EAD与WSUS联动实现系统补丁升级技术白
- 格式:pdf
- 大小:316.17 KB
- 文档页数:8
EAD与WSUS联动实现系统补丁升级技术白皮书
杭州华三通信技术有限公司 www.h3c.com.cn EAD与WSUS联动实现系统补丁升级
技术白皮书
关 键 词:WSUS、系统补丁、自动升级、CAMS、iNode客户端、联动
摘 要: 系统补丁管理已成为企业网络安全管理的重要任务之一,但在企业网中即使利用微软
公司提供的WSUS进行终端用户系统补丁管理,也还是存在网络安全隐患。EAD与
WSUS配合使用可以对用户进行系统补丁安全检查,若接入用户不符合管理员要求,
则调用WSUS客户端,对接入用户进行强制补丁升级。补丁联动解决方案实现了EAD
与WSUS功能的互补,将网络安全从被动变为主动,提高网络安全性。
缩略语清单: 缩略语 英文全名 中文解释
CAMS Comprehensive Access Management Server 综合访问管理服务器
iNode iNode intelligent client iNode 智能客户端
EAD Endpoint Admission Defense 端点准入防御
WSUS Windows Server Update Service Windows服务器升级服务
EAD与WSUS联动实现系统补丁升级技术白皮书
杭州华三通信技术有限公司 www.h3c.com.cn 目 录
1 概述.......................................................................................................................................1
1.1 产生背景......................................................................................................................1
1.2 技术优点......................................................................................................................2
1.3 应用场合......................................................................................................................3
2 联动特性实现.........................................................................................................................3
2.1 EAD与WSUS联动处理流程.........................................................................................3
3 EAD与WSUS联动的技术优势................................................................................................4
4 典型组网应用.........................................................................................................................4
4.1 华三通信技术有限公司北京研发中心...........................................................................4
EAD与WSUS联动实现系统补丁升级技术白皮书
杭州华三通信技术有限公司 www.h3c.com.cn 1 概述
由于网络安全威胁的变化,系统漏洞目前已经成为影响网络安全的重要因素,
2006年4月微软公布系统漏洞的当天,赛门铁克就证实其中3个漏洞已经被黑客利用来发
动攻击,因此对于一个企业而言,制定一个有效的补丁管理措施,为终端用户及时安装
升级各种系统安全补丁,已成为保障网络安全的一项基本任务。
然而,多数企业一直难以实现对终端用户系统补丁的有效管理。经常出现的情况
是,新的补丁发布无人理会,任由系统漏洞存在。即使采用了微软的WSUS、SMS等补
丁管理工具,由于无法强制用户进行系统补丁升级,同样无法保证企业网络的安全。针
对上述情况,H3C推出EAD端点准入防御方案,通过与微软的补丁管理系统联动,实现
网络接入与终端补丁管理完美结合,使系统补丁管理不再困难。
H3C端点准入防御(EAD)解决方案从网络用户终端准入控制入手,整合网络接入
控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的
联动,可以对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使
用行为,加强网络用户终端的主动防御能力,保护网络安全。
