Záplatujte nejen operační systémy s vyspělými nástroji

Řada administrátorů si dnes stále ještě nehodlá připustit, že reálné

zabezpečení firemní sítě je založeno nikoliv na dobrodružných scénářích, ale

povětšinou na každodenní rutinní údržbě. Naprosto nezbytným nástrojem je tak

při administraci rozsáhlejšího síťového prostředí především systém pro správu a

distribuci záplat a bezpečnostních aktualizací operačních systémů. Zanedbání

tohoto faktoru často otevírá smrtící cestu pro všemožné škodlivé kódy či přímo

specifické útočné aktivity.



Microsoft jako výrobce dominantního klientského operačního systému Windows tuto

oblast po dlouhou dobu nepovažoval za svou nejvyšší prioritu, což byl jistě i

jeden z důvodů, proč řada jiných dodavatelů vyvinula svá řešení, jež jsou často

součástí mnohem pokročilejších administrátorských balíků. Microsoft svůj

přístup ale přehodnotil, když před zhruba třemi lety uvedl nejprve řešení

Software Update Services (SUS) jako první generaci svého patch managementu. Na

ni v těchto měsících navazuje očekávané uvedení druhé generace v podobě zásadně

vylepšeného řešení Windows Server Update Services (WSUS, označované také jako

WUS). O výrazný zásah na trhu s nástroji pro patch management jde především

proto, že je Microsoft nabízí zdarma. Byť je úzce specializovaným softwarem,

dokáže svou dedikovanou funkcionalitou řadě konkurentů ubrat vítr z plachet.

Obzvláště citelné to bude v případech, kdy zákazníci pouze z důvodu absence

centralizované správy záplat sáhli k řešení se širšími možnostmi v podstatě z

nouze. Náš test několika produktů je tedy odrazem vývoje v této oblasti, kdy

proti sobě stojí tradiční, osvědčení dodavatelé robustních administrátorských

balíků a atraktivní varianta od Microsoftu s ideálním poměrem cena/výkon.



Na co jsme se zaměřili

Do našeho přehledu jsme zařadili několik produktů z různých částí nabídkového

spektra. Jelikož drtivá většina řešení nabízí správu záplat a updatů jen jako

jednu ze svých funkcí či pouze v podobě modulu, bylo by pochopitelně velmi

komplikované a ve výsledku též zavádějící sestavit přímé a jednoznačné srovnání

a říci, která z možností je lepší či horší. V našem srovnání najdete jak

specializované řešení pro kontrolu zabezpečení a následnou distribuci oprav,

tak i rozsáhlý manažerský software, pro nějž je distribuce a kontrola záplat a

bezpečnostních děr pouze jedním z mnoha úkolů. Cílem našeho přehledu tedy spíše

bylo nastínit rámec, v němž se správa systémů po stránce aktualizace operačních

systémů provádí.

Při porovnávání jednotlivých technologií jsme se zaměřili na několik význačných

parametrů, které budou bezesporu určující v případě, že budete hledat svou

ideální variantu. Jedním z klíčových ukazatelů je nutnost instalace klientských

modulů/agentů na cílové počítače. Tato vlastnost bývá typicky spojena se šíří

dalších možností při správě, neboť přítomnost klientského softwaru pochopitelně

nabízí zcela jiné možnosti při následných analýzách či ovládání agent na

vzdáleném počítači tak slouží mnoha dalším modulům, a ne jen správě záplat, pro

niž je však také nezbytný. Další podstatnou výbavou je skenovací nástroj, který

eventuálně dokáže chybějící záplaty odhalit a doporučit jejich aplikaci.

Kvalita takovéto operace může být dosti proměnlivá, případně může úplně chybět.

Dalším významným parametrem je možnost vzdálené či automatizované odinstalace

jednou distribuovaných záplat či komponent. Neméně důležitým aspektem je i

podpora operačních systémů, i když naším primárním cílem bylo představit řešení

pro platformu Windows. V neposlední řadě jsme se rozhodli při výběru několika

řešení z mnoha zohlednit dostupnost a podporu na tuzemském trhu. Ve všech námi

zvolených případech je software dodáván zavedenými tuzemskými distributory,

takže řešení případných problémů by nemělo narazit na komunikační bariéru.

