Záplatujte nejen operační systémy s vyspělými nástroji

1. 4. 2005

Sdílet

Řada administrátorů si dnes stále ještě nehodlá připustit, že reálné zabezpečení firemní sítě je založeno nik...
Řada administrátorů si dnes stále ještě nehodlá připustit, že reálné
zabezpečení firemní sítě je založeno nikoliv na dobrodružných scénářích, ale
povětšinou na každodenní rutinní údržbě. Naprosto nezbytným nástrojem je tak
při administraci rozsáhlejšího síťového prostředí především systém pro správu a
distribuci záplat a bezpečnostních aktualizací operačních systémů. Zanedbání
tohoto faktoru často otevírá smrtící cestu pro všemožné škodlivé kódy či přímo
specifické útočné aktivity.

Microsoft jako výrobce dominantního klientského operačního systému Windows tuto
oblast po dlouhou dobu nepovažoval za svou nejvyšší prioritu, což byl jistě i
jeden z důvodů, proč řada jiných dodavatelů vyvinula svá řešení, jež jsou často
součástí mnohem pokročilejších administrátorských balíků. Microsoft svůj
přístup ale přehodnotil, když před zhruba třemi lety uvedl nejprve řešení
Software Update Services (SUS) jako první generaci svého patch managementu. Na
ni v těchto měsících navazuje očekávané uvedení druhé generace v podobě zásadně
vylepšeného řešení Windows Server Update Services (WSUS, označované také jako
WUS). O výrazný zásah na trhu s nástroji pro patch management jde především
proto, že je Microsoft nabízí zdarma. Byť je úzce specializovaným softwarem,
dokáže svou dedikovanou funkcionalitou řadě konkurentů ubrat vítr z plachet.
Obzvláště citelné to bude v případech, kdy zákazníci pouze z důvodu absence
centralizované správy záplat sáhli k řešení se širšími možnostmi v podstatě z
nouze. Náš test několika produktů je tedy odrazem vývoje v této oblasti, kdy
proti sobě stojí tradiční, osvědčení dodavatelé robustních administrátorských
balíků a atraktivní varianta od Microsoftu s ideálním poměrem cena/výkon.

Na co jsme se zaměřili
Do našeho přehledu jsme zařadili několik produktů z různých částí nabídkového
spektra. Jelikož drtivá většina řešení nabízí správu záplat a updatů jen jako
jednu ze svých funkcí či pouze v podobě modulu, bylo by pochopitelně velmi
komplikované a ve výsledku též zavádějící sestavit přímé a jednoznačné srovnání
a říci, která z možností je lepší či horší. V našem srovnání najdete jak
specializované řešení pro kontrolu zabezpečení a následnou distribuci oprav,
tak i rozsáhlý manažerský software, pro nějž je distribuce a kontrola záplat a
bezpečnostních děr pouze jedním z mnoha úkolů. Cílem našeho přehledu tedy spíše
bylo nastínit rámec, v němž se správa systémů po stránce aktualizace operačních
systémů provádí.
Při porovnávání jednotlivých technologií jsme se zaměřili na několik význačných
parametrů, které budou bezesporu určující v případě, že budete hledat svou
ideální variantu. Jedním z klíčových ukazatelů je nutnost instalace klientských
modulů/agentů na cílové počítače. Tato vlastnost bývá typicky spojena se šíří
dalších možností při správě, neboť přítomnost klientského softwaru pochopitelně
nabízí zcela jiné možnosti při následných analýzách či ovládání agent na
vzdáleném počítači tak slouží mnoha dalším modulům, a ne jen správě záplat, pro
niž je však také nezbytný. Další podstatnou výbavou je skenovací nástroj, který
eventuálně dokáže chybějící záplaty odhalit a doporučit jejich aplikaci.
Kvalita takovéto operace může být dosti proměnlivá, případně může úplně chybět.
