Effizientes Patch-ManagementThorvald Kik
Sicherer Betrieb des Microsoft Office Systems:
Effizientes Patch-ManagementThorvald Kik
Senior ConsultantHansevision GmbH
AgendaAnforderungen
„Patch Management – Braucht man das wirklich ?“ Was muß Patch Management leisten ?
Lösungsansätze Welche Tools stehen heute zur Verfügung Welches Tool ist das Richtige für Sie
Ausblick Zukünftig verfügbare Lösungen
Fragen und Antworten
Zeit bis Exploit immer kürzer
Exploits immer raffinierter
Aktueller Ansatz reichtnicht aus
Sie haben immer weniger Zeit für das Rollout eines Patches!
151
151
180
180
331
331
Blaster
Blaster
Welchia/ Nachi
Welchia/ Nachi
Nimda
Nimda
2525
SQL Slammer
SQL Slammer
Tage zwischen Patch und Exploit
Sicherheit verbessern
Herausforderungen Bestandsaufnahme
Welche Systeme sind zu patchen Welche Software ist zu patchen
Ständige Kontrolle Gibt es neue Patches? Erkennen der Wichtigkeit spezifischer Patches Sind alle Systeme auf dem neuesten Stand?
Funktionalität sicherstellen Test vor Implementierung notwendig Einfluß auf die bestehende (und laufende) Umgebung
Was ändert das einzelne Patch Abhängigkeiten zwischen Komponenten
Deinstallation eines Patches Schnelle Implementation
Schnelligkeit bei der Implementierung neuer Patches
Microsoft Severity Ratings
RatingEmpfohlener Zeitrahmen bis
Installation
Kritisch Innerhalb von 24 Stunden nach Verfügbarkeit
Hoch Innerhalb von 1 Monat nach Verfügbarkeit
Mittel
Innerhalb von 4 Monaten nach VerfügbarkeitAbhängig von der Dringlichkeit der Funktionalität abwarten bis zum nächsten Service Pack oder Patch Rollup
Niedrig
Innerhalb von 12 Monaten nach VerfügbarkeitAbhängig von der Dringlichkeit der Funktionalität abwarten bis zum nächsten Service Pack oder Patch Rollup
Patch Management Prozess1. Inventarisierung
Periodische Aufgaben
A. Systeme auf gleichen Stand bringen(Baseline)
B. Nutzung der Patch Management Lösung (Sofern vorhanden)
C. Überarbeiten der Infrastruktur/Konfiguration
Ständige AufgabenA. Neue Geräte entdeckenB. Clients inventarisieren
1. Assess 2. Identify
4. Deploy 3. Evaluate & Plan
2. Identifizierung neuer Patches
AufgabenA. Neue Patches in Erfahrung bringenB. Relevanz bestimmenC. Überprüfung und Test des Patches auf isoliertem System
3. Evaluierung & Planung
AufgabenA. Genehmigung der Patch InstallationB. RisikoanalyseC. Planung des RolloutsD. Test in Pilotumgebung abschließen
4. Umsetzung und Installation
AufgabenA. Verteilung / Installation des PatchesB. Berichte über FortschrittC. Ausnahmebehandlung
D. Auswertung und Optimierung des Deploymentprozesses
Bremsende Faktoren
Anzahl und Häufigkeitder Patches
UngenügendeKommunikation
InkonsistenteLösungswegebei Patchen
VerschiedenePatch
ManagementTools
InkonsistentePatch
Qualität
LösungskomponentenAnalyse
Tools
Microsoft Baseline Security Analyzer (MBSA)
Office Inventory Tool
Online UpdateDienste
Windows Update
Office Update
DownloadKataloge
Windows Update Catalog
Office Download Catalog
Microsoft Download Center
Management Tools
Automatic Updates (AU) Feature in Windows
Software Update Services (SUS)
Systems Management Server (SMS)
Hilfen undNachschlage-
werke
Microsoft Guide to Security Patch Management
Patch Management Using SUS
Patch Management Using SMS
Microsoft Baseline Security Analyser Automatisierte Erkennung fehlender
Sicherheitspatches und Fehlkonfigurationen
Ermöglicht dem Administrator, von zentraler Stelle aus eine große Anzahl von systemem simultan zu scannen
Deckt eine große Anzahl von Microsoft Produkten ab, nicht nur Windows
MBSA: Was erkannt wird
Fehlkonfigurationen: Windows NT 4.0, Windows
2000, Windows Server 2003, Windows XP
IIS 4.0, IIS 5.0, IIS 6.0
SQL 7.0, SQL 2000
IE 5.01 und neuere Versionen
Office 2000, Office XP
Fehlende Patches / Updates: Windows NT 4.0, Windows
