1 / 36

Effizientes Patch-Management Thorvald Kik

Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management. Thorvald Kik Senior Consultant Hansevision GmbH tkik@hansevision.de. Agenda. Anforderungen „Patch Management – Braucht man das wirklich ?“

ivy-langley
Download Presentation

Effizientes Patch-Management Thorvald Kik

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Effizientes Patch-ManagementThorvald Kik

  2. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant Hansevision GmbH tkik@hansevision.de

  3. Agenda Anforderungen • „Patch Management – Braucht man das wirklich ?“ • Was muß Patch Management leisten ? • Lösungsansätze • Welche Tools stehen heute zur Verfügung • Welches Tool ist das Richtige für Sie • Ausblick • Zukünftig verfügbare Lösungen • Fragen und Antworten

  4. Tage zwischen Patch und Exploit 331 180 151 25 SQL Slammer Nimda Blaster Welchia/ Nachi Sie haben immer weniger Zeit für das Rollout eines Patches! Sicherheit verbessern • Zeit bis Exploit immer kürzer • Exploits immer raffinierter • Aktueller Ansatz reichtnicht aus

  5. Herausforderungen • Bestandsaufnahme • Welche Systeme sind zu patchen • Welche Software ist zu patchen • Ständige Kontrolle • Gibt es neue Patches? • Erkennen der Wichtigkeit spezifischer Patches • Sind alle Systeme auf dem neuesten Stand? • Funktionalität sicherstellen • Test vor Implementierung notwendig • Einfluß auf die bestehende (und laufende) Umgebung • Was ändert das einzelne Patch • Abhängigkeiten zwischen Komponenten • Deinstallation eines Patches • Schnelle Implementation • Schnelligkeit bei der Implementierung neuer Patches

  6. Microsoft Severity Ratings

  7. Patch Management Prozess 1. Inventarisierung Periodische Aufgaben A. Systeme auf gleichen Stand bringen(Baseline) B. Nutzung der Patch Management Lösung (Sofern vorhanden) C. Überarbeiten der Infrastruktur/Konfiguration Ständige Aufgaben A. Neue Geräte entdecken B. Clients inventarisieren 2. Identifizierung neuer Patches Aufgaben A. Neue Patches in Erfahrung bringen B. Relevanz bestimmen C. Überprüfung und Test des Patches auf isoliertem System 1. Assess 2. Identify 3. Evaluate & Plan 4. Deploy 4. Umsetzung und Installation Aufgaben A. Verteilung / Installation des Patches B. Berichte über Fortschritt C. Ausnahmebehandlung D. Auswertung und Optimierung des Deploymentprozesses 3. Evaluierung & Planung Aufgaben A. Genehmigung der Patch Installation B. Risikoanalyse C. Planung des Rollouts D. Test in Pilotumgebung abschließen

  8. InkonsistenteLösungswegebei Patchen Anzahl und Häufigkeitder Patches Bremsende Faktoren UngenügendeKommunikation InkonsistentePatchQualität VerschiedenePatchManagementTools

  9. Lösungskomponenten

  10. Microsoft Baseline Security Analyser • Automatisierte Erkennung fehlender Sicherheitspatches und Fehlkonfigurationen • Ermöglicht dem Administrator, von zentraler Stelle aus eine große Anzahl von systemem simultan zu scannen • Deckt eine große Anzahl von Microsoft Produkten ab, nicht nur Windows

  11. MBSA: Was erkannt wird • Fehlkonfigurationen: • Windows NT 4.0, Windows 2000, Windows Server 2003, Windows XP • IIS 4.0, IIS 5.0, IIS 6.0 • SQL 7.0, SQL 2000 • IE 5.01 und neuere Versionen • Office 2000, Office XP • Fehlende Patches / Updates: • Windows NT 4.0, Windows 2000, Windows Server 2003, Windows XP • IIS 4.0, IIS 5.0, IIS 6.0 • SQL 7.0, SQL 2000 (auch MSDE) • IE 5.01 und neuere Versionen • Exchange 5.5, Exchange 2000 • Windows Media Player 6.4 und neuere Versionen