Dalším významným parametrem je možnost vzdálené či automatizované odinstalace
jednou distribuovaných záplat či komponent. Neméně důležitým aspektem je i
podpora operačních systémů, i když naším primárním cílem bylo představit řešení
pro platformu Windows. V neposlední řadě jsme se rozhodli při výběru několika
řešení z mnoha zohlednit dostupnost a podporu na tuzemském trhu. Ve všech námi
zvolených případech je software dodáván zavedenými tuzemskými distributory,
takže řešení případných problémů by nemělo narazit na komunikační bariéru.
Veškerá řešení, o nichž je v tomto článku pojednáno, byla vyzkoušena v našich
testovacích podmínkách. Pro instalaci serverových, řídicích částí byl využit
jak Windows 2000 Advanced Server, tak Windows 2003 Server Enterprise Edition, a
to jak v prostředí doménovém, tak bez Active Directory.

GFI LANguard Network Security Scanner 6.0
Mezi administrátory poměrně dobře známý nástroj společnosti GFI patří v naší
přehlídce řešení mezi ty úzce zaměřené. To je patrné již z jeho názvu: slouží k
hromadnému auditu zabezpečení počítačů s operačním systémem Windows a vedle
řady parametrů konfiguračních, jako jsou přístupné síťové porty, sdílené zdroje
či nezabezpečené CGI skripty na službách WWW, také kontroluje přítomnost
bezpečnostních aktualizací a záplat, a to včetně možnosti následné distribuce.
Nástroj je instalován jako samostatná, graficky orientovaná aplikace, což s
sebou nese některé výhody. Nemusíte například provozovat webovou službu IIS a
před instalací nejste nuceni sestavit mozaiku různých komponent, jako je třeba
MS .Net Framework, ve správném pořadí a verzích. Pro ukládání provozních dat
dokáže program využít stávající databázi v podobě MS SQL Serveru (resp. MSDE)
nebo si dokáže vytvořit vlastní souborově orientované databáze formátu MS
Access v provedení "runtime" (Access tedy není potřeba).
Výrobcem zvolená koncepce správy nevyžaduje předběžně instalovanou
aplikaci-agenta na straně cílových počítačů. Řídicí program totiž komunikuje s
pomocí běžných protokolů a stav cílového stroje testuje na základě údajů z
databáze Registry a dalších konfiguračních "zákoutí". Prostředkem průzkumu jsou
tedy TCP/IP a související protokoly, především NetBIOS s příslušným aplikačním
rozhraním a také SNMP. Ačkoliv absence použití klientských komponent značně
usnadňuje samotný proces nasazení, těsně s ní na druhou stranu souvisí určitá
nevýhoda jednou doinstalované záplaty nelze bezpečně a kontrolovaně odstranit.
Protože nástroj nepracuje s "tlustými" agenty, a nemá tedy průběžný přehled o
dění ve svém okolí, je kontrola síťového prostředí založena na kompletním
skenování zadaného rozsahu síťových adres, případně celého segmentu dle síťové
masky. Velmi detailní výsledky průzkumu pak poslouží jako podklad pro samotné
doručení a instalování záplat: administrátor může vybrat libovolnou kolekci
nalezených počítačů, vzdáleně prověřit jejich role (doménový řadič, RAS/VPN
Server, SQL Server) a posléze spustit přesně specifikovaný update včetně jeho
detailního načasování. Samozřejmostí je zde také enumerace počítačů dle
členství v doménovém prostředí.
K distribuci záplat je možno přistoupit na základě výsledků skenování, přičemž
vašim "cílem" se může stát jak jednotlivý počítač, tak celá skupina, jejíž
definici zajistí jeden z mnoha filtrů pracujících s výsledkem průzkumu. Lze
přitom postupovat po krocích postupný download a instalace vybraných záplat v
různých kombinacích nebo hromadně a najednou, bez další zbytečné interakce.
Prostřednictvím dálkové správy je možné vyžádat si souhlas vzdálených, lokálně
pracujících uživatelů, vynutit či naopak odložit restart systému, pozastavit
pro účely updatu některé služby (třeba IIS) a také rozeslat všeobecná varování.
