Transcript
Page 1: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Effizientes Patch-ManagementThorvald Kik

Page 2: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Sicherer Betrieb des Microsoft Office Systems:

Effizientes Patch-ManagementThorvald Kik

Senior ConsultantHansevision GmbH

[email protected]

Page 3: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

AgendaAnforderungen

„Patch Management – Braucht man das wirklich ?“ Was muß Patch Management leisten ?

Lösungsansätze Welche Tools stehen heute zur Verfügung Welches Tool ist das Richtige für Sie

Ausblick Zukünftig verfügbare Lösungen

Fragen und Antworten

Page 4: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Zeit bis Exploit immer kürzer

Exploits immer raffinierter

Aktueller Ansatz reichtnicht aus

Sie haben immer weniger Zeit für das Rollout eines Patches!

151

151

180

180

331

331

Blaster

Blaster

Welchia/ Nachi

Welchia/ Nachi

Nimda

Nimda

2525

SQL Slammer

SQL Slammer

Tage zwischen Patch und Exploit

Sicherheit verbessern

Page 5: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Herausforderungen Bestandsaufnahme

Welche Systeme sind zu patchen Welche Software ist zu patchen

Ständige Kontrolle Gibt es neue Patches? Erkennen der Wichtigkeit spezifischer Patches Sind alle Systeme auf dem neuesten Stand?

Funktionalität sicherstellen Test vor Implementierung notwendig Einfluß auf die bestehende (und laufende) Umgebung

Was ändert das einzelne Patch Abhängigkeiten zwischen Komponenten

Deinstallation eines Patches Schnelle Implementation

Schnelligkeit bei der Implementierung neuer Patches

Page 6: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Microsoft Severity Ratings

RatingEmpfohlener Zeitrahmen bis

Installation

Kritisch Innerhalb von 24 Stunden nach Verfügbarkeit

Hoch Innerhalb von 1 Monat nach Verfügbarkeit

Mittel

Innerhalb von 4 Monaten nach VerfügbarkeitAbhängig von der Dringlichkeit der Funktionalität abwarten bis zum nächsten Service Pack oder Patch Rollup

Niedrig

Innerhalb von 12 Monaten nach VerfügbarkeitAbhängig von der Dringlichkeit der Funktionalität abwarten bis zum nächsten Service Pack oder Patch Rollup

Page 7: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Patch Management Prozess1. Inventarisierung

Periodische Aufgaben

A. Systeme auf gleichen Stand bringen(Baseline)

B. Nutzung der Patch Management Lösung (Sofern vorhanden)

C. Überarbeiten der Infrastruktur/Konfiguration

Ständige AufgabenA. Neue Geräte entdeckenB. Clients inventarisieren

1. Assess 2. Identify

4. Deploy 3. Evaluate & Plan

2. Identifizierung neuer Patches

AufgabenA. Neue Patches in Erfahrung bringenB. Relevanz bestimmenC. Überprüfung und Test des Patches auf isoliertem System

3. Evaluierung & Planung

AufgabenA. Genehmigung der Patch InstallationB. RisikoanalyseC. Planung des RolloutsD. Test in Pilotumgebung abschließen

4. Umsetzung und Installation

AufgabenA. Verteilung / Installation des PatchesB. Berichte über FortschrittC. Ausnahmebehandlung

D. Auswertung und Optimierung des Deploymentprozesses

Page 8: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Bremsende Faktoren

Anzahl und Häufigkeitder Patches

UngenügendeKommunikation

InkonsistenteLösungswegebei Patchen

VerschiedenePatch

ManagementTools

InkonsistentePatch

Qualität

Page 9: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

LösungskomponentenAnalyse

Tools

Microsoft Baseline Security Analyzer (MBSA)

Office Inventory Tool

Online UpdateDienste

Windows Update

Office Update

DownloadKataloge

Windows Update Catalog

Office Download Catalog

Microsoft Download Center

Management Tools

Automatic Updates (AU) Feature in Windows

Software Update Services (SUS)

Systems Management Server (SMS)

Hilfen undNachschlage-

werke

Microsoft Guide to Security Patch Management

Patch Management Using SUS

Patch Management Using SMS

Page 10: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Microsoft Baseline Security Analyser Automatisierte Erkennung fehlender

Sicherheitspatches und Fehlkonfigurationen

Ermöglicht dem Administrator, von zentraler Stelle aus eine große Anzahl von systemem simultan zu scannen

