Сравнение WSUS с двумя широко распространенными продуктами независимых поставщиков
Защита и своевременное применение исправлений для программного обеспечения — одна из самых тяжких обязанностей сетевых администраторов. Поставщики программ вынуждены постоянно «догонять» хакеров, которые намеренно или случайно обнаруживают изъяны в их продуктах. Ко времени подготовки данной статьи компания Microsoft выпустила 55 критически важных исправлений для Windows XP Service Pack 2 (SP2) и 48 исправлений для Windows Server 2003 SP1. Программа управления исправлениями — ценный инструмент, с помощью которого сетевые администраторы могут автоматизировать процесс применения программных исправлений.
Цель современных многофункциональных решений по управлению исправлениями — надежно, эффективно и неназойливо доставлять исправления из репозитариев поставщика на уязвимые клиентские компьютеры. Они должны обеспечить централизованное управление процессом одобрения исправлений и удаление ненужных исправлений. Кроме того, они предоставляют отчеты со списками уязвимых мест, сведениями об успехе/неудаче применения исправлений и сводку информации по сети. В самых гибких решениях управления исправлениями учитываются различные сетевые топологии, конфигурация клиентов (например, мобильный, настольный) и полоса пропускания каналов связи.
Я работал с тремя продуктами управления исправлениями, которые должны облегчить задачу обновления программных продуктов: Microsoft Windows Server Update Services (WSUS) SP1, PatchLink Update 6.3 и Shavlik HFNetChkPro Plus 5.8 компании Shavlik Technologies.
WSUS SP1
WSUS SP1 — бесплатный продукт компании Microsoft, в котором объединены репозитарий исправлений Microsoft Windows Update и клиент Windows Automatic Updates. С помощью WSUS можно одобрять исправления до их развертывания. Исправления можно загрузить из репозитария Microsoft, сохранить локально и распространять по клиентам со скоростью локальной сети. WSUS превосходит своего предшественника, Microsoft Software Update Services (SUS), распространяя исправления не только для операционных систем Microsoft, но и для таких приложений Microsoft, как Office, SQL Server и Exchange. Во WSUS также предусмотрена функция составления отчетов.
Бесплатное предоставление WSUS прекрасно сочетается с добротными функциями распространения исправлений. Перед внедрением предусмотрительные сетевые администраторы стараются тестировать исправления в своей среде. Во WSUS после того, как исправление признано приемлемым, можно отметить его как одобренное (Approved), что позволит клиентам установить исправление. С помощью WSUS можно задать группы компьютеров, чтобы ограничить область развертывания исправления. Например, можно развернуть исправления в группе тестовых компьютеров, прежде чем одобрить их для применения в сети. На экране 1 показано диалоговое окно утверждения исправлений для групп компьютеров.
Из рационального Web-интерфейса WSUS можно одобрять исправления вручную или на основе политики. Например, в рамках политики одобрения можно автоматически одобрить исправления, которые компания Microsoft объявила критическими, или исправления, выпущенные на смену ранее утвержденным исправлениям. WSUS не загружает исправления до тех пор, пока они не одобрены, поэтому каналы связи не используются впустую для пересылки исправлений, которые никогда не будут установлены.
Формирование иерархии WSUS-серверов позволяет экономить ресурсы каналов связи и рабочее время администраторов. Таким образом, можно распределять значительные клиентские нагрузки между несколькими WSUS-серверами или хранить исправления ближе к клиентам.
Модуль отчетов WSUS собирает полезную информацию о доступных, развернутых, отсутствующих исправлениях и сбоях в процессе внедрения. Но WSUS предоставляет меньше сведений о статусе исправлений, чем другие продукты данного обзора.
Для настройки клиентов используется групповая политика. В частности, чтобы указать, какой WSUS-сервер использовать, как часто проверять наличие исправлений, и что делать с новыми исправлениями. Зависимость WSUS от групповой политики может затруднить развертывание и диагностику. С WSUS нельзя вмешаться в работу компьютеров без исправлений, если они не настроены для работы с ним, хотя базовый анализатор безопасности (MBSA) поможет обнаружить такие компьютеры, а также приложения и операционные системы, отличные от продуктов Microsoft.