Jednou z velkých předností nástroje z dílny GFI je kvalita reportů a jejich
přehlednost. Skvěle jsou zpracovány výsledky samotných skenů a zkoumání
chybějících záplat je doprovázeno kvalitním komentářem včetně aktivních odkazů
na příslušné stránky výrobce. Také jednoznačné zaměření celé aplikace značně
usnadňuje práci a zpřehledňuje ovládání. Na druhou stranu, v oblasti distribuce
samotných záplat nenabízí firma GFI žádnou přidanou hodnotu, neboť záplaty jsou
stahovány přímo ze serverů Microsoftu, a nejsou tedy nijak dále testovány.
Při našich testech jsme ocenili především bezproblémovou instalaci, bleskové
nasazení a bezvýhradnou funkcionalitu. Přestože se jedná primárně o nástroj na
bezpečnostní kontrolu a speciálně záplatování, nabízí nám program také řadu
dalších zajímavých funkcí: vzdálenou distribuci dalšího softwaru (jiného než
záplaty), audit služeb SQL Serveru či SNMP a také kontrolu bezpečnostně
citlivých periferií, jako jsou USB disky či Wi-Fi přípojné komponenty.
Nezanedbatelnou výhodou tohoto softwaru je rovněž způsob licencování dle počtu
obsluhovaných adres IP a poměrně nízká cena.

LANDesk Patch Manager 8.5
Řešení stejnojmenné společnosti LANDesk Software představuje v naší výběrové
kolekci zhruba střední cestu: zdaleka se nejedná jen o software pro doručování
a aplikování bezpečnostních záplat, neboť zahrnuje několik dalších modulů, ale
na druhé straně ještě nejde o robustní řešení. Samotný modul pro správu záplat
Patch Manager je totiž součástí kolekce LANDesk Management Solutions, v níž
dále najdeme třeba nástroje pro distribuci operačních systémů a dalších
aplikací na cílové počítače, pokročilá rozhraní pro vzdálenou administraci a
reportování, ale také rozhraní pro správu "kapesních" počítačů. Možná právě
zajímavá historie produktu býval jednou z divizí gigantu Intel dala vzniknout
též podpoře napříč platformami, takže řešení se neomezuje jen na cílové
počítače s Windows.
Základem instalace a použití jakéhokoliv modulu LANDesku (Patch Manageru
nevyjímaje) je předchozí zavedení hlavní části, tzv. Management Suite. Toto
řídicí centrum nekompromisně trvá na přítomnosti některých komponent, jako je
webová služba IIS či MS SQL Server alespoň v podobě desktopové edice.
Instalační průvodce v naší testovací síti ale vše korektně detekoval a po
splnění těchto podmínek bezchybně dokončil instalaci. Nutno poznamenat, že je
striktně požadovaná komponenta MS .Net Framework 1.1, neboť novější (2.0 beta)
testovaný systém odmítl.
Systém LANDesk je založen na přítomnosti klientské komponenty agenta na
cílových, tzv. spravovaných (managed) počítačích. K dispozici je několik
variant jeho distribuce a instalace, počínaje spuštěním přes sdílený síťový
disk a konče automatizovaným doručením na míru upraveného balíčku s dálkovým
spouštěním. Plně ovladatelný, a tedy i "záplatovatelný" vzdálený počítač je
pouze ten, jehož nově nainstalované specifické klienstké služby jsou v chodu.
Záplatování pomocí Patch Manageru je založeno na prvotním průzkumu pomocí
zabudovaného skeneru. S jeho pomocí lze odhalit nejen chybějící bezpečnostní
opravy, ale umí také rozpoznat případný "profláknutý" spyware a případné
slabiny v konfiguraci samotné. Klíčovou konkurenční výhodou řešení LANDesku je
centralizovaná distribuce záplat právě tímto dodavatelem, takže administrátor
není zcela odkázán na originální produkci Microsoftu. V ceně licence je tedy
především služba LANDesku v podobě dodatečného otestování uvolňovaných záplat a
jejich následné, kontrolované distribuce.
