Обзор средств проверки безопасности и управления исправлениями

Сканирование безопасности

Сканирование вашей сети на наличие брешей в безопасности, вероятно, является одной из самых важных задач, которые необходимо выполнить для обеспечения безопасности вашей сети. Вам, очевидно, необходимо знать, какие дыры в безопасности присутствуют в вашей сети, и использование сканера безопасности — самый простой и единственный способ выяснить это.

Сканируйте свою сеть с нескольких точек зрения — сканируйте ее снаружи вашей сети (например, за пределами вашего брандмауэра), внутри вашей сети с правами администратора и внутри вашей сети без прав администратора. Просканируйте свою демилитаризованную зону и веб-серверы!

Управление исправлениями

Управление исправлениями и сканирование безопасности тесно связаны просто потому, что отсутствующее исправление, по сути, представляет собой уязвимость. Поэтому необходимо сканировать отсутствующие исправления и, конечно же, развертывать эти исправления, как только они выходят. Невыполнение этого требования делает вас вдвойне уязвимым, не только потому, что уязвимость существует, но и потому, что она стала достоянием общественности, поэтому вероятность того, что она будет использована, выше.

Установка исправлений безопасности в операционных системах стала горячей темой, и на рынок появилось множество новых продуктов.

В этом обзоре я рассмотрел 1 чистый сканер безопасности, гибридный сканер безопасности/средство управления исправлениями и 2 средства чистого управления исправлениями. Все 4 совершенно разные по своим возможностям, но цель у них одна — помочь обезопасить вашу сеть.

Рассмотренные продукты:

• Shavlik HfnetchkPro – Серебряный рейтинг: 4/5
• GFI LANguard NSS — Золотой рейтинг: 5/5
• eEye Retina — бронзовый рейтинг: 3/5
• Microsoft SUS — золотой рейтинг: 5/5

Shavlik HfnetchkPro

Shavlik HfnetchkPro — это инструмент управления исправлениями. Он проверяет наличие отсутствующих исправлений и может устанавливать эти исправления удаленно и на несколько компьютеров одновременно. Он поддерживает не только исправления уровня операционной системы, но и исправления приложений для таких приложений, как Microsoft Office, Microsoft Exchange и сервер Microsoft SQL.

Сканировать несколько машин с помощью HfnetchkPro было довольно просто. Когда вы запускаете основной интерфейс, запускаете новое сканирование, появляется мастер, спрашивающий, что вы хотите сканировать, что вы хотите сканировать и когда запускать сканирование. Вы можете сканировать исправления, которые необходимо установить, а также сканировать, какие исправления необходимо установить и какие исправления уже установлены. После этого вы можете запустить сканирование немедленно или запланировать его на более поздний этап. Как только вы нажмете «Готово», HfnetchkPro выйдет и просканирует вашу сеть. Я обнаружил, что перечисление сети заняло некоторое время.

После завершения сканирования вы можете щелкнуть по машине, чтобы узнать, каких исправлений на ней не хватает. Отсутствующие исправления перечислены по продуктам. Internet Explorer и IIS указаны как отдельные продукты, хотя они интегрированы с операционной системой — это уместно отметить, когда мы будем говорить о Microsoft SUS позже в этом обзоре.

После того, как HFNetchkPro определил, чего не хватает, можно просто установить отсутствующее исправление или пакет обновлений. Прежде чем вы сможете это сделать, вам необходимо загрузить исправления и пакеты обновлений в папку, из которой HfnetchkPro вытолкнет исправления и пакеты обновлений. Все исправления и пакеты обновления должны быть загружены в «Центр загрузки». Ссылки на все исправления и пакеты обновления предоставляются для легкой загрузки.

HfnetchkPro может обновлять большинство приложений Microsoft и все операционные системы Microsoft Windows. Он также поддерживает несколько популярных иностранных языковых версий операционных систем Microsoft Windows. Это связано с тем, что для них часто требуются разные исправления.

Фактическая база данных исправлений предоставляется Microsoft в виде XML-файла. Этот файл можно загружать каждый раз, когда вы запускаете Shavlik Hfnetchk, гарантируя, что вы всегда сканируете свою сеть с помощью последней информации об исправлениях.

HfnetchkPro также включает в себя интерфейс отчетов, который позволяет вам создавать отчеты о том, какие исправления установлены или отсутствуют на машинах в вашей сети. Кроме того, вы можете автоматизировать процесс обновления исправлений с помощью интерфейса командной строки HfnetchkPro.

