Jump to content
Alexander Ilin

Поиск уязвимостей и Патч Менеджмент

Recommended Posts

Уважаемые пользователи корпоративных продуктов «Лаборатории Касперского», приглашаем вас принять участие в улучшении компонентов «Уязвимости в программах» и «Обновление программного обеспечения» в составе комплекса Kaspersky Security Center 10.

Эти компоненты входят в раздел «Поиска уязвимостей» и позволяют сканировать управляемые компьютеры на наличие уязвимостей, а так же принудительно устанавливать обновления программного обеспечения.

В данной теме, мы бы хотели собрать ваши пожелания по работе данных компонентов. Нам очень интересно, какие именно программы вы обновляете с помощью Kaspersky Security Center 10 и устанавливаете ли вы «заплатки» для программ.

 

Спасибо.

Надеямся на ваше понимание и сотрудничество.

Share this post


Link to post
Share on other sites

Использую как в KSC 9 так и в KSC 10.

 

Софт стандартен для моего сегмента (злой админ я, да, ничего лишнего), но "соседи" используют множество разнообразного стороннего софта (имею к ним полный доступ на правах консультанта по продуктам KL и не только).

 

Ранее установку/обновление выполнял GPO средствами, Logon скриптами, но довольно ги..., трудоемко. Так как хорошо разбираюсь в инсталляторах, то теперь в основном использую скрипты VBS/CMD/BATCH через KSC для установки стандартного ПО, что используется на станциях (чур, скрипты не раздаю).

 

Для Microsoft продуктов использую тот же самый WSUS и средствами GPO.

 

Вам нужен полный список ПО, которое устанавливаю/обновляю? Уточните.

 

Спасибо.

Edited by K0NCTANT1N

Share this post


Link to post
Share on other sites
Rezor666   

Добрый день!

Благодарим Вас за использование нашего продукта.

Позвольте узнать, почему Вы не используете наш Patch Management для обновления и установки программного обеспечения?

Список поддерживаемого программного обеспечения можно посмотреть здесь - http://support.kaspersky.ru/9327

Share this post


Link to post
Share on other sites
Utyug   

Здесь только по 10 версии говорим? Я, например, не спешу на нее переходить, подожду пока на 9.3.75, хотя организация и не такая большая, как тут встречаются.

 

Патч-менеджер может не использоваться, к примеру, если не все компьютеры организации охвачены KSC (установлены другие антивирусные продукты). А если на них установить агент управления и переместить в Управляемые, чтобы получать от агента полезные данные, то глаз не радует информация о том, что на них "Не установлен Антивирус Касперского" и состояние, соответственно, как-бы критическое. Очень хорошо было бы, на мой взгляд, KSC уметь создавать специальную группу в Управляемых, состояние компьютеров в которой не отражается на статистике.

 

У себя использую информацию об уязвимостях и установленных програмах, предоставляемую KSC 9.3.75, чтобы отловить не обновляющиеся компьютеры (может быть на них надо что-то предпринять).

Пока обновляюсь групповыми политиками. В недалеком будущем заланированы WSUS и AUSST. Обновление средствами KSC сторонних продуктов пока не прельщает (будут положительные отзывы от коллег - тогда и посмотрим).

Share this post


Link to post
Share on other sites
Здесь только по 10 версии говорим? Я, например, не спешу на нее переходить, подожду пока на 9.3.75, хотя организация и не такая большая, как тут встречаются.

 

Патч-менеджер может не использоваться, к примеру, если не все компьютеры организации охвачены KSC (установлены другие антивирусные продукты). А если на них установить агент управления и переместить в Управляемые, чтобы получать от агента полезные данные, то глаз не радует информация о том, что на них "Не установлен Антивирус Касперского" и состояние, соответственно, как-бы критическое. Очень хорошо было бы, на мой взгляд, KSC уметь создавать специальную группу в Управляемых, состояние компьютеров в которой не отражается на статистике.

 

У себя использую информацию об уязвимостях и установленных програмах, предоставляемую KSC 9.3.75, чтобы отловить не обновляющиеся компьютеры (может быть на них надо что-то предпринять).