Veškerá řešení, o nichž je v tomto článku pojednáno, byla vyzkoušena v našich

testovacích podmínkách. Pro instalaci serverových, řídicích částí byl využit

jak Windows 2000 Advanced Server, tak Windows 2003 Server Enterprise Edition, a

to jak v prostředí doménovém, tak bez Active Directory.



GFI LANguard Network Security Scanner 6.0

Mezi administrátory poměrně dobře známý nástroj společnosti GFI patří v naší

přehlídce řešení mezi ty úzce zaměřené. To je patrné již z jeho názvu: slouží k

hromadnému auditu zabezpečení počítačů s operačním systémem Windows a vedle

řady parametrů konfiguračních, jako jsou přístupné síťové porty, sdílené zdroje

či nezabezpečené CGI skripty na službách WWW, také kontroluje přítomnost

bezpečnostních aktualizací a záplat, a to včetně možnosti následné distribuce.

Nástroj je instalován jako samostatná, graficky orientovaná aplikace, což s

sebou nese některé výhody. Nemusíte například provozovat webovou službu IIS a

před instalací nejste nuceni sestavit mozaiku různých komponent, jako je třeba

MS .Net Framework, ve správném pořadí a verzích. Pro ukládání provozních dat

dokáže program využít stávající databázi v podobě MS SQL Serveru (resp. MSDE)

nebo si dokáže vytvořit vlastní souborově orientované databáze formátu MS

Access v provedení „runtime“ (Access tedy není potřeba).

Výrobcem zvolená koncepce správy nevyžaduje předběžně instalovanou

aplikaci-agenta na straně cílových počítačů. Řídicí program totiž komunikuje s

pomocí běžných protokolů a stav cílového stroje testuje na základě údajů z

databáze Registry a dalších konfiguračních „zákoutí“. Prostředkem průzkumu jsou

tedy TCP/IP a související protokoly, především NetBIOS s příslušným aplikačním

rozhraním a také SNMP. Ačkoliv absence použití klientských komponent značně

usnadňuje samotný proces nasazení, těsně s ní na druhou stranu souvisí určitá

nevýhoda jednou doinstalované záplaty nelze bezpečně a kontrolovaně odstranit.

Protože nástroj nepracuje s „tlustými“ agenty, a nemá tedy průběžný přehled o

dění ve svém okolí, je kontrola síťového prostředí založena na kompletním

skenování zadaného rozsahu síťových adres, případně celého segmentu dle síťové

masky. Velmi detailní výsledky průzkumu pak poslouží jako podklad pro samotné

doručení a instalování záplat: administrátor může vybrat libovolnou kolekci

nalezených počítačů, vzdáleně prověřit jejich role (doménový řadič, RAS/VPN

Server, SQL Server) a posléze spustit přesně specifikovaný update včetně jeho

detailního načasování. Samozřejmostí je zde také enumerace počítačů dle

členství v doménovém prostředí.

K distribuci záplat je možno přistoupit na základě výsledků skenování, přičemž

vašim „cílem“ se může stát jak jednotlivý počítač, tak celá skupina, jejíž

definici zajistí jeden z mnoha filtrů pracujících s výsledkem průzkumu. Lze

přitom postupovat po krocích postupný download a instalace vybraných záplat v

různých kombinacích nebo hromadně a najednou, bez další zbytečné interakce.

Prostřednictvím dálkové správy je možné vyžádat si souhlas vzdálených, lokálně

pracujících uživatelů, vynutit či naopak odložit restart systému, pozastavit

pro účely updatu některé služby (třeba IIS) a také rozeslat všeobecná varování.

Jednou z velkých předností nástroje z dílny GFI je kvalita reportů a jejich

přehlednost. Skvěle jsou zpracovány výsledky samotných skenů a zkoumání

chybějících záplat je doprovázeno kvalitním komentářem včetně aktivních odkazů

na příslušné stránky výrobce. Také jednoznačné zaměření celé aplikace značně

usnadňuje práci a zpřehledňuje ovládání. Na druhou stranu, v oblasti distribuce

samotných záplat nenabízí firma GFI žádnou přidanou hodnotu, neboť záplaty jsou

stahovány přímo ze serverů Microsoftu, a nejsou tedy nijak dále testovány.

