Skanery bezpieczeństwa do systemów Windows

Zalepianie dziur, czyli Microsoft Software Update Services (SUS)

Microsoft SUS jest bezpłatnym narzędziem firmy Microsoft do dystrybucji aktualizacji i łatek dla systemów Windows. Właściwie to specjalnie przygotowana wersja serwera usługi Windows Update, którą można uruchomić w sieci lokalnej. Stacje robocze będą się wówczas łączyć z lokalnym serwerem SUS, zamiast przez Internet z Windows Update. Tylko serwer SUS będzie łączył się z serwisem Microsoftu, żeby lokalnie ściągać uaktualnienia i rozsyłać do administratorów informacje o dostępnych aktualizacjach. Najważniejsze funkcje SUS to:

• całkowicie niezależny serwer aktualizacji wewnątrz sieci lokalnej, dający całkowitą kontrolę nad dystrybucją aktualizacji,
  
• nadzór nad automatycznymi aktualizacjami - administrator może najpierw przetestować aktualizacje dostępne przez usługę Windows Update, zanim zezwoli na ich dystrybucję w sieci lokalnej. Czas wykonywania automatycznej aktualizacji na stacjach roboczych może być ustalony dowolnie (np. w nocy),
  
• automatyczne sprawdzanie aktualizacji przez stacje robocze i serwery. Ta funkcja sprawia, że same stacje robocze lub serwery łączą się z serwerem SUS, żeby sprawdzić, czy są dostępne jakieś uaktualnienia.

Interfejs administratora SUS - wybór aktualizacji, które mają być dostępne lokalnie.Instalacja SUS jest bardzo prosta. To zwykła usługa systemowa, pozbawiona tradycyjnego interfejsu użytkownika - cała konfiguracja odbywa się przez WWW . Dlatego też SUS wymaga do pracy IIS (Internet Service Server), stacje robocze natomiast muszą pracować pod kontrolą co najmniej Windows 2000 z zainstalowanym Service Pack 3. Jeśli Service Pack 3 nie ma, trzeba ręcznie zainstalować klienta SUS. Nie jest to problem, jeśli sieć wykorzystuje Active Directory, który pozwala na automatyczną dystrybucję klienta SUS (ma on wielkość około 1 MB).

Administrowanie serwerem SUS jest proste i można do tego używać przeglądarki WWW z dowolnego miejsca w sieci lokalnej. SUS sam sprawdza, czy dostępne są przez Windows Update jakieś aktualizacje - jeśli tak, to powiadamia administratora, wysyłając e-mail. Nowe aktualizacje mogą być odrzucone lub zaakceptowane przez administratora. Sam interfejs administracyjny SUS to po prostu kopia Windows Update. Dostęp do opcji instalacji aktualizacji jest kontrolowany z poziomu polis systemowych (Group Policy) w domenie - albo zasad zabezpieczeń lokalnych (gdy komputer nie pracuje w domenie).

Po skonfigurowaniu klienta łatki i aktualizacje będą instalowane automatycznie, użytkownik będzie jedynie powiadamiany o tym fakcie nie mogąc przerwać samego procesu (chyba że ma odpowiedni poziom uprawnień). SUS aktualizuje jedynie system operacyjny (także przeglądarkę Internet Explorer oraz Internet Information Server). Wymaga Windows 2000 (lub nowszych) na stacjach roboczych. Nie potrafi dystrybuować aplikacji przygotowanych samodzielnie przez administratora - taką funkcję ma dopiero Microsoft SMS (Systems Management Server) - oprogramowanie kosztowne i skomplikowane w obsłudze - a w mniejszym zakresie samo Active Directory. SUS pozwala na dystrybucję aktualizacji w różnych językach - jeśli na przykład w sieci oprócz Windows w polskiej wersji językowej znajdują się stacje korzystające z wersji niemieckiej czy francuskiej, to również otrzymają odpowiednie aktualizacje. SUS nie potrafi dystrybuować aktualizacji zbiorczych typu service pack oraz łatek do indywidualnych aplikacji firmy Microsoft (np. Office, SQL, Exchange), nie zawiera również żadnych funkcji skanera bezpieczeństwa i nie sprawdza, czy łatki nie zostały już wcześniej zainstalowane.

Cena bezpłatny
Producent Microsoft
Informacje http://www.microsoft.com/windows2000/windowsupdate/sus/default.asp
Microsoft SUS nie wykonuje wszystkich operacji związanych z zarządzaniem aktualizacjami, ale i tak pozwala zaoszczędzić wiele pracy w dłuższej perspektywie. W większych sieciach rozsądnym rozwiązaniem jest system automatycznej instalacji Microsoft RIS (Remote Installation Service) lub wykorzystanie alternatywnych rozwiązań typu Symantec Ghost. Nie ma wówczas problemu skanowania i dystrybucji aktualizacji, ponieważ to administrator przygotowuje starannie jedną, wzorcową instalację zawierającą wszelkie możliwe aktualizacje i łatki. Ta instalacja jest dla użytkowników. Ceną za to jest brak elastyczności i potrzeba ponownej instalacji stacji roboczych po odkryciu kolejnych dziur w zabezpieczeniach. Dodatkowo warto używać przynajmniej jednego narzędzia ułatwiającego zarządzanie łatkami, np. Shavlik HFNetChkPro lub LANguard NSS. Do sprawdzenia, czy systemy zostały prawidłowo skonfigurowane, można użyć wybranego skanera bezpieczeństwa.