Embed Size (px)
Citation preview
Erfolgreiches Patch Management
Michael KalbeManager Technical EvangelismMicrosoft Deutschland GmbH
Erfolgreiches Patch Management
am Beispiel: Windows Server Update Services 3.0 und System Center Essentials
Agenda
Patch Management und Patch TestingHerausforderungen des Patch ManagementsGrundlagen des Patch ManagementsPatch Testing im Rahmen des Patch Managements
Patch Testing Tools und ResourcenMicrosoft Application Compatibility Toolkit (ACT)Microsoft Virtual Server 2005 R2 und Windows VirtualizationMicrosoft Windows UpdateMicrosoft Windows Server Update Services 3.0Microsoft System Center Essentials 2007Network Access Protection in Microsoft Windows Server 2008
Since human beings themselves are not fully debugged yet, there will be bugs in your code no matter what you do. -Chris Mason
Bill Gates: Trustworthy computing
Öffentliche Quelle: http://www.microsoft.com/about/companyinformation/timeline/timeline/docs/bp_Trustworthy.rtf
Bedeutung des Patch Managements
Angriff Datum derbekanntgegebenenEntdeckung
MSRC-Schweregrad
MSRC-Bulletin
Datum desMSRC-Bulletins
Tage vor demAngriff
Trojan.Kaht 5. Mai 2003 Kritisch MS03-
007
17.
03.2003
49
SQL
Slammer
24. Januar 2003 Kritisch MS02-
039
24.
07.2002
184
Klez-E 17. Januar 2002 * MS01-
020
29.03.200
1
294
Nimda 18. September
2001
* MS00-
078
17.10.200
0
336
Code Red 16. Juli 2001 * MS01-
033
18.06.200
1
28
Positionierung von Patch Management
Patch Management ist integraler Bestandteil jeder Security Policy.Patches minimieren das Risikoprofil durch das Beheben von Verwundbarkeiten.Patch Management berührt mehrere Ebenen des Security-in-Depth Modells:
Anwendungen (z.B. MS Office)Host (z.B. Windows Vista)Internes Netzwerk (Hardware, Switches, Servers, etc.)Perimeter (Router und Firewalls)Richtlinien, Verfahren & Sicherheitsbewusstsein(Patch Management ist ein Prozess)
Security Defense-in-Depth
Richtlinien, Verfahren & Sicherheitsbewusstsein
Perimeter
Internes Netzwerk
Host
Anwendung
Daten
Physische Absicherung
Patch Management
Patch Management Herausforderungen
• Fehlen aktueller und korrekter Inventurdaten• Fehlen eines etablierten Prozesses
• Erhalten zeitnaher Informationen über Patches
• Verstehen der Auswirkungen eines Patches
• Fehlen von Zeit und Ressourcen für Patch-Testing
• Begründung der Kosten für Patch Management
• Bereitstellen im Verwundbarkeitszeitfenster• Bedenken über Patchinkompatibilitäten
BEURTEILEN
BESTIMMEN
PRÜFEN & PLANEN
BEREITSTELLEN
Patch Management Grundlagen
1. BeurteilenSammeln technischer Informationen über die Ausnutzbarkeit der SicherheitslückeSammeln von AbschwächungsfaktorenEinschätzen der Gefahren zur Festlegung von Prioritäten
2. BestimmenTechnical Security Notifications
Email: Security Notification ServiceRSS: Security for IT ProfessionalsWindows Live Alert: Technical Security Update Alerts
Windows Update
Assess Identify
Evaluate
Deplo
y
Patch Managements Grundlagen
3. Prüfen & PlanenMethoden zum Testen von PatchesPlanen der BereitstellungÜberprüfen der Installation Management von Veränderungsprozessen
4. BereitstellenZuverlässige Implementierung im ProduktionssystemEffiziente BereitstellungCompliance ReportingCompliance Enforcement
Assess Identify
Evaluate
Deplo
y
Patch Testing in Testumgebung
Baseline- oder “Gold”-Images müssen speziell geschützt und zentral verwaltet werden.
Patch Testing erfolgt immer nur gegen Kopien der “Gold”-Images.
Jede erfolgreich getestete Änderung, die in das Produktionssystem übernommen wird, wird in das “Gold”-Image überführt.
“Gold”-Images der Testumgebung müssen immer aktuell gehalten werden, um den Stand der Produktionsumgebung abbilden zu können.