Deckt eine große Anzahl von Microsoft Produkten ab, nicht nur Windows

Page 11: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

MBSA: Was erkannt wird

Fehlkonfigurationen: Windows NT 4.0, Windows

2000, Windows Server 2003, Windows XP

IIS 4.0, IIS 5.0, IIS 6.0

SQL 7.0, SQL 2000

IE 5.01 und neuere Versionen

Office 2000, Office XP

Fehlende Patches / Updates: Windows NT 4.0, Windows

2000, Windows Server 2003, Windows XP

IIS 4.0, IIS 5.0, IIS 6.0

SQL 7.0, SQL 2000 (auch MSDE)

IE 5.01 und neuere Versionen

Exchange 5.5, Exchange 2000

Windows Media Player 6.4 und neuere Versionen

Page 12: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Scan a Computer

Page 13: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Viewing a Security Report

Page 14: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Windows Update (Website) Enthält alle Windows Patches & Updates

Automatisiert Scan und anschließende Installation für Patches und Updates

Einfachste Nutzung, auch für unerfahrene Nutzer

Hält das System aktuell mit den letzten Sicherheitsupdates und kritischen Patchen

Page 15: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Windows Update (Dienst) Prüft regelmäßig auf neue Patches (1-22h)

Fehlertoleranter Download der Patches vom WU Server im Hintergrund (BITS Technologie)

Kann vollständig automatisiert im Hintergrund arbeiten

Hält das System aktuell mit den letzten Sicherheitsupdates und kritischen Patchen

Page 16: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Windows Update Unterstützung für :

Kritische Updates und Sicherheitsrelevante Updates Empfohlene Downloads Internet und Multimedia Updates – IE, Media Player, etc. Windows Tools & Utilities Zusätzliche Windows Downloads – Updates für Desktop

Einstellungen und andere Windows Features

Multi-Language Features – Menüs und Dialoge, sprachen support, etc.

Windows Logo Hardware Treiber

Für folgende Systeme: Windows 98 / 98SE Windows ME Windows 2000/XP Windows 2003

Page 17: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Office Update (Website) Pendant zum Windows Update

Automatisches scannen und Installation der Patches und Updates

Einfache Nutzung – Auch für unerfahrene Benutzer

Hält Office aktuell mit den letzten Sicherheitsupdates und kritischen Patchen

Page 18: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Office aktualisieren

Data1.msiver. 11.0cache

Excel.exever.11.0

Excel.exever.11.0

Client Fileserver

data1.msiver. 11.1Data1.msiver. 11.0Data1.msiver. 11.0

Excel.exever.11.1

patch.mspver. 11.1

Synchcache

Nachinstallationund Reparierenscheitert!

data1.msiver. 11.1

Excel.exever.11.1

Nachinstallationund Reparierenfunktioniert wieder!

Msiexec /i data1.msi REINSTALL=All REINSTALLMODE=vomus

Page 19: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Office aktualisieren

Data1.msiver. 11.0cache

Excel.exever.11.0

Excel.exever.11.0

Client Fileserver

Data1.msiver. 11.0Data1.msiver. 11.0

patch.exever. 11.1

Excel.exever.11.1

Nachinstallationund Reparierenfunktioniert

Page 20: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Management Lösungen

Software Update Service 1.0 Mit Automatic Update (AU)

Systems Management Server 2003

Page 21: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Software Update Service (SUS) Ermöglicht kontrollierte Freigabe von

Patchen und Updates durch den Administrator Gruppenrichtlinien verhindern Installation nicht

freigegebener Updates von Windows Update Ermöglicht vorheriges Testen und Evaluieren von Updates

vor der Installation

Vereinfacht und automatisiert die Patch Auswahl und Installation auf die Clients

Clients laden Updates optional direkt vom SUS Server herunter

Einfache Bedienbarkeit vereinfacht und beschleunigt die Aktualisierung der Clients, wodurch Sicherheitsrisiken reduziert werden

Page 22: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

SUS 1.0: Funktion

ParentSUS Server

Firewall

untergeordneterSUS Server

WindowsUpdate Service

WindowsUpdate Service

Bandbreite

n

kontrolle

Ban

db

reite

n

kon

trolle

2. Administrator prüft, evaluiert und genehmigt Updates

1. SUS Server schaut alle

17-22 Stunden nach neuen Updates

3. Genehmigungen & Updates werden synchronisiert mit unterg. SUS servern

4. AU erhält Liste mit genehmigten Updates vom SUS server

6. AU benachrichtigt den Benutzer oder installiert automatisch

7. AU verzeichnet Installation in Historie

5. AU lädt Updates vom SUS Server oder von Windows Update

untergeordneterSUS Server

Bandbreiten

kontrolle

Page 23: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant
Page 24: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