Пока обновляюсь групповыми политиками. В недалеком будущем заланированы WSUS и AUSST. Обновление средствами KSC сторонних продуктов пока не прельщает (будут положительные отзывы от коллег - тогда и посмотрим).

Добрый день.

Здесь идёт обсуждение работы отдельного функционала, пожалуйста пишите только по теме.

Для пожеланий к продукту у нас есть отдельный топик, но даже он для десятой версии. http://forum.kaspersky.com/index.php?showtopic=263672

Share this post


Link to post
Share on other sites
yosemity   

Вообще, лично я считаю, что функционал развертывания ОС и софта для корпоративного АВ-решения совсем лишний. Поиск уязвимостей - полезно, безусловно. Для установки софта логично использовать предназначенные для этого средства.

Сам разворачиваю и регулярно обновляю весь стандартный софт (порядка 30 приложений) средствами WSUS.

Share this post


Link to post
Share on other sites
mvs   

иногда удобно через KSC - если срочно и парк большой надо обновить или закрыть уязвимость или запустить скриптик сразу на всех для сбора специфичной информации, при этом очень много машин работают 24х7... тогда как средствами GPO или WSUS как правило необходима перезагрузка...

вроде как функционал полезный, но в больших предприятиях задачи/функции у админов разделены (узко направлены) и убедить использовать KSC вместо WSUS или прочего специализированного ПО для закрытия уязвимостей и обновления софта трудно.. поэтому - это всего лишь плюшка дополнительная... и логичней если такой функционал был бы продуктах защиты для малого офиса.

Edited by mvs

Share this post


Link to post
Share on other sites
yosemity   
средствами GPO или WSUS как правило необходима перезагрузка

Для установки софта перезагрузка не нужна. Ну очень редко, если, допустим, хром обновляется, когда запущен.

А вот на счет малого офиса полнотью согласен, в них обычно нету всусов и систем центров.

Share this post


Link to post
Share on other sites
aehrlich   
Вообще, лично я считаю, что функционал развертывания ОС и софта для корпоративного АВ-решения совсем лишний.

Оно, конечно, идеологически правильно -- keep focused и т.д. Но вот я лично рад, что такая функциональность в этом конкретном корпоративном АВ-решении есть. Потому что WSUS у меня нет. И AD нет. И даже Windows-серверов нет. Есть около 60 Windows-клиентов. И, на мой взгляд, мелким предприятиям с небесконечным бюджетом AD/WSUS (и лицензии на Windows-сервер и CAL -- мы же их считаем, да?) совсем необязательны.

 

Share this post


Link to post
Share on other sites
aehrlich   
я лично рад, что такая функциональность в этом конкретном корпоративном АВ-решении есть

Цены, правда, уже не очень радуют...

 

Share this post


Link to post
Share on other sites
pnetmon   

год назад с помощью "Обновления программного обеспечения" (тогда называлось по другому, и было по другому) пробывал обновлять программы в удаленных офисах с не очень широким каналом связи. там стоял свой KSC на обычной ОСи. WSUS стоял в голове и нагружать сеть в рабочее время было нежелательно, да и на серверную лицензию для каждого офиса денег небыло.

 

недавно вернулся к KSC, как понимаю плюшки стали платные.

Edited by pnetmon

Share this post


Link to post
Share on other sites

Добрый день.

Пользуюсь KSC 10.0.3361

Есть несколько пожеланий к работе компонента «Уязвимости в программах»:1

  • Было бы прекрасно автоматически объединять в группы уязвимости, закрываемые одним патчем, например Adobe Flash Player появилось около 30 различных уязвимостей, это надо в каждую заходить и добавлять исправления в ручную. А можно было бы сгруппировать автоматически по уязвимому приложению с выпадающим списком включаемых уязвимостей.
  • Не работают ссылки на рекомендуемые исправления в свойствах уязвимости.
  • Было бы очень удобно, если в параметрах инсталляционного пакета, была справочная информация по ключам запуска приложения.

Share this post


Link to post
Share on other sites
недавно вернулся к KSC, как понимаю плюшки стали платные.

