Implementazione della gestione delle patch per la protezione Sommario Processo di gestione delle patch Strumenti di gestione delle patch Systems Management Server 2003 Microsoft Operation Manager 2005 Iniziativa di gestione delle patch dalla nascita a dicembre 2003 Clienti informati e preparati Aggiornamenti migliorati e omogenei Qualità delle patch superiore Soluzioni ottimali per la gestione di patch e aggiornamenti Razionalizzazione dei livelli di gravità delle patch Bollettini sulla sicurezza e articoli della Knowledge Base migliorati Kit di preparazione alla protezione, assistenza per la gestione delle patch e così via Standardizzazione di terminologia per patch e aggiornamenti Standardizzazione di denominazione di patch e opzioni dei parametri dei programmi di installazione* Definizione di un piano di consolidamento dei programmi di installazione, passando da circa 8 a 2 Riduzione della frequenza di rilascio di patch da settimanale a mensile Miglioramento del processo di test e della copertura delle patch Ampliamento del processo di test con coinvolgimento dei clienti Riduzione dei riavvii richiesti del 10% e delle dimensioni delle patch del 75%** Sviluppo di un orientamento per gli strumenti di gestione di patch e aggiornamenti SUS 2.0 in corso di sviluppo: funzionalità notevolmente migliorate Rilascio di SMS 2003, che offre più ampie funzionalità di gestione di patch e aggiornamenti *Update.exe utilizza ora opzioni standard; Windows Installer le utilizzerà per MSI 3.0 **75% per le installazioni di Windows Update, più del 25% per le altre patch Cronologia delle minacce Segnalazione Sviluppo vulnerabilità patch Rilascio bollettino sulla sicurezza e patch Decodifica patch Nessuna minaccia Creazione worm/virus Nessuna minaccia Nessuna minaccia Solo Microsoft e la parte segnalante sono a conoscenza della vulnerabilità Solo Vulnerabilità Informazioni Microsoft di dominio per lo e la parte pubblico ma sfruttamento segnalante informazioni disponibili ma sono a per sfruttarla virus/worm conoscenza non disponibili non della disponibile vulnerabilità Corsa contro il tempo per proteggere e dotare di patch i sistemi prima dell'attacco Nessuna minaccia Diffusione worm/virus Nessuna minaccia Minaccia Virus/worm disponibile ma non diffuso Virus/worm diffuso; sistemi non protetti/privi di patch infettati Sommario Processo di gestione delle patch Strumenti di gestione delle patch Systems Management Server 2003 Microsoft Operation Manager 2005 Scelta di una soluzione di gestione delle patch Tipo di cliente Consumatore Piccola impresa Media o grande impresa Scenario Scelte del cliente Tutti gli scenari Windows Update Nessun server Windows Windows Update Da uno a tre server Windows e un amministratore IT SUS Desidera una soluzione di gestione delle patch con livello base di controllo che aggiorni Windows 2000 e le versioni più recenti di Windows SUS Desidera una soluzione unica di gestione delle patch con livello esteso di controllo su patch e aggiornamento e distribuzione di tutti i software SMS Soluzione di gestione delle patch Tipo di cliente Scenario Scelte del cliente Piccola impresa Da uno a tre server Windows e un amministratore IT SUS Media o grande impresa Desidera una soluzione di gestione delle patch con livello base di controllo con aggiornamento di Windows 2000 a versioni più recenti SUS La soluzione di gestione delle patch include: MBSA Software Update Services (SUS) Vantaggi di MBSA Identificazione automatica di patch di protezione mancanti e problemi di configurazione della protezione Possibilità per l'amministratore di analizzare centralmente un gran numero di sistemi Compatibilità con un'ampia gamma di software Microsoft Funzionamento di MBSA 1. Eseguire MBSA sul sistema con accesso come amministratore e specificare le destinazioni 2. Scarica il file CAB contenente MSSecure.xml e ne verifica la firma digitale Area di download di Microsoft 3. Ricerca sistema operativo, MSSecure.xml componenti del sistema operativo e applicazioni nei sistemi di destinazione 4. Analizza il file MSSecure.xml per verificare la disponibilità di aggiornamenti 5. Verifica l'eventuale mancanza di aggiornamenti richiesti 6. Generato un report sugli aggiornamenti mancanti con data e ora Computer MBSA Il file MSSecure.xml contiene Nomi dei bollettini sulla sicurezza Aggiornamenti specifici per i prodotti Informazioni su versione e checksum Chiavi di registro modificate