Implementazione della
gestione delle patch
per la protezione
Fabrizio Grossi
Sommario




Cenni preliminari sulla gestione
delle patch
Processo di gestione delle patch
Strumenti di gestione delle patch
Orientamento e sviluppi futuri
Risposta al feedback dei clienti
"Ci sono ancora troppe
vulnerabilità e patch"
Migliorare la qualità
dei prodotti e ridurre
la frequenza di rilascio
delle patch
"Vorrei sapere qual è il modo
giusto per gestire un ambiente
aziendale Microsoft"
Fornire formazione e
assistenza di riferimento
"Il processo di gestione delle
patch non è sempre uguale"
Semplificare
l'implementazione
e l'utilizzo di patch
"Ci sono ancora troppi strumenti
incompleti che si sovrappongono"
Potenziare e integrare
gli strumenti di gestione
delle patch
"La qualità delle patch è scarsa.
Ridurre i richiami, la dimensione
delle patch e il numero di riavvii"
Migliorare la qualità
delle patch
Iniziativa di gestione delle patch
dalla nascita a dicembre 2003
Clienti informati
e preparati
Aggiornamenti
migliorati e omogenei
Qualità delle patch
superiore
Soluzioni ottimali per
la gestione di patch
e aggiornamenti
Razionalizzazione dei livelli di gravità delle patch
Bollettini sulla sicurezza e articoli della Knowledge Base migliorati
Kit di preparazione alla protezione, assistenza per la gestione delle
patch e così via
Standardizzazione di terminologia per patch e aggiornamenti
Standardizzazione di denominazione di patch e opzioni dei parametri dei
programmi di installazione*
Definizione di un piano di consolidamento dei programmi di installazione,
passando da circa 8 a 2
Riduzione della frequenza di rilascio di patch da settimanale a mensile
*Update.exe utilizza ora opzioni standard; Windows Installer le utilizzerà per M
**75% per le installazioni di Windows Update, più del 25% per le altre patch
Miglioramento del processo di test e della copertura delle patch
Ampliamento del processo di test con coinvolgimento dei clienti
Riduzione dei riavvii richiesti del 10% e delle dimensioni delle patch
del 75%**
Sviluppo di un orientamento per gli strumenti di gestione di patch
e aggiornamenti
SUS 2.0 in corso di sviluppo: funzionalità notevolmente migliorate
Rilascio di SMS 2003, che offre più ampie funzionalità di gestione
di patch e aggiornamenti
Sommario




Cenni preliminari sulla gestione
delle patch
Processo di gestione delle patch
Strumenti di gestione delle patch
Orientamento e sviluppi futuri
Cronologia delle minacce
Segnalazione Sviluppo
vulnerabilità
patch
Rilascio bollettino
sulla sicurezza e patch
Decodifica
patch
Nessuna
minaccia
Creazione
worm/virus
Nessuna
minaccia
Nessuna
minaccia
Solo
Microsoft
e la parte
segnalante
sono a
conoscenza
della
vulnerabilità
Solo
Vulnerabilità Informazioni
Microsoft
di dominio
per lo
e la parte
pubblico ma sfruttamento
segnalante
informazioni disponibili ma
sono a
per sfruttarla virus/worm
conoscenza non disponibili
non
della
disponibile
vulnerabilità
Corsa contro il tempo
per proteggere e dotare
di patch i sistemi prima
dell'attacco
Nessuna
minaccia
Diffusione
worm/virus
Nessuna
minaccia
Minaccia
Virus/worm
disponibile
ma non
diffuso
Virus/worm
diffuso;
sistemi non
protetti/privi
di patch
infettati
Criteri di valutazione della
gravità utilizzati da Microsoft
Livello gravità
Critico
Importante
Moderato
Basso
Definizione
La vulnerabilità consente la propagazione di un worm
su Internet come Code Red o Nimda senza l'intervento
dell'utente
La vulnerabilità consente la compromissione della
riservatezza, dell’integrità o della disponibilità dei dati
utente, oppure dell'integrità e della disponibilità delle risorse
di elaborazione
La vulnerabilità è grave, ma il rischio attenuato in misura
notevole da fattori quali la configurazione predefinita, il
controllo, la necessità di un'azione dell'utente o la difficoltà
di sfruttamento
La vulnerabilità è estremamente difficile da sfruttare
o l'impatto è minimo
Ricerca nei bollettini sulla sicurezza di TechNet:
http://www.microsoft.com/technet/security/current.asp
(in lingua inglese)
Livello di
gravità
Tempi di applicazione delle patch
consigliati
Tempi massimi di
applicazione consigliati
Critico
Entro 24 ore
Entro due settimane
Importante
Entro un mese
Entro due mesi
Moderato
Secondo la disponibilità prevista, attendere il
service pack o il rollup delle patch successivo
o distribuire la patch entro quattro mesi
Distribuire l'aggiornamento
software entro sei mesi
Secondo la disponibilità prevista, attendere il
service pack o il rollup delle patch successivo
o distribuire la patch entro un anno
Distribuire l'aggiornamento
software entro un anno o
scegliere di non distribuirlo
affatto
Tempi di applicazione delle patch
Basso
Fattori che incidono sui tempi di rilascio
Fattore
Impatto su beni di alto valore o alta esposizione
Impatto su beni generalmente attaccati
Fattori attenuanti in atto o messi in atto a breve
Basso rischio di esposizione per beni interessati
Impatto potenziale
Ridurre i tempi di applicazione
Ridurre i tempi di applicazione
Aumentare i tempi di applicazione
Aumentare i tempi di applicazione
Guida alla gestione delle patch di
Microsoft
http://www.microsoft.com/technet/security/topics/patch/secpatch/default.asp
(in lingua inglese)
Sommario




