Обновление программного обеспечения в организациях

Введение

Практически в любой организации пользователей компьютеров значительно больше, нежели ИТ-персонала и из этих пользователей компетентных сотрудников значительно меньше, нежели некомпетентных. Но, как ни странно, почти каждый пользователь пытается проигнорировать обновлениями операционной системы и программного обеспечения, которые гарантируют более высокую стабильность и защищенность рабочих мест. Из-за такого пренебрежительного отношения к обновлениям программного обеспечения пользователями, ущерб для организации может быть очень серьезным. Все мы прекрасно знаем, что хакеры ежедневно ищут лазейки в уязвимости программного обеспечения, при помощи которых они могут взломать не только целевой компьютер, но еще и остальные компьютеры компании, что повлечет за собой получение полного контроля, и, возможно, хищение информации.

Помимо этого, у наших пользователей есть замечательная привычка – устанавливать нелегитимное, а порой и вредоносное программное обеспечение на свои компьютеры, потому как, якобы, эта программа установлена у них дома, у их друзей, у сотрудников другой компании и по каким-то неизвестным причинам позволяет им эффективнее выполнять свои служебные обязанности.

Пользователей очень трудно заставить обновлять свои компьютеры и даже если вы настроите их операционные системы на автоматическую загрузку обновлений в указанное время, вы можете выслушать множество жалоб связанных с тем, что процесс установки обновлений мешает работе пользователей. Также вам стоит обратить внимание на то, что, несмотря на уменьшение количества перезагрузок операционных систем после установки обновлений, клиентские компьютеры все равно приходится часто перезагружать. Также вы должны учитывать тот факт, что при загрузке обновлений с серверов Microsoft расходуется Интернет-трафик, что добавляет для организации дополнительные расходы. Если ваша организация состоит из 10-20 компьютеров, то вы еще как-то можете попробовать регулярно после выхода новых обновлений обходить все компьютеры и вручную устанавливать их каждому пользователю, а также проверять, ничего ли не установил ваш пользователь самостоятельно. Но что вы будете делать в том случае, если ваша организация насчитывает 100, 500 или, даже, 1000 клиентских компьютеров? Развертывание обновлений занимает довольно много времени. Прежде всего, вам нужно протестировать полученные обновления для всех операционных систем и программных продуктов, которые будут запускаться на текущих операционных системах. Обновления корпорации Microsoft выходят по нескольку раз на месяц, и вы не всегда можете знать, что сегодня вышло новое обновление, чем также может воспользоваться хакер. Никогда не стоит забывать о том, что при необходимости корпорация Microsoft выпускает обновления для системы безопасности во второй вторник каждого месяца, но, в том случае, если найдена существенная уязвимость, то обновления могут выходить чаще. В бюллетенях по безопасности анонсируется выпуск обновлений и приводится их описание. И если хакер сможет воспользоваться одной из таких уязвимостей, которые были закрыты при помощи обновлений, которые вы проигнорировали, то вся ответственность за убытки компании ляжет именно на ваши плечи.

Конечно, вы можете отказаться от обновления операционных систем и программного обеспечения, тем самым сознательно повышая шанс взлома компьютеров вашей компании, а также разрешая пользователям самостоятельно устанавливать на свои компьютеры всевозможное программное обеспечение, что, в конечном счете, при первой проверке может последовать вашему увольнению, а, возможно, и штрафом на крупную сумму. Также вы можете потратить несколько дней на то, чтобы обойти все клиентские места и установить все вручную. А можете воспользоваться решениями от корпорации Microsoft, которые помогут вам автоматизировать все задачи, связанные с обновлением операционной системы и программного обеспечения, установкой программного обеспечения, а также с тем, как можно запретить пользователям устанавливать приложения самостоятельно и прослеживать за установленными приложениями на клиентские компьютеры. Для использования таких решений вам следует воспользоваться следующими продуктами и технологиями корпорации Microsoft:

• WSUS;

• Политики ограниченного использования приложений (Software Restriction Policies);

• Узел групповой политики «Установка программ» (GPSI);

• AppLocker;

• System Center Configuration Manager;

• System Center Updates Publisher;

• System Center Essentials;