Numeri degli articoli della Knowledge Base Vantaggi di SUS Controllo della gestione di patch e aggiornamenti per gli amministratori Compatibilità con i criteri di gruppo* per impedire l'installazione di aggiornamenti di Windows Update non approvati Possibilità di gestione temporanea e test prima dell'installazione Semplificazione e automazione degli aspetti chiave del processo di gestione delle patch Aggiornamento dei sistemi supportati più agevole e riduzione dei rischi di protezione Nota: l'utilizzo di SUS non richiede l'implementazione di Active Directory o Criteri di gruppo. Funzionamento di SUS 1. Il server SUS scarica gli aggiornamenti 2. L'amministratore rivede, valuta e approva gli aggiornamenti 3. Approvazioni e aggiornamenti vengono sincronizzati con i server SUS figlio 4. AU ottiene l'elenco degli aggiornamenti approvati dal server SUS 5. AU scarica gli aggiornamenti approvati dal server SUS o Windows Update 6. AU avvisa l'utente della disponibilità di aggiornamenti o li installa automaticamente 7. AU registra la cronologia di installazione Servizio Windows Update Servizio Windows Update Firewall Limitazioni della larghezza di banda Server SUS figlio Server SUS padre Limitazioni dellalarghezza di banda Server SUS figlio Limitazioni della larghezza di banda Componente clienti di SUS Il client di SUS è Aggiornamenti automatici È configurabile in modo centralizzato per ottenere aggiornamenti dal server aziendale SUS o dal servizio Windows Update Con il controllo dell'amministratore, può scaricare e installare patch automaticamente Consolida più riavvii in un solo riavvio al momento dell'installazione di più patch È compreso in Windows 2000 SP3, Windows XP SP1 e Windows Server 2003 È localizzato in 24 lingue Integrazione di MBSA e SUS MBSA è in grado di analizzare aggiornamenti di protezione e confrontarli con quelli approvati su un server SUS specificato Esecuzione della riga di comando mbsacli.exe /sus http://mysusserver mbsacli.exe /hf /sus http://mysusserver Considerazioni su SUS Supporta solo aggiornamenti per Windows 2000 o sistemi operativi superiori Non prevede la distribuzione di patch verso computer specifici (targeting) Il client SUS deve essere configurato per il pull degli aggiornamenti dal server SUS Registrazione dello stato di installazione centralizzato su server Web, ma assenza di report predefiniti È possibile utilizzare più server SUS per rendere disponibili diversi set di aggiornamenti approvati a gruppi di computer client Soluzione di gestione delle patch Tipo di cliente Media o grande impresa Scenario Desidera una soluzione unica di gestione delle patch con livello esteso di controllo su patch e aggiornamento e distribuzione di tutti i software Scelte del cliente SMS La soluzione di gestione delle patch include: SMS 2003 Oppure SMS 2.0 con SUS Feature Pack Vantaggi di SMS Fornisce agli amministratori il controllo sulla gestione delle patch Gestione temporanea e test prima dell'installazione Stretto controllo sulle opzioni di gestione delle patch Automazione degli aspetti chiave del processo di gestione delle patch Aggiornamento di un'ampia gamma di prodotti Microsoft Possibilità di utilizzo per aggiornamento software di terze parti e per distribuzione e installazione di aggiornamenti software o applicazioni Alto livello di flessibilità tramite l'utilizzo di script 1. 2. 3. 4. 5. 6. 7. Funzionamento di SMS Impostazione: scaricare Security Update Inventory Tool e Office Inventory Tool ed eseguire il relativo programma di installazione Area di download di Microsoft I componenti di analisi vengono replicati sui client SMS Firewall Analisi dei client; i risultati di analisi vengono uniti ai dati di inventario hardware di SMS L'amministratore utilizza la procedura guidata di distribuzione degli aggiornamenti software per autorizzare gli aggiornamenti Download dei file di aggiornamento; creazione e aggiornamento di pacchetti, programmi e annunci; replica dei pacchetti e annuncio dei programmi ai client SMS Punto di distribuzione SMS Client SMS Server del sito SMS L'agente di installazione aggiornamenti software distribuisce gli aggiornamenti sui client Periodicamente: il componente di sincronizzazione verifica la disponibilità di nuovi aggiornamenti, analizza client e distribuisce gli aggiornamenti richiesti Client SMS Client SMS Integrazione di MBSA e SMS Analisi dei client SMS per l'individuazione di aggiornamenti di protezione