WSUS не обеспечивает принудительной рассылки исправлений по клиентам. Роль службы — доставить одобренные исправления клиентам, которые загружают и устанавливают их через определенные интервалы времени. При таком методе «добровольной» загрузки трудно бороться с быстро распространяющимися вредителями, такими как червь Blaster, для которых требуется немедленное «принудительное» применение исправления.
В целом WSUS — решение с хорошими возможностями, ориентированное исключительно на применение исправлений и защиту программ Microsoft. Компании, в которых используются только продукты Microsoft, и малые предприятия будут довольны бесплатным решением с хорошей функциональностью.
PatchLink Update 6.3
PatchLink Update 6.3 — многоплатформенный продукт для управления исправлениями на основе агентов. Имеются агенты для Novell NetWare, Mac OS X, Windows и нескольких платформ Linux. Политики используются для настройки агентов на периодическую проверку уязвимых мест. Затем можно назначить расписание развертывания пакетов для одного или нескольких уязвимых мест. PatchLink Update предназначен для Windows 2003 и, как и другие рассмотренные продукты, может сохранять сведения о применении исправлений в базе данных SQL Server. В отсутствие SQL Server используется SQL Server Express.
Пробный экземпляр PatchLink Update 6.3 был заранее установлен на виртуальной машине VMware.
Цикл применения исправлений начинается с загрузки XML-файла с сайта PatchLink. В этом файле содержится список доступных исправлений для поддерживаемых программных продуктов. Затем из административной консоли на базе Web следует составить расписание или вручную инициировать поиск уязвимых мест. В зависимости от результатов поиска PatchLink Update распределяет задачи применения исправлений между агентами. Исправления можно заранее разместить на сервере или загрузить из Web-узлов поставщика программного продукта непосредственно перед их развертыванием. PatchLink Update обеспечивает удаление установленных исправлений.
PatchLink Update применяется в различных сетевых топологиях благодаря использованию точек распространения. Таким образом удается обнаружить исправления, расположенные ближе к клиентам, или сбалансировать нагрузку клиентов между несколькими точками распространения. PatchLink Update распознает и устраняет уязвимые места в поддерживаемых операционных системах, серверных и настольных приложениях Microsoft и других широко распространенных программах, таких как Adobe Acrobat и Flash, Mozilla Firefox, Apple QuickTime и WinZip.
Помимо сбора информации об уязвимых местах, PatchLink Update выполняет инвентаризацию аппаратных средств, служб и установленных программ. Данные инвентаризации отображаются в Web-интерфейсе несколькими способами и на нескольких уровнях детализации (экран 2). Данные можно экспортировать в форматах CSV, XLS и XML. Больше ни один продукт в данном обзоре не собирает такие инвентаризационные данные.
Кроме того, PatchLink Update — единственный среди рассмотренных продуктов, в котором есть интерфейс для создания системных учетных записей пользователей и разрешений на основе ролей. Например, можно предоставить администратору доступ только для чтения к инвентаризационным данным PatchLink Update (роль Guest) или полный доступ к подмножеству управляемых продуктов.
Даже если предусмотрены регулярные проверки по расписанию, можно назначить принудительную проверку уязвимых мест. Таким образом, если в программе обнаружено серьезное нарушение в системе безопасности, можно запустить принудительную проверку, чтобы быстро найти и применить нужное исправление.
Модуль отчетов PatchLink Update располагает несколькими полезными отчетами. Среди них упомянутые выше отчеты об инвентаризации оборудования, программ и служб, наряду с обычными отчетами об отсутствующих и развернутых исправлениях. Особенно полезен аналитический отчет Vulnerability Analysis Report, в котором приведена сводка нескольких важнейших показателей, относящихся к конкретным неустраненным уязвимым местам. Все данные отчетов можно экспортировать в форматах CSV, XLS и XML.
В ходе тестирования установить агент PatchLink Update на клиенте Linux Fedora Core 4 оказалось сложно. Для него требуется среда Sun Microsystems Java Runtime Environment, а не GNU Java Runtime Environment, поставляемая вместе с продуктом Fedora. В некоторых случаях это может затруднить развертывание агента.