Při našich testech jsme ocenili především bezproblémovou instalaci, bleskové

nasazení a bezvýhradnou funkcionalitu. Přestože se jedná primárně o nástroj na

bezpečnostní kontrolu a speciálně záplatování, nabízí nám program také řadu

dalších zajímavých funkcí: vzdálenou distribuci dalšího softwaru (jiného než

záplaty), audit služeb SQL Serveru či SNMP a také kontrolu bezpečnostně

citlivých periferií, jako jsou USB disky či Wi-Fi přípojné komponenty.

Nezanedbatelnou výhodou tohoto softwaru je rovněž způsob licencování dle počtu

obsluhovaných adres IP a poměrně nízká cena.



LANDesk Patch Manager 8.5

Řešení stejnojmenné společnosti LANDesk Software představuje v naší výběrové

kolekci zhruba střední cestu: zdaleka se nejedná jen o software pro doručování

a aplikování bezpečnostních záplat, neboť zahrnuje několik dalších modulů, ale

na druhé straně ještě nejde o robustní řešení. Samotný modul pro správu záplat

Patch Manager je totiž součástí kolekce LANDesk Management Solutions, v níž

dále najdeme třeba nástroje pro distribuci operačních systémů a dalších

aplikací na cílové počítače, pokročilá rozhraní pro vzdálenou administraci a

reportování, ale také rozhraní pro správu „kapesních“ počítačů. Možná právě

zajímavá historie produktu býval jednou z divizí gigantu Intel dala vzniknout

též podpoře napříč platformami, takže řešení se neomezuje jen na cílové

počítače s Windows.

Základem instalace a použití jakéhokoliv modulu LANDesku (Patch Manageru

nevyjímaje) je předchozí zavedení hlavní části, tzv. Management Suite. Toto

řídicí centrum nekompromisně trvá na přítomnosti některých komponent, jako je

webová služba IIS či MS SQL Server alespoň v podobě desktopové edice.

Instalační průvodce v naší testovací síti ale vše korektně detekoval a po

splnění těchto podmínek bezchybně dokončil instalaci. Nutno poznamenat, že je

striktně požadovaná komponenta MS .Net Framework 1.1, neboť novější (2.0 beta)

testovaný systém odmítl.

Systém LANDesk je založen na přítomnosti klientské komponenty agenta na

cílových, tzv. spravovaných (managed) počítačích. K dispozici je několik

variant jeho distribuce a instalace, počínaje spuštěním přes sdílený síťový

disk a konče automatizovaným doručením na míru upraveného balíčku s dálkovým

spouštěním. Plně ovladatelný, a tedy i „záplatovatelný“ vzdálený počítač je

pouze ten, jehož nově nainstalované specifické klienstké služby jsou v chodu.

Záplatování pomocí Patch Manageru je založeno na prvotním průzkumu pomocí

zabudovaného skeneru. S jeho pomocí lze odhalit nejen chybějící bezpečnostní

opravy, ale umí také rozpoznat případný „profláknutý“ spyware a případné

slabiny v konfiguraci samotné. Klíčovou konkurenční výhodou řešení LANDesku je

centralizovaná distribuce záplat právě tímto dodavatelem, takže administrátor

není zcela odkázán na originální produkci Microsoftu. V ceně licence je tedy

především služba LANDesku v podobě dodatečného otestování uvolňovaných záplat a

jejich následné, kontrolované distribuce.

