainstalovanými Windows 2000 nebo Internet Information
Server) stane morálně a technicky zastaralým.
Podobným případem budiž třeba i chyba I-Frame Trick známá od března 2001
(umožňuje automaticky spustit přílohu e-mailové zprávy bez zásahu lidské ruky).
Kdykoliv se ale dnes (skoro čtyři roky po jejím oznámení) vyskytne e-mailový
červ tuto chybu využívající, má jistotu velkého úspěchu.

Nástroje
Pokud využíváte operační systém Windows XP s instalovaným Service Packem 2, je
zde Security Center s funkcí Automatic Updates, která se o sledování aktuálnosti
aktualizací operačního systému přímo stará (smůlu mají vlastníci nelegálních
kopií systému, které instalaci mnohých záplat včetně SP2 neumožňují). V
ostatních případech je potřeba zavítat na stránky windowsupdate.microsoft.com,
které automaticky poskytují:
lchybějící aktualizace na základě identifikace operačního systému
ldetaily o stahovaných aktualizacích
ldetaily o (ne)úspěchu aktualizace
ldistribuci aktualizací pomocí SUS (Software Update Service).
Práci administrátorům v sítích přitom výrazně usnadňuje právě posledně jmenovaná
(bezplatná) služba SUS (resp. její nová verze WUS Windows Update Service). Jedná
se o doplněk pro systémy Windows 2000 a Windows Server 2003, který má za cíl co
nejvíce zjednodušit instalaci všech možných záplat do počítačů v rámci
firmy/organizace. SUS je instalována jako webová služba, která administrátorům
umožňuje rychle a pohodlně instalovat aktualizace do pracovních stanic se
systémy Windows 2000 a XP a serverů Windows Server 2003. Příjemnou vlastností je
skutečnost, že aktualizace jsou nejprve uloženy na server SUS a až po schválení
(otestování), jsou odtud stahovány na jednotlivá místa v síti. Právě otestování
nasazovaných záplat (v malé-nekritické části sítě, na zkušebním PC apod.) je
zvláště ve velkých sítích doporučováno, protože není nic horšího než problémy
vyvolané právě "pomocí" aktualizací.
Služba se skládá ze dvou základních částí. V prvé řadě je to Microsoft Software
Update Services. Jedná se o serverovou část instalovanou na server Windows 2000.
Ta se synchronizuje s veřejným serverem Windows Update, čímž je zajištěna
dostupnost všech kritických záplat. Synchronizaci je přitom možné nastavit jako
ručně prováděnou nebo zcela automatickou. K dispozici je v anglické a v japonské
jazykové mutaci.

Automatické aktualizace
Druhou částí je služba Automatické aktualizace, která je spuštěna na klientských
počítačích. Služba Automatické aktualizace je součástí systému Windows 2000 SP3
a vyšší, Windows XP SP1 a vyšší a Windows Server 2003. Dále je možné ji
nainstalovat do systému Windows 2000 SP2 a Windows XP. Umožňuje serverům a
klientským počítačům se systémem Windows připojovat se k serveru se službou SUS
a stahovat povolené aktualizace. Administrátor může stanovit politiku, na jejímž
základě se jednotliví klienti budou připojovat k příslušných serverům (včetně
časového plánu, aby nedocházelo k přetěžování lokální sítě). Služba Automatické
aktualizace je k dispozici ve 24 jazykových mutacích včetně češtiny. Instalace
služby Automatické aktualizace přitom nevylučuje možnost stahování záplat přímo
ze serveru Windows Update přes příslušnou webovou stránku nebo volbu v nabídce
Start.
Služba podporuje:
lĘkritické aktualizace operačních systémů Windows
lĘopravy zabezpečení systémů Windows (na úrovni kritické, důležité, střední i
nízké ohrožení)
lĘinkrementální aktualizace služby Windows Update
lĘaktualizace SP pro systémy Windows 2000, Windows XP a Windows Server 2003.
Dalším zajímavým a užitečným nástrojem, který je určený ke správě záplat (ale i
dalších bezpečnostních parametrů), je MBSA (Microsoft Baseline Security
Analyzer). Ten je také k dispozici zdarma. Mezi jeho další klady patří příjemné
grafické rozhraní, snadnost obsluhy a konfigurace. Jedinou výtkou je snad
skutečnost, že není k dispozici v češtině, což může některým uživatelům působit
určité potíže.
Použití MBSA je velice jednoduché a intuitivní. Jeho nejnovější verze MBSA 1.2.1
je schopná kontrolovat kromě (ne)přítomnosti bezpečnostních záplat také další
nedostatky.
MBSA funguje na systémech Windows 2000, Windows XP a Windows Server 2003. Krom
samozřejmé kontroly těchto platforem provádí komplexní kontrolu (možná je i
pomocí vzdáleného přístupu) bezpečnostních nastavení a aktualizací Windows NT
4.0, IIS, SQL serveru, Internet Exploreru a kancelářského balíku Office. Jeho
záběr v oblasti kontroly záplat je pak ještě výrazně širší a obsahuje prakticky
kompletní portfolio společnosti Microsoft (Exchange Server, Windows Media
Player, MDAC, MSXML, Microsoft Virtual Machine aj.)
Produkt MBSA je určen všem uživatelům počítačů, ať již jde o administrátory či o
domácí uživatele. Prostě všem těm, kteří si chtějí své počítače se systémy
Windows udržovat v co nejméně zranitelné konfiguraci. Produkt je možné stáhnout
z adresy www.microsoft.com/technet/security/ tools/mbsahome.mspx.

Nikdy nekončí
Záplatování není jednorázovou událostí, ale dlouhodobým procesem, který je navíc
komplikován absencí přesných pravidel (zvláště četnost aktualizací). Navíc
záplatování není možné redukovat pouze na produkty jednoho dodavatele, protože
platí, že bezpečnostní chyby obsahuje drtivá většina softwaru.

Chyby v softwaru včera a dnes
Ještě před několika lety se chyby odstraňovaly vydáváním nových verzí programů.
To se ale časem ukázalo jako přinejmenším problematické. Nové verze totiž byly
vydávány (z hlediska uživatelů či administrátorů) nepříjemně často a
přeinstalací bývalo často ztraceno mnoho informací nastavení apod. Náročná byla
i vlastní přeinstalace: časově i technicky. Jaké problémy by přineslo
odstraňování problémů tímto způsobem na bázi operačního systému raději
nepřemýšlet. Proto vznikly různé záplaty (někdy označované také jako bug fixes,
critical updates nebo security fixes). Jedná se vlastně o instalační balíčky,
které je možné aplikovat na existující systém bez nutnosti dalších zásahů (resp.
je nutné provést maximálně restart). Jejich nasazení není ani časově náročné,
ani technicky složité.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.