Všechna spravovaná zařízení se mohou stát předmětem opakovaného či
jednorázového, poměrně sofistikovaného skenování. Definovat lze jak více úloh
pro každou skupinu strojů, tak opakování v různorodých intervalech. Velkou
předností tohoto řešení je právě univerzálnost při definování akcí: spravované
stroje lze sestavit do libovolných skupin, těm přiřadit skenování ve formě
opakovaných úloh či politik, jež zodpovídají za průběžné dodržování nastolených
zásad, a to vše pak lze svázat s následnou automatickou distribucí a
implementací záplat. I v případě samotného zavedení updatů má administrátor
naprosto volnou ruku a může volit mezi metodami volnějšími či autoritativní,
automatickou distribucí. Jednou z výhod zvoleného řešení v podobě klientské
služby/agenta je i možnost v případě nastalých nesrovnalostí navrátit cílový
systém do stavu před instalací. Podpora "rollback" akce je zde významným
faktorem pro usnadnění řešení vznikajících obtíží.
Patch management v podání LANDesku je rozhodně propracovanou součástí
promyšlené mozaiky. Jeho ovládání sice není tak průzračné, jako tomu bylo u
GFI, ovšem to je dáno širší koncepcí celého produktu, kde správa záplat hraje
jen jednu z rolí. Kvalita poskytovaný reportů, možnosti dobrého řízení a
propracovaná distribuce v podobě načasování a případného multicastování za
účelem snížení síťové zátěže vypovídají o propracované koncepci. Velmi jsme
ocenili také možnost třídění všech bezpečnostních definic do námi připravené
hierarchie, dle níž jsme posléze detailně řídili síťové skeny. Případné zájemce
o tento produkt potěší příznivá koncepce licencování, neboť zákazník platí
pouze za počet spravovaných stanic, bez ohledu na množství implementovaných
řídicích a distribučních serverů.

Altiris Patch Management Solution 6.0
Stejnojmenné řešení společnosti Altiris pro totální správu rozsáhlého síťového
prostředí jistě mnoha administrátorům není třeba představovat. Nástroj pro
patch management je v rámci tohoto řešení jen kamínkem v rozsáhlé mozaice, i
když pochopitelně dost důležitým na druhou stranu je potřeba poznamenat, že je
dokonale sladěn se svým okolním prostředím a perfektně do celé koncepce zapadá.
Na naší pomyslné škále procházející od úzce specializovaných nástrojů po
globální, víceúčelové "pavučiny" se Altiris rozhodně kloní k onomu
univerzálnímu konci, a to jak svou koncepcí, tak návrhem ovládacího rozhraní.
Právě principiální všestrannost vyžaduje, aby jako základ celého systému byl
nejdříve nainstalován tzv. Notification Server (aktuálně ve verzi 6), a
jednotlivé součásti (Solutions), jako třeba správa záplat, jsou pak přidávány
podle potřeby. Na rozdíl od ostatních námi testovaných řešení se software
Altiris při prvotní instalaci sveřepě bránil a zdolat se jej povedlo až po
zavedení na "čistá" Windows 2003 bez SP1 s plnohodnotným MS SQL Serverem 2000
(s verzí MSDE jsme nebili úspěšní). Předtím generované chyby prakticky vždy
souvisely s přístupovými právy, a proto nepodceňujte konfiguraci MS .Net
Frameworku či služby IIS. Po úspěšném zprovoznění produktu jsme již
nezaznamenali žádné potíže, přičemž překvapeni jsme byli (na robustnost
produktu)jeho praktickou správou: ovládací rozhraní je důsledně koncipováno
jako webová aplikace nad ASP .Net, takže veškeré konzole jsou generovány do
webového prohlížeče.
Správa systémem Altiris je založena na distribuci klientských aplikací-agentů,
z čehož rovněž vyplývá silný potenciál, projevující se v oblasti patch
managementu možností odinstalace jednou distribuovaného materiálu. Zcela
bezproblémová byla práce jak s prohledávací procedurou pro zjištění
potenciálních cílů k administraci, tak následná distribuce agenta na cílový
počítač, jenž je stahován automaticky v případě potřeby z internetu (pro česká
Windows byl správně doručen v odpovídající lokalizaci).