 

Вся соответствующая функциональность, доступная в KSC 9.x (установка обновлений Windows со штатного источника, закрытие уязвимостей, закрываемых обновлениями Windows, закрытие уязвимостей сторонних приложений назначением кастомных инсталляционных пакетов) осталась бесплатной и в KSC 10.x. Платной является возможность работы в качестве WSUS, автоматическая установка патчей сторонних приложений, и некоторые другие новые возможности.

 

год назад с помощью "Обновления программного обеспечения" (тогда называлось по другому, и было по другому) пробывал обновлять программы в удаленных офисах с не очень широким каналом связи. там стоял свой KSC на обычной ОСи. WSUS стоял в голове и нагружать сеть в рабочее время было нежелательно, да и на серверную лицензию для каждого офиса денег небыло.

 

Возможно, я неверно понял суть вопроса, но, еще раз, если речь идет об установке обновлений Windows со штатного источника (например, штатного WSUS), то использование KSC проблему узких каналов не решает, т.к. сами обновления (включая их метаданные) в этом случае закачиваются минуя транспорт KSC, а KSC является именно центром управления установкой обновлений. Для оптимизации трафика (за счет использования функциональности Агентов обновлений) в ходе доставки обновлений Windows следует использовать лицензию SystemsManagement и включать в KSC роль WSUS (делать его источником обновлений Windows).

 

 

Share this post


Link to post
Share on other sites
Было бы прекрасно автоматически объединять в группы уязвимости, закрываемые одним патчем, например Adobe Flash Player появилось около 30 различных уязвимостей, это надо в каждую заходить и добавлять исправления в ручную. А можно было бы сгруппировать автоматически по уязвимому приложению с выпадающим списком включаемых уязвимостей.

 

Это интересное предложение, мы его обдумаем, спасибо. Однако фактически в таком случае Вам достаточно выбрать любую из таких уязвимостей, и назначить исправление для нее (соответственно, в результате установки патча будут закрыты все уязвимости этого продукта).

 

На всякий случай уточню для других посетителей форума, что речь идет о режиме без ключа SystemsManagement (либо при отключении функциональности SystemsManagement в настройках консоли администрирования), когда патчи для уязвимостей сторонних приложений прихожится назначать вручную.

 

Не работают ссылки на рекомендуемые исправления в свойствах уязвимости.

 

Эта функциональность становится доступна только при наличии ключа SystemsManagement.

 

Было бы очень удобно, если в параметрах инсталляционного пакета, была справочная информация по ключам запуска приложения.

 

Просьба уточнить, об инсталляционных пакетов каких продуктов Вы говорите.

Спасибо!

Share this post


Link to post
Share on other sites
pnetmon   
Вся соответствующая функциональность, доступная в KSC 9.x... осталась бесплатной и в KSC 10.x. Платной является возможность работы в качестве WSUS, автоматическая установка патчей сторонних приложений, и некоторые другие новые возможности.

 

Возможно, я неверно понял суть вопроса, но, еще раз, если речь идет об установке обновлений Windows со штатного источника (например, штатного WSUS), то использование KSC проблему узких каналов не решает, т.к. сами обновления (включая их метаданные) в этом случае закачиваются минуя транспорт KSC, а KSC является именно центром управления установкой обновлений. Для оптимизации трафика (за счет использования функциональности Агентов обновлений) в ходе доставки обновлений Windows следует использовать лицензию SystemsManagement и включать в KSC роль WSUS (делать его источником обновлений Windows)

 

Платное - хочу используя KSC обновить 7Zip - создаю инсталяционный пакет если выбирать Программа из базы "ЛК" - функциональность ограничена - то есть плюшка платная - хотя возразите она новая.

Да и вы пишите в ходе доставки обновлений Windows следует использовать лицензию SystemsManagement - это наверное тоже новая плюшка.

А вот раньше весь функционал KSC был бесплатный, а сейчас появились платные плюшки.

 

год назад с помощью "Обновления программного обеспечения" (тогда называлось по другому, и было по другому) пробывал обновлять программы в удаленных офисах с не очень широким каналом связи. там стоял свой KSC на обычной ОСи. WSUS стоял в голове и нагружать сеть в рабочее время было нежелательно, да и на серверную лицензию для каждого офиса денег небыло.