Všechna spravovaná zařízení se mohou stát předmětem opakovaného či

jednorázového, poměrně sofistikovaného skenování. Definovat lze jak více úloh

pro každou skupinu strojů, tak opakování v různorodých intervalech. Velkou

předností tohoto řešení je právě univerzálnost při definování akcí: spravované

stroje lze sestavit do libovolných skupin, těm přiřadit skenování ve formě

opakovaných úloh či politik, jež zodpovídají za průběžné dodržování nastolených

zásad, a to vše pak lze svázat s následnou automatickou distribucí a

implementací záplat. I v případě samotného zavedení updatů má administrátor

naprosto volnou ruku a může volit mezi metodami volnějšími či autoritativní,

automatickou distribucí. Jednou z výhod zvoleného řešení v podobě klientské

služby/agenta je i možnost v případě nastalých nesrovnalostí navrátit cílový

systém do stavu před instalací. Podpora „rollback“ akce je zde významným

faktorem pro usnadnění řešení vznikajících obtíží.

Patch management v podání LANDesku je rozhodně propracovanou součástí

promyšlené mozaiky. Jeho ovládání sice není tak průzračné, jako tomu bylo u

GFI, ovšem to je dáno širší koncepcí celého produktu, kde správa záplat hraje

jen jednu z rolí. Kvalita poskytovaný reportů, možnosti dobrého řízení a

propracovaná distribuce v podobě načasování a případného multicastování za

účelem snížení síťové zátěže vypovídají o propracované koncepci. Velmi jsme

ocenili také možnost třídění všech bezpečnostních definic do námi připravené

hierarchie, dle níž jsme posléze detailně řídili síťové skeny. Případné zájemce

o tento produkt potěší příznivá koncepce licencování, neboť zákazník platí

pouze za počet spravovaných stanic, bez ohledu na množství implementovaných

řídicích a distribučních serverů.



Altiris Patch Management Solution 6.0

Stejnojmenné řešení společnosti Altiris pro totální správu rozsáhlého síťového

prostředí jistě mnoha administrátorům není třeba představovat. Nástroj pro

patch management je v rámci tohoto řešení jen kamínkem v rozsáhlé mozaice, i

když pochopitelně dost důležitým na druhou stranu je potřeba poznamenat, že je

dokonale sladěn se svým okolním prostředím a perfektně do celé koncepce zapadá.

Na naší pomyslné škále procházející od úzce specializovaných nástrojů po

globální, víceúčelové „pavučiny“ se Altiris rozhodně kloní k onomu

univerzálnímu konci, a to jak svou koncepcí, tak návrhem ovládacího rozhraní.

Právě principiální všestrannost vyžaduje, aby jako základ celého systému byl

nejdříve nainstalován tzv. Notification Server (aktuálně ve verzi 6), a

jednotlivé součásti (Solutions), jako třeba správa záplat, jsou pak přidávány

podle potřeby. Na rozdíl od ostatních námi testovaných řešení se software

Altiris při prvotní instalaci sveřepě bránil a zdolat se jej povedlo až po

zavedení na „čistá“ Windows 2003 bez SP1 s plnohodnotným MS SQL Serverem 2000

(s verzí MSDE jsme nebili úspěšní). Předtím generované chyby prakticky vždy

souvisely s přístupovými právy, a proto nepodceňujte konfiguraci MS .Net

Frameworku či služby IIS. Po úspěšném zprovoznění produktu jsme již

nezaznamenali žádné potíže, přičemž překvapeni jsme byli (na robustnost

produktu)jeho praktickou správou: ovládací rozhraní je důsledně koncipováno

jako webová aplikace nad ASP .Net, takže veškeré konzole jsou generovány do

webového prohlížeče.

Správa systémem Altiris je založena na distribuci klientských aplikací-agentů,

z čehož rovněž vyplývá silný potenciál, projevující se v oblasti patch

managementu možností odinstalace jednou distribuovaného materiálu. Zcela

bezproblémová byla práce jak s prohledávací procedurou pro zjištění

potenciálních cílů k administraci, tak následná distribuce agenta na cílový

počítač, jenž je stahován automaticky v případě potřeby z internetu (pro česká

Windows byl správně doručen v odpovídající lokalizaci).