Cenni preliminari sulla gestione
delle patch
Processo di gestione delle patch
Strumenti di gestione delle patch
Orientamento e sviluppi futuri
Scelta di una soluzione
di gestione delle patch
Tipo di
cliente
Scenario
Consumatore Tutti gli scenari
Piccola
impresa
Media o
grande
impresa
Nessun server Windows
Da uno a tre server Windows e un
amministratore IT
Desidera una soluzione di gestione delle patch
con livello base di controllo che aggiorni
Windows 2000 e le versioni più recenti
di Windows
Desidera una soluzione unica di gestione delle
patch con livello esteso di controllo su patch
e aggiornamento e distribuzione di tutti
i software
Scelte del
cliente
Windows
Update
Windows
Update
SUS
SUS
SMS
Soluzione di gestione delle patch
Tipo di cliente
Scenario
Scelte del cliente
Consumatore
Tutti gli scenari
Windows Update
Piccola impresa
Nessun server
Windows
Windows Update

Soluzione di gestione delle patch
basata su Protect Your PC:
1. Utilizzare un firewall Internet
2. Scaricare gli aggiornamenti


Aggiornamenti del sistema operativo
 Windows Update
Aggiornamenti delle applicazioni
 Office Update
3. Utilizzare software antivirus aggiornati
http://www.microsoft.com/protect
(in lingua inglese)
Funzionamento di Windows
Update: accesso avviato
dall'utente
1.
L'utente accede a Windows
Update (WU) e seleziona
Analizza e proponi
aggiornamenti
2.
Il codice lato client (CC) del
browser convalida il server
WU e ottiene i metadati del
catalogo di download
3.
CC utilizza i metadati
per identificare gli
aggiornamenti mancanti
4.
L'utente seleziona gli
aggiornamenti da installare
5.
CC esegue il download,
convalida e installa gli
aggiornamenti
6.
CC aggiorna le informazioni
di cronologia e le statistiche
Servizio Windows Update
Funzionamento di Windows
Update: Aggiornamenti automatici
1.
AU verifica la disponibilità
di nuovi aggiornamenti sul
servizio WU ogni 17-22 ore
2.
AU convalida il server WU
e ottiene i metadati del
catalogo di download
3.
AU utilizza i metadati
per identificare gli
aggiornamenti mancanti
4.
AU avvisa l'utente della
disponibilità di aggiornamenti
oppure esegue il download
automatico tramite BITS
e convalida i nuovi
aggiornamenti
5.
AU avvisa l'utente della
disponibilità di aggiornamenti
o li installa automaticamente
6.
AU aggiorna le informazioni
di cronologia e statistiche
Servizio Windows Update
Modalità di utilizzo di
Windows Update

