Автоматизируем процесс установки обновлений с PatchQuest 4

 СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Автоматизируем процесс установки обновлений с PatchQuest 4

Количество патчей, устраняющих уязвимости разного рода, обнаруживаемые в операционных системах и приложениях, создали необходимость в эффективном управлении обновлениями.

Лучший способ решить эту проблему – использовать специализированные утилиты, автоматизирующие сбор информации и установку патчей. Их применение гарантирует, что на компьютерах будет установлено самое последнее программное обеспечение, уменьшит количество возможных лазеек для хакеров и вирусов, сделает малоэффективными целевые атаки, направленные на известную уязвимость, что в целом позволит повысить общий уровень безопасности и сократит простои системы и администрирование в целом. Корпорация Microsoft в настоящее время предлагает свое решение Windows Server Update Services (WSUS) [1], позволяющее администратору централизованно управлять установкой обновлений и исправлений продуктов этой компании. Но не всегда сеть имеет однородные компоненты, и не все возможности, которые хотелось бы видеть в подобных продуктах, есть в WSUS. Здесь на помощь придут разработки сторонних производителей.

Возможности PatchQuest

Назначение утилиты PatchQuest 4 [2] разработки AdventNet Inc. аналогично WSUS – автоматизация управлением и установкой патчей, исправлений и модификаций на операционные системы и приложения. С помощью PatchQuest всего за несколько щелчков мышки можно установить патчи на:

• операционные системы Windows NT 4.0/2000/XP/2003 различного назначения и связанных приложений: компоненты Microsoft Office 2000/2002/2003, Internet Explorer 5.01, 5.5 и 6.0, Outlook и Outlook Express, Internet Information Services, NET. Framework 1.1 и 2.0, Windows Media Player;
• серверы и приложения SQL Server 7.0 и 2000, Exchange Server 5.5, 2000 и 2003, MDAC 2.5 – 2.8, MSXML 2.6 – 4.0;
• а также операционные системы Linux: Red Hat Linux 7.2, 8.0, 9.0, RedHat Linux Advanced/Enterprise Server 2.1, 3.0, 4.0, Debian GNU/Linux 3.0 (Woody) и 3.1.

Возможна автоматическая загрузка и установка отсутствующих патчей и обновлений на основании заданных правил или корпоративных полисов безопасности. Администратор стоит перед выбором: устанавливать все патчи либо отбирать их по некоторому критерию, например, по серьезности уязвимости, которую патч устраняет. В PatchQuest большим подспорьем при отборе патчей является возможность оценки уязвимости. Сканируя отдельный узел или диапазон адресов вручную или по расписанию в указанное время PatchQuest, идентифицирует потенциальные нарушения безопасности в операционной системе Windows и приложениях и сообщает о необходимых для их устранения патчах, а также об уязвимостях, для которых в базе на момент сканирования еще нет патчей. Администратору в этом случае очень легко определить системы, нуждающиеся в особом внимании, которые требуют установки патчей, устраняющих критические уязвимости, и вовремя принять соответствующие меры. По окончании сканирования выдается подробный отчет, в котором будет указан статус патча, Bulletin ID, имя патча, его краткое описание, уровень угрозы и другая информация (рис. 1). Возможно отправление отчетов по электронной почте. Система отчетов PatchQuest продумана хорошо, администратор получит всю необходимую информацию по интересующему его вопросу, для наглядности используются различные графики.

Рисунок 1. После сканирования администратор получит подробнейший отчет

Дополнительно к этим возможностям PatchQuest может быть использован для инвентаризации установленного на компьютерах программного обеспечения.

При проверке установленных на компьютере патчей используются все возможные методы: проверка записей реестра, размера, версии и контрольной суммы файла. С помощью PatchQuest можно легко определить, когда нужный файл был переписан его более ранней версией.

