Введение

Практически в любой организации пользователей компьютеров значительно больше, нежели ИТ-персонала и из этих пользователей компетентных сотрудников значительно меньше, нежели некомпетентных. Но, как ни странно, почти каждый пользователь пытается проигнорировать обновлениями операционной системы и программного обеспечения, которые гарантируют более высокую стабильность и защищенность рабочих мест. Из-за такого пренебрежительного отношения к обновлениям программного обеспечения пользователями, ущерб для организации может быть очень серьезным. Все мы прекрасно знаем, что хакеры ежедневно ищут лазейки в уязвимости программного обеспечения, при помощи которых они могут взломать не только целевой компьютер, но еще и остальные компьютеры компании, что повлечет за собой получение полного контроля, и, возможно, хищение информации.

Помимо этого, у наших пользователей есть замечательная привычка – устанавливать нелегитимное, а порой и вредоносное программное обеспечение на свои компьютеры, потому как, якобы, эта программа установлена у них дома, у их друзей, у сотрудников другой компании и по каким-то неизвестным причинам позволяет им эффективнее выполнять свои служебные обязанности.

Пользователей очень трудно заставить обновлять свои компьютеры и даже если вы настроите их операционные системы на автоматическую загрузку обновлений в указанное время, вы можете выслушать множество жалоб связанных с тем, что процесс установки обновлений мешает работе пользователей. Также вам стоит обратить внимание на то, что, несмотря на уменьшение количества перезагрузок операционных систем после установки обновлений, клиентские компьютеры все равно приходится часто перезагружать. Также вы должны учитывать тот факт, что при загрузке обновлений с серверов Microsoft расходуется Интернет-трафик, что добавляет для организации дополнительные расходы. Если ваша организация состоит из 10-20 компьютеров, то вы еще как-то можете попробовать регулярно после выхода новых обновлений обходить все компьютеры и вручную устанавливать их каждому пользователю, а также проверять, ничего ли не установил ваш пользователь самостоятельно. Но что вы будете делать в том случае, если ваша организация насчитывает 100, 500 или, даже, 1000 клиентских компьютеров? Развертывание обновлений занимает довольно много времени. Прежде всего, вам нужно протестировать полученные обновления для всех операционных систем и программных продуктов, которые будут запускаться на текущих операционных системах. Обновления корпорации Microsoft выходят по нескольку раз на месяц, и вы не всегда можете знать, что сегодня вышло новое обновление, чем также может воспользоваться хакер. Никогда не стоит забывать о том, что при необходимости корпорация Microsoft выпускает обновления для системы безопасности во второй вторник каждого месяца, но, в том случае, если найдена существенная уязвимость, то обновления могут выходить чаще. В бюллетенях по безопасности анонсируется выпуск обновлений и приводится их описание. И если хакер сможет воспользоваться одной из таких уязвимостей, которые были закрыты при помощи обновлений, которые вы проигнорировали, то вся ответственность за убытки компании ляжет именно на ваши плечи.

Конечно, вы можете отказаться от обновления операционных систем и программного обеспечения, тем самым сознательно повышая шанс взлома компьютеров вашей компании, а также разрешая пользователям самостоятельно устанавливать на свои компьютеры всевозможное программное обеспечение, что, в конечном счете, при первой проверке может последовать вашему увольнению, а, возможно, и штрафом на крупную сумму. Также вы можете потратить несколько дней на то, чтобы обойти все клиентские места и установить все вручную. А можете воспользоваться решениями от корпорации Microsoft, которые помогут вам автоматизировать все задачи, связанные с обновлением операционной системы и программного обеспечения, установкой программного обеспечения, а также с тем, как можно запретить пользователям устанавливать приложения самостоятельно и прослеживать за установленными приложениями на клиентские компьютеры. Для использования таких решений вам следует воспользоваться следующими продуктами и технологиями корпорации Microsoft:

  • WSUS;
  • Политики ограниченного использования приложений (Software Restriction Policies);
  • Узел групповой политики «Установка программ» (GPSI);
  • AppLocker;
  • System Center Configuration Manager;
  • System Center Updates Publisher;
  • System Center Essentials;

