對於企業來說,軟體更新是極為關鍵的作業,不僅是為了取得新功能、改善效能,更重要的是修補系統的漏洞、也就是俗稱的「補丁」。主要是因為,近年來各類病毒、蠕蟲或木馬程式頻繁現身,它們多利用作業系統或應用程式的漏洞而展現破壞力,致使全球蒙受可觀的商業損失;因此補丁的安裝與管理,不只是 IT 層次的問題,亦是企業營運風險管控的議題。

但持平而論,若想為公司內部每台電腦確實安裝補丁,對 IT 人員而言,是十分繁重的任務,花費的作業時間相當長,延宕得愈久、破口就愈大,讓一些來不及完成補丁的機器,淪為惡意程式乘虛而入的跳板。換言之,企業不只要執行補丁,亦須設法提高補丁作業效率。

為此旭辰資訊與 Intel 合作,以Intel® vPro™ 平台整合旭辰SmartIT資產管理軟體,進而利用排程遠端開機、排程執行修補更新、排程遠端關機等三個關鍵步驟,營造最有效率的補丁作業模式。

依排程執行軟體更新,及時修補高風險漏洞

旭辰資訊總經理林明毅指出,不少大型企業已建置Windows Server Update Service(WSUS),因而擁有自動更新機制,比較不需擔心補丁作業的效率問題;只不過為數更多的中小企業,普遍缺乏這樣的機制,導致經常難以及時完成微軟緊急修補與重大更新的安裝,而那些來不及修補的電腦,自然蘊含較高的潛在安全風險,更容易感染病毒或遭到駭客入侵,為企業營運投下變數。

如今中小企業若能善用「SmartIT+Intel AMT」整合方案,可望彌補過往的缺憾,即使沒有 WSUS、也能提振補丁作業效能。

英特爾(Intel)台灣分公司業務暨行銷事業群商用業務總監鄭智成指出,Intel vPro 平台具備 Intel 主動管理技術(Intel Active Management Technology,以下簡稱 Intel AMT),具有獨立於作業系統的持續性頻外(Out-of-Band)連線能力,可以超越一般資產管理軟體層次,發揮關機資產管理、遠端管理、網路截斷、事件日誌等獨特功能,也能做到遠端電源管理,也就是從遠端執行單台電腦的開關機;意謂企業可將此特性運用在離峰時段,針對指定的工作站電腦派送修補程式,在不影響使用者的前提下執行補丁。

但建構於硬體層的Intel AMT 並無排程機制,所以需要由 IT 人員介入、且必須一台台處理;假使遭遇 Hotfix 緊急修補需求,又只能在非上班時間處理,IT 人員就會需要加班作業。

如果企業擁有 Intel vPro 平台電腦、並已啟用 Intel AMT 功能,即可搭配運用 SmartIT,從幾個方面提升補丁效能。首先 IT 管理者可從軟體資產盤點資料中,明確找出還未進行特定補丁作業的電腦;其次 IT 管理者可透過 SmartIT 進行排程,在指定的離峰時段開啟這群未補丁的電腦,派送修補程式,完成安裝後再關閉這群電腦,整個作業過程在排程設定好後即可自動進行完成,不需要人員參與。

林明毅說,以往企業若單純使用 SmartIT 執行補丁,需要透過Wake-on-LAN(WOL) 技術,讓關機狀態下的電腦被啟動,但其中存在許多限制,例如電腦須先確認主機板或網路介面卡有無支援 WOL,加上 WOL 是透過廣播方式進行,而廣播封包在不少企業網路環境中可能遭到阻擋;因此不一定每台電腦都能喚醒,連帶產生不低的更新失敗率,反觀 Intel AMT 一定喚得醒電腦,能夠消弭補丁失敗的風險。

Intel vPro 平台內建多項獨特安全功能,讓企業免於遭受威脅侵擾

Intel AMT 所支援的遠端電源管理功能,有助於增進補丁效率、減少資安威脅,繼而降低企業營運風險。不過 Intel vPro 平台對抗資安威脅的法寶,並不僅限於 Intel AMT,還包含了多項硬體安全性功能,且能形成一般資安軟體做不到的獨特防禦機制,充分保障電腦端點安全。

Intel Hardware Shield 即是其中一項功能。現今駭客未必完全仰賴軟體攻擊,已開始瞄準韌體、也就是連接系統記憶體與虛擬化型安全性環境的橋樑,對企業展開更凶險的攻擊。一旦有了 Intel Hardware Shield,就能確保電腦作業系統只在可信賴的狀態下啟動,確保作業系統在符合規定的硬體上執行,並且會在軟體執行時鎖定 BIOS 記憶體,防止被植入的惡意軟體破壞作業系統,藉此將惡意程式注入的風險降到最低,針對韌體攻擊產生十足的保護效果。

而 Intel Software Guard Extensions(Intel SGX)則提供以硬體為基礎的記憶體加密功能,能夠在記憶體內隔離特定的應用程式碼與資料,並允許將使用者層級的程式碼配置於隱私區域,即便有心人士企圖以較高層級來執行這些程式碼,也將不得其門而入;由此看來,企業只要善用 Intel SGX,便可針對工作負載或服務當中最敏感的部份,施以高規格保護,不需擔心遭到揭露或竄改。

除此之外,Intel vPro平台還可針對 Windows 10 Pro 及 Windows 10 Enterprise 等作業系統內含的各項安全服務,提供硬體層面的支持。大體來說,Intel vPro 平台內建許多安全功能,無論意在強化 BIOS 安全、保護機敏應用程式碼和資料,或是提升身份保護的成效,都足以協助企業在日益複雜的威脅環境下降低風險。

Intel vPro 平台 https://www.intel.com.tw/content/www/tw/zh/business/enterprise-computers/overview.html


Advertisement

更多 iThome相關內容