补丁修复

2024-08-05

补丁修复（精选3篇）

补丁修复篇1

服务器是运行各种应用系统的物理载体, 在保障应用系统, 尤其是重要业务系统的平稳安全运行过程中, 对服务器操作系统的漏洞进行修复是非常必要的。由于系统补丁的数量巨大、种类繁多, 补丁之间存在相互影响, 补丁更新操作可能引起应用系统工作异常, 因此, 补丁修复方式尤显重要。本文结合区域数据中心运维过程中的经验, 对Windows类操作系统服务器的补丁修复方式进行探讨。

一、Windows类操作系统的补丁类型

一般来说, Windows操作系统涉及的补丁有三类。一类是操作系统本身的补丁。操作系统是一个庞大的系统软件, 结构复杂, 因此难免出现一些考虑不周的情况, 这些漏洞往往危险性极高。例如漏洞编号为MS08-067的系统漏洞, 这是服务中的一个漏洞, 如果用户在受影响的系统收到特定的RPC请求, 则该漏洞可能允许远程执行代码;第二类是微软公司的应用工具补丁 (例如Office软件补丁、Windows Media Player补丁等) 。这些工具软件在方便用户的同时, 也存在软件漏洞的问题;第三类是运行于Windows类操作系统环境上的第三方软件补丁 (例如Adobe补丁) 。与微软自身的工具软件类似, 第三方软件不可避免地存在漏洞, 而且由于第三方的开发力量参差不齐, 存在的漏洞和数量可能会更多。

二、服务器操作系统的补丁修复方式对比

进行漏洞修复的方式一般有两种:一种是使用工具, 例如操作系统自动补丁修复工具;另一种是手动进行补丁修复。下面逐一分析这两种漏洞修复方式的优缺点。

(一) 工具修复方式

使用补丁修复工具进行漏洞修复, 可以迅速对多台服务器同时进行众多补丁的修复, 但由于补丁与补丁之间、补丁与应用软件之间难以确保完全互不影响, 因此采用工具的补丁批量修复方式存在一定风险。目前, 能够实现补丁自动修复的工具主要有Windows系统自带的“Windows Update”功能、微软公司的WSUS以及第三方补丁修复工具 (例如LANDesk的补丁分发功能组件、360安全卫士等) 。基于补丁修复工具, 用户可以设置修复时间、系统漏洞检测频率以及选择需要修复的补丁类型。大多数用户使用这些补丁修复工具就可以满足漏洞修复的需要, 但是对于运行重要业务系统的服务器, 使用这些自动修复工具同时修补大量的系统漏洞, 可能会引起业务系统的运行异常或者操作系统运行不稳定。

(二) 手工修复方式

人工手动进行漏洞修复可以有效地保障应用系统平稳运行, 但修复大量服务器的补丁会增加系统管理员的工作量。服务器管理员可以根据各自应用软件的情况, 有选择地安装部分补丁, 也可以将需要安装的补丁做成批处理程序, 降低工作量。当需要修复的补丁过多时, 这种方式无疑会增加系统管理员的工作量, 但可以有针对性地避免某类补丁修复给应用系统带来的不良影响。

三、补丁修复方式及相关建议

总体来说, 采用某种单一的方式对服务器的操作系统漏洞进行修复并不可行, 应该根据服务器所运行的应用软件的类型, 同时考虑需要安装的补丁类型, 选择合适的漏洞修复方式。

(一) 一般业务系统服务器

对于重要程度不高或涉及终端用户比较少的业务系统服务器, 其漏洞扫描和补丁安装可以依托漏洞自动修复工具来进行补丁安装。在这种情况下, 即使某个补丁的安装引起应用系统或操作系统运行异常, 系统管理员也可以在终端用户影响面较小的情况下, 在非工作时间或即时进行系统恢复。

(二) 重要业务系统服务器

对于涉及大量终端用户或承载重要应用系统的服务器, 其补丁安装建议采用手动的方式进行。并且在手动修复某个漏洞前, 建议在类似测试环境中进行模拟测试, 充分了解补丁对应用软件的影响, 测试通过的补丁才能安装在生产环境上。

(三) 漏洞修复策略建议

通常情况下, 服务器所需要的漏洞修复只涉及操作系统本身 (很少涉及某种工具补丁或者第三方软件补丁) , 并且只需要修复危害性比较严重的漏洞。根据这个特点来进行补丁安装, 既可以满足系统安全性的需要, 又可以最大限度地减少对应用软件的影响。操作系统补丁的ID一般以MS开头 (例如MS08-067) , 系统管理员可以根据补丁ID查到补丁的描述, 分辨补丁类型和补丁间的依赖关系, 并以此判断补丁程序是否与应用程序兼容。需要特别注意的是, 系统管理员一般尽可能少修补Microsoft.NET的补丁、防火墙补丁和XML相关补丁, 因为这三类补丁程序的安装很可能会造成应用程序工作异常。

(四) 减少安装无关软件

系统管理员应该尽量少安装与服务器运行系统无关的软件, 这样能够在很大程度上减少漏洞的产生。在服务器上安装的软件越多, 特别是第三方软件, 引发漏洞的因素就越多。作为系统管理员, 应该坚持“最少安装”的原则, 即只安装和服务器运行有关的软件, 只开通和服务器担当角色有关的端口, 只开设最需要的账号。

参考文献

[1]陈克非, 黄征.信息安全技术导论[M].北京:电子工业出版社, 2007.

[2]张世永.网络安全原理与应用[M].北京:科学出版社, 2003.

补丁修复篇2

微软将该补丁设定成了“重要”级别。

尽管攻击者要实现一次成功的攻击，需要来自用户的一些交互(如下载一个附件并打开)，可鉴于大多数用户的技能水平和安全意识，未打补丁的系统仍将面临极大的风险。

受该漏洞影响的软件包括Microsoft Forefront Client Security、Microsoft Forefront Endpoint Protection 、Microsoft Forefront Security for SharePoint Service Pack 3、Microsoft System Center Endpoint Protection、Microsoft Malicious Software Removal Tool，以及Windows Intune Endpoint Protection、Microsoft Security Essentials和Windows Defender（最后一个可是随着最新的微软OS一起预装的，影响面也是最广的），