了解第三方补丁管理程序

补丁程序的管理虽然必不可少，但又是一项单调而费时的工作。尤其是在复杂网络环境下。幸运的是，有许多第三方提供的产品和服务能够帮助自动化这个过程，使之变得简单。

保持计算机系统不断更新无论怎么强调都不过分，不断发现的漏洞让系统暴露于危险状态。最近的.ANI脆弱性就是这么一个情况；恶意的代码编写者发布了一大批恶意攻击程序，而微软在4月发布了针对这个问题的补丁。但不久便报道该补丁导致一些程序无法运行。你如何保证把那个关键安全补丁安装在网络的所有机器上，并保证潜在的有问题的补丁在你测试之前不产生麻烦呢？

小型企业依靠微软自带的更新程序进行自动更新即可。如果开启了自动更新，计算机会自己下载和安装关键更新，而无需用户或管理员的干涉。也可以对自动更新进行配置，让它自动下载，但安装时需要用户的许可，但该选项需要用户知道哪些更新需要安装和哪些程序不需要安装，或者要求管理员逐个允许/禁止每一台客户机上的更新。

随着企业的增长，这种个别关照就显得不切实际了。你有需要对更新进行更好的控制。如果你的网络拓展成了混合式系统，也就是除了运行Windows的机器外，还有Linux/UNIX和Macintosh计算机同时在运行，那情况就更复杂了。

微软拥有自己的更新工具，包括Windows Server _update Services (WSUS) 和System Center Configuration Manager (SCCM)，SCCM是Systems Management Server (SMS)的改进版本。可是，这些工具都不支持非Windows操作系统。为了管理混合式网络的补丁程序，你可能需要求助于第三方解决方案。在本文中，我们将就一些可选产品做些讨论。

PatchLink

为SMB服务的最流行的第三方补丁管理工具之一是PatchLink _update。该工具90年代中期开始使用，在该行业中声誉良好。它工作于Windows、Macintosh OS、NetWare，以及Unix的一些版本（如IBM AIX,、HP UX 和 Sun Solaris）。和其它网络工具不同，它对用户非常友好，它有基于向导的补丁调度方案，并且支持阶段性实施。

在安装过程中，服务器组件会安装到 Windows Server 2003上，SQL Server 2005 Express Edition也会安装。Patchlink维持有巨大的数据仓库，包含主要软件供应商提供的程序补丁和操作系统补丁，并且这些供应商会预先对补丁测试，帮助你去除问题。“数字指纹技术能检测网络中的脆弱性，确保应用合适的补丁程序。

PatchLink还整合了主流商业漏洞扫描产品和第三方网络控制系统。你会发现更多内容的，请查看试用版的信息，然后可在www.patchlink.com下载免费的评估版软件。

ShavlikNetChk Protect

另一个流行软件是ShavlikNetChk Protect，它通过一个控制台整合了补丁管理功能和间谍软件和恶意软件的检测和去除功能。你可以选择基于代理或务代理的架构，进行快速漏洞评估和修复，并产生执行等级报告。它能够用于扩大到5万台设备的环境，并且支持非微软的程序。

程序的运行平台是Windows XP, Windows 2000和Server 2003 ，并且需要使用Microsoft SQL Server或mySQL的数据库。你可以下载可以试用14天的评估版本进行尝试，可以在http://www.shavlik.com/product_cat_patch_mang.aspx找到更多信息。

Configuresoft

一个更加功能广泛的工具是Configuresoft的Enterprise Configuration Manager (ECM) ，它携带有Security _update Manager 插件模块。作为SMB市场的大多数公司（以及企业）更适宜的产品，它按照功能或角色的分组，分别提供检查ECM数据库，进行风险评估，和在机器上安装补丁的功能。

Windows和UNIX系统的加成版业已推出,让你完全掌控补丁的管理,让不同系统安装的不同补丁条理清晰。请在http://www.configuresoft.com/patchmanagement.aspx查看更多信息。

Kace Management Appliance

另一个方法是使用基于appliance（appliance，一种以虚拟机为载体的程序）的方案，如采用Kace KBOX 1000系列的appliance。这些管理appliance所做的工作不只是打补丁，它们还执行硬件和软件详细目录记载，通用软件的发布，资产管理（包括非计算机资产），设置脚本和进行配置，安全审计和安全方案的实施，提供帮助台，进行系统警告和远程控制。

它的管理控制台基于网络，可以和活动目录及LDAP服务整合，也可以以独立模式运行。Windows, Linux and Solaris机器的代理已经建好，但也支持非代理，只要设备有明确的网络地址就行。可以在http://www.kace.com/products/kbox1000.php获取更多信息。

BlueLanePatchPoint

另一个appliance是PatchPoint，广告上称其为服务器的“漏洞护盾”，它检测网络传输中还未打上补丁的漏洞，并在它到达服务器之前降低其风险，但不会阻断合法传输。

它不需要安装代理，不需要更改服务器的配置，并且更新能动态应用而不需要对服务器进行重启。PatchPoint可以保护Windows servers，Solaris，Novell SuSe， RedHat Enterprise和Free BSD等操作系统，还保护Microsoft SQL和Oracle数据库服务器，电子邮件交换服务器和发件服务器，Apache网络服务器，以及其他更多的保护。你可以在http://www.bluelane.com/products/patchpoint/ 查看更多信息。

Everdream Management Services

此外，还有一种基于服务的补丁管理的解决方案。其中的一个例子是Everdream的Uptime Services Suite，它不仅提供补丁管理服务，还提供反病毒和反恶意程序的保护服务，并且能够在线备份。它个补丁管理功能包括补丁的自动发布，发布状态的监视，和每月一次的补丁执行报告。

随需管理服务的优点包括最小化先期投入，不需要硬件和/或软件的开支。去而代之，你支付月使用费并获取有保证的SLA(服务等级协议)。你只需要和服务人员沟通，不需要和众多卖主费口舌。你可以在http://www.everdream.com/solutions/uptime/index.aspx 查看更多相关信息。

总结

补丁管理虽然必不可少，但又是一项单调而费时的工作。尤其是在混合式网络环境下。幸运的是，有许多第三方提供的产品和服务能够帮助自动化这个过程，使之变得简单。

来源：ZDNet China

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友