Automatico
1.
2.
Aprire Sistema da Pannello di controllo
Sulla scheda Aggiornamenti automatici, selezionare
Mantieni aggiornato il computer e selezionare l'opzione
desiderata:
Avvisa prima scaricare gli aggiornamenti e prima di installarli nel
computer in uso

Scarica automaticamente gli aggiornamenti e avvisa quando
sono pronti per l'installazione

Scarica automaticamente gli aggiornamenti ed esegui
l'installazione in base alla pianificazione specificata
Nota: gli amministratori possono configurare Aggiornamenti automatici
in modo centralizzato tramite Criteri di gruppo


Manuale

Accedere all'URL http://windowsupdate.microsoft.com
oppure selezionare Windows Update dal menu di avvio
Dimostrazione 1
Configurazione del servizio
automatico di Windows Update
Windows Update con
Aggiornamenti automatici
Considerazioni su Windows
Update

Windows Update fornisce:



Supporto per tutti gli aggiornamenti
di protezione critici
Supporto per tutte le versioni di Windows,
da Windows 98 in poi
Windows Update non fornisce:


Gestione dell'utilizzo di larghezza di banda
Controllo della modalità di distribuzione
di patch
Office Update




Percorso unico per patch e aggiornamenti
di Office
Analisi e installazione automatiche
di patch e aggiornamenti critici
Facilità d'uso per consumatori e utenti
domestici
Disponibilità di tutte le patch e di tutti
i service pack in formato delta binario
o in file completi
Modalità di utilizzo di Office
Update
1.
Accedere all'indirizzo
http://office.microsoft.com/officeupdate
2.
3.
4.
5.
Fare clic su Esegui rilevamento
automatico aggiornamenti
Installare Office Update Installation
Engine, se non è già installato
Selezionare gli aggiornamenti
da installare
Fare clic su Avvia installazione
Soluzione di gestione
delle patch
Tipo di cliente

Scenario
Scelte del cliente
Piccola impresa
Da uno a tre server Windows e un
amministratore IT
SUS
Media o grande
impresa
Desidera una soluzione di gestione delle patch
con livello base di controllo con aggiornamento
di Windows 2000 a versioni più recenti
SUS
La soluzione di gestione delle patch
include:


MBSA
Software Update Services (SUS)
Vantaggi di MBSA



Identificazione automatica di patch
di protezione mancanti e problemi
di configurazione della protezione
Possibilità per l'amministratore
di analizzare centralmente un gran
numero di sistemi
Compatibilità con un'ampia gamma
di software Microsoft
Funzionamento di MBSA
1.
2.
3.
Il file MSSecure.xml contiene
Eseguire MBSA sul sistema con
 Nomi dei bollettini sulla
accesso come amministratore
sicurezza
e specificare le destinazioni
 Aggiornamenti specifici per
i prodotti
Scarica il file CAB
 Informazioni su versione
contenente MSSecure.xml
e checksum
e ne verifica la firma digitale Area di download  Chiavi di registro modificate
di Microsoft
 Numeri degli articoli della
MSSecure.xml
Ricerca sistema operativo,
Knowledge Base
componenti del sistema
operativo e applicazioni
nei sistemi di destinazione
4. Analizza il file
MSSecure.xml per
verificare la disponibilità
di aggiornamenti
5. Verifica l'eventuale
mancanza di
aggiornamenti richiesti
6. Generato un report sugli
aggiornamenti mancanti
con data e ora
Computer
MBSA
Opzioni predefinite di analisi di
MBSA

Interfaccia utente grafica di MBSA
(applicazioni Windows)

Utilizza -baseline, -v, -nosum




Interfaccia della riga di comando di MBSA
(mbsacli.exe)

Utilizza -sum



-baseline si allinea con gli aggiornamenti di protezione critica
di Windows Update
Commenti e avvisi ancora visualizzati per impostazione predefinita
Verifiche checksum non eseguite (corrispondenza con WU)
Verifiche checksum eseguite
Commenti e avvisi ancora visualizzati per impostazione predefinita
Analisi HFNetChk (mbsacli.exe /hf)