mancanti tramite CLI MBSA Push di mbsacli.exe per ciascun client per eseguire l'analisi locale (mbsacli.exe/hf) Analisi dell'output di testo dei numeri di patch Distribuzione centralizzata degli aggiornamenti di protezione ai client da parte degli amministratori SMS SMS 2.0 e SMS 2003 utilizzano MBSA 1.1.1 Considerazioni su SMS Le limitazioni delle funzionalità di rilevamento sono le stesse presenti in MBSA e Office Inventory Tool È necessario configurare la sintassi della riga di comando per l'installazione automatica di ciascun aggiornamento Le patch di Microsoft Office richiedono l'estrazione per modificare un file di impostazioni per l'installazione automatica Gli aggiornamenti internazionali devono essere ottenuti manualmente, tramite pagina Web Soluzioni di gestione delle patch: criteri di selezione Adottare soluzioni corrispondenti alle esigenze dell'organizzazione Funzionalità principali di gestione delle patch Funzionalità Windows Update SUS 1.0 SMS 2003 Piattaforme supportate per contenuto NT 4.0, Win2K, WS2003, Win2K, WS2003, WinXP WinXP, WinME, Win98 NT 4.0, Win2K, WS2003, WinXP, Win98 Tipi di contenuto supportati Tutti i contenuti relativi alle piattaforme sopra riportate: patch, aggiornamenti (compresi i driver) e service pack (SP) Solo patch per protezione e rollup di protezione, aggiornamenti critici e Service Pack per le piattaforme sopra riportate Tutte le patch, tutti i Service Pack e tutti gli aggiornamenti per le piattaforme sopra riportate; supporto per patch, aggiornamenti e installazione di applicazioni Microsoft e di altri fornitori Destinazione del contenuto ai sistemi No No Sì Ottimizzazione della larghezza di banda No Sì (per la distribuzione di patch) Sì (per la distribuzione di patch e la sincronizzazione server) Controllo della distribuzione di patch No Di base Avanzato Flessibilità di installazione e pianificazione di patch Manuale, sotto il controllo dell'utente Sotto il controllo dell'amministratore (automatico) o dell'utente (manuale) Controllo dell'amministratore con funzionalità di pianificazione granulare Limitata Completa Granularità del controllo Creazione report sullo Valutazione solo stato dell'installazione di della cronologia patch del computer (registri di cronologia di installazione client e installazione basati su Web) (stato di installazione, risultati e dettagli di conformità) Sommario Processo di gestione delle patch Strumenti di gestione delle patch Systems Management Server 2003 Microsoft Operation Manager 2005 Introduzione Funzionalità base e carattertiche base di Microsoft Systems Management Server Caratteristiche migliorate in SMS 2003: Supporto per i client mobili Integrazione con Active Directory Inventory Software metering Web reporting Infrastruttura del Sito Remote Control Setup e upgrade Caratteristiche di Microsoft Systems Management Server Inventory Management Software Distribution Software Metering Remote Support of Computers Inventory Management Inventory Enhancements Traffico di inventario ridotto Migliorata la reportistica relativa alle applicazioni installate Delta Inventory (differenze rispetto al precedente) advanced client usano file XML compressi Provider WMI (Microsoft® Windows® Management Instrumentation) per inventariare i dati di Add/Remove Programs Provider WMI per inventariare Microsoft® Windows Installer Nuove funzionalità di software inventory Migliorati i criteri di selezione Wildcards Directory Variabli di ambiente Software Distribution Integrazione con Add/Remove Programs SMS 2003 mostra gli advertisement in Add/Remove Programs Gli advertisement di SMS appaiono uguali a quelli delle Group Policy advertisements Vengono supportate le Categorie (singole e per programma) Supportato per i client Windows 2000, Windows XP, e Windows Server 2003 con installato il client di SMS 2003 Software Metering Miglioramenti nel Software Metering Completamente riscritto il Software Metering di SMS 2.0 Più scalabile, meno costoso da implementare Simile all’architettura di inventory Usa dei provider lato client basati su WMI Fornisce la funzionalità di “Offline metering” Reportistica sull’uso del software Non c’è più la possibilità di controllare il numero di licenze (“Online” metering) Utilizzo del Software Metering di SMS 2003 Le regole sono configurate in ogni sito L’utilizzo del Metering usage può generare una grande mole di data L’Admin Feature Pack multi-site configuration tool