補丁管理自動化利弊分析(轉)

補丁管理自動化利弊分析(轉)[@more@]

　　在許多補丁管理工具廠商宣揚新的產品功能和自動化的奇蹟的時候，不偏信這些宣傳並且瞭解自動化補丁管理的優點和缺陷是非常重要的。總的來說，支持者多於反對者。

　　

　　這個好處是很明顯的。自動化能夠保證你的系統總是安裝最新的補丁。自動化系統意味著顯著減少了管理人員的負擔。而且系統保持最新狀態的工作會做得更好。這意味著你的超負荷工作的技術支援人員可以有充裕的時間保持使用者的機器處於最新的狀態和正常執行。

　　

　　雖然我說了很多自動化補丁管理的好處，但是，副作用也不可忽視。每一個好處都對機構有積極的影響。但是，要記住，還存在消極影響。

　　

　　自動化補丁管理一個最容易忽視的負面影響是什麼?這就是讓管理員的工作太輕鬆了。

　　

　　假設一個管理員為一箇中型機構設定一個自動化補丁管理系統。在最初的幾個星期，管理員可能會認真檢查補丁管理系統的記錄。總之，這是一個新的系統，管理員需要確保這個系統的正常工作。

　　

　　然而，隨著時間的推移，這些記錄變得很容易被忽略。為什麼?因為管理員工作很忙。對於一個一直正常工作的記錄來說，管理員總是有更重要的工作要做。

　　

　　最後，補丁管理記錄影檢查記錄一樣被忽略了。我曾看到過無數次管理員啟動檢查功能而從來不看檢查記錄的事情，除非發生了什麼事情。有時候，補丁可能成為預防措施中的隱患。

　　

　　如果系統是真正自動化的，那麼，不用你的批准也會使用補丁。如果補丁碰巧有問題，這個補丁會自動在整個機構傳播，透過破壞應用程式或者建立新的安全漏洞使它接觸的所有的計算機崩潰或者減慢速度。因此，很多系統都有恢復原狀的功能。但是，在大量的計算機上使用這種功能會耗費很多時間。

　　

　　自動化補丁管理的最後一個缺陷是惡意的內部人員或者駭客可以使用這種系統作為釋出惡意程式碼的手段。我承認，微軟使用程式碼簽名和其它防禦措施防止識別碼被髮送出去。但是，微軟是一個大目標和駭客極想攻擊的目標。我認為，有人搞懂如何騙取微軟的程式碼簽名只是一個時間的問題。

　　

　　即使你不同意我的觀點，你必須承認幾乎所有的軟體公司偶爾都會發布他們產品的補丁。除了微軟之外還有許多公司提供自動的補丁管理解決方案。從安全的觀點看，有些產品編寫的比其它產品好。利用有問題的補丁解決方案作為釋出惡意程式碼的傳送點是很容易的。

　　

　　儘管提出這些警告，我個人認為，只要你合理使用這個解決方案，自動補丁管理還是一個好主意。這就是說要每天檢查記錄和選擇安全聲譽比較好的產品。