Utilizza -sum


Verifiche checksum eseguite
Commenti e avvisi ancora visualizzati per impostazione predefinita
Modalità di utilizzo di MBSA
1.
2.
3.
4.
5.
6.
7.
8.
Scaricare e installare MBSA
(solo una volta)
Avviare MBSA
Selezionare i computer da analizzare
Selezionare le opzioni relative
Fare clic su Start scan (Avvia analisi)
Rivedere l'elenco di aggiornamenti per
la protezione di Windows
Fare clic sul collegamento Result details
(Dettaglio risultati).
Rivedere l'elenco di aggiornamenti
mancanti
Dimostrazione 2
Utilizzo di Microsoft Baseline
Security Analyzer
Analisi di un sistema utilizzando
la GUI Utilizzo delle opzioni della riga
di comando
Considerazioni su MBSA

MBSA ricerca potenziali vulnerabilità relative a:








Password

Account utente

Configurazione


Servizi
Enumerazioni Anonymous
IIS
Aree di Internet Explorer
Macro Office
Protezione di Outlook
Vengono visualizzati messaggi per patch di cui
MBSA non è in grado di confermare
l'installazione
MBSA controlla una chiave di registro solo
per verificare la presenza della patch
Non sono disponibili dati di patch per
aggiornamenti che non riguardano la protezione
Vantaggi di SUS

Controllo della gestione di patch
e aggiornamenti per gli amministratori




Compatibilità con i criteri di gruppo* per impedire
l'installazione di aggiornamenti di Windows Update
non approvati
Possibilità di gestione temporanea e test prima
dell'installazione
Semplificazione e automazione degli aspetti
chiave del processo di gestione delle patch
Aggiornamento dei sistemi supportati più
agevole e riduzione dei rischi di protezione
Nota: l'utilizzo di SUS non richiede l'implementazione
di Active Directory o Criteri di gruppo.
Funzionamento di SUS
1.
Il server SUS scarica
gli aggiornamenti
2.
L'amministratore rivede,
valuta e approva gli
aggiornamenti
3.
Approvazioni e aggiornamenti
vengono sincronizzati con
i server SUS figlio
4.
AU ottiene l'elenco degli
aggiornamenti approvati
dal server SUS
5.
AU scarica gli aggiornamenti
approvati dal server SUS o
Windows Update
6.
AU avvisa l'utente della
disponibilità di aggiornamenti
o li installa automaticamente
7.
AU registra la cronologia
di installazione
Servizio
Windows
Update
Servizio
Windows
Update
Firewall
Limitazioni della
larghezza di banda
Server
SUS figlio
Server
SUS padre
Limitazioni
dellalarghezza
di banda
Server
SUS figlio
Limitazioni
della
larghezza
di banda
Componente clienti di SUS

Il client di SUS è Aggiornamenti
automatici





È configurabile in modo centralizzato per
ottenere aggiornamenti dal server aziendale
SUS o dal servizio Windows Update
Con il controllo dell'amministratore, può
scaricare e installare patch automaticamente
Consolida più riavvii in un solo riavvio
al momento dell'installazione di più patch
È compreso in Windows 2000 SP3,
Windows XP SP1 e Windows Server 2003
È localizzato in 24 lingue
Componente server di SUS






Download di aggiornamenti da
Windows Update
GUI di amministrazione basata sul Web
Sicuro grazie alla progettazione e alle
impostazioni predefinite
Sul server Web le funzionalità di logging
sono basate su XML
Supporto di organizzazioni
geograficamente distribuite
Localizzato in inglese e giapponese
Integrazione di MBSA e SUS


MBSA è in grado di analizzare
aggiornamenti di protezione e confrontarli
con quelli approvati su un server SUS
specificato
Esecuzione della riga di comando


mbsacli.exe /sus http://mysusserver
mbsacli.exe /hf /sus http://mysusserver
Modalità di utilizzo di SUS

Server SUS:
1.
2.
3.

