31.07.10איך מבצעים עדכוני אבטחה לתחנת STAND ALONE ?
ארגונים רבים מחזיקים תחנות עבודה STAND ALONE (מנותקות מהרשת) מסיבות שונות :
- הכנת תחנות למשלוח ללקוחות או אתרים מרוחקים
- תחנות בעל סיווגים גבוהים (ולכן לא רוצים לחבר לרשת הארגונית ועוד פחות לאינטרנט)
בהנחה ועלינו לטפל באבטחת תחנות STAND ALONE, חשוב למצוא דרך ראויה לבצע עדכוני אבטחה לאותן תחנות כדי לעמוד בנהלי אבטחת המידע/רגולציות שונים.
כמו כן, עצם העובדה שתחנה מנותקת מהרשת לא אומר שאין לה חיבור "עקיפי" לרשתות הארגוניות ולאינטרנט : איך מעבירים קבצים ? דרך DISK ON KEY כמובן (או CD/DVD לא משנה)
האם משתמשים באותם DISK ON KEY לכלל המחשבים בארגון ?) בוודאי … מה נקנה DOK רק למחשב אוחד או שניים ?
יש כאן סיכון להדבקות או לזליגת מידע בכל מצב (ראו כתבה בנושא).
האם כדאי בכלל לעדכן מחשב STAND ALONE ?
מייקרוסופט מעודדת כמובן הפצת עדכוני אבטחה בכל דרך אפשרית : הגדרות עדכונים אוטומטיים ברמת תחנות, חובת התקנת עדכונים שונים כדי להתקין מוצרי החברה, מתן פתרון חינמי לארגונים להפצת עדכוני אבטחה (WSUS) וכמובן השקעה בתחום המודעות והפרסום.
כמו כן, יתכן ותהיה דרישה ברמת הארגון או ברמת הרגולאטור לעדכון מערכות הפעלה.
יחידת מחשוב שלא דואגת לעדכוני אבטחה של מערכות ימתינו עד ליום הדין כדי לבנות נוהל בהתאם 🙂 (הפצת וירוסים ותולעים ברשת)
איך מעדכנים מחשב STAND ALONE ?
אבל איך מטפלים בהפצה של עדכוני אבטחה לתחנות STAND ALONE ? למייקרוסופט אין באמת פתרון לסוגיה זו.
ניתן להוריד כל עדכון אבטחה בנפרד מאתר מייקרוסופט (בהנחה ואנחנו יודעים בדיוק מה להוריד …) ולהתקין אותו (לרוב נדרש RESTART בסוף ההתקנה), כל חודש מופצים בערך 10 עדכונים חדשים … תעשו את החשבון כמה זמן ייקח לעדכן שנה או שנתיים של עדכונים על 2 תחנות (זמן הורדת הקבצים וזמן ההתקנה של כל אחד בנפרד…).
תכירו את AUTOPATCHER : תוכנה חינמית (כרגיל 🙂 ) שיודעת לייצר מנגנון להורדת העדכונים הרלוונטיים בצורה מרוכזת. התוכנה מכינה קבצים להעברה אל תחנות שאינן מחוברות לרשת. כמו כן, ניתן לעדכן מספר רב של תחנות על בסיס הורדה חד פעמית.
איך זה עובד ?
התוכנה פשוט מורידה ישירות את העדכונים מאתר מייקרוסופט ומכינה מנגון התקנה (ללא צורך בשום התקנה מקדימה). ניתן לעביר את הקבצים בדיסק או ב-DISK ON KEY לתחנות STAND ALONE ולהפעיל את המנגנון כדי לעדכן אותן. כמובן, ניתן לבחור בכל תחנה מה להתקין (רמת העדכון).
איך עושים ?