Вывод:

В целом HfnetchkPro — это простой в использовании инструмент для проверки отсутствующих исправлений и установки исправлений. Однако вам понадобится хороший сканер безопасности, чтобы дополнить его. Жаль, что он не выполняет никакого сканирования безопасности.

Плюсы: Хорошая база данных со всеми исправлениями, мастера позволяют довольно легко сканировать и обновлять вашу сеть. Исправление операционной системы является бесплатным. Исправление поддерживает несколько языков, таких как немецкий, французский и испанский.

Минусы: работает только с патч-менеджментом. Интерфейс немного похож на Windows NT 4.

Рейтинг: 4/5

Цена: от 895 долларов.

Нажмите здесь, чтобы посетить веб-сайт разработчика.

Сканер сетевой безопасности GFI LANguard (NSS)

GFI LANguard NSS — это ведущий сканер безопасности, который также имеет управление исправлениями. Я думаю, что сканирование системы безопасности и управление исправлениями очень хорошо сочетаются друг с другом, поскольку использование одного инструмента для обоих процессов делает процесс более интуитивным и более управляемым для администратора.

Сканировать с помощью GFI LANguard NSS было легко. Вы можете либо ввести IP-адрес или имя машины непосредственно в верхней части интерфейса сканера, либо использовать мастер сканирования (доступный из меню файлов), чтобы указать, какие компьютеры сканировать. Вы можете сканировать домены, определенные компьютеры и весь диапазон IP-адресов. Нажмите Готово, чтобы начать процесс сканирования. Вы увидите, что каждая машина отображается на левой панели в том виде, в каком она найдена GFI LANguard NSS. На правой панели отображается подробная информация о ходе выполнения. Таким образом, вы знаете, что происходит — также интересно посмотреть, что на самом деле делает сканер.

Что мне понравилось в GFI LANguard NSS, так это то, что он группирует все уязвимости в отдельные узлы, позволяя вам раскрывать только ту информацию, которую вы хотите просмотреть.

Управление исправлениями с помощью GFI LANguard NSS

Как уже упоминалось, GFI LANguard NSS также включает полное управление исправлениями. Вы можете использовать его для установки исправлений операционной системы, пакетов обновления, а также пользовательского программного обеспечения. Например, я смог использовать GFI LANguard NSS для развертывания клиента для серверного приложения с помощью функции развертывания пользовательских исправлений.

После сканирования вашей сети отсутствующие исправления отображаются в узле предупреждений. Перечислены все пакеты обновлений и отсутствующие исправления. Щелчок правой кнопкой мыши по исправлению или пакету обновления позволит вам развернуть отсутствующий пакет обновления или исправление на определенном компьютере или на всех компьютерах. Диалоговое окно «развертывание исправлений», показанное на снимке экрана, позволяет вам легко указать, какие исправления необходимо установить на какие компьютеры.

После того, как вы укажете, какие исправления выгружать, GFI LANguard NSS предоставит вам список пакетов обновлений и исправлений, которые необходимо загрузить и скопировать в каталог загрузки LANguard NSS. Это работает так же, как и в HfnetchkPro.

Сканирование безопасности с помощью GFI LANguard NSS

GFI LANguard NSS отлично справляется со сканированием безопасности. Он быстро сканирует вашу сеть и предоставляет множество информации о ней. Каждая машина анализируется, например, какие пользователи настроены на машине, какие общие ресурсы доступны, какова политика паролей, активные службы и так далее. Эта информация жизненно важна для блокировки вашей сети.

После завершения сканирования компьютера вы можете развернуть узел определенной группы информации, чтобы получить дополнительные сведения. Например, нажав на пользователей, вы увидите, какие пользователи доступны на этом компьютере. Нажав на конкретного пользователя, вы увидите, включена ли учетная запись или отключена, и когда он в последний раз входил в систему. Используйте это, например, для поиска неактивных учетных записей.

Оповещения

Помимо предоставления информации «как есть», GFI LANguard NSS также интерпретирует результаты и составляет список проблем, называемых предупреждениями, которые необходимо просмотреть или исправить. Все оповещения для конкретной машины находятся в узле оповещений и классифицируются по типу оповещений. Помимо узла отсутствующих исправлений и пакетов обновления, есть также узел для почтовых предупреждений, предупреждений служб, предупреждений реестра и информации.

Узел служб, например, показывает пользователей, которые никогда не входили в систему, или тот факт, что учетная запись администратора не была переименована.

Узел предупреждений реестра, как вы уже догадались, показывает предупреждения, касающиеся реестра. Например, на этой машине (скриншот) гостевые пользователи имеют доступ к журналу безопасности.

