ThaiCERT: Thai Computer Emergency Response Team ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย

โดยทั่วไปเรามักได้ยินคำว่า security patch หรือเรียกอีกอย่างว่า hotfix และ service pack จากเว็บไซต์ของ Microsoft ซึ่งบางท่านอาจจะเกิดความสับสนไม่ทราบความแตกต่างของมัน ทั้งนี้เนื่องจาก Microsoft จะมี patch ออกมาบ่อยมาก ซึ่งจะมีทั้ง patch ที่ออกมาเพื่อปรับปรุง bug ที่มีขึ้นก่อนหน้านี้ หรือออกมาเพื่อปรับปรุงระบบให้ทำงานดีขึ้น แต่ที่เราจะกล่าวถึงในที่นี้คือ patch ที่ออกมาเพื่อปรับปรุง security ให้ดีขึ้นเท่านั้น ผมจะขออธิบายความแตกต่างระหว่างคำต่างๆ ตรงนี้ก่อน เพื่อให้ท่านสามารถเกิดความเข้าใจ และสามารถ update patch หรือ service pack ต่างๆ จาก microsoft ได้ในอนาคตโดยเข้าใจถึงแก่นแท้จริงๆ

Security Patch (Hotfix) คือ โปรแกรมขนาดเล็กที่ Microsoft เผยแพร่ออกมา เมื่อมีการพบว่ามีช่องโหว่เกี่ยวกับความปลอดภัยเกิดขึ้นเพื่อแก้ปัญหานั้นๆ อย่างรวดเร็ว ซึ่งบางครั้งอาจจะไม่จำเป็นต้องติดตั้งกับเครื่องของเราก็เป็นได้ ซึ่งผู้ดูแลระบบเอง จะต้องพิจารณาอย่างรอบคอบในการติดตั้ง patch ดังกล่าว โดยปกติแล้วจะมี patch ใหม่ๆจะออกมาทุกสัปดาห์

ส่วน Service Pack(SP) นั้น แตกต่างจาก hotfix ตรงที่ จะมีการปรับปรุงทั้งส่วนที่เกี่ยวข้องกับความปลอดภัยและไม่เกี่ยวข้องกับความปลอดภัย เช่น การพัฒนาระบบให้ทำงานได้เร็วขึ้น เป็นต้น โดยจะมีการกำหนดและวางแผนโดยทาง Microsoft ไว้แล้วว่าจะครอบคลุมในช่วงวันที่เท่าใด นอกจากนี้ยังได้รับการทดสอบอย่างจริงจังก่อนที่จะเผยแพร่ทั่วไป ซึ่งต่างจาก hotfix ที่ออกมาโดยทันทีทันใด ทำให้บางครั้งอาจจะไม่ได้รับการทดสอบอย่างสมบูรณ์

เรื่องที่สำคัญอีกประการหนึ่งคือ การเลือกติดตั้ง service pack เนื่องจากว่า Microsoft ออก service pack มามากมาย ยกตัวอย่างเช่น Windows NT 4.0 server นั้น มี service pack ตั้งแต่ SP1 - SP6a หรือแม้แต่ Windows 2000 เอง ในขณะนี้ก็มีทั้ง SP1 และ SP2 โดยปกติแล้ว service pack ที่ออกมาหลังสุดนั้น จะครอบคลุม service pack ก่อนหน้านั้นทั้งหมด เช่น เมื่อ install Windows NT 4.0 Server เสร็จแล้วท่านสามารถ SP6a ได้เลย โดยไม่มีความจำเป็นที่จะต้อง install SP1 -5 แต่อย่างใด แต่ถ้าสมมุติว่าท่านได้ install SP5 ไปแล้ว และต้องการ install SP6a ท่านก็ไม่มีความจำเป็นที่ต้อง uninstall SP5 ทิ้งแต่อย่างใด ซึ่งคุณสมบัตินี้จะเป็นเหมือนกันในทุกๆ OS หรือ software เช่น Windows 2000 SP1 ก็จะเป็น subset ของ Windows 2000 SP2 เช่นเดียวกัน

นอกจากนี้การที่เผยแพร่ service pack ออกมาแต่ละตัวนั้น ทาง Microsoft เอง จะต้องทำการทดสอบอย่างละเอียดกับ software ต่างๆ อย่างมากมาย เพื่อให้แน่ใจว่าสามารถทำงานร่วมกันได้โดยไม่มีปัญหา แต่ทั้งนี้ ผู้ดูแลระบบเองจะต้องอ่านคู่มือสำหรับ service pack นั้นๆ อย่างละเอียดด้วย

สรุปวิถีทางที่จะทำให้ระบบปลอดภัยมากที่สุด

ก่อนอื่นหลังจาก install OS แล้ว ต้อง install service pack ล่าสุดเสมอ หลังจากนั้นเมื่อมี security patch ออกมาเพื่อแก้ปัญหาหนึ่งๆ ท่านต้องพิจารณาว่า ปัญหานั้นจะเกิดขึ้นในระบบของท่านหรือไม่ มากน้อยเพียงใด ถ้าเกิดปัญหามากท่านก็ควรที่จะ install patch นั้นๆ ทันที แต่ถ้าปัญหาเกิดขึ้นน้อยก็น่าที่จะรอ service pack รุ่นที่ใหม่กว่า เพราะจะมีความสมบูรณ์มากกว่าและ bug น้อยกว่า นอกจากนี้บาง patch ท่านอาจจะไม่มีความจำเป็นต้องติดตั้งในระบบด้วยซ้ำไป