Z hlediska koncepce patch managementu je jistě důležitým faktorem, že Altiris
nezahrnuje vlastní skenovací nástroj pro kontrolu cílových počítačů. Vývojáři
se v případě kontroly spravovaného prostředí rozhodli spoléhat na aplikaci
Microsoft Baseline Security Analyzer, jež tomuto účelu dokáže výborně
posloužit. Dalším důležitým faktorem je přímé přenesení rizika spojeného s
kvalitou záplat na dodavatele v rámci tohoto patch managementu bohužel
neexistuje žádná služba v podobě prostředníka, jenž by záplaty Microsoftu
dodatečně testoval či jinak prověřoval před další distribucí. Řízení následné
distribuce záplat je založeno na pokročilé koncepci inventarizace, kde je možno
počítače striktně rozdělit prostřednictvím politik na skupiny s různými nároky.
Samotná distribuce jednotlivých záplat je následně prováděna pomocí dalších
agentů, určených čistě k distribuci softwarových balíčků. Komplexní řízení je
samozřejmě navrženo patřičně zeširoka: neočekávaje přímočará, jednoduchá
řešení, ale důslednou přípravu v podobě tvorby distribučních balíčků, politik a
spravovaných skupin.
Altiris je systém jednoznačně navržený pro robustní, komplexní správu, a proto
ani patch management jako jeho součást nemůže být výjimkou. Přestože se jedná o
spletité, místy velmi rozsáhlé prostředí, ovládání má poměrně rychle
pochopitelnou logiku, avšak je potřeba počítat s důslednou přípravnou fází a
určitým koncepčním přístupem. Nejedná se v žádném případě o instantní řešení na
rychlé odstranění bolavých míst v síti. Při jeho masivním nasazení však oceníte
mimo jiné koncepci dynamických reportů, centralizovanou správu veškerých zdrojů
a především pak pokročilá bezpečnostní nastavení na základě definovaných
uživatelských rolí. Obrovská síla Altirisu se pochopitelně projeví v případě,
že patch management není jediný modul, jejž využíváte.

Microsoft Windows Update Services (WUS)
Testovali jsme rovněž betaverzi systému Windows Update Services. Tento produkt
představuje opravdovou alternativu k existujícím specializovaným výrobkům patch
managementu (potřebujete-li levné řešení zaměřené na Windows), jakými jsou
například PatchLink nebo Shavlik.
Windows Update Services (WUS), jehož finální verzi Microsoft ohlásil na první
polovinu tohoto roku, obsahuje zcela nový reportovací modul. Ten dovoluje
správci konfigurovat profily záplat na základě skupin počítačů. Dále umožňuje
záplatovat i další programy Microsoftu, jako je Office, Exchange, SQL Server a
Microsoft Data Engine běžící na strojích Windows.
Agentský software potřebný pro správnou funkci WUS je přitom obsažen již ve
Windows 2000 (od SP3), dále pak Windows XP a 2003. Administrátor tak již nemusí
věnovat čas obsluze zvláštních agentů.
Aby WUS zůstal konkurenceschopný specializovaným produktům patch managementu,
implementoval Microsoft podporu záplat pro výrobky třetích stran primárními
příklady jsou Adobe Acrobat a RealPlayer. Jednou z nejběžnějších stížností na
předchozí verzi SUS bylo to, že neobsahovala žádné reportovací možnosti, což,
jak jsme se již zmínili, se zásadně změnilo. Reportovací modul WUS sice nabízí
více méně základní funkčnost, což jsme však vzhledem k "ceně" produktu
očekávali.
Jak dobře WUS podává zprávy o stavu instalovaných aktualizací, jsme prověřovali
u naší skupiny serverů, přičemž jsme zjistili, že je těžké rychle určit, které
záplaty byly na jaký počítač nainstalovány. Rádi bychom, aby byl reportovací
modul rozšířen o dodatečné volby, jako jsou možnosti reportů vytvářených na
základě aktualizací, které byly instalovány/odstraněny ve vybraném období, a
dle aktualizací, které byly instalovány/odstraněny pro danou produktovou
skupinu. WUS umí rovněž pracovat se skupinami. Počítače nyní do nich mohou být
libovolně přiřazeny, přičemž lze definovat různé záplaty a postup nasazení pro
různé skupiny počítačů. Lze tak například určit různý postup pro servery a
koncové uživatelské stanice, jež jsou všechny spravovány z jednoho WUS serveru.
