Появление вируса MSBlaster, «освоившего» слабые места Windows, вновь выдвинуло на первый план проблему управления исправлениями. Опять разгорелись дискуссии на тему поиска виноватых в несостоятельности защиты и ответственных за своевременное обновление программного обеспечения.
По словам Скотта Кальпа, курирующего стратегические вопросы защиты в рамках Trustworthy Computing, в Microsoft развернута полномасштабная деятельность по совершенствованию программ коррекции и практики их распространения. «В первую очередь необходимо уменьшить потребность в программах коррекции, — заявил он. — Microsoft идет по пути повышения уровня безопасности своих программных продуктов за счет реализации инициативы Trustworthy Computing и программ лицензирования исходных кодов».
В масштабах компании ведется работа по консолидации управления обновлениями программного обеспечения. Например, такие службы, как Microsoft Baseline Security Analyzer (MBSA), Systems Management Server (SMS), Software Update Services (SUS), Windows Update и Office Update, предусматривают различный порядок сканирования, отчетности и установки программ коррекции. Планируется уменьшение числа технологий установки программных исправлений с восьми до двух: одна для операционной системы и одна для приложений. Кроме того, все разнообразие технологий сканирования и отчетности предполагается свести к единому набору базовых функций (API), встраиваемых в Windows.
По словам Кальпа, в группу по решению задачи консолидации управления обновлениями программного обеспечения входят представители каждого крупного коллектива разработчиков, что позволит обеспечить работоспособность новой единой системы управления для всех основных линий продуктов. В процесс вовлечены группы, занимающиеся всеми версиями Windows, а также устройствами Pocket PC.
Приведем такой пример. Предположим, некий представитель малого бизнеса использует Microsoft Small Business Server (SBS), обслуживающий 10 компьютеров. Перед системным администратором стоит задача обеспечения установки важных обновлений на всех машинах. Администратор решает эту задачу путем доступа к каждому компьютеру и проверки записей в реестре или меток даты/времени динамической библиотеки (DLL). Консолидированная система управления позволит администратору ограничиться доступом к системе SBS для получения отчета о состоянии устройств с указанием необходимых для каждого из них программных обновлений. Такой объединенный подход позволит значительно сэкономить время и усилия администратора, необходимые для поддержания серверов и обслуживаемых устройств на должном уровне защищенности.
Модель PatchLink
Мне также удалось побеседовать с президентом компании PatchLink Шоном Моширом. Начиная с 1996 года упомянутая компания занимается разработкой корпоративной системы управления программными обновлениями, охватывающей, помимо программ Microsoft, продукты UNIX, Linux, Solaris и NetWare. В двух словах, система PatchLink предполагает использование сервера и агента на каждом обслуживаемом устройстве (серверах, персональных компьютерах, Pocket PC). Серверу обновлений PatchLink известно состояние каждого подключенного устройства. Агент PatchLink просматривает метки времени/даты библиотеки DLL и записи в реестре и атрибуты, на основе чего выводит точную оценку состояния устройства. Пульт администратора PatchLink базируется на Web-службах, что делает возможным управление обновлением любой поддерживаемой операционной системы из среды браузера. Технология PatchLink также позволяет разрабатывать собственные программы коррекции, отменять установленные обновления и постоянно контролировать состояние каждого устройства.
Приведем пример, иллюстрирующий работу технологии PatchLink по реализации программы коррекции, предназначенной для защиты от атак MSBlaster. Сначала центральный сервер управления PatchLink производит загрузку программы коррекции с сайта Microsoft и проверяет работу этой программы в условиях испытательного комплекса, насчитывающего 250 компьютеров. Программе коррекции присваиваются уникальный идентификатор и сигнатура c описанием отношений между программами, необходимыми для применения данного обновления. Программа, идентификатор и сигнатура оформляются в виде объекта PatchLink. Пользователи выполняют загрузку этого объекта с центрального сервера на локальный сервер PatchLink. Сервер составляет список устройств, нуждающихся в установке обновления, и на основе этого списка администратор разрабатывает план установки. Сервер и агент совместно обеспечивают развертывание программных исправлений и составляют отчет о состоянии устройств.
Куда движется Microsoft?
Система PatchLink, на мой взгляд, является воплощением основной цели корпорации Microsoft. Поставив перед собой задачу установки программных обновлений во все продукты, руководство Microsoft надеется, что приложения Windows, создаваемые независимыми разработчиками, будут использовать наборы сканирующих функций API. Вряд ли следует ожидать, что создаваемая Microsoft система управления обновлениями будет предусматривать поддержку этих технологий для Linux или Solaris, поэтому данное решение никогда не станет универсальным. Однако любое движение в сторону централизованного управления обновлением программ, конечно же, приветствуется.
Марк Смит — бывший ИТ-менеджер и основатель журнала Windows&.NET Magazine/RE. С ним можно связаться по адресу: mark@elucidator.net