Так же как и WSUS, PatchQuest работает по клиент-серверной схеме, когда на компьютерах устанавливается агент, который, взаимодействуя с сервером, управляет установкой обновлений и сбором информации. Но может использоваться схема, не требующая установки агентов на компьютеры пользователей, а также комбинированный вариант доступа. В качестве серверов могут выступать компьютеры, работающие под управлением Windows от 2000 до 2003, а также RedHat Linux и Debian. Агенты доступны для этих же систем плюс Windows NT SP6a Workstation. При варианте работы без установленного агента сервер PatchQuest для доступа в систему использует логин и пароль. Поддерживается аутентификация средствами Windows, Active Directory, а для Linux систем telnet и ssh. Для удобства доступа к компьютерам администратор может заранее создать удостоверения, состоящие из логина и пароля, и занести эту информацию в PatchQuest. Информация между сервером и целевой машиной может передаваться в зашифрованном виде.

Для удаленного управления настройками PatchQuest и процессом обновлений используется понятная и удобная веб-консоль. К сожалению, в списке языков локализации отсутствует русский. Доступ к серверу при этом возможен как по http, так и по защищенному протоколу https. Для работы с консолью можно применять в принципе любой доступный веб-браузер. Подойдут Internet Explorer от 5.0, Netscape от 7.0, Mozilla и Mozilla Firefox 1.5, Opera от 7.2. Страничка оптимизирована для разрешений 1024x768 и выше. Для хранения настроек используется база данных MySQL. Она, как и веб-сервер, написанный на Java, входит в дистрибутив, поэтому никаких дополнительных компонентов устанавливать не надо.

Продукт распространяется под двумя лицензиями. Бесплатная Free Edition разрешает управлять обновлениями для 5 компьютеров, вне зависимости от установленного программного обеспечения или их версии. Платная Professional Edition Subscription License, реализованная по подписному принципу, то есть «Node Locked License» – лицензия, привязанная к определенной машине, покупается на определенный срок, по окончании которого необходимо либо ее обновить, либо удалить продукт. Интересно, что согласно лицензионного соглашения, компания оставляет за собой право в любой момент провести аудит для выяснения правильности использования лицензии, перед этим она за 7 дней предупреждает администратора. Также стоит отметить, что техническая поддержка доступна для всех, вне зависимости от лицензии.

Для скачивания предоставляется один файл, версия продукта выбирается во время установки (рис. 2). Если указать Professional Edition, его можно протестировать в течение 30 дней на 10 компьютерах. После этого необходимо перейти в вариант Free или удалить PatchQuest.

Рисунок 2. Вариант использования PatchQuest выбирается во время установки

Использование языка Java наложило и свои системные требования. Так для работы сервера PatchQuest понадобится компьютер с частотой не менее 1,8 Гц и имеющий минимум 512 Мб оперативной памяти. Для клиента изменились только требования к ОЗУ – 256 Мб. Для баз обновлений рекомендуется оставить 10 Гб свободного места на жестком диске. Это рекомендации разработчиков. При тестировании с этой задачей нормально справлялся компьютер с процессором Celeron 633 Гц и 256 Мб оперативной памяти, на нем одновременно работал как сервер, так и клиент и дополнительно проводилось обновление еще 4 систем. Система несколько подтормаживала, но работать все равно было можно.

Установка и использование

Установка сервера ничего сложного не представляет. Если установка происходит в Linux без использования графического интерфейса, наберите SecureCentral_PatchQuest.bin –console. На втором шаге вас попросят уточнить номер порта для веб-сервера (по умолчанию используется 8080) и номер порта для подключения клиентов (9000). После установки вызываем веб-браузер и заходим по адресу http://имя_сервера:8080/, зарегистрировавшись как пользователь admin с паролем admin. В системе есть еще пользователь guest с таким же паролем, но в документации об этом почему-то ничего не сказано. Правда, он относится к группе Normal User, пользователи которой могут просматривать отчеты и информацию о доступных обновлениях. В результате перед вами появится основное окно программы настройки (рис. 3).

