Click here to load reader

Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

  • View
    111

  • Download
    0

Embed Size (px)

Text of Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems:...

  • Folie 1
  • Effizientes Patch-Management Thorvald Kik
  • Folie 2
  • Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant Hansevision GmbH [email protected]
  • Folie 3
  • Agenda Anforderungen Patch Management Braucht man das wirklich ? Was mu Patch Management leisten ? Lsungsanstze Welche Tools stehen heute zur Verfgung Welches Tool ist das Richtige fr Sie Ausblick Zuknftig verfgbare Lsungen Fragen und Antworten
  • Folie 4
  • Zeit bis Exploit immer krzer Exploits immer raffinierter Aktueller Ansatz reicht nicht aus Sie haben immer weniger Zeit fr das Rollout eines Patches! 151 180 331 Blaster Welchia/ Nachi Nimda 25 SQL Slammer Tage zwischen Patch und Exploit Sicherheit verbessern
  • Folie 5
  • Herausforderungen Bestandsaufnahme Welche Systeme sind zu patchen Welche Software ist zu patchen Stndige Kontrolle Gibt es neue Patches? Erkennen der Wichtigkeit spezifischer Patches Sind alle Systeme auf dem neuesten Stand? Funktionalitt sicherstellen Test vor Implementierung notwendig Einflu auf die bestehende (und laufende) Umgebung Was ndert das einzelne Patch Abhngigkeiten zwischen Komponenten Deinstallation eines Patches Schnelle Implementation Schnelligkeit bei der Implementierung neuer Patches
  • Folie 6
  • Microsoft Severity Ratings Rating Empfohlener Zeitrahmen bis Installation Kritisch Innerhalb von 24 Stunden nach Verfgbarkeit Hoch Innerhalb von 1 Monat nach Verfgbarkeit Mittel Innerhalb von 4 Monaten nach Verfgbarkeit Abhngig von der Dringlichkeit der Funktionalitt abwarten bis zum nchsten Service Pack oder Patch Rollup Niedrig Innerhalb von 12 Monaten nach Verfgbarkeit Abhngig von der Dringlichkeit der Funktionalitt abwarten bis zum nchsten Service Pack oder Patch Rollup
  • Folie 7
  • Patch Management Prozess 1. Inventarisierung Periodische Aufgaben A. Systeme auf gleichen Stand bringen (Baseline) B. Nutzung der Patch Management Lsung (Sofern vorhanden) C. berarbeiten der Infrastruktur/ Konfiguration Stndige Aufgaben A. Neue Gerte entdecken B. Clients inventarisieren 1. Assess 2. Identify 4. Deploy 3. Evaluate & Plan 2. Identifizierung neuer Patches Aufgaben A. Neue Patches in Erfahrung bringen B. Relevanz bestimmen C. berprfung und Test des Patches auf isoliertem System 3. Evaluierung & Planung Aufgaben A. Genehmigung der Patch Installation B. Risikoanalyse C. Planung des Rollouts D. Test in Pilotumgebung abschlieen 4. Umsetzung und Installation Aufgaben A. Verteilung / Installation des Patches B. Berichte ber Fortschritt C. Ausnahmebehandlung D. Auswertung und Optimierung des Deploymentprozesses
  • Folie 8
  • Bremsende Faktoren Anzahl und Hufigkeit der Patches Ungengende Kommunikation Inkonsistente Lsungswege bei Patchen Verschiedene Patch Management Tools Inkonsistente Patch Qualitt
  • Folie 9
  • Lsungskomponenten Analyse Tools Microsoft Baseline Security Analyzer (MBSA) Office Inventory Tool Online Update Dienste Windows Update Office Update Download Kataloge Windows Update Catalog Office Download Catalog Microsoft Download Center Management Tools Automatic Updates (AU) Feature in Windows Software Update Services (SUS) Systems Management Server (SMS) Hilfen und Nachschlage- werke Microsoft Guide to Security Patch Management Patch Management Using SUS Patch Management Using SMS
  • Folie 10
  • Microsoft Baseline Security Analyser Automatisierte Erkennung fehlender Sicherheitspatches und Fehlkonfigurationen Ermglicht dem Administrator, von zentraler Stelle aus eine groe Anzahl von systemem simultan zu scannen Deckt eine groe Anzahl von Microsoft Produkten ab, nicht nur Windows
  • Folie 11