Чтобы предотвратить несанкционированные подключения к серверу, агент PatchLink Update требует ввести ключ серверной лицензии в процессе установки. При установке Windows можно автоматизировать это действие с использованием специализированного .msi-файла, но вряд ли существует необходимость требовать лицензионный ключ для агента.
В целом PatchLink Update — мощное решение, заслуживающее внимания предприятий, в которых используются различные платформы. Продукт удостоен отличия «Редакция советует». Гибкий агент и полноценная функциональность обеспечивают применение исправлений и безопасность в различных сетях предприятия.
Shavlik HFNetChkPro Plus 5.8
Характерная черта Shavlik HFNetChkPro Plus 5.8 — уникальная комбинация методов «принудительной» и «добровольной» загрузки. При «принудительной» загрузке запуск сеансов поиска уязвимых мест в клиентах обеспечивают служба Windows Remote Registry и соединение Microsoft Server Message Block/Common Internet File System (SMB/CIFS) из консоли (Console — термин компании Shavlik для обозначения сервера управления исправлениями). В компоненте «добровольной» загрузки соединение с консолью инициируется с использованием клиентского агента. Продукт HFNetChkPro Plus совместим только с операционными системами Microsoft, но позволяет применять исправления для важнейших приложений Microsoft и некоторых программ других компаний, в том числе Adobe Acrobat, Flash и Mozilla Firefox. Отдельный продукт, Shavlik HFNetChkPro for Solaris, поддерживает операционную систему Sun UNIX.
Программа HFNetChkPro Plus упрощает установку, загружая и устанавливая необходимые компоненты Windows, которых может и не быть в первоначальной поставке сервера. Как и другие продукты в данном обзоре, HFNetChkPro Plus поддерживает несколько серверов дистрибуции и позволяет указать, какие исправления нужно развернуть в зависимости от результатов сканирования. Например, можно подготовить шаблон Patch Scan Template, указав искомые исправления, и шаблон Deployment Template, чтобы назначить способ и время развертывания отсутствующих исправлений; долю полосы пропускания канала связи, которую можно занять, разрешить или запретить перезагрузку клиентов. Аналогично PatchLink Update, в HFNetChkPro Plus можно гибко комбинировать поиск исправлений по расписанию и по требованию. HFNetChkPro Plus позволяет удалить исправления, но только в порядке, обратном порядку применения.
На большинстве клиентов HFNetChkPro Plus функционирует без агентов, что должно упростить установку, но может потребовать дополнительной настройки некоторых клиентов. Для соединений с консолью, возможно, придется настроить брандмауэр Windows и службу Remote Registry на клиентах XP.
Все клиенты, которые посылают отчеты в одну консоль HFNetChkPro Plus, должны иметь одинаковую конфигурацию. Компания Shavlik планирует устранить этот недостаток в следующей, незначительно обновленной версии. Более гибкие серверы WSUS и PatchLink Update могут работать с клиентами различной конфигурации, точнее учитывая топологию сети и нужды клиентов.
Благодаря технологии «принуждения», HFNetChkPro Plus обеспечивает управление компьютерами, которые в иной ситуации оказались бы вне досягаемости. Встроенная функция IP Range Scan выполняет исчерпывающее сканирование сети и обнаруживает все клиентские компьютеры, к которым можно получить административный доступ. В мобильных компьютерах, компьютерах с брандмауэром и других сложных случаях можно установить агент HFNetChkPro Plus. Агент поддерживает установку «принуждением» и локальную установку с CD-ROM и флэш-накопителя USB, поэтому независимой инфраструктуры распространения программ не требуется.
Административный интерфейс HFNetChkPro Plus представляет собой автономный .exe-файл, а не Web-интерфейс. Кроме того, некоторые запланированные задачи на сервере Console выполняются из командной строки. Из-за совокупности этих особенностей HFNetChkPro Plus производит впечатление настольного приложения, а не службы.
