微软软件更新服务(SUS)与大规模计算机安全防范.pdfVIP

·，5孕 全如霭络与住毫|安会技术碍讨套’2彩口 微软软件更新服务(sus)与大规模计算机安全防范 姜开达，汪为农 (上海交通大学网络信息中心，上垮200030) 摘要：本文通过分析近期流行计算机蠕虫病毒传播的趋势和途径手段，得出这几次全世界范围的恶性蠕虫病毒传 播都是和微软操作系统的漏洞有关。防火墙和堕遁量墼赞都对此类新蠕虫病毒控制能力有限，基于这种情况，通过 部署微软的软件更新服务(SUS)，可以有效大规模增强计算机的安全性，免受病毒感染。详细讨论了SUS的概念 和架构并结合在上海交通大学校园网应用的实例，具体说明了其部署过程。 关键词：软件更新服务(SUS)；计算机蠕虫病毒；计算机安全防范 1引言 浏览器漏洞的严重性与可利用程度都比以往有所提高，从漏洞公布到相应攻击代码的出现，最后被蠕虫病毒 毒感染，其破坏程度前所未有。各种蠕虫病毒新变种的不断出现和不同类型病毒之间的互相学习与彼此利用 使互联网用户的病毒防范和安全厂商的及时响应变得更加困难。绝大多数互联网用户都没有及时更新操作系 统漏洞补丁的意识，一台易受感染的计算机一旦暴露在互联网上，如果没有防火墙的保护，很快就会被感染 并成为新的病毒源继续扩散。即使是躲在防火墙内部的计算机，只要内部网内有任何一台主机由于某种原因 被引入病毒，很快就会大范围蔓延，防不甚防。对这类利用严重操作系统漏洞感染蠕虫病毒的计算机，由于 病毒传播速度太快，并且感染后严重影响系统正常运行，大多防病毒软件升级更新还不能满足及时性要求。 或者是能起到的作用有限。 2主动防御技术比较 2．1主动防御的概念 如何掌握大规模计算机安全防范的主动权?是单纯依靠大规模部署防火墙，大面积安装防病毒软件，还 是依靠主动去消除大量计算机存在的安全漏洞隐患，并相应结合防火墙和防病毒软件的部署，协同来完成? 对于网络环境比较复杂，规模比较大，难以对所有计算机进行集中统一管理的企业。机关院校，使用前一种 模式效果不佳．我们认为可以考虑后一种模式。这就是我们所说的主动防御的概念。 2．2几种系统安全漏洞修补模式 目前常见的微软提供修补系统漏洞有三种模式： a．通过访问微软官方网站获得在线更新文件： 安装必要的更新程序(关键系统更新、推荐程序更新和推荐驱动更新)。目前这个网站有两个版本，分别是： Server Windows98到Wjndows 2003的各种操作系统的在线扫描，并可单独提供各种语言的所有补丁列表和下 载。按常规，微软每月会在其网站集中发布一批安全公告，同时提供对应的单独漏洞修复补丁下载。但如果 有特别严重的漏洞出现，微软也会打破常规随时发布新的安全公告和补丁下载。 b．通过SMS(SystemsServer,系统管理服务沫部署和维护所有更新 Management SMS是为大中型企业环境设计的。通过可定制的系统清单和软件分发列表，网络管理员可以发现并跟踪 所有内部的计算机的安全更新和重要升级并直接对其进行有效的远程管理。SMS自带扫描器和Web报表分 f口唧全国网络与信息安全技术研讨会论文 ·栅’ 操作系统。通过活动目录(Active 用户只要加入域，就可以不必关心系统更新，SMS会做好所有的工作。SMS功能非常强大，但其不是免费的。 c．通过SUS(SoflwareUpdateServices)，来分发所有重要更新、安全更新和服务包 器上。SUS仅支持Windows2000、WindowsXP、Windows ServerIP 只要其有AutoUpdate服务，并指定了更新服务器地址(例如http：／／SUS 方式自动下载补丁来获取更新。对某些控制联入互联网，无法直接联接微软网站获得更新的的单位和部门具 有更大的意义，既节省网络带宽，又缩短了更新时间。 SUS是一种被动的无法直接了解所有用户更新状态的更新发布方式。如果想知道用户更新安装的情况， 计得到每台计算机己安装补丁的情况。但这种做法往往是不准确和难以奏效的。如果更新的计算机来自同一 局域网，来源IP地址都是同一个，