  12. Scan a Computer

  13. Viewing a Security Report

  14. Windows Update (Website) • Enthält alle Windows Patches & Updates • Automatisiert Scan und anschließende Installation für Patches und Updates • Einfachste Nutzung, auch für unerfahrene Nutzer • Hält das System aktuell mit den letzten Sicherheitsupdates und kritischen Patchen

  15. Windows Update (Dienst) • Prüft regelmäßig auf neue Patches (1-22h) • Fehlertoleranter Download der Patches vom WU Server im Hintergrund (BITS Technologie) • Kann vollständig automatisiert im Hintergrund arbeiten • Hält das System aktuell mit den letzten Sicherheitsupdates und kritischen Patchen

  16. Windows Update • Unterstützung für : • Kritische Updates und Sicherheitsrelevante Updates • Empfohlene Downloads • Internet und Multimedia Updates – IE, Media Player, etc. • Windows Tools & Utilities • Zusätzliche Windows Downloads – Updates für Desktop Einstellungen und andere Windows Features • Multi-Language Features – Menüs und Dialoge, sprachen support, etc. • Windows Logo Hardware Treiber • Für folgende Systeme: • Windows 98 / 98SE • Windows ME • Windows 2000/XP • Windows 2003

  17. Office Update (Website) • Pendant zum Windows Update • Automatisches scannen und Installation der Patches und Updates • Einfache Nutzung – Auch für unerfahrene Benutzer • Hält Office aktuell mit den letzten Sicherheitsupdates und kritischen Patchen

  18. Excel.exever.11.0 Excel.exever.11.1 Excel.exever.11.1 Excel.exever.11.0 Data1.msiver. 11.0 Data1.msiver. 11.0 data1.msiver. 11.1 patch.mspver. 11.1 data1.msiver. 11.1 Data1.msiver. 11.0cache Office aktualisieren Msiexec /i data1.msi REINSTALL=All REINSTALLMODE=vomus Nachinstallationund Reparieren scheitert! Nachinstallationund Reparieren funktioniert wieder! Synchcache Client Fileserver

  19. Excel.exever.11.0 Excel.exever.11.1 Data1.msiver. 11.0 Data1.msiver. 11.0 patch.exever. 11.1 Office aktualisieren Nachinstallationund Reparieren funktioniert Excel.exever.11.0 Data1.msiver. 11.0cache Client Fileserver

  20. Management Lösungen • Software Update Service 1.0 • Mit Automatic Update (AU) • Systems Management Server 2003

  21. Software Update Service (SUS) • Ermöglicht kontrollierte Freigabe von Patchen und Updates durch den Administrator • Gruppenrichtlinien verhindern Installation nicht freigegebener Updates von Windows Update • Ermöglicht vorheriges Testen und Evaluieren von Updates vor der Installation • Vereinfacht und automatisiert die Patch Auswahl und Installation auf die Clients • Clients laden Updates optional direkt vom SUS Server herunter • Einfache Bedienbarkeit vereinfacht und beschleunigt die Aktualisierung der Clients, wodurch Sicherheitsrisiken reduziert werden

  22. Bandbreitenkontrolle untergeordneterSUS Server untergeordneterSUS Server SUS 1.0: Funktion WindowsUpdate Service WindowsUpdate Service Firewall • SUS Server schaut alle 17-22 Stunden nach neuen Updates • Administrator prüft, evaluiert und genehmigt Updates Bandbreitenkontrolle • Genehmigungen & Updates werden synchronisiert mit unterg. SUS servern ParentSUS Server • AU erhält Liste mit genehmigten Updates vom SUS server Bandbreitenkontrolle • AU lädt Updates vom SUS Server oder von Windows Update • AU benachrichtigt den Benutzer oder installiert automatisch • AU verzeichnet Installation in Historie