Это было в конце 2011-начале 2012 года, до появления KSC 10

используя WSUS люди умудряются обновлять и устанавливать сторонние программы.

Есть удаленные филиалы с которыми канал связи ограничен и канал все время нагружен в рабочее время, ночью простаивает. В филиалах только клиентские ОСи, на серверные нету денег или слишком жирно для некоторых филиалов с 5-7 компьютерами покупать сервер и лицензию на серверную редакцию MS.

Мне надо было одновременно на десятках машин обновить или установить программы как от MS (офисы, его сервис паки), так и других разработчиков, размер которых иногда сотни мегабайт.

При этом установить удаленно, не заходя лично на компьютеры, пользователь за компьютером может работать и его работу нельзя прерывать. Ну например Java должна стоять последняя, пользователь в этот момент времени с ней не работает, а работает позднее.

Решил что можно внедрить в филиалах локальные серверы KSC и массово распространять установочные файлы через них путем создания задачи где установочный пакет содержится в локальной сети филиала.

Edited by pnetmon

Share this post


Link to post
Share on other sites
Платное - хочу используя KSC обновить 7Zip - создаю инсталяционный пакет если выбирать Программа из базы "ЛК" - функциональность ограничена - то есть плюшка платная - хотя возразите она новая.
Да, именно так, это новая функциональность, которой не было в KSC 9.x. Как и раньше, Вы можете самостоятельно скачать дистрибутив, поддержитвающий "silent"-установку с сайта вендора, создать кастомный инсталляционный пакет, указав поддерживаемые вендором параметры командной строки для "silent"-установки. (В частности, как и раньше, можно бесплатно устанавливать любые msi-дистрибутивы.)

 

Да и вы пишите в ходе доставки обновлений Windows следует использовать лицензию SystemsManagement - это наверное тоже новая плюшка.
Так точно, это абсолютно новый функционал в KSC 10.x, которого не было в предыдущих версиях.

 

А вот раньше весь функционал KSC был бесплатный.
Повторюсь, тот функционал, который был бесплатный (весь), таковым и остался.

 

используя WSUS люди умудряются обновлять и устанавливать сторонние программы.

Есть удаленные филиалы с которыми канал связи ограничен и канал все время нагружен в рабочее время, ночью простаивает. В филиалах только клиентские ОСи, на серверные нету денег или слишком жирно для некоторых филиалов с 5-7 компьютерами покупать сервер и лицензию на серверную редакцию MS.

Мне надо было одновременно на десятках машин обновить или установить программы как от MS (офисы, его сервис паки), так и других разработчиков, размер которых сотни мегабайт.

При этом установить удаленно, не заходя лично на компьютеры, пользователь за компьютером может работать и его работу нельзя прерывать. Ну например Java должна стоять последняя, пользователь в этот момент времени с ней не работает, а работает позднее.

Решил что можно внедрить в филиалах локальные серверы KSC и массово распространять установочные файлы через них путем создания задачи где установочный пакет содержится в локальной сети филиала.

Вероятно, предлагаемое нами в версии KSC 10.x решение Systems Management идеально подходит для решения таких задач, типичных для организации с удаленными филиалами. Однако, Вы также можете решить эти задачи, ограничившись использованием базовой лицензии за счет использования Агентов обновлений или подчиненных Серверов администрирования в сетях удаленных филиалов при условии наличия возможности получать сами обновления MS непосредственно с серверов обновлений MS и ручного создания пакетов обновлений стороннего ПО, а также ручного определения того, какие именно обновления нужно устанавливать, или какие уязвимости закрывать. Решение Systems Management предлагает намного больше возможностей, в т.ч., с точки зрения простоты обеспечения безопасности за счет своевременного обнаружения и закрытия уязвимостей ПО.

Share this post


Link to post
Share on other sites
Да, именно так, это новая функциональность, которой не было в KSC 9.x. Как и раньше, Вы можете самостоятельно скачать дистрибутив, поддержитвающий "silent"-установку с сайта вендора, создать кастомный инсталляционный пакет, указав поддерживаемые вендором параметры командной строки для "silent"-установки. (В частности, как и раньше, можно бесплатно устанавливать любые msi-дистрибутивы.)