สำหรับการติดตามว่ามี security patch ออกมาใหม่ๆ หรือไม่ ท่านสามารถ subscribe mailing list ได้โดยทำตามขั้นตอนที่ปรากฏในลิ้งค์นี้

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/notify.asp

มาถึงตรงนี้จะมีคำถามเกิดขึ้นว่า เมื่อติดตั้ง OS ไปแล้ว และติดตั้ง service pack ล่าสุดไปแล้ว แล้วจะรู้ได้อย่างไรว่า จะต้องสนใจ hotfix หรือ security patch ตัวใหนบ้าง สำหรับคำตอบนั้นก็เป็นคำตอบที่ท่านต้องให้เวลากับมันมากขึ้นอีกนิดคือ ผมจะแนะนำ link ของ microsoft ที่เป็นประโยชน์มากที่สุดสำหรับผู้ดูแลระบบคือ

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/current.asp

ซึ่งจะมีวิธีการใช้งานที่ง่ายๆ ดังนี้

• เมื่อท่านเข้าที่เว็บเพจหน้าดังกล่าวแล้ว จะมี select box ให้ท่านเลือกในส่วนของ Product ในที่นี้ขอเลือกเป็น Windows 2000 server ดังภาพ
  
  
  
  
  
• จากนั้นก็เลือก service pack ที่ท่านได้ install ไว้แล้ว กับ product ที่ท่านเลือกไว้ก่อนหน้านี้ ในที่นี้ขอเลือกเป็น Service Pack2 (หมายความว่าก่อนหน้านี้ท่านได้ install SP2 ไปเรียบร้อยแล้ว ขณะนี้ต้องการรู้ว่าจะต้อง install hotfix ตัวใดบ้าง) ดังภาพ (ถึงจุดนี้จะมีศัพท์ใหม่เกิดขึ้นคือคำว่า Windows 2000 GOLD ซึ่งหมายถึง Windows2000 Server ที่ไม่ได้ install service pack ใดๆ )
  
  
  
  
  
  
  
• จากนั้นเมื่อท่าน click Go ท่านก็จะพบกับ list ของ patch (hotfix) ที่ท่านควรที่จะพิจารณา install สำหรับเครื่องของท่าน (Windows 2000 Server with SP2) การที่จะ install patch หรือ hotfix ใดนั้น ขึ้นอยู่กับว่าในระบบของท่านนั้น มีจุดโหว่นั้นอยู่หรือไม่ เพราะจุดโหว่ที่เกิดขึ้นจะขึ้นกับ product เป็นหลัก เช่น จุดโหว่ที่เกิดกับ Microsoft Index Server อาจจะมี 3 จุด แต่ระบบของท่านไม่ได้ติดตั้ง Microsoft Index Server เลย ดังนั้นก็ไม่จำเป็นต้อง install hotfix ดังกล่าวแต่อย่างใด
  
  
  
  

ปัญหาที่จะเกิดขึ้นคือการติดตั้ง security patch หรือ service pack ต่างๆ นั้น ส่วนใหญ่จะต้อง reboot ทุกครั้งหลังการ install ซึ่งถ้า server ที่มีการให้บริการตลอดเวลาแล้ว จะต้องพิจารณาช่วงเวลาที่เหมาะสมในการติดตั้งด้วย แต่ปัจจุบันนี้ Microsoft ได้พัฒนา patch ที่ติดตั้งแล้วไม่จำเป็นต้อง reboot เครื่องก็สามารถใช้งานได้เลย และผมขอย้ำว่าผู้ดูแลระบบทุกท่านจะต้องหมั่นติดตามข่าวสารอยู่ตลอดเวลา และท่านโปรดอย่าละเลยกับการ update patch ที่บางครั้งท่านเห็นว่าไม่น่าเกิดกับเครื่องท่านเอง เพราะเมื่อมันเกิดขึ้นแล้ว "ได้ไม่คุ้มกับเสีย(เวลาเพียงน้อยนิด)" อย่างแน่นอน

สำหรับเครื่องมือ (tools) ที่ผู้ดูแลระบบควรใช้ในการติดตาม hotfix ว่าตัวใหนจะต้องติดตั้งหรือไม่ จะแนะนำใน document ฉบับต่อไป และในบางกรณีเราติดตั้ง hotfix ไปแล้ว แต่มีการติดตั้งซอฟแวร์บางตัวทีหลัง บางครั้ง system file อาจจะถูกทับโดยไม่ตั้งใจ เป็นผลให้ hotfix ที่ติดตั้งไปแล้วนั้นไม่สมบูรณ์เป็นการเปิดช่องโหว่โดยไม่ได้ตั้งใจ ตรงนี้ก็มีเครื่องมือสำหรับตรวจสอบความสมบูรณ์ของ hotfix ที่เราได้ติดตั้งไปแล้ว และจะแนะนำใน document ฉบับต่อไป

References
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/current.asp