Фильтрация результатов

Если вам нужна конкретная информация о безопасности, например, все открытые порты на компьютере или в вашей сети, вы можете отфильтровать результаты сканирования, отображаемые на левой панели. Это особенно важно, если вы сканируете большую сеть. GFI LANguard NSS стандартно поставляется со следующими фильтрами:

• Оповещения о высоком уровне безопасности
• Проблемы с безопасностью
• Отсутствующие патчи
• Открытые порты
• Открытые TCP-порты
• SNMP-информация

Например, установка фильтра для предупреждений о высоком уровне безопасности позволяет просматривать ключевые бреши в безопасности вашей сети и устранять их.

Вы также можете создать свой собственный фильтр, используя «Генератор отчетов». Генератор отчетов позволяет создавать такие фильтры, как:

• Все машины с акциями
• Все машины, на которых не установлен Service Pack 2.
• Все машины с открытым портом 21 (с указанием FTP-сервера)

Эти фильтры бесценны при закрытии вашей сети.

Обнаружение уязвимостей

GFI LANguard NSS имеет множество других мощных функций, среди которых возможность сравнивать текущие сканирования с предыдущими. Используйте эту функцию для автоматического обнаружения новых уязвимостей и отправки предупреждений на вашу электронную почту по мере их появления. Это «обнаружение уязвимостей» становится все более важным элементом стратегии сетевой безопасности.

Вывод

GFI LANguard NSS — это очень мощный продукт, сочетающий в себе первоклассное сканирование безопасности с управлением исправлениями, что упрощает выполнение двух задач. Это также довольно недорого. За 695 долларов вы покупаете неограниченную IP-версию. На самом деле почти слишком дешево.

Плюсы: Понятный интерфейс. Мощное сканирование безопасности. Отличное соотношение цены и качества.

Минусы: отчеты о безопасности могли бы выглядеть лучше. В настоящее время нет возможности хранить прошлые сканирования в базе данных (хотя GFI сообщает мне, что они работают над этим). Орфографические ошибки в части сканированного текста вызывают сожаление.

Рейтинг: 5/5

Цена: от 295 долларов за 50 IP.

Нажмите здесь, чтобы посетить веб-сайт разработчика.

Сканер сетевой безопасности eEye Retina

eEye Retina — это чистый сканер безопасности. Он не занимается управлением исправлениями. Однако после покупки Retina Network Security Scanner вы можете приобрести UpdateExpert по цене пакета.

Сканирование вашей сети.

Интерфейс Retina напоминает мне Microsoft Outlook. Вы можете настроить интерфейс и удалить ярлыки. Сканировать вашу сеть достаточно просто. Вы можете ввести имя машины, IP-адрес или диапазон IP-адресов. К сожалению, он не позволяет указать доменное имя Windows. Это не большая проблема, но и LANguard, и Shavlik облегчают вам задачу.

После того, как вы введете IP-адреса или имена компьютеров, Retina начнет сканирование. Результаты сканирования будут показаны в виде боли в правой руке. Трудно сказать, когда это будет сделано, потому что нет реального монитора прогресса, результаты просто появляются, как при боли в правой руке. Результаты сканирования делятся на

• Главная Информация
• Аудиты - обнаружены проблемы с безопасностью
• Машина – информация о машине
• Порты — показывает открытые порты
• Службы — показывает службы, установленные на целевой машине.
• Акции — показывает открытые на машине общие ресурсы.
• Пользователи — пользователи, настроенные на целевой машине

Аудиты аналогичны оповещениям в GFI LANguard NSS. Они показывают все обнаруженные проблемы безопасности, которые необходимо исправить. Нажав на конкретную проблему, вы увидите дополнительную информацию на нижней панели. Retina предоставляет обширную информацию по каждой проблеме с советами по их устранению.

Нет раздела для отсутствующих патчей. Вернее, уязвимость подсвечивается, после чего двойным щелчком по ней вы узнаете, что уязвимость можно исправить, установив патч. С технической точки зрения это правильно, однако я предпочитаю видеть, каких именно исправлений не хватает, а не перечислять уязвимости вместе со всеми другими уязвимостями.

Политики

Retina позволяет настроить несколько политик для сканирования вашей сети. Это означает, что вы можете детально настроить, что следует сканировать при каждом сканировании. Вы также можете считать это «профилем сканирования». Это позволит вам пропустить все сканирования, которые не нужны для вашей сети, и, таким образом, увеличить скорость сканирования. GFI LANguard NSS также позволяет это сделать, но только в качестве глобальной настройки. С Retina вы можете иметь несколько политик и применять разные политики к разным сканированиям.