Рисунок 3. Основное окно программы настройки

Теперь необходимо выполнить ряд действий, после которых можно будет безопасно использовать PatchQuest, проверять системы и устанавливать патчи несколькими щелчками мышки.

Заходим во вкладку «Settings» и устанавливаем:

• в Proxy Configuration – параметры прокси-сервера;
• в Mail Server Configuration – параметры корпоративного SMTP-сервера, необходимого для отправки отчетов;
• в Patch Store Location – каталог, в котором будут храниться патчи (по умолчанию C:\AdventNet\SecureCentral\PatchQuest\store);
• в MS Office Media Location – каталог, в котором хранятся установочные файлы MS Office;
• в Language Settings – язык по умолчанию, необходимый при выборе специфических патчей для операционной системы и приложений;
• в Vulnerability Database Update Interval – интервал обновления баз уязвимостей и отсылку отчетов по обновлению;
• в Change Password – изменяем пароль администратора PatchQuest;
• в Global Credentials – создаем удостоверения для быстрого доступа к различным компьютерам;
• в User Administration – пользователей, которые могут получить доступ к серверу PatchQuest.

Далее следует включить поддержку защищенного протокола HTTPS. Для этого в консоли переходим в подкаталог bin, который расположен в месте установки PatchQuest, и набираем HTTPSSupport.bat enable любой номер порта (в Windows) в Linux – имя скрипта другое HTTPSSupport.sh. Теперь повторно регистрируемся, использовав уже https.

Следующий шаг – установка агентов. Их можно получить через веб-браузер, нажав на ссылку «Download Agent» и выбрав операционную систему, в которой агент будет устанавливаться. Как вариант их можно попросту скопировать с каталога C:\AdventNet\SecureCentral\PatchQuest\agent\windows (для Windows) и …agent\unix (для Linux). Установка агентов также не вызывает сложности. Вам необходимо будет указать параметры для подключения сервера, его имя и номер порта (9000).

Далее необходимо указать компьютеры, на которых за обновлениями будет следить PatchQuest. Нажимаем «Add System» и попадаем в окно настройки «Add New System» (рис. 4). В поле «Add System By» можно ввести адрес или имя одного компьютера, указать диапазон адресов, импортировать список систем из файла и использовать Active Directory. В «Operating System Type» выбираем тип операционной системы. Например, если выбрано Windows, будут добавлены только компьютеры, находящиеся под управлением этой OC. Для занесения в список всех поддерживаемых PatchQuest систем используйте «All». В поле «Credential for Windows/Linux» вводим параметры для доступа. Здесь можно выбрать созданные в «Global Credentials» удостоверения, либо ввести логин и пароль вручную. Кнопка «Diagnose» позволит проверить соединение с указанной системой. Когда все настроено, нажимаем «Add» или «Add & Scan». Просмотреть список всех систем, можно нажав на «System». Будет доступна информация об имени, системе, IP-адресе, режиме управления (агент или удаленный доступ) и состоянии системы, времени последнего сканирования и версии операционной системы. Для удобства отбора отдельные компьютеры или патчи могут быть объединены в группы.

Рисунок 4. Окно добавления компьютеров

В PatchQuest реализовано то, чего многим не хватает в WSUS: поддержка нескольких операционных систем, оценка уязвимостей клиентских компьютеров, гибкость в выборе режима доступа, возможность работы по защищенному каналу. Без сомнений, PatchQuest является удобным продуктом, позволяющим на порядок упростить управление установкой обновлений для группы компьютеров.

1. Сергеев С. Windows Server Update Servies. //«Системный администратор», № 4, 2005 г. – С. 8-10.
2. Сайт проекта PatchQuest 4 – http://www.securecentral.com/products/patchquest/index.html.
3. Демонстрационная версия PatchQuest – http://demo.patchquest.com.

Комментарии могут оставлять только зарегистрированные пользователи