筆者最近在使用一個約1000臺計算機(jī)的網(wǎng)絡(luò)時，發(fā)現(xiàn)有兩臺計算機(jī)大約有一年沒有打補(bǔ)丁了。這也許不算什么，不過是千分之二嘛，有人也許這樣認(rèn)為。

　　但是，即使一臺計算機(jī)沒有打上補(bǔ)丁也就意味著它會影響整個網(wǎng)絡(luò)。也就是說一臺未打補(bǔ)丁的工作站實在是一個不小的問題。

　　如果你還懷疑事情是不是真得如此糟糕，可以看一下這些潛在的后果：

　　由于重新安裝造成一定的“巖機(jī)”時間和破壞生產(chǎn)效率；

　　由于被攻擊或濫用造成數(shù)據(jù)完整性成為可疑的問題；

　　由于系統(tǒng)不能被你的客戶使用引起消極的與公眾的聯(lián)系。

　　雖然補(bǔ)丁管理工具在大大小小的公司里已經(jīng)變得相當(dāng)?shù)钠毡榱�，不過仍會有一些問題沒有被注意或解決：還有一些機(jī)器一直沒有打上補(bǔ)丁。

　　沒有什么工具可以為你解決這個問題。打補(bǔ)丁是一個真實的過程而非一個工具。有些單位將補(bǔ)丁當(dāng)作一個任務(wù)。這不是一項任務(wù)，而是一件全天的工作。

　　解決這種問題需要幾個前攝性的措施。下面我們給出管理補(bǔ)丁的五種措施或步驟：

　　1.網(wǎng)絡(luò)清查

　　清查需要從調(diào)查企業(yè)的網(wǎng)絡(luò)和部署在其上的軟件開始。如果沒有這一步，你就不能知道到底需要部署哪些補(bǔ)丁。此外，通過創(chuàng)建一個風(fēng)險預(yù)測來對企業(yè)的機(jī)器對行一次優(yōu)先次序的排隊，這種預(yù)測需要根據(jù)它們對企業(yè)的必要性來進(jìn)行。

　　2.監(jiān)視供應(yīng)商的站點

　　一旦你對企業(yè)的網(wǎng)絡(luò)進(jìn)行了清查并且對機(jī)器進(jìn)行了優(yōu)先排序，你就為補(bǔ)丁的監(jiān)視開始了準(zhǔn)備工作。不過不要依賴你的賣主（賣給你產(chǎn)品的人）能夠及時給你有關(guān)問題的通知。廠商在沒有形成一個完整的解決方案之前有可能不通知你，這就有可能有點兒太晚了。這就是你為什么需要監(jiān)視廠商的Web站點，以求在第一時間清楚有關(guān)問題的原因。

　　3.部署

　　在設(shè)定了監(jiān)視過程之后，你就可以開始部署打補(bǔ)丁工作了。有許多補(bǔ)丁部署方案可以使用，因此需要選擇一個適合你企業(yè)需要和預(yù)算的方案。

　　所有的方案都可以打補(bǔ)丁。然而，你可從補(bǔ)丁管理系統(tǒng)中最需要得到的是能夠報告其打了哪些補(bǔ)丁以及有哪些機(jī)器它沒有為它們打補(bǔ)丁。

　　4.解決問題

　　現(xiàn)在到了解決問題的步驟。根據(jù)報告中所顯示的有哪些機(jī)器沒有打上補(bǔ)丁，對其進(jìn)行跟蹤，并監(jiān)視它們的活動。

　　有些用戶習(xí)慣性地在一天的末了關(guān)閉工作站，完全不管收到多少警告他們“讓電腦開著就行”的電子郵件。你可以考慮監(jiān)視來自這些計算機(jī)的網(wǎng)絡(luò)活動。

　　你還可以考慮使用Wake-On-LAN (WOL) 或者Wake On Wireless LAN (WoWLAN)。如果你不再能夠跟蹤某臺電腦或者使其喚醒，就可以采取進(jìn)一步的行動。

　　5.作出響應(yīng)

　　有時需要作出一些更強(qiáng)烈的行動來保護(hù)你企業(yè)的網(wǎng)絡(luò)。你可以一直禁用某機(jī)器的賬戶，并將一個注意事項發(fā)送到其幫助桌面。

　　如果這還不能奏效，你可以禁用工作站連接到的端口。任何一種補(bǔ)丁方案都會生成來自客戶的響應(yīng)，并允許你解決部署補(bǔ)丁的短期問題。然后你就可以開始著手解決這個工作站為什么不能收到補(bǔ)丁的長期問題。

　　結(jié)束語

　　雖然自動補(bǔ)丁管理是可用的，卻不總是最好的方案。對于安全部門來說，及時通知管理部門這種情況的嚴(yán)重性并且請求一定的資源來做好工作是相當(dāng)重要的�？傊�，我們的目標(biāo)是零風(fēng)險。這需要我們付出持續(xù)不斷的努力。