EAD解决方案配合WSUS可以对用户终端的Windows系统补丁更新情况进行检查,
若用户终端的补丁安装情况不符合网络安全要求,则将该用户视为不安全的用户,强制
用户进行补丁升级,只有符合安全策略要求后才能正常访问网络。借助EAD解决方案网
络管理员可以完善企业网络安全管理措施,提升网络的安全性,有效的管理系统补丁升
级等安全事件。
1.1 产生背景
WSUS(Windows Server Update Service)是微软提供的免费网络化补丁管理的
统一解决方案。WSUS可以从微软公司的官方网站上自动下载最新的Windows操作系统
补丁,并且可以自动分发给内网中的各终端用户,帮助管理员进行局域网内的系统补丁
升级管理。WSUS采用C/S工作模式,分为WSUS服务器端和客户端,服务器端软件可
以从微软网站上获取,WSUS客户端已被包含在各Windows操作系统上,无需单独安
装。
通过WSUS,管理员可以将用户分类,按照用户类型设定相应的补丁升级策略,并
EAD与WSUS联动实现系统补丁升级技术白皮书
杭州华三通信技术有限公司 www.h3c.com.cn 实现补丁的自动分发。但由于WSUS系统不能强制用户进行补丁升级,也不能限制“危
险”用户接入网络,因此仅部署WSUS系统无法保证系统安全。
1.2 技术优点
EAD与WSUS联动解决方案需要两个系统协同工作:WSUS软件补丁更新服务器负
责对终端用户的计算机进行补丁状态检查、判断是否合格以及不合格时自动更新所缺少
的补丁;EAD安全策略服务器负责决定何时发起补丁状态检查操作,并负责控制补丁状
态检查不合格的端点用户只能访问隔离区内的资源,待端点用户的计算机的补丁状态检
查合格后才解除对该用户计算机的隔离。两者通过EAD安全客户端与微软公司支持联动
功能的补丁升级客户端之间的API接口实现,其部署图如下:
图1 系统结构图
在接入用户的终端同时安装EAD认证客户端和补丁客户端。EAD认证客户端负责完
成与EAD策略服务器的交互;补丁客户端负责与WSUS软件补丁更新服务器进行交互,
两者之间通过微软提供的API接口完成补丁检查与安全准入的融合。
说明: 隔离区:是指最终用户在通过安全认证之前允许访问的一组主机的集合。一般情况下,隔离区可能包含防病毒软件安装升级服务器(防病毒管理中心)、软件补丁更
新服务器和EAD管理代理服务器。隔离区具体包含的主机一般在接入设备上配
置。
EAD与WSUS联动实现系统补丁升级技术白皮书
杭州华三通信技术有限公司 www.h3c.com.cn 1.3 应用场合
在金融、政府、电力以及大型企业中,使用微软WSUS产品进行系统补丁管理的企
业网。EAD解决方案可以在对原系统补丁管理机制几乎不做改动的情况下,实现方案的
部署,将系统补丁的管理纳入到整个网络安全管理框架中。
2 联动特性实现
2.1 EAD与WSUS联动处理流程
图2 组网示意图
EAD与WSUS联动的原理性流程如下:
(1) 用户上网时,EAD客户端首先向EAD策略中心发起安全认证请求;
(2) EAD策略中心根据用户角色下发要求进行补丁检查指令;
(3) EAD客户端收到补丁检查指令,调用微软补丁管理客户端接口检查补丁是否及时
更新,并将检查结果发送给EAD策略中心。如果合格,进入(6),如果不合
格,进入(4);
(4) 如果不合格,用户只能访问补丁服务器等安全资源,因此不会受到外部病毒和攻
EAD与WSUS联动实现系统补丁升级技术白皮书
杭州华三通信技术有限公司 www.h3c.com.cn 击的威胁。同时客户端自动过渡到补丁自动升级阶段;
(5) 由用户根据补丁更新过程中出现的情况按提示进行相关的操作(如:重启机器
等),确认完成补丁升级后,由用户干预通过EAD客户端界面再次发起安全认
证,重新检测补丁安装情况,如果合格,进入(6);否则返回(4);
(6) EAD策略中心通知接入设备,将该用户的访问权限从隔离区放开,用户可以正常
访问其他授权的网络资源。
3 EAD与WSUS联动的技术优势
EAD解决方案与WSUS配合使用有许多优势: z 联动的松散耦合性:充分利用微软成熟的补丁管理工具,由WSUS管理各种
Windows环境下用户需安装的系统补丁,EAD只需获得检查结果判断用户的安
全性,如果不安全将自动触发WSUS联动客户端,进行系统补丁的自动升级;
z 补丁更新的安全性:用户机器的补丁状态不符合安全要求时,其访问范围控制在
隔离区,即补丁更新是在隔离区进行的;
z 补丁更新的自动性:补丁更新过程是自动完成的,无需用户手工下载和安装补丁
程序;
z 补丁更新的即时性:用户机器的补丁状态检查不合格后马上转入补丁自动更新过
程;
z 补丁更新的强制性:不完成补丁更新的用户机器只能访问隔离区内的网络资源,
要访问更多资源,只有完成补丁更新。
4 典型组网应用
4.1 华三通信技术有限公司北京研发中心
华三通信技术有限公司在北京研发中心使用EAD解决方案部署办公网络,整个办公
环境和开发环境均使用EAD与WSUS配合联动进行系统补丁管理。网络管理员会根据需
要,设定接入网络的终端系统需安装的系统补丁。员工在进行网络接入认证时会首先进
行EAD安全认证,在安全认证中,EAD客户端调用WSUS客户端对员工使用的机器进行
系统补丁检查,一旦发现员工未安装管理员要求的系统补丁,EAD安全策略服务器就会
通知接入交换机,限制员工只能访问补丁服务器等安全资源。同时,WSUS系统会自动
进行操作系统补丁的升级,完成补丁升级工作。