EAD与WSUS联动实现系统补丁升级技术白

  • 格式:pdf
  • 大小:316.17 KB
  • 文档页数:8

EAD与WSUS联动实现系统补丁升级技术白皮书

杭州华三通信技术有限公司 www.h3c.com.cn EAD与WSUS联动实现系统补丁升级

技术白皮书

关 键 词:WSUS、系统补丁、自动升级、CAMS、iNode客户端、联动

摘 要: 系统补丁管理已成为企业网络安全管理的重要任务之一,但在企业网中即使利用微软

公司提供的WSUS进行终端用户系统补丁管理,也还是存在网络安全隐患。EAD与

WSUS配合使用可以对用户进行系统补丁安全检查,若接入用户不符合管理员要求,

则调用WSUS客户端,对接入用户进行强制补丁升级。补丁联动解决方案实现了EAD

与WSUS功能的互补,将网络安全从被动变为主动,提高网络安全性。

缩略语清单: 缩略语 英文全名 中文解释

CAMS Comprehensive Access Management Server 综合访问管理服务器

iNode iNode intelligent client iNode 智能客户端

EAD Endpoint Admission Defense 端点准入防御

WSUS Windows Server Update Service Windows服务器升级服务

EAD与WSUS联动实现系统补丁升级技术白皮书

杭州华三通信技术有限公司 www.h3c.com.cn 目 录

1 概述.......................................................................................................................................1

1.1 产生背景......................................................................................................................1

1.2 技术优点......................................................................................................................2

1.3 应用场合......................................................................................................................3

2 联动特性实现.........................................................................................................................3

2.1 EAD与WSUS联动处理流程.........................................................................................3

3 EAD与WSUS联动的技术优势................................................................................................4

4 典型组网应用.........................................................................................................................4

4.1 华三通信技术有限公司北京研发中心...........................................................................4

EAD与WSUS联动实现系统补丁升级技术白皮书

杭州华三通信技术有限公司 www.h3c.com.cn 1 概述

由于网络安全威胁的变化,系统漏洞目前已经成为影响网络安全的重要因素,

2006年4月微软公布系统漏洞的当天,赛门铁克就证实其中3个漏洞已经被黑客利用来发

动攻击,因此对于一个企业而言,制定一个有效的补丁管理措施,为终端用户及时安装

升级各种系统安全补丁,已成为保障网络安全的一项基本任务。

然而,多数企业一直难以实现对终端用户系统补丁的有效管理。经常出现的情况

是,新的补丁发布无人理会,任由系统漏洞存在。即使采用了微软的WSUS、SMS等补

丁管理工具,由于无法强制用户进行系统补丁升级,同样无法保证企业网络的安全。针

对上述情况,H3C推出EAD端点准入防御方案,通过与微软的补丁管理系统联动,实现

网络接入与终端补丁管理完美结合,使系统补丁管理不再困难。

H3C端点准入防御(EAD)解决方案从网络用户终端准入控制入手,整合网络接入

控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的

联动,可以对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使

用行为,加强网络用户终端的主动防御能力,保护网络安全。

EAD解决方案配合WSUS可以对用户终端的Windows系统补丁更新情况进行检查,

若用户终端的补丁安装情况不符合网络安全要求,则将该用户视为不安全的用户,强制

用户进行补丁升级,只有符合安全策略要求后才能正常访问网络。借助EAD解决方案网

络管理员可以完善企业网络安全管理措施,提升网络的安全性,有效的管理系统补丁升

级等安全事件。

1.1 产生背景

WSUS(Windows Server Update Service)是微软提供的免费网络化补丁管理的

统一解决方案。WSUS可以从微软公司的官方网站上自动下载最新的Windows操作系统

补丁,并且可以自动分发给内网中的各终端用户,帮助管理员进行局域网内的系统补丁

升级管理。WSUS采用C/S工作模式,分为WSUS服务器端和客户端,服务器端软件可

以从微软网站上获取,WSUS客户端已被包含在各Windows操作系统上,无需单独安

装。

通过WSUS,管理员可以将用户分类,按照用户类型设定相应的补丁升级策略,并

EAD与WSUS联动实现系统补丁升级技术白皮书

杭州华三通信技术有限公司 www.h3c.com.cn 实现补丁的自动分发。但由于WSUS系统不能强制用户进行补丁升级,也不能限制“危

险”用户接入网络,因此仅部署WSUS系统无法保证系统安全。

1.2 技术优点

EAD与WSUS联动解决方案需要两个系统协同工作:WSUS软件补丁更新服务器负

责对终端用户的计算机进行补丁状态检查、判断是否合格以及不合格时自动更新所缺少

的补丁;EAD安全策略服务器负责决定何时发起补丁状态检查操作,并负责控制补丁状

态检查不合格的端点用户只能访问隔离区内的资源,待端点用户的计算机的补丁状态检

查合格后才解除对该用户计算机的隔离。两者通过EAD安全客户端与微软公司支持联动

功能的补丁升级客户端之间的API接口实现,其部署图如下:

图1 系统结构图

在接入用户的终端同时安装EAD认证客户端和补丁客户端。EAD认证客户端负责完

成与EAD策略服务器的交互;补丁客户端负责与WSUS软件补丁更新服务器进行交互,

两者之间通过微软提供的API接口完成补丁检查与安全准入的融合。

󰀉 说明: 隔离区:是指最终用户在通过安全认证之前允许访问的一组主机的集合。一般情况下,隔离区可能包含防病毒软件安装升级服务器(防病毒管理中心)、软件补丁更

新服务器和EAD管理代理服务器。隔离区具体包含的主机一般在接入设备上配

置。

EAD与WSUS联动实现系统补丁升级技术白皮书

杭州华三通信技术有限公司 www.h3c.com.cn 1.3 应用场合

在金融、政府、电力以及大型企业中,使用微软WSUS产品进行系统补丁管理的企

业网。EAD解决方案可以在对原系统补丁管理机制几乎不做改动的情况下,实现方案的

部署,将系统补丁的管理纳入到整个网络安全管理框架中。

2 联动特性实现

2.1 EAD与WSUS联动处理流程

图2 组网示意图

EAD与WSUS联动的原理性流程如下:

(1) 用户上网时,EAD客户端首先向EAD策略中心发起安全认证请求;

(2) EAD策略中心根据用户角色下发要求进行补丁检查指令;

(3) EAD客户端收到补丁检查指令,调用微软补丁管理客户端接口检查补丁是否及时

更新,并将检查结果发送给EAD策略中心。如果合格,进入(6),如果不合

格,进入(4);

(4) 如果不合格,用户只能访问补丁服务器等安全资源,因此不会受到外部病毒和攻

EAD与WSUS联动实现系统补丁升级技术白皮书

杭州华三通信技术有限公司 www.h3c.com.cn 击的威胁。同时客户端自动过渡到补丁自动升级阶段;

(5) 由用户根据补丁更新过程中出现的情况按提示进行相关的操作(如:重启机器

等),确认完成补丁升级后,由用户干预通过EAD客户端界面再次发起安全认

证,重新检测补丁安装情况,如果合格,进入(6);否则返回(4);

(6) EAD策略中心通知接入设备,将该用户的访问权限从隔离区放开,用户可以正常

访问其他授权的网络资源。

3 EAD与WSUS联动的技术优势

EAD解决方案与WSUS配合使用有许多优势: z 联动的松散耦合性:充分利用微软成熟的补丁管理工具,由WSUS管理各种

Windows环境下用户需安装的系统补丁,EAD只需获得检查结果判断用户的安

全性,如果不安全将自动触发WSUS联动客户端,进行系统补丁的自动升级;

z 补丁更新的安全性:用户机器的补丁状态不符合安全要求时,其访问范围控制在

隔离区,即补丁更新是在隔离区进行的;

z 补丁更新的自动性:补丁更新过程是自动完成的,无需用户手工下载和安装补丁

程序;

z 补丁更新的即时性:用户机器的补丁状态检查不合格后马上转入补丁自动更新过

程;

z 补丁更新的强制性:不完成补丁更新的用户机器只能访问隔离区内的网络资源,

要访问更多资源,只有完成补丁更新。

4 典型组网应用

4.1 华三通信技术有限公司北京研发中心

华三通信技术有限公司在北京研发中心使用EAD解决方案部署办公网络,整个办公

环境和开发环境均使用EAD与WSUS配合联动进行系统补丁管理。网络管理员会根据需

要,设定接入网络的终端系统需安装的系统补丁。员工在进行网络接入认证时会首先进

行EAD安全认证,在安全认证中,EAD客户端调用WSUS客户端对员工使用的机器进行

系统补丁检查,一旦发现员工未安装管理员要求的系统补丁,EAD安全策略服务器就会

通知接入交换机,限制员工只能访问补丁服务器等安全资源。同时,WSUS系统会自动

进行操作系统补丁的升级,完成补丁升级工作。