 

Так точно, это абсолютно новый функционал в KSC 10.x, которого не было в предыдущих версиях.

 

Повторюсь, тот функционал, который был бесплатный (весь), таковым и остался.

 

Вероятно, предлагаемое нами в версии KSC 10.x решение Systems Management идеально подходит для решения таких задач, типичных для организации с удаленными филиалами. Однако, Вы также можете решить эти задачи, ограничившись использованием базовой лицензии за счет использования Агентов обновлений или подчиненных Серверов администрирования в сетях удаленных филиалов при условии наличия возможности получать сами обновления MS непосредственно с серверов обновлений MS и ручного создания пакетов обновлений стороннего ПО, а также ручного определения того, какие именно обновления нужно устанавливать, или какие уязвимости закрывать. Решение Systems Management предлагает намного больше возможностей, в т.ч., с точки зрения простоты обеспечения безопасности за счет своевременного обнаружения и закрытия уязвимостей ПО.

 

 

 

у меня это вообще не работает.

Говорит что функциональность ограничена

Share this post


Link to post
Share on other sites
у меня это вообще не работает.

Говорит что функциональность ограничена

 

Это как раз означает, что на сервере не зарегистрирована лицензия на данную функциональность. Какой у Вас тип лицензии?

Share this post


Link to post
Share on other sites
Это как раз означает, что на сервере не зарегистрирована лицензия на данную функциональность.

и как ее зарегистрировать?

У меня стандартная версия.

Судя по таблице, функционал должен быть.

 

Share this post


Link to post
Share on other sites
и как ее зарегистрировать?

У меня стандартная версия.

Судя по таблице, функционал должен быть.

Уточните, пожалуйста, какую таблицу Вы имеете в виду.

 

KASPERSKY ENDPOINT SECURITY ДЛЯ БИЗНЕСА СТАНДАРТНЫЙ

KASPERSKY ENDPOINT SECURITY ДЛЯ БИЗНЕСА РАСШИРЕННЫЙ

Share this post


Link to post
Share on other sites
Это как раз означает, что на сервере не зарегистрирована лицензия на данную функциональность. Какой у Вас тип лицензии?

что значит тип?

У меня секьюрити стандарт

Share this post


Link to post
Share on other sites
что значит тип?

У меня секьюрити стандарт

 

Ознакомьтесь, пожалуйста, с содержанием ссылок - там есть подробное описание функциональности, доступной в каждом из продуктов (типов лицензий).

Функциональность Systems Management (Средства системного администрирования) доступна только с лицензией Advanced.

Уточните, подалуйста, при выполнении какого именно действия Вы получаете уведомление о недоступности функциональности?

И проверьте, пожалуйста, что у Вас в настройках интерфейса консоли администрирования отключено отображение функциональности Systems Management:

post-846-1389964423_thumb.png

post-846-1389964429_thumb.png

 

Как сказано выше в этом топике, без лицензии на данную функциональность доступны только те возможности Patch Management, которые были в предыдущих версиях Kaspersky Security Center - установка выбранных обновлений Microsoft Windows и исправление выбранных уязвимостей, закрываемых установкой обновлений Microsoft Windows или назначенными пользователем кастомными инсталляционными пакетами.

Share this post


Link to post
Share on other sites
igor7478   
Уважаемые пользователи корпоративных продуктов «Лаборатории Касперского», приглашаем вас принять участие в улучшении компонентов «Уязвимости в программах» и «Обновление программного обеспечения» в составе комплекса Kaspersky Security Center 10.

Эти компоненты входят в раздел «Поиска уязвимостей» и позволяют сканировать управляемые компьютеры на наличие уязвимостей, а так же принудительно устанавливать обновления программного обеспечения.

В данной теме, мы бы хотели собрать ваши пожелания по работе данных компонентов. Нам очень интересно, какие именно программы вы обновляете с помощью Kaspersky Security Center 10 и устанавливаете ли вы «заплатки» для программ.

 

Спасибо.

Надеямся на ваше понимание и сотрудничество.

 

Вечер добрый,

пожелания есть по улучшения функционала и по желательным исправлений ошибок.