1) פשוט מורידים את התוכנה מאתר היצרן – כאן
2) מפעילים אותה ע"י הפעלת קובץ apup.exe (אין התקנה וטוב שכך)
3) מחליטים מהם סוגי תחנות היעד (מבחינת מערכות הפעלה, שפות, SERVICE PACKS …)
הערה : לחיצה על OPTIONS תאפשר הגדרת שרת פרוקסי במידת הצורך
4) לוחצים על NEXT כדי להתחיל את ההורדות
5) בסיום ההורדות (בבדיקה זה לקח כשעה וחצי עבור 250 מ"ב של נתונים), יש ללחוץ על FINISH
6) יש לעביר את הספריה לתחנות היעד (דרך צריבה על דיסק, DISK ON KEY או אחר)
7) יש להפעיל את autopatcher.exe
8 ) יש לסמן אישור ויש ללחוץ על NEXT
9) שוב נתבקש לאשר וללחוץ על NEXT
10 ) יש לוודא שכל העדכונים הרלוונטיים מסומנים (מה שמופיע בכחול כבר מותקן) ויש ללחוץ על NEXT לתחילת העדכון
11) בסוף התהילך, נתבקש להפעיל את התחנה מחדש
12) מומלץ לבצע את התהליך מספר פעמים (שלוש פעמים אמור להספיק) כי יש עדכונים שדורשים התקנות של רכיבים אחרים קודם
לסיכום :
תוכנת AUTOPATCHER הינה דרך נהדרת ופשוטה (שלא להזכיר חינמית) להתמודד עם הפצת עדכוני אבטחה לתחנות STANDALONES בארגון.
מעניין לזכור שב-2007 מייקרוסופט דרשו מהיצרן "להוריד" את המוצר לשימוש חופשי (האתר אז נסגר בזמנו) אבל לאחר זמן, האתר חזר לפעול בצורה מלאה עם ברכת מייקרוסופט (יתכן ויתרונות אבטחת התחנות ע"י תוכנה צד שלישית גברו על הפגיעה בתדמית החברה של ריצ'מונד).
קישורים :
מדהים, בהחלט פיתרון יפה. אב למה לגביי עדכוני אנטי וירוס? acrobat reader, בנגיד שלצורך העניין צריך גם נגן פלאש…??
איך מתמודדים עם פיתרון כזה חוץ מלהיכנס לאתר היצרן ולהוריד את ה Definition File? או את אותה ההתקנה המעודכנת?
הרי אם לא נעדכן את האנטי וירוס שלנו ב STAND ALON גם אם לא נחבר אותה לרשת היא יכולה להידבק מדיסק און קיי מלוכלך ולוא דווקא להדליף חומר החוצה אלא למחוק חומר…
31 ביולי, 2010 בשעה: 17:51
אחלה מימוש דודו,
כמובן כמו שרועי הזכיר חסרים עידכונים מסויימים, וכמובן שתמיד יהיה חסר.
אפילו אצלנו במחשבים האישיים שמחוברים לרשת קשה לעדכן תמיד הכל ובמיוחד בזמן. אבל זה עדיף מכלום.
בכל מקרה, פיתרון קלאסי וטוב לבעיית העידכונים.
שבוע טוב :]
31 ביולי, 2010 בשעה: 22:55
כמו שאני נוהג להגיד לאשתי : אתם צודקים 🙂 אבל
1) עדכון חתימות ANTI VIRUS לא סיפור גדול (סה"כ קובץ חתימות אחד להוריד מהיצרן) – כמו כן, כל אחד עובד עם מוצר שונה (קשה למצוא פתרון כולל)
2) לגבי שאר התוכנות, אני מסכים אבל למה להתקין FLASH על תחנת STANDALONE ? 🙂 עדיין הרבה פחות כאבי ראש לעדכן ADOBE READER מאשר עדכוני אבטחה של מייקרוסופט
1 באוגוסט, 2010 בשעה: 6:10
"..אמרתי אולי.." (שאולי, ארץ נהדרת)
7 באוגוסט, 2010 בשעה: 18:52
🙂
7 באוגוסט, 2010 בשעה: 18:59