Virtualisieren der Testumgebung
DB
FILE
AD
CLIENTWEB
PROXY
UPDATE
CLIENT
ADDB FILE
UPDATE
WEB MAILPROXY
Vorteile durch Virtualisierung• Erhöhte Flexibilität• Geringere TCO für
Testnetz• Verringerter Platzbedarf• Schnellere
Bereitstellungszeiten
Virtuelles Netzwerkdesign• Vollständige Isolation jedes Hosts• Isoliert mit Netzwerkzugriff (NAT)• Isoliertes VLAN mit Domainzugriff
Virtuelles Maschinendesign• Hosts enthalten eine Reihe virtueller
Maschinen gruppiert nach Funktion• Hosts enthalten virtuelle Maschinen
gruppiert nach Lokation (Remote Office)
• Gemischtes Design gruppiert nach Funktion, Lokation und Serverlast des Virtual Server Hosts
Virtualisierungsszenarien im Testnetz
DB
FILE
AD
CLIENTWEB
PROXY
UPDATE
Rechner installieren die vom Administrator genehmigten Updates
Administrator genehmigt die UpdatesAdministrator “abonniert” die Update KategorienServer holt die “Updates” von Microsoft UpdateRechner registrieren sich beim ServerAdministrator ordnet die Rechner in unterschiedliche Gruppen ein
< Back Finish Cancel
Windows Update ServicesWindows Update Services
< Back Finish Cancel
Windows Update ServicesWindows Update Services
Microsoft Update WSUS Server
Desktop Clients
Gruppe 1Server Clients
Gruppe 2WSUS Administrator
Windows Server Update Services
Microsoft Update
WSUS Server
WSUS Server
Downstream
WSUS Deploymentszenarien
Microsoft Update
WSUS Server
WSUS Server
Offline Medium
WSUS Deploymentszenarien
{ Windows Sever Update Services 3.0 }
demo
System Center Essentials 2007
Einheitliche KonsoleBestandsaufnahme der Desktops & ServerUmfassende Überwachung der IT DiensteEinheitliche BerichterstattungZentrale Verteilung von SoftwareAutomatisierte UpdateverwaltungEinfache Installation, Einrichtung & Einführung inkl. Remote Mangement
Zugrundeliegende Architektur
BITS
WinForms Managed Code Console
Unified Management Console
OpsMgr Agent
Health Service
AutoUpdate Agent
Host Process
Installers
Asset Collector
Client SDK
System Center Essentials Server
OpsMgr Server SDK
Indigo
OpsMgr 2007 Server WSUSv3 Server
He
alth
Se
rvic
e
Co
nfig
. S
erv
ice
We
b S
erv
ice
fo
r R
em
otin
g
We
b S
erv
ice
SD
K
OpsMgr Database
WSUS Database
System Center Essentials Database Server
Indigo OpsMgr ClientSDK
WSUS ClientSDK
ADO.Net
Web ServicesWCF
OpsMgr Channel
WSUS Channel
(Yukon Express by default)
Managed Node (Client or Server)
WSUS 3.0OpsMgr 2007
{ System Center Essentials 2007 }
demo
22222222
Bestandsaufnahme
60+ Hardware und Softwareeigenschaften werden von den Clients eingesammeltSoftwaredaten stammen aus der Registry und zeigen die gleichen Applikationen wie “Add/Remove” aus dem Control PanelHardwaredaten werden über einen WMI Provider ausgelesen: Harddisk und Speichernutzung, Netzwerk etc.
Beispiel der Datenbanküberwachung vom SQL ServerAlle Funktionen unterstützt
Clustering, Log Shipping, Backup, SQL Server AgentInstanzen, Datenbanken, Jobs, Dateigruppen, Rollen, Replikation
3 ÜberwachungsartenVerfügbarkeit, Performance, Konfiguration
Es existieren Management Packs für Unmengen von Anwendungen
Exchange 2003 / 2007SQL Server 2000 / 2005 / 2008*Windows Server 2003 / 2008*
AD, DHCP, DNS, IIS, DFS, RRAS…Sharepoint & MOSSServer Hardware von HP, IBM, Dell, Intel…Netzwerk-GeräteMicrosoft Dynamics…Vorgabe für alle Microsoft Serverprodukte
*mit und nach Produktverfügbarkeit
Beispiel: freier Datenbankplatz
Beispiel: Exchange Berichte
“Health-Model” erlaubt Reporting vom Exchange Service bis hinunter zu einzelnen KomponentenKonfigurationsüberwachung erlaubt Änderungsberichte über die Zeitachse zum Vergleichen
SCE: Update Funktionen
Automatische Konfiguration der GPOsUnterstützt Microsoft, 3rd Party & Custom Updates“Update now” FunktionalitätÜberwachung des Update StatusTäglicher Übersichtsbericht
System Center Essentials fokussiert sich auf die BenutzerproduktivitätUnterstützte Versionen
Windows 2000 Professional, Windows XP und Windows Vista; Office XP, 2003, 2007, Zusatz-Meldungen für Outlook über Exchange
Berichte über Ihre GesamtumgebungStürzen meine Applikationen ab?Brauchen meine Anwendungen zu viel Systemressourcen?Wie sind die Antwortzeiten?
Anwendungsspezifische AussagenKönnen meine Outlook Anwender Emails empfangen / senden?Kann der IE auf Webseiten zugreifen?Können Windows Desktops auf Datenbanken zugreifen?Kann man auf File-Shares / Sharepoint zugreifen?