1. Software-Updates -> при выборе применимые с фильтром MSRC - критычные, то выходит список с 73 уязмимостями, а при выборе KL - выявилось только 2 уязвимости! Как это понять и по каким критериям лучше ориентироваться??? - в данном случае лично считаю, что лучше положися на Microsoft! Либо проблема либо баг!

2. Очень важный пункт!!!! После того, как в политике агента устанавливаем "использовать KSC как wsus сервер" на всех рабочих местах выходи служба windows update и жалуется что есть обновления для хоста!!! Любой пользователь может произвести обновления!!!!!!! - это фатально!!! и это с security ни имеет ничего общего!!!!! Наши все клиенты, только по этой причине не хотят пользоватся этим функционалом.

Ведь смысл всего, чтобы администратор выбрал обновления которые он считает нужным и затем установил, а не каждый юзер, после чего хосты могут попрощатся!!!! Очень важно!!!

3. Тестировать и проверять пакеты обновления, а не просто пересылать на microsoft и других производителей как это делает Secunia. К примеру производитель Lumension, сначала тестирует все обновления, затем пакетирует + MD5 + шифрует и обновления появляются 1-2 позже чем у microsoft, но зато уверенно проверенные!

4. Устанавливаешь обновлене KB***, перезагрузаешь хост, сканируешь на уязвимости и опять появляетя уже установленный KB, как рекомендуемый для установке. Проверяешь на хосте и видишь, что этот патч уже установлен, сканируешь еще много раз, но KSC всеже предлогает для этого хоста уже установленный патч.

 

На этом пока преостановлюсь! Продолжение следует!

Игорь

Share this post


Link to post
Share on other sites
1. Software-Updates -> при выборе применимые с фильтром MSRC - критычные, то выходит список с 73 уязмимостями, а при выборе KL - выявилось только 2 уязвимости! Как это понять и по каким критериям лучше ориентироваться??? - в данном случае лично считаю, что лучше положися на Microsoft! Либо проблема либо баг!

Уточните, пожалуйста, что вы имеете в виду, когда говорите "при выборе KL"? Если уровень важности по KL, то возможно нет ни проблемы, ни баги, т.к. при определении уровня важности мы учитываем много факторов, в т.ч. отталкиваемся не только от исходного уровня уязвимости, но также учитываем наличия фактов использования данной уязвимости зловредами, и т.п. И еще важный момент мы показываем свой рейтинг важности уязвимости только для тех обновлений, которые реально детектировались как применимые на каких-либо управляемых компьютерах, тогда как "уровень важности по MSRC" - артибут собственно обновления, он доступен сразу при получении с серверов MS Updates информации о данном обновлении. Однако, конечно, вероятность ошибки исключать нельзя - приведите, пожалуйста, пару примеров обновлений MS с серьезным уровнем MSRC, для которых в поле "Уровени важности по KL" стоит <Unknown> - будем разбираться.

 

2. Очень важный пункт!!!! После того, как в политике агента устанавливаем "использовать KSC как wsus сервер" на всех рабочих местах выходи служба windows update и жалуется что есть обновления для хоста!!! Любой пользователь может произвести обновления!!!!!!! - это фатально!!! и это с security ни имеет ничего общего!!!!! Наши все клиенты, только по этой причине не хотят пользоватся этим функционалом.

Ведь смысл всего, чтобы администратор выбрал обновления которые он считает нужным и затем установил, а не каждый юзер, после чего хосты могут попрощатся!!!! Очень важно!!!

В данном случае в существующем релизе мы преследовали цель учесть наиболее важные существующие претензии пользователей к MS WSUS. В частности, возможность пользователя при наличии определенных прав отказаться от установки обновлений, назначенных администратором к установке. В нашем случае мы обеспечиваем немедленную (согласно заданному администратором расписанию) установку обновлений согласно критериям, заданным администратором, но препятствовать возможности привилегированному пользователю по своему желанию установить прочие применимые к его компьютеру обновления, мы целью не ставили, т.к., при наличии таких прав привилегированный пользователь может установить обновления и напрямую с серверов обновлений Microsoft, а возможность самостоятельно установки обновлений непривилегированными пользователями отключается в доменной политике.