Краткий обзор WSUS

imageWindows Server Updates Services (WSUS) – это отдельная роль Windows Server, которая представляет собой решение для управления обновлениями и посредством которой компьютеры Windows автоматически загружают обновления. Сервер WSUS позволяет загружать обновления, выпущенные Центром обновления Microsoft, утверждать и распространять их в организации независимо от количества клиентских компьютеров. Windows Server Update Services 3.0 с пакетом обновления 2, устанавливается в качестве роли под управлением Windows Server 2003 с SP1, Windows Server 2008 с SP1, Windows Server 2008 R2, а также Windows Small Business Server 2003 и 2008 внутри зоны, которая ограничивается корпоративным брандмауэром. Для загрузки обновлений сервер WSUS должен связываться с Центром обновления Microsoft по порту HTTP 80 или HTTPS 443. Для корректной работы WSUS-серверу требуется поддержка веб-сервера IIS. И в том случае, если в IIS уже есть веб-сайт, который также требует обращения к порту 80, вы можете настроить WSUS-сервер на прослушивание портов 8530 или 8531. Это подключение называется синхронизацией WSUS-сервера с Центром обновления Microsoft. Во время синхронизации служба WSUS загружает информацию о доступных обновлениях, которые были предоставлены с момента последней синхронизации, и добавляет их в список обновлений, требующих подтверждения администратора. Если синхронизация WSUS осуществляется впервые, то WSUS загружает информацию обо всех доступных обновлениях. После утверждения обновлений администратором и назначения для них приоритета, WSUS-сервер автоматически предоставляет компьютерам с операционной системой Windows доступ к последним обновлениям. Если вы корректно настроите клиент WSUS, то он будет автоматически загружать и устанавливать обновления в указанное время без какого-либо участия пользователя. Если аппаратная часть ваших клиентских компьютеров обеспечивает соответствующую поддержку, то клиент Windows Update может даже для установки обновлений в указанное вами время вывести компьютер из режима сна.

Политики ограниченного использования программ (Software Restriction Policies);

imageКак я уже говорил ранее, для многих администраторов поддержание безопасности в ИТ-инфраструктуре организации является одной из основных задач, куда включается ограничение пользователей от установки и запуска программного обеспечения. Соответственно, вы должны научиться ограждать пользователей от выполнения подобных действий. Корпорация Microsoft предоставляет решение, позволяющее администраторам защитить свою инфраструктуру от ненадежного или неизвестного программного обеспечения путем определения и указания программных продуктов, которые пользователи могут запускать, а какие запрещено. Тем самым риск заражения сети вашей организации посредством запуска нежелательного приложения пользователем, которое было принесено на съемном устройстве или скачанном из сети Интернет существенно снижается. Такая технология называется политиками ограниченного использования программ (Software Restriction Policies, сокращенно SRP), которая управляется на основе политик и указывает программы, которые могут запускаться на локальном компьютере, а у которых нет для этого разрешений. Для того чтобы разрешить или запретить выполнение программ по умолчанию, вы можете определить уровень безопасности для объекта групповой политики. Существует только два уровня безопасности по умолчанию: «Неограниченный» или «Не разрешено». Но если перед вами стоит задача создания более гибких правил, вы можете создавать исключения для уровня безопасности по умолчанию, которые могут быть внесены с помощью правил политик ограниченного использования программ. Существуют следующие типы правил:

  • Правила для хеша. Как вам известно, хешем называется серия байтов фиксированной длины, однозначно идентифицирующая программу или файл. Рассчитывается хеш при помощи алгоритма хеширования, основанного на алгоритме Message Digest 5 (MD5), который использовался ранее или Secure Hash Alogorithm-256(SHA256). Когда пользователь пытается открыть программу, хеш программы сравнивается с существующим правилом для хеша политик ограниченного использования программ;
  • Правила для сертификатов. Помимо правил для хеша, политики SRP умеют идентифицировать файл по его сертификату подписи. Другими словами, вы можете настроить правило для сертификата, идентифицирующее приложение и затем, в зависимости от уровня безопасности, позволяющее или не позволяющее его запускать;
  • Правила для пути. Правила для пути идентифицируют приложение по физическому пути к указанному файлу. То есть, вы можете предоставить доступ к указанной папке для всех пользователей сразу;
  • Правила для зон Интернета. Такие правила влияют только на пакеты установщика Windows, идентифицированные из зоны, которая указывается в браузере Internet Explorer.

Существенным преимуществом таких политик является то, что вы можете их использовать как внутри домена, так и на компьютерах, подключенных в рабочие группы посредством оснастки «Локальная политика безопасности». Также при помощи политик ограниченного использования программ вы можете определять пользователей, которые могут добавлять доверенных издателей на своих локальных компьютерах, контролировать выполнение программ и применение политик ограниченного использования программ к любым компьютерам вашей сети и многое другое.