Configurare il server SUS all'indirizzo
http://server/SUSAdmin (in lingua inglese)
Impostare la pianificazione della
sincronizzazione del server SUS
Approvare gli aggiornamenti
Client SUS:

Configurare AU sul client in modo che venga
utilizzato il server SUS

Eseguire l'operazione manualmente utilizzando
script o criteri di gruppo
Dimostrazione 3
Utilizzo dei servizi di
aggiornamento software
Utilizzo dei criteri di gruppo per
la configurazione dei client
Configurazione del server
Impostazione di una pianificazione
della sincronizzazione
Approvazione degli aggiornamenti
Considerazioni su SUS





Supporta solo aggiornamenti per Windows 2000
o sistemi operativi superiori
Non prevede la distribuzione di patch verso
computer specifici (targeting)
Il client SUS deve essere configurato per il pull
degli aggiornamenti dal server SUS
Registrazione dello stato di installazione
centralizzato su server Web, ma assenza
di report predefiniti
È possibile utilizzare più server SUS per rendere
disponibili diversi set di aggiornamenti
approvati a gruppi di computer client
Soluzione di gestione
delle patch
Tipo di cliente
Media o
grande
impresa

Scenario
Scelte del cliente
Desidera una soluzione unica di gestione delle
patch con livello esteso di controllo su patch e
aggiornamento e distribuzione di tutti i software
SMS
La soluzione di gestione delle patch
include:

SMS 2003
Oppure
SMS 2.0 con SUS Feature Pack
Vantaggi di SMS

Fornisce agli amministratori il controllo sulla
gestione delle patch






Gestione temporanea e test prima dell'installazione
Stretto controllo sulle opzioni di gestione
delle patch
Automazione degli aspetti chiave del
processo di gestione delle patch
Aggiornamento di un'ampia gamma
di prodotti Microsoft
Possibilità di utilizzo per aggiornamento
software di terze parti e per distribuzione
e installazione di aggiornamenti software
o applicazioni
Alto livello di flessibilità tramite l'utilizzo
di script
Funzionamento di SMS
1.
2.
3.
4.
5.
6.
7.
Impostazione: scaricare Security
Update Inventory Tool e Office
Inventory Tool ed eseguire il
relativo programma di installazione
Area di download
di Microsoft
I componenti di analisi vengono
replicati sui client SMS
Firewall
Analisi dei client; i risultati di
analisi vengono uniti ai dati di
inventario hardware di SMS
L'amministratore utilizza la
procedura guidata di distribuzione
degli aggiornamenti software per
autorizzare gli aggiornamenti
Download dei file di
aggiornamento; creazione e
aggiornamento di pacchetti,
programmi e annunci; replica
dei pacchetti e annuncio dei
programmi ai client SMS
Punto di
distribuzione SMS
Client SMS
Server del
sito SMS
L'agente di installazione
aggiornamenti software distribuisce
gli aggiornamenti sui client
Periodicamente: il componente di sincronizzazione
verifica la disponibilità di nuovi aggiornamenti, analizza
client e distribuisce gli aggiornamenti richiesti
Client SMS
Client SMS
Integrazione di MBSA e SMS

Analisi dei client SMS per l'individuazione
di aggiornamenti di protezione mancanti
tramite CLI MBSA




Push di mbsacli.exe per ciascun client per
eseguire l'analisi locale (mbsacli.exe/hf)
Analisi dell'output di testo dei numeri di patch
Distribuzione centralizzata degli
aggiornamenti di protezione ai client
da parte degli amministratori SMS
SMS 2.0 e SMS 2003 utilizzano MBSA 1.1.1
Dimostrazione 4
Distribuzione degli
aggiornamenti della
protezione tramite SMS
Distribuzione della patch
per il virus Blaster
Considerazioni su SMS