di SMS 2003 permette la replica delle regole su più siti I Summarization tasks aiutano a ridurre i dati immagazzinati E’ possibile bloccare i dati di utilizzo, per impedire che fluiscano verso i siti di livello superiore Le regole e i dati di metering esistenti in SMS 2.0 non vengono migrati su SMS 2003 Supporto Remoto dei Computer Resources and Resource Discovery SMS Site Hierarchies Supporto dei Client Mobili L’Advanced Client di SMS 2003 è stato progettato specificatamente per gli utenti remoti Basato su tecnologia Microsoft® Windows® Update Usa HTTP Lavora con i Management Points di SMS Sia il Legacy Client che l’Advanced Client sono gestiti tramite un’interfaccia comune Supporto dei Client Mobili(2) Supporta il BITS per le attività di rete Installabile in molti modi, preload, setup manuale, logon script, SMS push, Group Policy deployment, SMS software distribution, e upgrade di un client esistente Nuovo modello di sicurezza Gestisce la Bandwidth Checkpoint restart Modalità download e execute Non è più richiesto un account utente speciale per SMS I Client possono usare i server DFS come distribution point Supporta Microsoft® Windows® 2000, Microsoft® Windows® XP e Microsoft® Windows Server™ 2003 Advanced Client Download and Execute Client di SMS 2003 Caratteristica Inventory (HW/SW) Mobile aware inventory Basic SW Distribution Mobile-aware SW Distribution Remote Control Metering Client Metodi di Installazione Legacy Client Si No Si No Advanced Client Si Si Si Si Si * Si Si * Si Windows® 98, Windows® NT 4.0, Windows® 2000, Windows® XP e successivi Windows® 2000, Windows® XP, e Windows Server™ 2003 Discovery, script, manuale, pre-stage Discovery, script, manuale, GP, pre-stage, SW dist * Il Controllo Remoto è integrato con la Remote Assistance per i client XP e Windows Server™ 2003. Il controllo remoto di SMS 2.0 funziona con tutte le piattaforme Supporto di Windows e Active Directory Definisce i confini del sito di SMS utilizzando i Siti di Active Directory Gestisce la Discovery di utenti e computer da Active Directory Indirizza la software distribution a una OU o a un gruppo di Active Directory Inclusi i gruppi di distribuzione Il client SMS è integrato con Add/Remove Per gli utenti con diritti ridotti installa usando MSI e privilegi elevati Active Directory Discovery Raccoglie informazioni su utenti e sistemi in Active Directory Active Directory System Discovery Active Directory User Discovery Active Directory System Group Discovery Active Directory System Discovery permette di individuare nuovi sistemi per assegnarli a un sito e installare il client di SMS Più efficiente della Network Discovery Sommario Processo di gestione delle patch Strumenti di gestione delle patch Systems Management Server 2003 Microsoft Operation Manager 2005 Microsoft Operations Manager 2005 MOM 2005: permette di gestire l’operatività dei server aziendali Gestione degli eventi Monitoraggio e alerting proattivo Reportistica Management Pack Microsoft Connection Framework Microsoft Operations Manager 2005 Identifica lo stato di salute dell’infrastruttura IT prima che vengano generati dei problemi Migliora l’efficenza dell’operatività Condivide le informazioni sullo stato dei servizi e sulle performance con i vari livelli dello staff IT Microsoft Operations Manager 2005 Con MOM 2005 è possibile: essere aggiornati sui problemi che emergono e rispondere con efficacia e accuratezza Essere aggiornati sullo stato dei sistemi e dei servizi, al fine di: Identificare e risolvere problematiche di affidabilità e/o di performance, prima che diventino dei problemi seri. Gestire gli alert associando dei task predefiniti Management Pack di MOM 2005 Permettono di gestire l’operatività di varie applicazioni server (SQL, Exchange) Sviluppati direttamente dai team del prodotto Contengono regole per monitorare e creare allarmi. Microsoft Connection Framework Tecnologia basata sui Web Service Permette di connettere MOM a piattaforme di gestione di terze parti Permette l’inoltro degli alert (bidirezionale) e la sincronizzazione Ulteriori informazioni Sito Microsoft dedicato alla protezione (per tutti gli utenti) Sito TechNet dedicato alla protezione (per professionisti IT) http://www.microsoft.com/italy/security/default.mspx http://www.microsoft.com/technet/security (in lingua inglese) Sito MSDN dedicato alla protezione (per sviluppatori) http://msdn.microsoft.com/security (in lingua inglese)