Составление отчетов

Одной из сильных сторон сканера безопасности Retina являются функции создания отчетов. Легко создать красивый отчет о безопасности вашей сети. В стандартную комплектацию Retina входит ряд отчетов, в том числе исполнительный отчет (используйте его, чтобы произвести хорошее впечатление на руководство J). Вы также можете настроить отчеты, как их содержание, так и стиль отчета. После того, как вы выбрали и настроили отчет, Retina создаст хорошо выглядящий отчет в формате HTML, показав вам наиболее уязвимые машины, уязвимости по уровню риска, типу уязвимости и т. д.

Вывод

Retina, несомненно, является хорошим сканером безопасности. Он имеет очень обширную базу данных проблем безопасности (с мощной поддержкой UNIX) с обширной информацией о том, как исправить некоторые вещи. Он также имеет очень хороший модуль отчетности. Однако его не так просто использовать, как GFI LANguard NSS, и он не показывает четко отсутствующие исправления. Он также не имеет никакого управления исправлениями или интеграции с инструментом управления исправлениями.

Плюсы: обширная база данных уязвимостей, особенно для UNIX, хороший модуль отчетности.

Минусы: Не так просто узнать, каких патчей не хватает. Нет возможности указать сканирование всего домена. Очень дорого

Рейтинг: 3/5

Цена: от 995 долларов за 16 IP.

Нажмите здесь, чтобы посетить веб-сайт разработчика.

Службы обновления программного обеспечения Майкрософт (SUS)

Сервер Microsoft SUS — это бесплатный инструмент управления исправлениями, предоставляемый Microsoft, который помогает сетевым администраторам упростить развертывание исправлений безопасности. Проще говоря, сервер Microsoft SUS — это версия Центра обновления Windows, которую вы можете запустить в своей сети. Вместо того, чтобы каждая рабочая станция подключалась к Интернету для обновления Windows, каждая рабочая станция будет подключаться к вашему серверу Microsoft SUS и обновляться оттуда.

Сервер Microsoft SUS сам подключается к Центру обновления Windows и обеспечивает уведомление о критических обновлениях, а также автоматическое распространение этих обновлений на ваши рабочие станции и серверы. Только серверу Microsoft SUS требуется доступ к общедоступному Интернету. Сервер Microsoft SUS предлагает следующие функции (с веб-сайта Microsoft):

• Контролируемая администратором служба синхронизации контента в интрасети. Служба синхронизации — это компонент на стороне сервера, который получает последние критические обновления из Центра обновления Windows. Когда новые обновления добавляются в Центр обновления Windows, сервер, на котором работают службы обновления программного обеспечения, автоматически загружает и сохраняет их в соответствии с расписанием, заданным администратором.
• Размещенный в интрасети сервер Центра обновления Windows — сервер Microsoft SUS. Этот сервер действует как виртуальный сервер Центра обновления Windows для клиентских компьютеров. Он содержит службу синхронизации и административные инструменты для управления обновлениями. Он обслуживает запросы на утвержденные обновления от клиентских компьютеров, подключенных к нему по протоколу HTTP.
• Административный контроль над обновлениями. Администратор может тестировать и утверждать обновления с общедоступного сайта Windows Update перед их развертыванием в корпоративной интрасети. Развертывание происходит по расписанию, созданному администратором.
• Автоматические обновления на компьютерах (рабочих столах или серверах). Автоматические обновления — это функция Windows, которую можно настроить для автоматической проверки наличия обновлений, опубликованных в Центре обновления Windows. Службы обновления программного обеспечения используют эту функцию Windows для публикации утвержденных администратором обновлений в интрасети. Вы можете настроить Windows для установки обновлений по расписанию.

Установка сервера Microsoft SUS

Поскольку сервер Microsoft SUS на самом деле является не настольным инструментом сканирования, а скорее автоматизированным сервером, предназначенным для работы в фоновом режиме, его настройка немного сложнее, чем другие инструменты управления исправлениями. Однако, как только вы настроите его, процесс управления исправлениями будет автоматизирован, так что это стоит дополнительных усилий.

Установить его довольно просто. Вы устанавливаете сервер Microsoft SUS (требуется IIS) и настраиваете его для проверки обновлений. Затем вам необходимо убедиться, что на ваших рабочих станциях и серверах установлена либо Windows 2000 SP3, либо клиент Microsoft SUS.

Вы можете довольно легко вытолкнуть клиент SUS с помощью Active Directory, так как размер файла составляет всего 1 мегабайт. После того, как вы это сделаете, вам придется снова использовать групповую политику, чтобы настроить клиентские рабочие станции на получение автоматических обновлений с вашего сервера SUS. Все это четко описано в документах, сопровождающих Microsoft SUS.