Краткий обзор WSUS

Windows Server Updates Services (WSUS) – это отдельная роль Windows Server, которая представляет собой решение для управления обновлениями и посредством которой компьютеры Windows автоматически загружают обновления. Сервер WSUS позволяет загружать обновления, выпущенные Центром обновления Microsoft, утверждать и распространять их в организации независимо от количества клиентских компьютеров. Windows Server Update Services 3.0 с пакетом обновления 2, устанавливается в качестве роли под управлением Windows Server 2003 с SP1, Windows Server 2008 с SP1, Windows Server 2008 R2, а также Windows Small Business Server 2003 и 2008 внутри зоны, которая ограничивается корпоративным брандмауэром. Для загрузки обновлений сервер WSUS должен связываться с Центром обновления Microsoft по порту HTTP 80 или HTTPS 443. Для корректной работы WSUS-серверу требуется поддержка веб-сервера IIS. И в том случае, если в IIS уже есть веб-сайт, который также требует обращения к порту 80, вы можете настроить WSUS-сервер на прослушивание портов 8530 или 8531. Это подключение называется синхронизацией WSUS-сервера с Центром обновления Microsoft. Во время синхронизации служба WSUS загружает информацию о доступных обновлениях, которые были предоставлены с момента последней синхронизации, и добавляет их в список обновлений, требующих подтверждения администратора. Если синхронизация WSUS осуществляется впервые, то WSUS загружает информацию обо всех доступных обновлениях. После утверждения обновлений администратором и назначения для них приоритета, WSUS-сервер автоматически предоставляет компьютерам с операционной системой Windows доступ к последним обновлениям. Если вы корректно настроите клиент WSUS, то он будет автоматически загружать и устанавливать обновления в указанное время без какого-либо участия пользователя. Если аппаратная часть ваших клиентских компьютеров обеспечивает соответствующую поддержку, то клиент Windows Update может даже для установки обновлений в указанное вами время вывести компьютер из режима сна.

Политики ограниченного использования программ (Software Restriction Policies);

Как я уже говорил ранее, для многих администраторов поддержание безопасности в ИТ-инфраструктуре организации является одной из основных задач, куда включается ограничение пользователей от установки и запуска программного обеспечения. Соответственно, вы должны научиться ограждать пользователей от выполнения подобных действий. Корпорация Microsoft предоставляет решение, позволяющее администраторам защитить свою инфраструктуру от ненадежного или неизвестного программного обеспечения путем определения и указания программных продуктов, которые пользователи могут запускать, а какие запрещено. Тем самым риск заражения сети вашей организации посредством запуска нежелательного приложения пользователем, которое было принесено на съемном устройстве или скачанном из сети Интернет существенно снижается. Такая технология называется политиками ограниченного использования программ (Software Restriction Policies, сокращенно SRP), которая управляется на основе политик и указывает программы, которые могут запускаться на локальном компьютере, а у которых нет для этого разрешений. Для того чтобы разрешить или запретить выполнение программ по умолчанию, вы можете определить уровень безопасности для объекта групповой политики. Существует только два уровня безопасности по умолчанию: «Неограниченный» или «Не разрешено». Но если перед вами стоит задача создания более гибких правил, вы можете создавать исключения для уровня безопасности по умолчанию, которые могут быть внесены с помощью правил политик ограниченного использования программ. Существуют следующие типы правил:

• Правила для хеша. Как вам известно, хешем называется серия байтов фиксированной длины, однозначно идентифицирующая программу или файл. Рассчитывается хеш при помощи алгоритма хеширования, основанного на алгоритме Message Digest 5 (MD5), который использовался ранее или Secure Hash Alogorithm-256(SHA256). Когда пользователь пытается открыть программу, хеш программы сравнивается с существующим правилом для хеша политик ограниченного использования программ;

• Правила для сертификатов. Помимо правил для хеша, политики SRP умеют идентифицировать файл по его сертификату подписи. Другими словами, вы можете настроить правило для сертификата, идентифицирующее приложение и затем, в зависимости от уровня безопасности, позволяющее или не позволяющее его запускать;

• Правила для пути. Правила для пути идентифицируют приложение по физическому пути к указанному файлу. То есть, вы можете предоставить доступ к указанной папке для всех пользователей сразу;

• Правила для зон Интернета. Такие правила влияют только на пакеты установщика Windows, идентифицированные из зоны, которая указывается в браузере Internet Explorer.

Существенным преимуществом таких политик является то, что вы можете их использовать как внутри домена, так и на компьютерах, подключенных в рабочие группы посредством оснастки «Локальная политика безопасности». Также при помощи политик ограниченного использования программ вы можете определять пользователей, которые могут добавлять доверенных издателей на своих локальных компьютерах, контролировать выполнение программ и применение политик ограниченного использования программ к любым компьютерам вашей сети и многое другое.