安全补丁更新 中国教育和科研网紧急响应组（CCERT） 清华大学信息网络工程研究中心 郑先伟 电子邮件：starry@ccert.edu.cn 电话：010－62784301 传真：010－62785933 地址：清华大学中央主楼310 1 主要内容 一、补丁管理的概念 1、为什么要安装补丁程序 2、补丁管理的十大法则 3、补丁管理面临的问题 二、常用的补丁安装与管理方法 1、手工安装补丁程序 windows、linux、solaris……… 2 主要内容 2、自动在线更新（OnlineUpdate） *nux系统的在线升级 Up2date Apt-get port cvs Windows系统的在线升级 AUtoupdate SUS SMS WUS CCERT安全资源管理系统 NAC 3 为什么要安装补丁程序 没有绝对安全的系统与应用软件 2004年微软发布的45个安全公告，共修补了漏洞82个，推 出补丁程序45类 其中 windows2000系统补丁程序24个 windowsxp系统补丁程序21个 windows2003系统补丁程序21个 4 为什么要安装补丁程序 绝大多数的蠕虫病毒依靠系统漏洞进行传播 CodeRed蠕虫利用的是IIS5.0或者IIS4.0的漏洞MS01-033 Slammer蠕虫利用的是SQLserver的漏洞MS02-039 Nachi蠕虫利用的是win2000和xp的rpc漏洞MS03-026 Sasser蠕虫利用的是windows系统的Lsass缓冲区溢出漏洞 MS04-011 5 为什么要安装补丁程序 扫描和利用系统漏洞攻击是黑客最常用的攻击手段 针对系统漏洞最有效的方法就是安装补丁程序 因此防范病毒和攻击，我们第一步要做的就是安装 系统补丁 6 补丁管理的十大法则 法则法则11、打补丁保安全是基本常识。、打补丁保安全是基本常识。 法则法则22、如果一开始就没注意安全问题的话，打、如果一开始就没注意安全问题的话，打 补丁也没有用。补丁也没有用。 法则法则33、对错误的判断是没有补丁可打的。、对错误的判断是没有补丁可打的。 法则法则44、对于自己有什么软件不清楚的话是没法、对于自己有什么软件不清楚的话是没法 打补丁的。打补丁的。 法则法则55、最有效的补丁是不需要打的补丁。、最有效的补丁是不需要打的补丁。 7 补丁管理的十大法则 法则法则66、一个服务包（、一个服务包（ServiceServicePackPack）包含多个）包含多个 补丁。补丁。 法则法则77、补丁们生而不平等。、补丁们生而不平等。 法则法则88、永远不要在看到攻击代码之后再决定是、永远不要在看到攻击代码之后再决定是 否打补丁。除非你真地看到了。否打补丁。除非你真地看到了。 法则法则99、不管你是否自知，每个人都有一个自己、不管你是否自知，每个人都有一个自己 的补丁策略。的补丁策略。 法则法则1010、补丁管理是真正的风险管理。、补丁管理是真正的风险管理。 8 补丁管理面临的问题 留给我们用来打补丁的时间越来越少 如何快速有效的将补丁分发到客户端 成了补丁管理最关键的问题 9 内容导航 一、补丁管理的概念 1、为什么要安装补丁程序 2、补丁管理的十大法则 3、补丁管理面临的问题 二、常用的补丁安装与管理方法 10 常用的补丁安装方法 •手动安装补丁程序 •系统管理员手动把补丁程序下载到本地后进行安装 •自动在线更新（OnlineUpdate） •使用系统提供的自动更新程序进行补丁安装 •例如： •Windows的autoupdate 11 手动安装补丁程序的方法 •Windows系统 •补丁程序后缀名为.exe或者.msi，下载后直接双击运行 •Linux系统 •补丁程序包通常是rpm格式的，请使用以下命令安装 •Rpm–Fvh补丁程序名（如sendmail-8.12.8-1.0.rpm) •Solaris系统 •补丁程序的后缀名为.zip，请先用gzip命令解压然后使用如 下命令安装补丁 •Patchadd/补丁包的路径/（如./random/) 12 在线自动更新补丁的方法 *nux系统的在线升级 Up2date Apt-get port cvs Windows系统的在线升级 AUtoupdate SUS SMS WUS CCERT安全资源管理系统 13NAC OnlineUpdate的优势 •自动：不需人工干预； •快速：在攻击代码出现之前分发到桌面； •可靠：在网络出现故障时能够工作； •安全：完整性、来源的真实性； •可扩展：大规模网络； 14 OnlineUpdate主要应用 •新版本软件分