SUS 1.0: Funktion

ParentSUS Server

Firewall

untergeordneterSUS Server

untergeordneterSUS Server

Bandbreiten

kontrolle

WindowsUpdate Service

WindowsUpdate Service

Bandbreite

n

kontrolle

Ban

db

reite

n

kon

trolle

2. Administrator prüft, evaluiert und genehmigt Updates

1. SUS Server schaut alle

17-22 Stunden nach neuen Updates

3. Genehmigungen & Updates werden synchronisiert mit unterg. SUS servern

4. AU erhält Liste mit genehmigten Updates vom SUS server

6. AU benachrichtigt den Benutzer oder installiert automatisch

7. AU verzeichnet Installation in Historie

5. AU lädt Updates vom SUS Server oder von Windows Update

Page 25: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Systems Management Server 2003 Asset Management

Soft- und Hardwareinventur Berichte

Change and Configuration Management Softwareverteilung Patch Management für Office und Windows

Helpdesk Remote Control

License Management Lizenzmessung

Page 26: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

SMS 2003 Patch Management Kontrolle über den gesamten Patch Management

Prozess Erlaubt Evaluierung & Genehmigung der Updates vor der

Installation Genaue Festlegung des Patch Prozesses möglich

Automatisiert die Hauptaspekte des Patch Management Prozesses

Kann auch genutzt werden für Updates von Software anderer Hersteller

Unterstützung der Installation und Deinstallation von Softwareanwendungen und Patches

Größtmögliche Flexibilität durch Nutzung der Scriptingmöglichkeiten

Page 27: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Firewall

SMS Site Server

SMS DistributionPoint

SMS Clients

SMS Clients

MicrosoftDownload Center

SMS DistributionPoint

2. Scan Komponentenauf Clients ausführen via Softwareverteilung

1. Setup: Download Security Update Inventory und Office Inventory Tools; Inventory Tool Installer ausführen

3. Clients gescannt; Scan Ergebnisse werden mit SMS Hardwareinventur eingeholt

4. Administrator startet “Distri-bute Software Updates Wizard”

SMS Clients

SMS 2003 Patch Management

Page 28: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Distribute Software Update Wizard

Page 29: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Distribute Software Update Wizard

Page 30: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Firewall

SMS Site Server

SMS DistributionPoint

SMS Clients

SMS Clients

MicrosoftDownload Center

SMS DistributionPoint

2. Scan Komponentenauf Clients ausführen via Softwareverteilung

1. Setup: Download Security Update Inventory und Office Inventory Tools; Inventory Tool Installer ausführen

3. Clients gescannt; Scan Ergebnisse werden mit SMS Hardwareinventur eingeholt

4. Administrator startet “Distri-bute Software Updates Wizard”

6. Software Update Installation Agent auf den clients installiert updates

5. Download der Update Dateien; Pakete, Programme & Ankündigungen an Clients erstellt

SMS Clients

SMS 2003 Patch Management

Page 31: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Client Meldungen

Page 32: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Die richtige Lösung für Sie

Kunde ScenarioEmpfehlu

ng

MittlereundgroßeFirmen

Benötigt flexible Patch Management Lösung um alle Anwendungen zu installieren, upzudaten, und zu deinstallieren

SMS

Benötigt einfache Patch Management Lösung um Windows 2000 und neuere Versionen zu patchen SUS

KleinereFirmen

Mit mindestens 1 Windows Server und 1 Administrator SUS

Alle anderen SzenariosWindows Update

Endkunde Alle SzenariosWindows Update

Page 33: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Anleitungen Patch Management Guides

Microsoft Guide to Security Patch Management

Patch Management using Software Update Services

Patch Management using Systems Management Server

Globales Schulungs-Programm 2-tägige TechNet Security

Schulungen Monatliche Security Webcasts

Neue Beschreibungen Patterns and practices How-to configure for security How Microsoft Secures Microsoft

Page 34: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Patch Management Roadmap Kurzfristig

Microsoft Update Patches und Updates von einer zentralen Stelle für alle Produkte

SUS 2.0 (Frühjahr 2004) Einheitliche Infrastruktur für Patch Management Unterstützt weitere Microsoft Produkte Bedeutende Verbesserungen in der Patch Management Funktionalität

MBSA 1.2 Verbesserung des Reporting Lokalisierung Breitere Produktunterstützung Integration des Office Update Inventory Tool

MBSA 2.0 (Frühjahr 2004) Arbeitet mit SUS 2.0 zusammen Speichern der Daten in SQL server Engine Plugin ermöglicht Scannen von Anwendungen anderer Hersteller

Langfristig (NGSCB) SUS wird in Windows integriert SUS unterstützt alle Microsoft Produkte SUS Infrastruktur kann auch als Patch Management Lösung von anderen

Softwareherstellern genutzt werden

Page 35: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Fragen und Antworten

Page 36: Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant

Ihr Potenzial. Unser Antrieb.

Thorvald KikSenior Consultant

Hansevision [email protected]


Recommended