PatchLink Update是一套整合管理更新檔部署、弱點偵測和強制性政策管理的主從式架構系統,管理伺服器藉由在個人端電腦部署代理程式(Agent),取得修補工作主控權。

支援多種作業系統與應用程式
PatchLink Update支援11種語系,可修補的系統範圍相當廣泛,包括微軟旗下全系列產品及Linux、MacOS X、Novell NetWare等作業系統,6.1版已支援Windows 2003 Server,而IBM AIX、HP-UX、Sun Solaris等Unix主機系統,也在PatchLink Update支援之列內。PatchLink也與許多軟體廠商合作,蒐集的更新檔涵蓋當前企業環境普遍應用的各種系統環境,小至一般個人端通用的Adobe Acrobat、MarcoMedia Flash Player、Winzip,用戶端應用程式需要搭配的Sun Java JRE、Citrix ICA Windows用戶端,或是企業後端會用到的SQL Server、Oracle資料庫、SendMail等;PatchLink Update能存取與配發的病毒更新定義檔種類,也幾乎囊括主流防毒廠商。

在手機與PDA作業系統弱點修補上, PatchLink Update也能支援Windows Mobile、Windows CE、Symbian、Palm OS、RIM Blackberry。PatchLink Update針對特定網路設備,已經可以支援Cisco NAC網路架構,並整合Cisco Trust Agent強化自動化強制政策阻擋修補程度不足的電腦上網,漏洞修補未來也將支援Cisco網路設備韌體的更新。

派送這些修補檔傳輸過程的安全性特別重要,要避免遭非法攔截和篡改。原廠會先藉由本身的PatchLink Master Achieve Server,向合作的應用程式廠商取得更新檔,經過PatchLink公司內部的實驗室驗證與特定系統平臺的相容性後,如果沒有太大的問題,會陸續發布給企業端的PatchLink Update伺服器,然後再轉發到所有控管的電腦上。傳輸的過程中,都經由SSL的安全加密通道連線,同時搭配數位認證、CRC檢查、壓縮與加密等方式,提升發布修補檔時的完整性和安全性。如果驗證修補程式的過程中發現問題,PatchLink也會與原廠聯繫,調整修補程式內容。

整合偵測技術讓程式修補更聰明
在控管個人端電腦上所安裝專屬代理程式,是PatchLink Update運作的關鍵。代理程式(Discovery Agent)會偵測、收集每部電腦目前的軟體、硬體、系統服務與安裝的更新檔資訊,並將這些特徵資訊(Fingerprints and Signatures)回傳給伺服器,以便隨時檢視企業電腦內的應用程式狀態,PatchLink Update伺服器會根據收集到的所有資料,再進一步分析全部電腦的狀態,針對更新或程式修補狀態,建立群組或整個公司電腦的各種報表,協助管理者掌握目前電腦更新狀態與需處理比例。

代理程式收集個人端電腦軟硬體資訊,主要利用特徵採樣(Fingerprinting)的方法,深入分析登錄機碼(registry),偵測個人端目前的弱點。伺服器端的管理介面也提供直覺的表列資訊與點選操作,結合跨越多個廠商、平臺與應用程式的更新程式彙整能力,讓管理者得以從遠端及時修正這些已知的系統缺陷。

可匯入弱點資料庫和定義強制基線
除了特徵採樣技術,用戶可以透過PatchLink弱點掃描整合模組(Scanner Integration Module,SIM),匯入其他廠商或免費的弱點掃描資料庫,包括McAfee Foundstone FoundScan、ISS Internet Scanner、Nessus、QualysGuard等7種。今年第三季隨PatchLink Update 6.2一起上市,SIM 2.0預計能夠支援微軟安全性更新與設定掃描工具MBSA 2.0(Microsoft Baseline Security Analyzer 2.0),同時PatchLink Update伺服器也將支援WSUS(Windows Server Update Services),簡化企業報表和強制性政策執行等功能。

PatchLink Update可以為控管的電腦群組定義應強制安裝修補套件,稱為強制基線(Mandatory Baseline),可分成弱點和發布的修補檔兩個群組,裡面包含了基本的強制基線套件列表,其中包含套件項目說明、影響與相關的作業系統類型。

提供超多種部署代理程式方法
代理程式除了偵測與回傳控管電腦的狀態,另一個重大任務就是負責先期部署的工作。PatchLink Update提供多種部署代理程式的方式,可由網頁管理介面發布安裝檔,以預先包裝好的安裝程式碼部署與設定。除了先期部署,代理程式也負責修補程式後續部署(Client Agent)的工作,支援下載續傳功能。

你可以選用一般執行檔或MSI封裝檔,或利用Login Script及PatchLink的網域代理程式部署精靈,在控管端的Windows背景安裝PatchLink Update Agent。Unix代理程式主要透過Java處理與Unix 作業環境,在Novell NetWare網路中,也有專用的部署精靈。

6.1版在伺服器本機增加「代理管理中心」(Agent Management Center)的Windows工具,協尋欲控管的電腦、安裝/移除代理程式及檢視已經離線的電腦,大量管理各電腦群組。代理管理中心和網域代理程式部署精靈的功能雖相近,多了指定IP位址範圍、LDAP目錄服務和網域電腦的掃描功能。

配送點(Distribution Point)也是PatchLink Update 6.0後才具有的功能,提供封裝檔遠端傳輸的網路快取,方便駐外辦公室與分公司電腦的快速佈署。配送點的技術來自SQUID NT2.5這套Web Proxy Cache的開放原始碼產品,配送點可以安裝在持續連結網路的本地伺服器或工作站上,這部電腦就會變成代理程式與PatchLink Update伺服器之間的閘道,所有裝有PatchLink Update代理程式就可以不必全部連至同一部PatchLink Update伺服器,而改由配送點代理所有的訊息傳遞與修補檔分發工作,減少頻寬佔用。配送點也採用Fast Patch的技術,能自動尋找最近的修補檔下載配送點。文⊙李宗翰


Advertisement

更多 iThome相關內容