微软安全主管谈“系统补丁安装窍门” “首先判断是否有必要使用补丁。如果还有其他防御方法的话,也可以不安装补丁而等着服务包的出台。在安装补丁时,要通过事先检测与事后监控来避免出现故障”--在2月20日面向媒体的说明会上,日本微软专业支持本部全球技术支持中心安全问题解决小组主管奥天阳司就安装补丁(修正程序)时怎样避免出现故障介绍了上述原则。
尽管修补安全漏洞的补丁一个接一个地公布出来,但由于担心当前正在运行的系统出现问题,有不少管理人员对是否安装补丁犹豫不决。希望这些用户能参考一下奥天阳司主管提出的以下建议。尽管都是些老生常谈的话题,但这里还是再专门强调一下。
是否真的有必要使用补丁?
在安装补丁时,首先要判断“该补丁是否真正有必要”。“是否正在使用受安全漏洞影响的功能”、 “能否采用其他办法来补救”。如果不安装补丁也能避免影响的话,当然也就避免了安装补丁带来的问题。
例如:在对Locator Service无效的系统中,就不受1月23日公布的通过Locator Service未检测的缓存来运行代码(810833)(MS03-001)”的影响。也就是说,对于Locator Service无效的系统,即未设定域名限制的Windows NT、2000 及XP就没有必要安装有关“MS03-001”的补丁。
对于设定了域名限制的Windows NT 4.0及2000的机器来说,要考虑是否有必要进行这一设定。如果没有必要的话,改变设定使Locator Service无效,不安装补丁同样也能消除影响。
用防火墙堵住特定的端口,同样也能防范来自外部的攻击。要想不安装补丁就消除影响的话,请参照《微软安全信息》中“问题缓和要点”中公布的事项。普通用户只要使用“Windows Update”就足够了,但管理员就得经常查阅“微软安全信息一览”,对最新信息中的“问题缓和要点”进行认真阅读,对安全漏洞有清楚的了解 。
在无需安装补丁也能避免影响的情况下,要通过安装随后公布的服务包来堵塞安全漏洞。由于服务包与补丁程序相比进行了更严格的测试,所以出现问题的可能会小一些。在这方面,微软网站上公布的“服务包比修正程序更优秀的理由”进行了详细解释。
通过事先测试来观察影响
当不安装补丁就无法避免影响时,要么停止存在安全漏洞的服务,要么是安装补丁。在这种情况下,通过测试环境对“安装后是否对现有系统造成影响”进行事先检验是非常重要的。
在没有准备测试环境,或安全漏洞的深刻度为“紧急”而没时间进行测试等情况下,在保证出现问题时能恢复到安装前状态的情况下,可以应用新的环境。
此时要严密关注安装后是否会出现问题。提起“安装补丁”,人们往往觉得只要安装时留心就可以了,其实安装后的应用更为重要。
对于重要的系统,“不进行测试,不能确认能否恢复到安装前状态就随意开始安装,安装后也不观察运行情况”--恐怕没有企业会采用这种方式进行安装吧。
但安装前如何检测以及安装后如何监控运行情况,各个企业都有各自的办法,不能一概而论。企业可根据自己的规定来实施。相反,如果没有这方面规定的话,当务之急便是制定有关规定了。(胜村 幸博=IT Pro)