Z hlediska koncepce patch managementu je jistě důležitým faktorem, že Altiris

nezahrnuje vlastní skenovací nástroj pro kontrolu cílových počítačů. Vývojáři

se v případě kontroly spravovaného prostředí rozhodli spoléhat na aplikaci

Microsoft Baseline Security Analyzer, jež tomuto účelu dokáže výborně

posloužit. Dalším důležitým faktorem je přímé přenesení rizika spojeného s

kvalitou záplat na dodavatele v rámci tohoto patch managementu bohužel

neexistuje žádná služba v podobě prostředníka, jenž by záplaty Microsoftu

dodatečně testoval či jinak prověřoval před další distribucí. Řízení následné

distribuce záplat je založeno na pokročilé koncepci inventarizace, kde je možno

počítače striktně rozdělit prostřednictvím politik na skupiny s různými nároky.

Samotná distribuce jednotlivých záplat je následně prováděna pomocí dalších

agentů, určených čistě k distribuci softwarových balíčků. Komplexní řízení je

samozřejmě navrženo patřičně zeširoka: neočekávaje přímočará, jednoduchá

řešení, ale důslednou přípravu v podobě tvorby distribučních balíčků, politik a

spravovaných skupin.

Altiris je systém jednoznačně navržený pro robustní, komplexní správu, a proto

ani patch management jako jeho součást nemůže být výjimkou. Přestože se jedná o

spletité, místy velmi rozsáhlé prostředí, ovládání má poměrně rychle

pochopitelnou logiku, avšak je potřeba počítat s důslednou přípravnou fází a

určitým koncepčním přístupem. Nejedná se v žádném případě o instantní řešení na

rychlé odstranění bolavých míst v síti. Při jeho masivním nasazení však oceníte

mimo jiné koncepci dynamických reportů, centralizovanou správu veškerých zdrojů

a především pak pokročilá bezpečnostní nastavení na základě definovaných

uživatelských rolí. Obrovská síla Altirisu se pochopitelně projeví v případě,

že patch management není jediný modul, jejž využíváte.



Microsoft Windows Update Services (WUS)

Testovali jsme rovněž betaverzi systému Windows Update Services. Tento produkt

představuje opravdovou alternativu k existujícím specializovaným výrobkům patch

managementu (potřebujete-li levné řešení zaměřené na Windows), jakými jsou

například PatchLink nebo Shavlik.

Windows Update Services (WUS), jehož finální verzi Microsoft ohlásil na první

polovinu tohoto roku, obsahuje zcela nový reportovací modul. Ten dovoluje

správci konfigurovat profily záplat na základě skupin počítačů. Dále umožňuje

záplatovat i další programy Microsoftu, jako je Office, Exchange, SQL Server a

Microsoft Data Engine běžící na strojích Windows.

Agentský software potřebný pro správnou funkci WUS je přitom obsažen již ve

Windows 2000 (od SP3), dále pak Windows XP a 2003. Administrátor tak již nemusí

věnovat čas obsluze zvláštních agentů.

Aby WUS zůstal konkurenceschopný specializovaným produktům patch managementu,

implementoval Microsoft podporu záplat pro výrobky třetích stran primárními

příklady jsou Adobe Acrobat a RealPlayer. Jednou z nejběžnějších stížností na

předchozí verzi SUS bylo to, že neobsahovala žádné reportovací možnosti, což,

jak jsme se již zmínili, se zásadně změnilo. Reportovací modul WUS sice nabízí

více méně základní funkčnost, což jsme však vzhledem k „ceně“ produktu

očekávali.

Jak dobře WUS podává zprávy o stavu instalovaných aktualizací, jsme prověřovali

u naší skupiny serverů, přičemž jsme zjistili, že je těžké rychle určit, které

záplaty byly na jaký počítač nainstalovány. Rádi bychom, aby byl reportovací

modul rozšířen o dodatečné volby, jako jsou možnosti reportů vytvářených na

základě aktualizací, které byly instalovány/odstraněny ve vybraném období, a

dle aktualizací, které byly instalovány/odstraněny pro danou produktovou

skupinu. WUS umí rovněž pracovat se skupinami. Počítače nyní do nich mohou být

libovolně přiřazeny, přičemž lze definovat různé záplaty a postup nasazení pro

různé skupiny počítačů. Lze tak například určit různý postup pro servery a

koncové uživatelské stanice, jež jsou všechny spravovány z jednoho WUS serveru.