Краткий обзор AppLocker

imageAppLocker – это компонент, впервые появившийся с выходом операционных систем Windows 7 и Windows Server 2008 R2, который позволяет вам указать, каким пользователям или группам разрешено запускать определенные программы на основе правил. Технология AppLocker была представлена как замена (или дополнение) политик ограниченного использования программ. Благодаря данной технологии вы можете определять, какие пользователи могут работать с исполняемыми exe-файлами, сценариями, библиотеками DLL, а также пакетами установщика Windows. По отношению к политикам ограниченного использования программ, к нововведениям AppLocker можно отнести определение правил, основанных на атрибутах, производных от цифровой подписи, включая издателя, имя продукта, имя файла и версию файла. То есть вы можете создавать правило, в котором будет четко указана версия, которую может запускать указанный вами пользователь или целая группа пользователей. Также как и в случае с SRP вы можете создавать новые правила при помощи оснастки «Редактор управления групповыми политиками», но в отличие от SRP вы можете управлять правилами средствами командлетов Windows PowerShell. К сожалению, в отличие от SRP, политики AppLocker могут применяться только на клиентских компьютерах, работающих только под операционными системами Windows Server 2008 R2 и Windows 7 Enterprise и Ultimate, что не совсем выгодно для большинства организаций, парк компьютеров которых еще оснащен ОС Windows XP. Также, к преимуществам технологии AppLocker по отношению к политикам ограниченного использования программ можно отнести тот факт, что политики AppLocker могут распространяться не на всех пользователей указанного компьютера, а на группу пользователей, которая будет указана администратором.

Краткий обзор System Center Configuration Manager

imageСо времен мейнфреймов UNIAC компьютерная индустрия перетерпела существенные изменения. Если вспомнить, то в начале 1980-х годов настольные компьютеры считались новшеством и стоили около 1,700 долларов. На то время ведущие специалисты считали, что жесткого диска в 10 МБ будет для любого пользователя более чем достаточно. Сейчас компьютеры можно встретить практически в каждой организации, и вы, как администратор, обязаны управлять всеми компьютерами. Корпорация Microsoft с вниманием относится к ИТ-специалистам и для решения задач контроля над расходами, оптимизации динамичности ИТ-систем, реализации новых деловых возможностей при возрастании сложности информационных структур корпорация Microsoft предлагает продукт System Center, при помощи которого можно автоматизировать большинство задач управления, обнаруживать, диагностировать, а также исправлять проблемы в своем парке компьютеров. Семейство продуктов System Center – необходимый инструмент для эффективного управления всеми компонентами информационной среды, решающей многие коммерческие задачи организации и представляют собой оптимальный комплекс решений для управлениями системами и приложениями на базе Microsoft Windows, что увеличивает производительность, надежность, масштабируемость и безопасность уровня обслуживания и, соответственно, развитие предприятия. Продукты System Center успешно интегрируются с системами и приложениями Windows благодаря использованию передового опыта распределения рабочей нагрузки, встроенного управления основными решениями, связанными с такими продуктами как Windows XP, Windows Vista, Windows 7, Windows Server, Exchange Server, SQL, технологиями SharePoint и доменными службами Active Directory. Помимо этого, прилагаются встроенные функции управления различными системами вплоть до мобильных устройств. Для достижения оптимальных результатов и повышения производительности используется экспертная поддержка управления ИТ-инфраструктурой, всесторонняя поддержка и диагностика данных для серверных и клиентских операционных систем.

System Center Configuration Manager 2007 (вкратце Configuration Manager или SCCM), свежая версия продукта System Management Server 2003 позволяет вам выполнять множество административных задач в автоматическом режиме, на которые вы тратите большую часть своего времени при обслуживании клиентских компьютеров. Используя данных продукт вы сокращаете время затраченное на выполнение повседневных операций, тем самым позволяя себе сосредотачиваться на трудоемких задачах, эффективно использовать аппаратное и программное обеспечение. К таким задачам относятся: сбор сведений инвентаризации оборудования и программного обеспечения, распространение и установка приложений, а также их обновление, развертывание операционных систем и многое другое.