Le limitazioni delle funzionalità di rilevamento
sono le stesse presenti in MBSA e Office
Inventory Tool
È necessario configurare la sintassi della riga
di comando per l'installazione automatica
di ciascun aggiornamento
Le patch di Microsoft Office richiedono
l'estrazione per modificare un file di
impostazioni per l'installazione automatica
Gli aggiornamenti internazionali devono essere
ottenuti manualmente, tramite pagina Web
Metodologie ottimali
Implementare un processo di gestione delle patch
Scegliere una soluzione di gestione delle patch
corrispondente alle esigenze dell'organizzazione
Sottoscrivere il servizio di notifica di protezione
di Microsoft
Utilizzare l'assistenza e le risorse di Microsoft
Tenere aggiornato il sistema
Soluzioni di gestione delle patch:
criteri di selezione
Adottare soluzioni corrispondenti alle esigenze dell'organizzazione
Funzionalità principali di gestione delle patch
Funzionalità
Windows Update
4.0, Win2K,
Piattaforme supportate NT
WS2003,
WinXP,
per contenuto
WinME, Win98
SUS 1.0
Win2K, WS2003, WinXP
SMS 2003
NT 4.0, Win2K, WS2003,
WinXP, Win98
Tutti i contenuti
relativi alle
piattaforme sopra
riportate: patch,
aggiornamenti
(compresi i driver)
e service pack (SP)
Tutte le patch, tutti i Service
Solo patch per protezione Pack e tutti gli aggiornamenti
e rollup di protezione,
per le piattaforme sopra
aggiornamenti critici e
riportate; supporto per patch,
Service Pack per le
aggiornamenti e installazione
piattaforme sopra riportate di applicazioni Microsoft e di
altri fornitori
Destinazione
del contenuto
ai sistemi
No
No
Ottimizzazione della
larghezza di banda
No
Sì
Controllo della
distribuzione di patch
No
Di base
Avanzato
Flessibilità di
Manuale, sotto il
installazione e
pianificazione di patch controllo dell'utente
Sotto il controllo
dell'amministratore
(automatico) o dell'utente
(manuale)
Controllo dell'amministratore
con funzionalità di
pianificazione granulare
Creazione report sullo
stato dell'installazione
di patch
Limitata
Completa
Tipi di contenuto
supportati
Granularità del controllo
Valutazione solo
della cronologia
del computer
Sì
Sì
(per la distribuzione di patch
(per la distribuzione di patch) e la sincronizzazione server)
(registri di cronologia di
installazione client e
installazione basati su Web)
(stato di installazione, risultati
e dettagli di conformità)
Sommario




Cenni preliminari sulla gestione
delle patch
Processo di gestione delle patch
Strumenti di gestione delle patch
Orientamento e sviluppi futuri
Guida di orientamento per gli
strumenti di gestione delle patch


Windows Update + Office Update => Microsoft Update
MBSA

MBSA 1.2 (quarto trimestre 2003)



MBSA 2.0 (secondo trimestre 2004)


Più prodotti e impostazioni internazionali
Integrazione di Office Update Inventory Tool
Analisi corrente di parte di SUS 2.0 / Microsoft Update
SUS

SUS 2.0 (secondo trimestre 2004)




SMS 2003 Update Management Feature Pack (secondo semestre 2004)



Ulteriori funzionalità di creazione report, destinazione, rollback, efficienza della larghezza
di banda e script
Infrastruttura unica per la gestione delle patch
Supporto per più prodotti Microsoft
Utilizzo di SUS per analisi e download di aggiornamenti
Utilizzo del client SUS, Aggiornamenti automatici, per le installazioni
Lungo termine (Longhorn)


Integrazione di SUS in Windows e supporto di tutti i software Microsoft
Possibile utilizzo dell'infrastruttura SUS da terze parti
Riepilogo della sessione



Cenni preliminari sulla gestione
delle patch
Strumenti di gestione delle patch
Orientamento e sviluppi futuri
Passaggi successivi
1.
Per essere sempre aggiornati nel campo della protezione

Abbonarsi ai bollettini sulla protezione all'indirizzo:
http://www.microsoft.com/security/security_bulletins/alerts2.asp
(in lingua inglese)

Informazioni aggiornate relative alla protezione Microsoft sono
disponibili all'indirizzo:
http://www.microsoft.com/security/guidance/ (in lingua inglese)
2.
Accesso a materiale di formazione aggiuntivo sulla
protezione

Seminari di formazione on-line e con istruttore sono disponibili
all'indirizzo:
http://www.microsoft.com/seminar/events/security.mspx
(in lingua inglese)

Per trovare un CTEC di zona che offre corsi
di formazione pratica, visitare l'indirizzo:
http://www.microsoft.com/italy/traincert/Default.mspx
Ulteriori informazioni

Sito Microsoft dedicato alla protezione
(per tutti gli utenti)


Sito TechNet dedicato alla protezione
(per professionisti IT)


http://www.microsoft.com/italy/security/default.mspx
http://www.microsoft.com/technet/security
(in lingua inglese)
Sito MSDN dedicato alla protezione
(per sviluppatori)

http://msdn.microsoft.com/security
(in lingua inglese)