  • MBSA: Was erkannt wird Fehlkonfigurationen: Windows NT 4.0, Windows 2000, Windows Server 2003, Windows XP IIS 4.0, IIS 5.0, IIS 6.0 SQL 7.0, SQL 2000 IE 5.01 und neuere Versionen Office 2000, Office XP Fehlende Patches / Updates: Windows NT 4.0, Windows 2000, Windows Server 2003, Windows XP IIS 4.0, IIS 5.0, IIS 6.0 SQL 7.0, SQL 2000 (auch MSDE) IE 5.01 und neuere Versionen Exchange 5.5, Exchange 2000 Windows Media Player 6.4 und neuere Versionen
  • Folie 12
  • Scan a Computer
  • Folie 13
  • Viewing a Security Report
  • Folie 14
  • Windows Update (Website) Enthlt alle Windows Patches & Updates Automatisiert Scan und anschlieende Installation fr Patches und Updates Einfachste Nutzung, auch fr unerfahrene Nutzer Hlt das System aktuell mit den letzten Sicherheitsupdates und kritischen Patchen
  • Folie 15
  • Windows Update (Dienst) Prft regelmig auf neue Patches (1-22h) Fehlertoleranter Download der Patches vom WU Server im Hintergrund (BITS Technologie) Kann vollstndig automatisiert im Hintergrund arbeiten Hlt das System aktuell mit den letzten Sicherheitsupdates und kritischen Patchen
  • Folie 16
  • Windows Update Untersttzung fr : Kritische Updates und Sicherheitsrelevante Updates Empfohlene Downloads Internet und Multimedia Updates IE, Media Player, etc. Windows Tools & Utilities Zustzliche Windows Downloads Updates fr Desktop Einstellungen und andere Windows Features Multi-Language Features Mens und Dialoge, sprachen support, etc. Windows Logo Hardware Treiber Fr folgende Systeme: Windows 98 / 98SE Windows ME Windows 2000/XP Windows 2003
  • Folie 17
  • Office Update (Website) Pendant zum Windows Update Automatisches scannen und Installation der Patches und Updates Einfache Nutzung Auch fr unerfahrene Benutzer Hlt Office aktuell mit den letzten Sicherheitsupdates und kritischen Patchen
  • Folie 18
  • Office aktualisieren Data1.msi ver. 11.0 cache Excel.exe ver.11.0 ClientFileserver data1.msi ver. 11.1 Data1.msi ver. 11.0 Excel.exe ver.11.1 patch.msp ver. 11.1 Synch cache Nachinstallation und Reparieren scheitert! data1.msi ver. 11.1 Excel.exe ver.11.1 Nachinstallation und Reparieren funktioniert wieder! Msiexec /i data1.msi REINSTALL=All REINSTALLMODE=vomus
  • Folie 19
  • Office aktualisieren Data1.msi ver. 11.0 cache Excel.exe ver.11.0 ClientFileserver Data1.msi ver. 11.0 patch.exe ver. 11.1 Excel.exe ver.11.1 Nachinstallation und Reparieren funktioniert
  • Folie 20
  • Management Lsungen Software Update Service 1.0 Mit Automatic Update (AU) Systems Management Server 2003
  • Folie 21
  • Software Update Service (SUS) Ermglicht kontrollierte Freigabe von Patchen und Updates durch den Administrator Gruppenrichtlinien verhindern Installation nicht freigegebener Updates von Windows Update Ermglicht vorheriges Testen und Evaluieren von Updates vor der Installation Vereinfacht und automatisiert die Patch Auswahl und Installation auf die Clients Clients laden Updates optional direkt vom SUS Server herunter Einfache Bedienbarkeit vereinfacht und beschleunigt die Aktualisierung der Clients, wodurch Sicherheitsrisiken reduziert werden
  • Folie 22
  • SUS 1.0: Funktion Parent SUS Server Firewall untergeordneter SUS Server Windows Update Service Bandbreiten kontrolle 2.Administrator prft, evaluiert und genehmigt Updates 1.SUS Server schaut alle 17-22 Stunden nach neuen Updates 3.Genehmigungen & Updates werden synchronisiert mit unterg. SUS servern 4.AU erhlt Liste mit genehmigten Updates vom SUS server 6.AU benachrichtigt den Benutzer oder installiert automatisch 7.AU verzeichnet Installation in Historie 5.AU ldt Updates vom SUS Server oder von Windows Update untergeordneter SUS Server Bandbreiten kontrolle
  • Folie 23
  • Folie 24
  • SUS 1.0: Funktion Parent SUS Server Firewall untergeordneter SUS Server Bandbreiten kontrolle Windows Update Service Bandbreiten kontrolle 2.Administrator prft, evaluiert und genehmigt Updates 1.SUS Server schaut alle 17-22 Stunden nach neuen Updates 3.Genehmigungen & Updates werden synchronisiert mit unterg. SUS servern 4.AU erhlt Liste mit genehmigten Updates vom SUS server 6.AU benachrichtigt den Benutzer oder installiert automatisch 7.AU verzeichnet Installation in Historie 5.AU ldt Updates vom SUS Server oder von Windows Update
