Question

在百度百科上，补丁是指衣服、被褥上为遮掩破洞而钉补上的小布块。现在也指对于大型软件系统（如微软操作系统）在使用过程中暴露的问题（一般由黑客或病毒设计者发现）而发布的解决问题的小程序。就像衣服破了就要打补丁一样，人编写程序不可能十全十美，所以软件也免不了会出现 bug，而补丁是专门修复这些 bug 的。因为原来发布的软件存在缺陷，发现之后另外编制一个小程序使其完善，这种小程序俗称补丁。补丁是由软件的原来作者制作的，可以访问网站下载补丁。

企业内网可能存在名种类型的操作系统，这里我们以常见的 Windows 和 Linux 为例进行阐述。

18.3.1　Windows

微软从 2003 年 10 月开始引入了著名的“Patch Tuesday”的概念，即把过去一个月内的安全补丁累积起来，到了下一个月的第二个星期二集中发布，这样可以让系统管理员在固定的时间点来查看有哪些补丁发布了，并决定是否要安装这些补丁。

微软提供两种安全补丁服务：一种是基于推送的付费服务 SCCM；另一种是免费的可自动下载的补丁下载服务。以使用 WSUS 的企业为例，企业外网的 WSUS 指向微软网站，所有 Windows 更新都集中下载到内部网的 WSUS 服务器，而网络中的客户机通过 WSUS 服务器得到更新。这里有两个前提条件：一是补丁经过管理员的批准；二是客户机配置了 WSUS 指向企业内部 WSUS 服务器。这样的补丁升级方式，在很大程度上节省了网络资源，并且提高了内部网络中计算机更新的效率。

配置 WSUS，网上的教程大都是通过修改注册表的方式来实现，如果企业部署了活动目录，可以使用组策略功能进行统一配置，图 18-4 所示是在某台加入域的终端上看到的 WSUS 配置。

图 18-4　WSUS 配置效果

补丁管理的难点不在于技术上的配置，更多的是如何将其落地，笔者有以下建议：

1）补丁在允许更新前的测试、验证工作需要谨慎，以防出现诸如蓝屏、进程崩溃、与现有常用软件冲突等问题。

2）办公、业务网的升级机制需要错开，比如办公网打补丁一周后再为业务网打补丁，防止出现可用性问题。

3）有可用性要求的机器，在打补丁前做好意外情况下的准备工作，一旦有问题可以通过快照、快速部署等方式恢复业务，这一点需要依赖企业可用性建设方面的能力。

4）不是所有补丁都需要打，优先处理安全类补丁，其他功能增强型的补丁可以不打。

5）重启才能生效的补丁遇到涉及可用性的机器，需要使用“灰度”策略，在其他安全控制措施有效的情况下可以适当延后。

6）采用漏洞扫描的方式跟进补丁情况，需要由专人负责这方面的工作，针对长久未打补丁的需要有相应的事件升级机制。

7）必要时可以借助外部力量来推动相关工作，比如请审计相关同事重点关注某些执行不到位的分支机构或部门。

18.3.2　Linux

Linux 在安装软件的过程中涉及很多依赖性问题，所以一般正常情况下安装软件都是到 yum 源或 apt 源上。在内网不方便访问互联网的情况下，一般企业都会搭建内部的 yum 或 apt 源，以供内部 Linux 机器使用。在打补丁这个场合，也能用上。

一般来说，企业使用 Linux 更多是提供服务的，所以打补丁这事更加需要谨慎。使用 yum update 更新时，一般不建议升级内核，因为升级内核可能会带来意想不到的一些问题，比如 PHP 应用无法使用、硬件无法识别等，除非已经对升级内核进行了充分测试。升级内核后，要确保下次启动时使用新内核，默认情况下新安装的内核会排在第一位，如无特殊要求不应该修改 grub 引导配置文件。

针对应用的补丁，也需要看漏洞是否真的有比较大的影响，如远程执行、本地提权等。原则上致命级别的漏洞应该立即更新；对于 bug 修复类补丁，如果涉及的模块涉足 BUG 触发条件应及时更新，其他情况则延后，比如一个月内更新；而功能增强型补丁则更延后，比如建议每 6 个月更新一次等。

当外界披露了某个应用存在高危漏洞，如果想快速修复漏洞，需要有个前提—如何确定哪些机器上有相应的应用及受影响的版本。安全人员的第一反应是漏洞扫描发现，但有些漏洞仅靠扫描器是发现不了的，所以这里往往又涉及企业资产管理或运维自动化方面的能力了。做得好的企业，会有一套系统用于快速查询哪些服务器运行了哪些特定的软件，以及软件的版本号，最好还能执行一些简单的指令，比如升级特定的软件，那打补丁就方便多了。