V minulosti jste k tomu potřebovali dva různé SUS servery.
Počítače mohou být přitom zařazeny do skupin jednoduše ručně pomocí
administrativního rozhraní WUS nebo automaticky pomocí nastavení skupinové
politiky, což při našem testování fungovalo bez problémů. Prostě jsme přiřadili
počítače skupinám definovaným s adresáři Active Directory, a ony se automaticky
registrovaly do příslušných skupin ve WUS. Konkrétní počítače mohou být ale
přiřazeny pouze jedné skupině, my bychom však přivítali možnost definovat je ve
více skupinách. WUS také obsahuje množství menších vylepšení vlastností. Nyní
mohou být záplaty odinstalovány v případě, že jejich nasazení způsobuje
problémy, a proto musí být odstraněny. Microsoft také učinil mnoho menších změn
k lepšímu ohledně zobrazení informací o záplatách.
Jelikož Microsoft často vydává záplaty, které nahrazují ty předchozí, umožní
vám WUS aktuální záplatu prohlédnout a rozpoznat, které starší nahrazuje.
Můžete si také prohlédnout existující záplaty a podívat se, zda je ty nové
nahradily.
Rádi bychom ve WUS viděli výstražný modul, který by upozorňoval správce na to,
že byly staženy nové aktualizace nebo že nasazení záplat na počítače selhalo.
Nyní je to řešeno tak, že správce se musí nejprve k WUS serveru přihlásit a až
poté se na tyto informace může podívat.

Shrnutí
Z předchozích recenzí doufejme jasně vyplynulo to, co jsme v úvodu opatrně
předestřeli: není samozřejmě možné mezi testovanými produkty vybrat
jednoznačného vítěze (to ani nebylo našim cílem). Jde o tři poměrně různorodá
řešení, jež spolu s technologií WUS od Microsoftu vytváří tu nejpestřejší
mozaiku produktů. Na této škále jsme se od naprosto dedikované varianty, jíž je
produkt Microsoftu, postupně propracovali ke správcovskému řešení v
nejuniverzálnější podobě tento pól zastupuje Altiris s produktem Patch
Management Solution. Námi první testovaná aplikace od společnosti GFI je
jednoznačnou volbou pro administrátory preferující rychlost nasazení a
jednoduchost ovládání, neboť nevyžaduje instalaci agentů ani složitou
konfiguraci politik. Na druhou stranu představuje přidanou hodnotu "pouze" v
oblasti bezpečnosti. Hledáte-li řešení rozsáhlejší, které je zároveň dobře
ovladatelné, sáhněte po LANDesku. Ten podporuje i instalaci operačních systémů
samotných, neopomíjí správu "kapesních" počítačů, nežije pouze platformou
Windows a jeho zavedení je středně náročné na plánování a čas. Není-li ale
vaším cílem pouze patch management, ale komplexní správa s maximálními
možnostmi, přibližujete se k produktu společnosti Altiris.
Specifickým problémem, jenž je všem představovaným platformám s výjimkou
nativního řešení Microsoftu společný, je nemožnost přímočaré distribuce záplat
pro české lokalizace operačních systémů Windows, ačkoliv v případě některých
(například u LANDesku) existují hodnověrné zprávy o brzké změně k lepšímu.
Pokud tento problém zásadně ovlivňuje vaše rozhodnutí, neberte jej na lehkou
váhu, neboť priority dodavatelů "velkých" řešení často leží mimo náš region. A
pokud je toto pro vás jednoznačnou prioritou, nezbývá než říci, že řešení
SUS/WUS jsou prozatím jednoznačně ve výhodě.
Závěrem zdůrazněme, že ani na hledisko cenové nelze nahlížet zjednodušeně: cena
za jednu spravovanou stanici je zdánlivě jednoznačným ukazatelem, ale
nezapomeňte vzít v potaz opět skutečnost, že některé z produktů jsou
rozšiřitelné o další moduly podstatně snáze, což další případné investice jistě
sníží.