2000, Windows Server 2003, Windows XP
IIS 4.0, IIS 5.0, IIS 6.0
SQL 7.0, SQL 2000 (auch MSDE)
IE 5.01 und neuere Versionen
Exchange 5.5, Exchange 2000
Windows Media Player 6.4 und neuere Versionen
Scan a Computer
Viewing a Security Report
Windows Update (Website) Enthält alle Windows Patches & Updates
Automatisiert Scan und anschließende Installation für Patches und Updates
Einfachste Nutzung, auch für unerfahrene Nutzer
Hält das System aktuell mit den letzten Sicherheitsupdates und kritischen Patchen
Windows Update (Dienst) Prüft regelmäßig auf neue Patches (1-22h)
Fehlertoleranter Download der Patches vom WU Server im Hintergrund (BITS Technologie)
Kann vollständig automatisiert im Hintergrund arbeiten
Hält das System aktuell mit den letzten Sicherheitsupdates und kritischen Patchen
Windows Update Unterstützung für :
Kritische Updates und Sicherheitsrelevante Updates Empfohlene Downloads Internet und Multimedia Updates – IE, Media Player, etc. Windows Tools & Utilities Zusätzliche Windows Downloads – Updates für Desktop
Einstellungen und andere Windows Features
Multi-Language Features – Menüs und Dialoge, sprachen support, etc.
Windows Logo Hardware Treiber
Für folgende Systeme: Windows 98 / 98SE Windows ME Windows 2000/XP Windows 2003
Office Update (Website) Pendant zum Windows Update
Automatisches scannen und Installation der Patches und Updates
Einfache Nutzung – Auch für unerfahrene Benutzer
Hält Office aktuell mit den letzten Sicherheitsupdates und kritischen Patchen
Office aktualisieren
Data1.msiver. 11.0cache
Excel.exever.11.0
Excel.exever.11.0
Client Fileserver
data1.msiver. 11.1Data1.msiver. 11.0Data1.msiver. 11.0
Excel.exever.11.1
patch.mspver. 11.1
Synchcache
Nachinstallationund Reparierenscheitert!
data1.msiver. 11.1
Excel.exever.11.1
Nachinstallationund Reparierenfunktioniert wieder!
Msiexec /i data1.msi REINSTALL=All REINSTALLMODE=vomus
Office aktualisieren
Data1.msiver. 11.0cache
Excel.exever.11.0
Excel.exever.11.0
Client Fileserver
Data1.msiver. 11.0Data1.msiver. 11.0
patch.exever. 11.1
Excel.exever.11.1
Nachinstallationund Reparierenfunktioniert
Management Lösungen
Software Update Service 1.0 Mit Automatic Update (AU)
Systems Management Server 2003
Software Update Service (SUS) Ermöglicht kontrollierte Freigabe von
Patchen und Updates durch den Administrator Gruppenrichtlinien verhindern Installation nicht
freigegebener Updates von Windows Update Ermöglicht vorheriges Testen und Evaluieren von Updates
vor der Installation
Vereinfacht und automatisiert die Patch Auswahl und Installation auf die Clients
Clients laden Updates optional direkt vom SUS Server herunter
Einfache Bedienbarkeit vereinfacht und beschleunigt die Aktualisierung der Clients, wodurch Sicherheitsrisiken reduziert werden
SUS 1.0: Funktion
ParentSUS Server
Firewall
untergeordneterSUS Server
WindowsUpdate Service
WindowsUpdate Service
Bandbreite
n
kontrolle
Ban
db
reite
n
kon
trolle
2. Administrator prüft, evaluiert und genehmigt Updates
1. SUS Server schaut alle
17-22 Stunden nach neuen Updates
3. Genehmigungen & Updates werden synchronisiert mit unterg. SUS servern
4. AU erhält Liste mit genehmigten Updates vom SUS server
6. AU benachrichtigt den Benutzer oder installiert automatisch
7. AU verzeichnet Installation in Historie
5. AU lädt Updates vom SUS Server oder von Windows Update
untergeordneterSUS Server
Bandbreiten
kontrolle
SUS 1.0: Funktion
ParentSUS Server
Firewall
untergeordneterSUS Server
untergeordneterSUS Server
Bandbreiten
kontrolle
WindowsUpdate Service
WindowsUpdate Service
Bandbreite
n
kontrolle
Ban
db
reite
n
kon
trolle
2. Administrator prüft, evaluiert und genehmigt Updates
1. SUS Server schaut alle
17-22 Stunden nach neuen Updates
3. Genehmigungen & Updates werden synchronisiert mit unterg. SUS servern