Администрирование сервера Microsoft SUS

Администрирование сервера Microsoft SUS осуществляется через Интернет, что позволяет вам управлять им удаленно. Сервер Microsoft SUS автоматически загрузит все доступные обновления и уведомит вас по электронной почте о новых обновлениях. Новые обновления могут быть одобрены или отклонены для развертывания, гарантируя, что вы по-прежнему имеете полный контроль над тем, что устанавливается в вашей сети. Интерфейс утверждения очень похож на обновление одной машины с помощью Центра обновления Windows.

Клиент Microsoft SUS

После установки сервера Microsoft SUS и клиента Microsoft SUS все обновления устанавливаются автоматически. Как администратор вы можете настроить, как это должно происходить. Вы можете установить расписание, чтобы контролировать, когда это должно произойти, и позволить пользователю иметь какой-то контроль над этим процессом, если вы хотите это сделать. На скриншоте ниже показаны доступные параметры. Конечно, эти параметры можно заблокировать с помощью групповой политики.

После настройки клиента Microsoft SUS исправления будут развернуты автоматически. Пользователь будет уведомлен через сообщение на панели задач (см. рисунок)

Ограничения сервера Microsoft SUS

Каким бы хорошим ни был инструмент Microsoft для управления исправлениями, у него есть несколько ограничений;

• Пакеты обновлений не выталкивает! Для этого вам понадобится отдельное решение.
• Он выполняет только исправления уровня операционной системы (включая Internet Explorer и IIS), а не исправления приложений, таких как Microsoft Office, Microsoft Exchange Server, Microsoft SQL server и т. д.
• Для этого требуется Windows 2000 и выше, поэтому он не может исправлять системы Windows NT 4.
• Он не может развертывать пользовательские исправления для стороннего программного обеспечения.

Это означает, что вам по-прежнему необходимо использовать решение для управления исправлениями для выполнения вышеуказанных задач. Microsoft не планирует добавлять вышеуказанные функции, поскольку продвигает Microsoft SMS-сервер как инструмент для этого. Я по-прежнему рекомендую использовать Microsoft SUS для исправлений операционной системы и инструмент управления исправлениями для выполнения вышеуказанных функций.

Вывод

Microsoft SUS — очень хороший инструмент управления исправлениями. Кроме того, это бесплатно. Однако он не развертывает пакеты обновлений и не развертывает исправления для прикладного программного обеспечения, такого как Office, Exchange или SQL Server. Кроме того, у него нет возможности сканирования — вы должны просматривать журналы, были ли исправления успешно развернуты или нет. Вам нужно будет использовать Microsoft SUS в тандеме со сканером безопасности и инструментом, который может развертывать исправления для приложений.

Плюсы: Бесплатно. Отличный инструмент управления исправлениями, который позволяет развертывать исправления для испанского, французского, немецкого и других языков.

Минусы: не развертывает пакеты обновлений, не развертывает патчи приложений. Не сканирует сеть, чтобы проверить, установлены ли исправления.

Рейтинг: 5/5

Нажмите здесь, чтобы посетить веб-сайт разработчика.

Выводы по сканированию безопасности и управлению исправлениями

Так что же делать для сканирования системы безопасности и управления исправлениями? Я считаю, что вам следует развернуть сервер Microsoft SUS для управления исправлениями операционной системы. Хотя вместо этого вы можете использовать продукт управления исправлениями, использование сервера Microsoft SUS сэкономит ваше время в долгосрочной перспективе. После настройки легко поддерживать вашу сеть в актуальном состоянии. В сочетании с тем фактом, что сервер Microsoft SUS является бесплатным, это упрощает решение.

Однако сервер Microsoft SUS не выполняет все функции управления исправлениями. Поэтому вам необходимо использовать решение для управления исправлениями в дополнение к серверу Microsoft SUS. Shavlik HfnetchkPro и LANguard NSS одинаково эффективны в этой области, вы можете решить, исходя из интерфейса или просто исходя из стоимости. Оба продукта доступны для пробной загрузки.

Вам также понадобится сканер безопасности. Хотя Retina — хороший инструмент, я полагаю, что сетевой администратор Windows может найти интерфейс LANguard NSS более простым в использовании. Кроме того, это намного дешевле, чем Retina. Если вы используете сеть из 250 машин/IP, Retina обойдется вам примерно в 6500 долларов, в то время как LANguard NSS стоит около 450 долларов. Я не вижу оправдания такой разнице в цене. Имейте также в виду, что LANguard NSS также может управлять исправлениями. Но опять же, попробуйте оба продукта — это вопрос личного мнения.