V minulosti jste k tomu potřebovali dva různé SUS servery.

Počítače mohou být přitom zařazeny do skupin jednoduše ručně pomocí

administrativního rozhraní WUS nebo automaticky pomocí nastavení skupinové

politiky, což při našem testování fungovalo bez problémů. Prostě jsme přiřadili

počítače skupinám definovaným s adresáři Active Directory, a ony se automaticky

registrovaly do příslušných skupin ve WUS. Konkrétní počítače mohou být ale

přiřazeny pouze jedné skupině, my bychom však přivítali možnost definovat je ve

více skupinách. WUS také obsahuje množství menších vylepšení vlastností. Nyní

mohou být záplaty odinstalovány v případě, že jejich nasazení způsobuje

problémy, a proto musí být odstraněny. Microsoft také učinil mnoho menších změn

k lepšímu ohledně zobrazení informací o záplatách.

Jelikož Microsoft často vydává záplaty, které nahrazují ty předchozí, umožní

vám WUS aktuální záplatu prohlédnout a rozpoznat, které starší nahrazuje.

Můžete si také prohlédnout existující záplaty a podívat se, zda je ty nové

nahradily.

Rádi bychom ve WUS viděli výstražný modul, který by upozorňoval správce na to,

že byly staženy nové aktualizace nebo že nasazení záplat na počítače selhalo.

Nyní je to řešeno tak, že správce se musí nejprve k WUS serveru přihlásit a až

poté se na tyto informace může podívat.



Shrnutí

Z předchozích recenzí doufejme jasně vyplynulo to, co jsme v úvodu opatrně

předestřeli: není samozřejmě možné mezi testovanými produkty vybrat

jednoznačného vítěze (to ani nebylo našim cílem). Jde o tři poměrně různorodá

řešení, jež spolu s technologií WUS od Microsoftu vytváří tu nejpestřejší

mozaiku produktů. Na této škále jsme se od naprosto dedikované varianty, jíž je

produkt Microsoftu, postupně propracovali ke správcovskému řešení v

nejuniverzálnější podobě tento pól zastupuje Altiris s produktem Patch

Management Solution. Námi první testovaná aplikace od společnosti GFI je

jednoznačnou volbou pro administrátory preferující rychlost nasazení a

jednoduchost ovládání, neboť nevyžaduje instalaci agentů ani složitou

konfiguraci politik. Na druhou stranu představuje přidanou hodnotu „pouze“ v

oblasti bezpečnosti. Hledáte-li řešení rozsáhlejší, které je zároveň dobře

ovladatelné, sáhněte po LANDesku. Ten podporuje i instalaci operačních systémů

samotných, neopomíjí správu „kapesních“ počítačů, nežije pouze platformou

Windows a jeho zavedení je středně náročné na plánování a čas. Není-li ale

vaším cílem pouze patch management, ale komplexní správa s maximálními

možnostmi, přibližujete se k produktu společnosti Altiris.

Specifickým problémem, jenž je všem představovaným platformám s výjimkou

nativního řešení Microsoftu společný, je nemožnost přímočaré distribuce záplat

pro české lokalizace operačních systémů Windows, ačkoliv v případě některých

(například u LANDesku) existují hodnověrné zprávy o brzké změně k lepšímu.

Pokud tento problém zásadně ovlivňuje vaše rozhodnutí, neberte jej na lehkou

váhu, neboť priority dodavatelů „velkých“ řešení často leží mimo náš region. A

pokud je toto pro vás jednoznačnou prioritou, nezbývá než říci, že řešení

SUS/WUS jsou prozatím jednoznačně ve výhodě.

Závěrem zdůrazněme, že ani na hledisko cenové nelze nahlížet zjednodušeně: cena

za jednu spravovanou stanici je zdánlivě jednoznačným ukazatelem, ale

nezapomeňte vzít v potaz opět skutečnost, že některé z produktů jsou

rozšiřitelné o další moduly podstatně snáze, což další případné investice jistě

sníží.