Prima di installare una qualsiasi patch, verificatene la sorgente e l’integrità, controllando la firma digitale o il checksum. Queste tecniche di verifica accertano che la patch non sia stata modificata dopo l’apposizione della firma o il calcolo del checksum. Le patch firmate validano anche il creatore della patch. Sfortunatamente, Microsoft rilascia occasionalmente aggiornamenti software non provvisti di firma, e si possono riscontrare problemi nel fare download ed installazione automatici di servizi WSUS (Windows Server Update Services), il sistema di gestione delle patch di Microsoft per i sistemi operativi Windows Server 2000, Windows Server 2003 e Windows XP. Se settate la policy "avvisa ma permetti l’installazione" per i codici non firmati, Windows visualizzerà un messaggio di avviso che bloccherà la procedura di aggiornamento, in attesa che si confermi di approvare l’installazione dell’aggiornamento.

Mentre la documentazione di Microsoft non chiarisce se il WSUS esegue firme elettroniche o checksum prima dell’installazione, il suo Baseline Security Analyzer (MBSA) esamina versioni dei file e dei checksum per verificare che i file presenti coincidano con quelli rilasciati da Microsoft. Nel caso in cui qualcuno di questi file non superi il test, l’MBSA identifica che l’aggiornamento software non è stato installato, o contrassegna l’aggiornamento software con un messaggio di allerta. E’ importante notare che questo processo può essere eseguito solo dopo l’installazione della patch.

Piuttosto interessante è il prodotto di Shavlik Technologies LLC, creatore di HFNetChkPro. HFNetChkPro è un programma di gestione delle patch che valida le versioni dei file e i checksum prima di installare patch di sicurezza di Microsoft e non. La sua Basic Edition è ideata per le piccolo aziende che non richiedono funzionalità avanzate di gestione delle patch come scansioni programmate e supporto email.

PatchQuest è un altro programma di gestione automatizzata delle patch che può distribuire e gestire patch di sicurezza, hotfix e aggiornamenti attraverso reti eterogenee comprendenti sia sistemi Windows che Linux. Si tratta di un servizio Web-based che scarica patch, ne valuta l’autenticità e testa la correttezza funzionale. Il tool fa la scansione della rete, identifica le patch mancanti e gli aggiornamenti software, distribuisce patch a sistemi vulnerabili e mantiene aggiornati e liberi da vulnerabilità i vostri sistemi.

Stampa Invia un commento Invia questo articolo