  • Folie 25
  • Systems Management Server 2003 Asset Management Soft- und Hardwareinventur Berichte Change and Configuration Management Softwareverteilung Patch Management fr Office und Windows Helpdesk Remote Control License Management Lizenzmessung
  • Folie 26
  • SMS 2003 Patch Management Kontrolle ber den gesamten Patch Management Prozess Erlaubt Evaluierung & Genehmigung der Updates vor der Installation Genaue Festlegung des Patch Prozesses mglich Automatisiert die Hauptaspekte des Patch Management Prozesses Kann auch genutzt werden fr Updates von Software anderer Hersteller Untersttzung der Installation und Deinstallation von Softwareanwendungen und Patches Grtmgliche Flexibilitt durch Nutzung der Scriptingmglichkeiten
  • Folie 27
  • Firewall SMS Site Server SMS Distribution Point SMS Clients Microsoft Download Center SMS Distribution Point 2.Scan Komponenten auf Clients ausfhren via Softwareverteilung 1.Setup: Download Security Update Inventory und Office Inventory Tools; Inventory Tool Installer ausfhren 3.Clients gescannt; Scan Ergebnisse werden mit SMS Hardwareinventur eingeholt 4.Administrator startet Distri- bute Software Updates Wizard SMS Clients SMS 2003 Patch Management
  • Folie 28
  • Distribute Software Update Wizard
  • Folie 29
  • Folie 30
  • Firewall SMS Site Server SMS Distribution Point SMS Clients Microsoft Download Center SMS Distribution Point 2.Scan Komponenten auf Clients ausfhren via Softwareverteilung 1.Setup: Download Security Update Inventory und Office Inventory Tools; Inventory Tool Installer ausfhren 3.Clients gescannt; Scan Ergebnisse werden mit SMS Hardwareinventur eingeholt 4.Administrator startet Distri- bute Software Updates Wizard 6.Software Update Installation Agent auf den clients installiert updates 5.Download der Update Dateien; Pakete, Programme & Ankndigungen an Clients erstellt SMS Clients SMS 2003 Patch Management
  • Folie 31
  • Client Meldungen
  • Folie 32
  • Die richtige Lsung fr Sie KundeScenario Empfehlun g Mittlere und gro e Firmen Ben tigt flexible Patch Management L sung um alle Anwendungen zu installieren, upzudaten, und zu deinstallieren SMS Ben tigt einfache Patch Management L sung um Windows 2000 und neuere Versionen zu patchen SUS Kleinere Firmen Mit mindestens 1 Windows Server und 1 Administrator SUS Alle anderen Szenarios Windows Update Endkunde Alle Szenarios Windows Update
  • Folie 33
  • Anleitungen Patch Management Guides Microsoft Guide to Security Patch Management Patch Management using Software Update Services Patch Management using Systems Management Server Globales Schulungs-Programm 2-tgige TechNet Security Schulungen Monatliche Security Webcasts Neue Beschreibungen Patterns and practices How-to configure for security How Microsoft Secures Microsoft
  • Folie 34
  • Patch Management Roadmap Kurzfristig Microsoft Update Patches und Updates von einer zentralen Stelle fr alle Produkte SUS 2.0 (Frhjahr 2004) Einheitliche Infrastruktur fr Patch Management Untersttzt weitere Microsoft Produkte Bedeutende Verbesserungen in der Patch Management Funktionalitt MBSA 1.2 Verbesserung des Reporting Lokalisierung Breitere Produktuntersttzung Integration des Office Update Inventory Tool MBSA 2.0 (Frhjahr 2004) Arbeitet mit SUS 2.0 zusammen Speichern der Daten in SQL server Engine Plugin ermglicht Scannen von Anwendungen anderer Hersteller Langfristig (NGSCB) SUS wird in Windows integriert SUS untersttzt alle Microsoft Produkte SUS Infrastruktur kann auch als Patch Management Lsung von anderen Softwareherstellern genutzt werden
  • Folie 35
  • Fragen und Antworten
  • Folie 36
  • Ihr Potenzial. Unser Antrieb. Thorvald Kik Senior Consultant Hansevision GmbH [email protected]