 

3. Тестировать и проверять пакеты обновления, а не просто пересылать на microsoft и других производителей как это делает Secunia. К примеру производитель Lumension, сначала тестирует все обновления, затем пакетирует + MD5 + шифрует и обновления появляются 1-2 позже чем у microsoft, но зато уверенно проверенные!

Не переходя на конкретные названия, ничего плохого не хочу сказать про качество тестирования патчей провайдерами решений PatchManagement. Но обычно масштаб конфигурационного тестирования всех обновлений таков, что преимущество дополнительного тестирования (после исходного тестирования силами такой корпорации, как Microsoft), сопровождающееся дальнейшей ручной перепаковкой обновлений в свой формат и т.п., не столь однозначно. Необходимые проверки подлинности обновлений (и не только по дырявому MD5, но и по SHA256) есть и так. И многие поставщики услуг патч-менеджмента, рекламирующие собственную ручную перепаковку обновлений Microsoft как их конкурентное преимущество, так делают не столько потому, что это дает какие-то преимущества конечному пользователю, а потому, что на момент разработки ими их систем клиент-серверный протокол Microsoft WSUS еще был закрытым, и они тогда не могли сделать того, что сделали сейчас мы - реализовать этот протокол самостоятельно и позволить штатным средствам Windows устанавливать штатные обновления, доставляя их через свою транспортную систему (обеспечивающую централизованное получение обновлений в одной точке в сети и минимизацию трафика между интернетом и интранетом).

 

4. Устанавливаешь обновлене KB***, перезагрузаешь хост, сканируешь на уязвимости и опять появляетя уже установленный KB, как рекомендуемый для установке. Проверяешь на хосте и видишь, что этот патч уже установлен, сканируешь еще много раз, но KSC всеже предлогает для этого хоста уже установленный патч.

В настоящий момент действительно наблюдается такая ошибка. Для ее устранения готовится патч, как только он будет готов, мы выложим здесь ссылку на него. Кроме того, Вы можете обратиться в службу поддержки и завести соответствующий инцидент - в этом случае патч автоматически предоставят вам по факту готовности.

Share this post


Link to post
Share on other sites
1. Software-Updates -> при выборе применимые с фильтром MSRC - критычные, то выходит список с 73 уязмимостями, а при выборе KL - выявилось только 2 уязвимости! Как это понять и по каким критериям лучше ориентироваться??? - в данном случае лично считаю, что лучше положися на Microsoft! Либо проблема либо баг!

Уточните, пожалуйста, что вы имеете в виду, когда говорите "при выборе KL"? Если уровень важности по KL, то возможно нет ни проблемы, ни баги, т.к. при определении уровня важности мы учитываем много факторов, в т.ч. отталкиваемся не только от исходного уровня уязвимости, но также учитываем наличия фактов использования данной уязвимости зловредами, и т.п. И еще важный момент мы показываем свой рейтинг важности уязвимости только для тех обновлений, которые реально детектировались как применимые на каких-либо управляемых компьютерах, тогда как "уровень важности по MSRC" - артибут собственно обновления, он доступен сразу при получении с серверов MS Updates информации о данном обновлении. Однако, конечно, вероятность ошибки исключать нельзя - приведите, пожалуйста, пару примеров обновлений MS с серьезным уровнем MSRC, для которых в поле "Уровени важности по KL" стоит <Unknown> - будем разбираться.

Провели дополнительный анализ возможных ситуаций, в которых может воспроизводиться описанное Вами поведение.

В текущей версии KSC при наличии нескольких применимых обновлений Microsoft Windows, потенциально закрывающих одну уязвимость, мы по определенным критериям выбираем одно из таких обновлений как используемое по умолчанию для закрытия данной уязвимости. Если этого недостаточно для закрытия всех экземпляров данной уязвимости, остальные обновления будут установлены при последующих запусках задачи, либо в случае попадания их в область действия задачи на основании других критериев (например, непосредственно по уровню MSRC). Однако в ближайшей версии мы планируем поменять это поведение, каждый из таких апдейтов будет изначально помечен как связанный с уязвимостью соответствующего уровня важности.

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×