浅议补丁管理增强工具与最佳处理措施

ZDNet安全频道原创翻译 转载请注明作者以及出处

对于系统管理员来说，很难对补丁管理工具表现出支持的态度。但不幸的是，这却属于必须要做的事情。在本文中，信息技术专家里克·范欧沃将和大家分享几条补丁管理方面的经验。
--------------------------------------------------------------------------------------------

　　在为服务器和工作站系统安装补丁时，最让我感到恼火的是仅仅简单地说明该补丁需要安装在系统中这种情况。提起这种类型的应用，我们都有自己的情况。我遇到的就是Java时运行引擎、奥多比Flash和阅读器、Windows挑选的垃圾文件以及SQL服务器更新。对于系统来说，由于它们不能保持并自动更新，系统管理员们面临的挑战就是比更新所有一切还复杂的情况。

　　供应商的需求、试验周期、应用依赖关系和其他因素可以使补丁管理流程比它看起来可能还更加复杂。对于这种情况，系统管理员应该采取什么措施来进行处理呢?第一步，也是最重要的，就是将需要的自动工具集中起来。但是，哪些工具应该成为该合集的组成部分呢?这主要取决于系统管理软件可以做的工作是不是安装和删除等操作还要多。

　　总会有一个系统合集，可以将所有更新都包括进来。对于系统管理软件包来说，这样的工作毕竟是相对简单的，甚至可以通过外部进行管理。对于大部分Windows系统来说，自动更新本地配置或通过组策略对个人应用程序进行配置是一件简单的事情。请注意：确保你已经读了我最近的文章《如何修补Windows服务器的核心》。

　　现在，很多用户会问，除了安装需要的所有补丁外，我们还应该做些什么呢?在软件供应商为了提高易用性而要求安装一个重要的补丁和服务包没有被提供支持并且内部安全扫描系统认为系统存在漏洞可能导致特定风险之间走钢丝。

　　最近，我就在夸利斯卫士漏洞管理工具上发现了一项新功能，可以对系统需要的补丁更新进行收集并根据问题的具体情况分析，而不仅仅是将它安装起来。这样的处理方法，可以减少不必要应用的更新，并尽量缩短昂贵的停机时间。这项功能被叫做补丁报告，可以让你按照自己制定的标准来确定哪些补丁是系统必须更新的。补丁报告并不是一个调度机制，因此，不会做系统管理工具包需要做的工作。

　　对于Altiris、微软系统中心、ZENWorks之类的系统管理工具包和其它补丁来说，将获得系统补丁这样费力的工作情况列出来依然是有用的，但它们可能没有办法获得除了补丁情况以外的漏洞报告。

　　通过更新脚本进行安装也可以改善补丁管理的情况。利用系统管理软件，我们可以创建一个工具包来部署特定的补丁，以解决特定的漏洞，并且可以实现减少停机时间并且保持对应用程序的支持。这样的处理方法需要投入一定的人力，并且需要利用活动目录之类的工具对系统结构进行有效的界定。

　　对极为高度的控制环境来说，补丁更新甚至可能是不被容许的，除非它们和最关键的漏洞有关。我们希望这样的系统不会太多，但是在遇到这种情况时，最好的解决方案是按照确定好的列表进行手动更新。