Comprehensive Office Monitoring
Endbenutzerunterstützung
Detaillierte PC Übersicht für die Helpdesk-Mitarbeiter inkl. Update-NowSchneller Zugriff auf typische Trouble-Shooting Tasks: Ping, IPConfig, Auflisten der Prozesse etc.Remote-Zugriff Unterstützung direkt aus SCE Konsole (Windows XP / Windows Vista)
Was ist mit Benutzer verwalten, PCs aufsetzen?
Benutzerverwaltung ist Bestandteil der Plattform: Active Directory & GPOs
Neue Funktionen mit Group Preferences!Windows PowerShell hilft beim AutomatisierenLernen Sie mehr in meinen Gratisworkshops!
PCs aufsetzen ist Bestandteil der Plattform: Windows Deployment Services
Kostenlos PC Images erstellen und verteilenMulticast-Support im Windows Server 2008Microsoft Deployment beschreibt alles im Detail
Integration in Ihre bestehende IT
1 Windows Server 2003 SP1 oder höher
SQL Server 2005 SP1 als zentrale DatenbankExpress Edition liegt bei
Das Produkt unterstützt bis zu 500 Desktops
Windows 2000 SP4, XP SP2 & Vista (32 / 64bit)
30 ServerWindows 2000 SP4, Windows 2003 SP1 & R2
beliebig viele SNMP Netzwerkkomponenten
OSI Schicht 3 und niedriger
Tipps zur Installation von SCE 2007
Vor einer Neuinstallation erst den Rollup-Fix von Microsoft Downloads einspielen
Slip-Stream Installation, erzeugt neues Medium
SCE basiert auf WSUS 3.0 und OpsMgr 2007
WSUS 3.0 SP1 wird nicht unterstützt!OpsMgr 2007 SP1 wird nicht unterstütztWarten Sie auf das SCE 2007 SP1, welches WSUS 3.0SP1 und OpsMgr 2007 SP1 beinhaltet
Schrittweise Einführung
Normerweise haben Mittelstandkunden bereits (Teil-) Lösungen im EinsatzEine denkbare Einführung kann so aussehen:1. Beginn der Server- und
Netzwerküberwachung zur schnellen Problemerkennung und –lösung
2. Umstellen auf zentrale Updateverteilung3. Inventarisierung aller Desktop Systeme4. Umstellen des Helpdesks5. Einführung der Softwareverteilung
System Center Essentials (SCE)
Intel hat SCE lizenziert und liefert es mit seinen Serverprodukten aus
Bestandteil ist eine EinzelserverüberwachungIntel bietet Upgradekey auf bis zu 15 ServerIntel bietet Upgradekey auf SCE 2007
Intel® System Management Software
Network Access Protection
Nicht richtlinien-konform
1
Einge-schränktesNetzwerk
Client bittet um Zugang zum Netzwerk und präsentiert seinen gegenwärtigen „Gesundheitszustand“.
1
4 Falls nicht richtlinien-konform, wird Client in ein eingeschränktes VLAN umgeleitet und erhält Zugriff auf Ressourcen wie Patches, Konfigurationen und Signaturen.
2 DHCP, VPN oder Switch/Router leitet Gesundheitszustand an Microsoft Network Policy-Server (RADIUS-basierend) weiter.
5 Bei Richtlinien-Konformität wird vollständiger Zugang zum Unternehmensnetz gewährt.
MSFT NPS
3
Policy Serverz.B. Patch, AV
Richtlinien-
konform
3 Network Policy Server (NPS) validiert diesen mit der von der Unternehmens-IT definierten „Gesundheitsrichtlinie“.
2
Windows-Client DHCP, VPN,
Switch/Router
Fix-Up-Server
z.B. Patch
Unternehmensnetz5
4
Patch Testing Tools und Ressourcen
Windows Live OneCare Safety Scannerhttp://onecare.live.com/site/de-de/default.htmWindows Updatehttp://www.windowsupdate.comMicrosoft Baseline Security Analyzer (MBSA)http://www.microsoft.com/technet/security/tools/mbsahome.mspxMicrosoft Application Compatibility Toolkit (ACT)http://technet.microsoft.com/de-de/windowsvista/aa905102Network Access Protection (Windows Server 2008)http://www.microsoft.com/napWindows Server Update Services (WSUS) 3.0http://technet.microsoft.com/en-us/wsus/default.aspxSystem Center Configuration Manager 2007http://www.microsoft.com/smserver/default.mspxVirtual Server 2005 R2 und Windows Virtualizationhttp://www.microsoft.com/windowsserversystem/virtualserver
Weiterführende Informationen
Information zu Patch Management: http://www.microsoft.com/technet/security/topics/Patch Management.mspxDer Patchverwaltungsprozess – Einführunghttp://www.microsoft.com/germany/technet/datenbank/articles/900193.mspxImplementieren der Patchverwaltunghttp://www.microsoft.com/germany/msdn/library/security/ErhoehenDerSicherheitVonWebanwendungen/secmod108.mspx?mfr=true
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after
the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