Использование процедуры надежного и своевременного обновления сетевых устройств – необходимое условие обеспечения стабильной и эффективной работы сетевой инфраструктуры и уменьшения числа уязвимостей. System Center Configuration Manager предоставляет удобное интегрированное решение для развертывания обновлений оборудования и программного обеспечения на физических, виртуальных клиентах, серверах и мобильных устройствах независимо от их местоположения, что позволяет уменьшить расходы, своевременно разворачивать обновления и повышать безопасность вашей организации. Например, для получения обновлений продуктов корпорации Microsoft только тем клиентам, которые нуждаются в обновлениях, сервера System Center Configuration Manager используют интеграцию с серверами WSUS. Эти средства обновления являются унифицированными и позволяют эффективно обновлять продукты разработанные производителями третьих сторон. Пользовательские каталоги обновлений, созданные партнерами Microsoft, входят в состав SCCM. Каждая организация может формировать пользовательские каталоги обновлений в соответствии со своими потребностями. Помимо вышеперечисленных возможностей, функционал Configuration manager для развертывания обновлений позволяет использовать функцию пробуждения от сети (Wake on LAN) и распространять обновления в нерабочее время. Это позволяет не составлять компьютеры включенными на время обслуживания экономя электроэнергию. Данная функция также минимизирует время простоя сетевых служб, снижает загрузку сети в рабочее время трафиком обновлений программного обеспечения и уменьшает число сбоев при их установке. Помимо этого, для распространения программного обеспечения вы можете использовать System Center Configuration Manager и устанавливать любое программное обеспечение на основании членства компьютеров и пользователей организации в группах безопасности доменных служб Active Directory. Также вы можете создавать регулярные отчеты для инвентаризации оборудования и программного обеспечения. При помощи текущей технологии вы можете даже обновлять пользовательские операционные системы с сохранением текущим пользовательских параметров.

Краткий обзор System Center Updates Publisher

В том случае, если ваша организация по каким-либо причинам не нуждается в использовании всего функционала продукта System Center Configuration Manager, но для вас стоит критическая задача, связанная с распространением обновлений и программных продуктов, вы можете воспользоваться программным обеспечением System Center Updates Publisher. Как и SCCM, программный продукт System Center Updates Publisher основан на платформе Systems Management Server 2003 R2. Что же представляет собой данный продукт?… System Center Updates Publisher, вкратце SCUP, является полностью автономным программным продуктом, при помощи которого вы можете создавать, изменять, импортировать, экспортировать, а также публиковать данные об изменениях продуктов корпорации Microsoft и независимых поставщиков программного обеспечения на выбранном сервере обновлений. При помощи данного продукта, также как и при использовании SCCM, вы можете развертывать опубликованные обновления на клиентские компьютеры вашей организации. Данный продукт имеет весьма ограниченные возможности, но он вполне подойдет организациям, штат которых варьируется от 50 до 250 пользователей и вам, как администратору, необходимо автоматизировать процесс развертывания обновлений для программных продуктов.

Краткий обзор System Center Essentials

imageПродукт System Center Essentials является решением, позволяющим управлять ИТ-инфраструктурой в малых и средних организациях, которые насчитывают от 30 до 550 компьютеров (то есть, 50 серверов и 500 клиентов). Используя данный программный продукт вы можете обеспечивать распространение обновление обновлений и программных продуктов, наблюдение, отслеживание, а также защиту компьютеров своей организации. В продукт System Center Essentials входит множество отчетов, которые предоставляют различную информацию о вашей инфраструктуре, включая информацию о предварительно загруженных пакетах управления, позволяющих отслеживать общие компоненты операционных систем, служб и приложений. Данный продукт представляет собой единую консоль, которая предназначена для управления физическими компьютерами и виртуальными машинами для инвентаризации программного обеспечения, централизованного управления обновлениями, развёртыванием программного обеспечения, а также наблюдением за работоспособностью компьютеров и сетевых устройств вашей организации. Основными преимуществами является единое решение для управления платформами, приложениями и рабочей нагрузкой, проактивное управление для поддерживания на актуальном уровне ИТ-инфраструктуры, ускорение неполадок и решение проблем встроенными средствами и ссылками, позволяющими быстро устранить неполадки, а также автоматизация процессов обновления системы и сбора данных вручную или автоматически. Повышение эффективности при использовании System Center Essentials состоит в простоте использования мастера настроек, добавление процедуры контроля с использованием встроенных шаблонов, создание специализированных политик контроля, простоты развертывания и обслуживания системы с помощью мастера первоначального поиска и мастера конфигурации обновлений. Также данный продукт существенно упрощает выполнение сложных задач управления, таких как комплектование и развертывание ПО, добавление объекта мониторинга веб-сайта, а также создание и настройку групповой политики.

Обо всех этих технологиях вы узнаете из следующих статей данного цикла, посвященного обновлению, развертыванию программного обеспечения и предотвращению запуска и установки программного обеспечения пользователями.

Реклама