В соответствии с информацией, опубликованной на сайте Microsoft Security Bulletin Search (http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/security/current.asp), в 2003 году Microsoft выпустила 51 исправление, затрагивающее безопасность работы всех выпускаемых компанией продуктов, т. е. в среднем выходит по четыре исправления в месяц. Из 51 исправления 25 относятся к платформе Windows 2000 и 15 — к Windows Server 2003 (причем последние появились за 6 месяцев с момента выхода новой операционной системы на рынок). В течение 2003 года мы также пережили 6 интегральных выпусков исправлений для поддерживаемых версий Microsoft Internet Explorer (IE), и это затронуло каждую станцию в наших компаниях. Последний Security Rollup для IE Microsoft выпустила 11 ноября 2003 года. Подробная информация об этом выпуске (ему присвоен статус critical) приводится в Microsoft Security Bulletin MS03-048 (Cumulative Security Update for Internet Explorer) по адресу http://www.microsoft.com/technet/treeview/ default.asp? url=/technet/security/Bulletin/MS03-048.asp.
Учитывая мнение пользователей в отношении процесса исправления компонентов системы безопасности, разработчики Microsoft внесли четыре важных изменения в процесс управления и опубликования исправлений для системы безопасности. Изменения вступили в силу с 15 октября 2003 года. Чтобы сократить поток бюллетеней, сопровождающийся титаническими усилиями с нашей с вами стороны, — нужно ведь загрузить исправление, оценить и развернуть его в сети компании, причем проделать это четыре раза в месяц, — в Microsoft было решено публиковать бюллетени безопасности и исправления во второй вторник каждого месяца. В соответствии с документом Revamping the Security Bulletin Release Process (http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/security/bulletin/revsbwp.asp) Microsoft станет делать исключение из этого правила только в том случае, если команда разработчиков компонентов системы безопасности решит, что заказчики подвергаются прямой угрозе вирусной атаки, распространения компьютерного «червя» или иной другой активности злоумышленников. При таких обстоятельствах в целях защиты интересов своих заказчиков Microsoft может выпустить исправление для системы безопасности максимально быстро.
Ознакомиться с обзором ежемесячных исправлений можно на странице Microsoft Security Bulletin Summaries (http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/security/bulletin/summary.asp). Бюллетень Microsoft Windows Security Bulletin Summary for November, 2003 (http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/security/bulletin/winnov03.asp) содержит краткое описание трех изъянов в системе безопасности, затрагивающих версии Windows начиная с Windows Me и более поздних версий. В бюллетене Microsoft Office Security Bulletin Summary for November, 2003 (http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/security/bulletin/offnov03.asp) приводится описание исправлений для устранения уязвимых мест Microsoft Word и Microsoft Excel в нескольких версиях Microsoft Office. В обоих итоговых документах содержатся ссылки на официальные бюллетени по каждому предлагаемому исправлению, где можно ознакомиться с описанием обнаруженной ошибки, рассмотреть наихудшие сценарии развития событий, а также изучить специальные приемы для устранения или смягчения последствий ошибки и, наконец, загрузить предлагаемое исправление.
Для централизованного хранения документации обо всех исправлениях для системы безопасности и уменьшения числа несоответствий между бюллетенями безопасности и статьями в Knowledge Base теперь Microsoft размещает информацию о каждой выпущенной программе коррекции в официальном бюллетене безопасности (Official Security Bulletin). Раньше компания придерживалась иной практики — часть материалов попадала в Security Bulletin, часть — в Knowledge Base. Microsoft продолжает публиковать статьи в Knowledge Base со ссылкой на источник в бюллетене безопасности; но теперь статья носит ссылочный характер — в ней содержится только ссылка на бюллетень безопасности и ничего более.
Я вижу несколько преимуществ, которые обеспечивает упрощенная процедура исправления компонентов системы безопасности. Во-первых, и это известно специалистам по безопасности, часто наличие уязвимых мест не означает непосредственную угрозу, поэтому вполне достаточно заниматься обслуживанием исправлений раз в месяц. Во-вторых, включение в бюллетени описаний специальных методик для устранения или смягчения последствий ошибки бывает очень полезно, поскольку многими слабыми местами при правильной настройке брандмауэра и фильтрации сетевого трафика воспользоваться невозможно. В-третьих, несмотря на то что ежемесячно выпускаемые официальные издания не затрагивают Windows Update, поскольку Microsoft публикует исправления для системы безопасности во второй вторник каждого месяца, можно настроить клиент Automatic Update для загрузки исправлений один раз в месяц, а не раз в неделю или ежедневно. Тем самым можно значительно сэкономить полосу пропускания, необходимую пользователям для поддержания своих систем в актуальном состоянии. Аналогично, если вы используете собственный сервер Microsoft Software Update Services (SUS), переход на ежемесячный цикл обслуживания приведет к смягчению требований к полосе пропускания в сети компании для распространения исправлений.
Паула Шерик — редактор Windows & .NET Magazine и консультант по вопросам планирования, реализации и взаимодействия сетей. С ней можно связаться по адресу: paula@winnetmag.com