4. AU erhält Liste mit genehmigten Updates vom SUS server
6. AU benachrichtigt den Benutzer oder installiert automatisch
7. AU verzeichnet Installation in Historie
5. AU lädt Updates vom SUS Server oder von Windows Update
Systems Management Server 2003 Asset Management
Soft- und Hardwareinventur Berichte
Change and Configuration Management Softwareverteilung Patch Management für Office und Windows
Helpdesk Remote Control
License Management Lizenzmessung
SMS 2003 Patch Management Kontrolle über den gesamten Patch Management
Prozess Erlaubt Evaluierung & Genehmigung der Updates vor der
Installation Genaue Festlegung des Patch Prozesses möglich
Automatisiert die Hauptaspekte des Patch Management Prozesses
Kann auch genutzt werden für Updates von Software anderer Hersteller
Unterstützung der Installation und Deinstallation von Softwareanwendungen und Patches
Größtmögliche Flexibilität durch Nutzung der Scriptingmöglichkeiten
Firewall
SMS Site Server
SMS DistributionPoint
SMS Clients
SMS Clients
MicrosoftDownload Center
SMS DistributionPoint
2. Scan Komponentenauf Clients ausführen via Softwareverteilung
1. Setup: Download Security Update Inventory und Office Inventory Tools; Inventory Tool Installer ausführen
3. Clients gescannt; Scan Ergebnisse werden mit SMS Hardwareinventur eingeholt
4. Administrator startet “Distri-bute Software Updates Wizard”
SMS Clients
SMS 2003 Patch Management
Distribute Software Update Wizard
Distribute Software Update Wizard
Firewall
SMS Site Server
SMS DistributionPoint
SMS Clients
SMS Clients
MicrosoftDownload Center
SMS DistributionPoint
2. Scan Komponentenauf Clients ausführen via Softwareverteilung
1. Setup: Download Security Update Inventory und Office Inventory Tools; Inventory Tool Installer ausführen
3. Clients gescannt; Scan Ergebnisse werden mit SMS Hardwareinventur eingeholt
4. Administrator startet “Distri-bute Software Updates Wizard”
6. Software Update Installation Agent auf den clients installiert updates
5. Download der Update Dateien; Pakete, Programme & Ankündigungen an Clients erstellt
SMS Clients
SMS 2003 Patch Management
Client Meldungen
Die richtige Lösung für Sie
Kunde ScenarioEmpfehlu
ng
MittlereundgroßeFirmen
Benötigt flexible Patch Management Lösung um alle Anwendungen zu installieren, upzudaten, und zu deinstallieren
SMS
Benötigt einfache Patch Management Lösung um Windows 2000 und neuere Versionen zu patchen SUS
KleinereFirmen
Mit mindestens 1 Windows Server und 1 Administrator SUS
Alle anderen SzenariosWindows Update
Endkunde Alle SzenariosWindows Update
Anleitungen Patch Management Guides
Microsoft Guide to Security Patch Management
Patch Management using Software Update Services
Patch Management using Systems Management Server
Globales Schulungs-Programm 2-tägige TechNet Security
Schulungen Monatliche Security Webcasts
Neue Beschreibungen Patterns and practices How-to configure for security How Microsoft Secures Microsoft
Patch Management Roadmap Kurzfristig
Microsoft Update Patches und Updates von einer zentralen Stelle für alle Produkte
SUS 2.0 (Frühjahr 2004) Einheitliche Infrastruktur für Patch Management Unterstützt weitere Microsoft Produkte Bedeutende Verbesserungen in der Patch Management Funktionalität
MBSA 1.2 Verbesserung des Reporting Lokalisierung Breitere Produktunterstützung Integration des Office Update Inventory Tool
MBSA 2.0 (Frühjahr 2004) Arbeitet mit SUS 2.0 zusammen Speichern der Daten in SQL server Engine Plugin ermöglicht Scannen von Anwendungen anderer Hersteller
Langfristig (NGSCB) SUS wird in Windows integriert SUS unterstützt alle Microsoft Produkte SUS Infrastruktur kann auch als Patch Management Lösung von anderen
Softwareherstellern genutzt werden
Fragen und Antworten