Среди продуманных готовых отчетов HFNetChkPro Plus есть несколько полезных аналитических отчетов, в том числе о 10 самых уязвимых компьютерах и 10 важнейших отсутствующих исправлениях (экран 3). Благодаря таким отчетам можно быстро выявить самые серьезные угрозы для сети.
Во время подготовки данного обзора компания работала над модулем антишпионажа для HFNetChkPro Plus, который будет предоставляться за дополнительную плату.
В целом Shavlik HFNetChkPro Plus — полноценный продукт для управления исправлениями, пригодный для решения задач, возникающих на современном предприятии.
Итак, все три рассмотренных продукта будут чрезвычайно полезны для перегруженного работой системного администратора. Все они располагают базовыми функциями для управления исправлениями: одобрения, доставки исправлений и подготовки отчетов. Главный результат: все три продукта успешно доставляли и применяли исправления в моей тестовой сети. За рамками базовой функциональности между тремя продуктами существуют весьма заметные различия.
WSUS обеспечивает базовые возможности, необходимые администраторам для управления клиентом Windows Automatic Update и экономии ресурсов канала связи. В скромных отчетах содержится полезная информация о состоянии процесса развертывания исправлений. Продукт совместим с разнообразными сетевыми топологиями.
Базовые возможности HFNetChkPro Plus расширены рядом полезных дополнительных функций. Хорошее впечатление производит сочетание моделей «принуждения» и «добровольности» для загрузки исправлений, а интерфейс управления прост в использовании, хотя лично я предпочел бы интерфейс на основе Web.
PatchLink Update также располагает несколькими полезными дополнениями к базовой функциональности. Имеются агенты для многих платформ, инвентарные ведомости для аппаратных средств и программ и полезные сводные и аналитические отчеты, которые легко экспортировать. Модель управления доступом для администраторов PatchLink Update — самая гибкая. Благодаря мощной функциональности для многоплатформенного предприятия и полезным функциям, продукт PatchLink Update удостоен отличия «Редакция советует».
Филипп Морган (pmorgan@aeshen.com) — обозреватель продуктов в тестовой лаборатории Aeshen.
Сведения о продукте
WSUS SP1
Достоинства: продуманный продукт, гибкий выбор обновлений, исправления для приложений и операционных систем Microsoft.
Недостатки: обновление только продуктов Microsoft, ограниченные отчеты, нельзя «принудительно» загружать исправления клиентам.
Рейтинг: ? ? ?
Цена: бесплатно.
Рекомендации: рекомендуется предприятиям, которые нуждаются в недорогой системе управления исправлениями, ориентированной на продукты Microsoft.
Контактная информация: Microsoft, http://www.microsoft.com
PatchLink Update 6.3
Достоинства: гибкая модель назначения разрешений, поддержка точек распространения, хорошие отчеты, кросс-платформенная поддержка.
Недостатки: сложная установка агента, особенно для клиентов Linux; высокая цена для клиентов UNIX и NetWare.
Рейтинг: ? ? ? ?
Цена: 1495 долл. за серверную лицензию плюс 18 долл. за узел в год для клиентов Windows, 75 долл. за узел в год для клиентов UNIX и NetWare, 33 долл. за узел в год для клиентов Mac OS X.
Рекомендации: рекомендуется для предприятий, нуждающихся в управлении исправлениями для многих платформ, гибком административном интерфейсе для разрешений и полноценных отчетах. Благодаря гибкости продукт удостоен отличия «Редакция советует».
Контактная информация: PatchLink, http://www.patchlink.com
Shavlik HFNetChkPro Plus 5.8
Достоинства: гибкое сочетание «проталкивания» и «вытягивания» обновлений, легкость развертывания, удобный интерфейс и полная функциональность, полезные отчеты.
Недостатки: консоль выполнена не на основе Web; негибкая конфигурация клиента.
Рейтинг: ? ? ? ?
Цена: 38 долл. за рабочее место.
Рекомендации: рекомендуется предприятиям, которые нуждаются в гибком управлении исправлениями на платформе Windows, простой процедуре развертывания и хороших отчетах.
Контактная информация: Shavlik Technologies, http://www.shavlik.com