TechEd 2003特別報導-微軟的資訊安全控管與部署管理

策略性技術保護計畫的安全承諾

由於近幾年來的資訊安全議題來自層出不窮的蠕蟲攻擊事件，微軟樹大招風，總是無辜的成為系統入侵與破壞最主要鎖定的系統平臺對象。在TechEd 2003期間，微軟針對學員們的熱烈反應，甚至加開「深度探索Windows Security and Patch Management」的課程。這顯示了微軟必須主動提供完整的防護策略給所有使用者及企業，以面對日後防不勝防的安全漏洞偵防戰。微軟的安全性承諾與具體做法

微軟的確接受到使用者對於安全的迫切需求，安全性問題應該比產品的發行更受到重視，因此微軟於2001年秋季啟動策略性技術保護計畫（Strategic Technology Protection Program，STPP），以確保客戶電腦作業環境與網路安全。微軟發布的資訊安全工具集（Microsoft Security Tool Kit，STK）中，企業可以使用四種工具來部署與管理安全套件︰MBSA安全分析器

Microsoft Baseline Security Analyzer（MBSA）讓使用者端可以主動分析Windows系統安全性，掃瞄網域內的Windows電腦，檢查作業系統和已安裝的元件，找出可能成為系統弱點的安全性錯誤組態，也會判定系統是否已經安裝最新的安全套件，並且自動推薦需要的安全性修正和修補程式。MBSA 最新的版本是1.1.1，新增了對Windows Server 2003的本機與遠端掃描，未來將會發表1.2版。MBSA整合HFNetChk的命令列指令，用來確認修補程式安裝至本機或網域內電腦的日期與時間。工作原理其實是下載mssecure.xml，審查目前安裝修補程式，是否有遺漏。mssecure.xml來自mssecure.cab，下載時須先確認檔案數位簽章的狀態，以免下載到駭客偷偷置換的錯誤修補比對記錄。SUS軟體更新服務

Windows Update網站目前提供作業系統與瀏覽器的安全修正工具，未來會擴及所有微軟產品更新的整合介面：Microsoft Update。Software Update Services Server （SUS）目前是1.0 SP1，之後會發表SUS 2.0。SUS Server如果要改變企業內部網路的預設Windows Update伺服器位址時，必須要透過AD的群組原則才能更動， SUS Server可以安裝在網域控制站，但是前提是啟用IIS才能完成SUS Server的網站設定。SMS系統管理伺服器

SUS需要更多功能的話，就必須仰賴Systems Management Server（SMS），目前的版本是2.0 SP5，總共需要安裝8個套件，2003年底馬上就要推出SMS 2003，可以整合成兩個安裝套件。SMS幾乎等於SUS再加上製作報告的功能，能夠判斷個別細部項目的需求，可以進行更新檔的測試及部署，而SMS也是這四個安全工具中唯一必須付費購買的。

其他資訊安全部署和管理工具，如IIS 鎖定工具，可以快速自動移除IIS內不必要的服務，並提供安全性範本檔；URLScan則是一個ISAPI篩選器，讓IIS 網站管理員能夠關閉不需要的功能，並限制伺服器處理的網站使用者的 HTTP要求的類型，藉阻斷特定 HTTP 要求的方法，防止可能有害的要求進入伺服器造成的損害，可以與ISA Server整合。而QChain架構，讓系統可以一次同時安裝多個修正程式，避免每新增一隻修補程式就得重新開機的次數，NT無法使用QChain，Windows 2000 SP3以上、XP、Windows Server 2003都已經內建。

修補程式的安裝，也許對個人用戶端的影響不大，但是企業級的應用，尤其是負擔企業營運的伺服器，假如因為安裝修補程式後，導致應用程式或服務無法執行，這樣的代價實在太冒險，這是許多企業之所以沒有即時安裝修補程式的最大原因。問題在企業不敢貿然嘗試，並不是資訊傳達不到企業的問題。微軟固然提供一些安全工具，但是事實上提供更具整合性的管理工具會更實用，等到企業或使用者自行熟悉這樣較為被動的安全架構，顯然還是不足以應付資安事件。文⊙李宗翰