  23. SUS 1.0: Funktion WindowsUpdate Service WindowsUpdate Service Firewall • SUS Server schaut alle 17-22 Stunden nach neuen Updates • Administrator prüft, evaluiert und genehmigt Updates Bandbreitenkontrolle Bandbreitenkontrolle • Genehmigungen & Updates werden synchronisiert mit unterg. SUS servern untergeordneterSUS Server ParentSUS Server • AU erhält Liste mit genehmigten Updates vom SUS server Bandbreitenkontrolle • AU lädt Updates vom SUS Server oder von Windows Update untergeordneterSUS Server • AU benachrichtigt den Benutzer oder installiert automatisch • AU verzeichnet Installation in Historie

  24. Systems Management Server 2003 • Asset Management • Soft- und Hardwareinventur • Berichte • Change and Configuration Management • Softwareverteilung • Patch Management für Office und Windows • Helpdesk • Remote Control • License Management • Lizenzmessung

  25. SMS 2003 Patch Management • Kontrolle über den gesamten Patch Management Prozess • Erlaubt Evaluierung & Genehmigung der Updates vor der Installation • Genaue Festlegung des Patch Prozesses möglich • Automatisiert die Hauptaspekte des Patch Management Prozesses • Kann auch genutzt werden für Updates von Software anderer Hersteller • Unterstützung der Installation und Deinstallation von Softwareanwendungen und Patches • Größtmögliche Flexibilität durch Nutzung der Scriptingmöglichkeiten

  26. SMS 2003 Patch Management • Setup: Download Security Update Inventory und Office Inventory Tools; Inventory Tool Installer ausführen MicrosoftDownload Center • Scan Komponentenauf Clients ausführen via Softwareverteilung Firewall • Clients gescannt; Scan Ergebnisse werden mit SMS Hardwareinventur eingeholt SMS DistributionPoint SMS Site Server • Administrator startet “Distri-bute Software Updates Wizard” SMS Clients SMS DistributionPoint SMS Clients SMS Clients

  27. Distribute Software Update Wizard

  28. Distribute Software Update Wizard

  29. SMS 2003 Patch Management • Setup: Download Security Update Inventory und Office Inventory Tools; Inventory Tool Installer ausführen MicrosoftDownload Center • Scan Komponentenauf Clients ausführen via Softwareverteilung Firewall • Clients gescannt; Scan Ergebnisse werden mit SMS Hardwareinventur eingeholt SMS DistributionPoint SMS Site Server • Administrator startet “Distri-bute Software Updates Wizard” SMS Clients • Download der Update Dateien; Pakete, Programme & Ankündigungen an Clients erstellt SMS DistributionPoint • Software Update Installation Agent auf den clients installiert updates SMS Clients SMS Clients

  30. Client Meldungen

  31. Die richtige Lösung für Sie

  32. Anleitungen • Patch Management Guides • Microsoft Guide to Security Patch Management • Patch Management using Software Update Services • Patch Management using Systems Management Server • Globales Schulungs-Programm • 2-tägige TechNet Security Schulungen • Monatliche Security Webcasts • Neue Beschreibungen • Patterns and practices • How-to configure for security • How Microsoft Secures Microsoft

  33. Patch Management Roadmap • Kurzfristig • Microsoft Update • Patches und Updates von einer zentralen Stelle für alle Produkte • SUS 2.0 (Frühjahr 2004) • Einheitliche Infrastruktur für Patch Management • Unterstützt weitere Microsoft Produkte • Bedeutende Verbesserungen in der Patch Management Funktionalität • MBSA 1.2 • Verbesserung des Reporting • Lokalisierung • Breitere Produktunterstützung • Integration des Office Update Inventory Tool • MBSA 2.0(Frühjahr 2004) • Arbeitet mit SUS 2.0 zusammen • Speichern der Daten in SQL server • Engine Plugin ermöglicht Scannen von Anwendungen anderer Hersteller • Langfristig (NGSCB) • SUS wird in Windows integriert • SUS unterstützt alle Microsoft Produkte • SUS Infrastruktur kann auch als Patch Management Lösung von anderen Softwareherstellern genutzt werden

  34. Fragen und Antworten

  35. Ihr Potenzial. Unser Antrieb. Thorvald Kik Senior Consultant Hansevision GmbH tkik@hansevision.de

More Related