Implementazione della
gestione delle patch
per la protezione
Sommario




Processo di gestione delle patch
Strumenti di gestione delle patch
Systems Management Server 2003
Microsoft Operation Manager 2005
Iniziativa di gestione delle patch
dalla nascita a dicembre 2003
Clienti informati
e preparati
Aggiornamenti
migliorati e omogenei
Qualità delle patch
superiore
Soluzioni ottimali per
la gestione di patch
e aggiornamenti
Razionalizzazione dei livelli di gravità delle patch
Bollettini sulla sicurezza e articoli della Knowledge Base migliorati
Kit di preparazione alla protezione, assistenza per la gestione delle
patch e così via
Standardizzazione di terminologia per patch e aggiornamenti
Standardizzazione di denominazione di patch e opzioni dei parametri dei
programmi di installazione*
Definizione di un piano di consolidamento dei programmi di installazione,
passando da circa 8 a 2
Riduzione della frequenza di rilascio di patch da settimanale a mensile
Miglioramento del processo di test e della copertura delle patch
Ampliamento del processo di test con coinvolgimento dei clienti
Riduzione dei riavvii richiesti del 10% e delle dimensioni delle patch
del 75%**
Sviluppo di un orientamento per gli strumenti di gestione di patch
e aggiornamenti
SUS 2.0 in corso di sviluppo: funzionalità notevolmente migliorate
Rilascio di SMS 2003, che offre più ampie funzionalità di gestione
di patch e aggiornamenti
*Update.exe utilizza ora opzioni standard; Windows Installer le utilizzerà per MSI 3.0
**75% per le installazioni di Windows Update, più del 25% per le altre patch
Cronologia delle minacce
Segnalazione Sviluppo
vulnerabilità
patch
Rilascio bollettino
sulla sicurezza e patch
Decodifica
patch
Nessuna
minaccia
Creazione
worm/virus
Nessuna
minaccia
Nessuna
minaccia
Solo
Microsoft
e la parte
segnalante
sono a
conoscenza
della
vulnerabilità
Solo
Vulnerabilità Informazioni
Microsoft
di dominio
per lo
e la parte
pubblico ma sfruttamento
segnalante
informazioni disponibili ma
sono a
per sfruttarla virus/worm
conoscenza non disponibili
non
della
disponibile
vulnerabilità
Corsa contro il tempo
per proteggere e dotare
di patch i sistemi prima
dell'attacco
Nessuna
minaccia
Diffusione
worm/virus
Nessuna
minaccia
Minaccia
Virus/worm
disponibile
ma non
diffuso
Virus/worm
diffuso;
sistemi non
protetti/privi
di patch
infettati
Sommario




Processo di gestione delle patch
Strumenti di gestione delle patch
Systems Management Server 2003
Microsoft Operation Manager 2005
Scelta di una soluzione
di gestione delle patch
Tipo di
cliente
Consumatore
Piccola
impresa
Media o
grande
impresa
Scenario
Scelte del
cliente
Tutti gli scenari
Windows
Update
Nessun server Windows
Windows
Update
Da uno a tre server Windows e un
amministratore IT
SUS
Desidera una soluzione di gestione delle patch
con livello base di controllo che aggiorni
Windows 2000 e le versioni più recenti
di Windows
SUS
Desidera una soluzione unica di gestione delle
patch con livello esteso di controllo su patch
e aggiornamento e distribuzione di tutti
i software
SMS
Soluzione di gestione
delle patch
Tipo di cliente

Scenario
Scelte del cliente
Piccola impresa
Da uno a tre server Windows e un amministratore
IT
SUS
Media o grande
impresa
Desidera una soluzione di gestione delle patch
con livello base di controllo con aggiornamento di
Windows 2000 a versioni più recenti
SUS
La soluzione di gestione delle patch include:


MBSA
Software Update Services (SUS)
Vantaggi di MBSA



Identificazione automatica di patch
di protezione mancanti e problemi
di configurazione della protezione
Possibilità per l'amministratore
di analizzare centralmente un gran
numero di sistemi
Compatibilità con un'ampia gamma
di software Microsoft
Funzionamento di MBSA
1. Eseguire MBSA sul sistema con
accesso come amministratore
e specificare le destinazioni
2. Scarica il file CAB
contenente MSSecure.xml
e ne verifica la firma digitale Area di download
di Microsoft
3. Ricerca sistema operativo,
MSSecure.xml
componenti del sistema
operativo e applicazioni
nei sistemi di destinazione
4. Analizza il file
MSSecure.xml per
verificare la disponibilità
di aggiornamenti
5. Verifica l'eventuale
mancanza di
aggiornamenti richiesti
6. Generato un report sugli
aggiornamenti mancanti
con data e ora
Computer
MBSA
Il file MSSecure.xml contiene
 Nomi dei bollettini sulla
sicurezza
 Aggiornamenti specifici per
i prodotti
 Informazioni su versione
e checksum
 Chiavi di registro modificate
 Numeri degli articoli della
Knowledge Base
Vantaggi di SUS

Controllo della gestione di patch
e aggiornamenti per gli amministratori




Compatibilità con i criteri di gruppo* per impedire
l'installazione di aggiornamenti di Windows Update non
approvati
Possibilità di gestione temporanea e test prima
dell'installazione
Semplificazione e automazione degli aspetti chiave
del processo di gestione delle patch
Aggiornamento dei sistemi supportati più agevole e
riduzione dei rischi di protezione
Nota: l'utilizzo di SUS non richiede l'implementazione
di Active Directory o Criteri di gruppo.
Funzionamento di SUS
1.
Il server SUS scarica
gli aggiornamenti
2.
L'amministratore rivede,
valuta e approva gli
aggiornamenti
3.
Approvazioni e aggiornamenti
vengono sincronizzati con
i server SUS figlio
4.
AU ottiene l'elenco degli
aggiornamenti approvati
dal server SUS
5.
AU scarica gli aggiornamenti
approvati dal server SUS o
Windows Update
6.
AU avvisa l'utente della
disponibilità di aggiornamenti
o li installa automaticamente
7.
AU registra la cronologia
di installazione
Servizio
Windows
Update
Servizio
Windows
Update
Firewall
Limitazioni della
larghezza di banda
Server
SUS figlio
Server
SUS padre
Limitazioni
dellalarghezza
di banda
Server
SUS figlio
Limitazioni
della
larghezza
di banda
Componente clienti di SUS

Il client di SUS è Aggiornamenti automatici





È configurabile in modo centralizzato per
ottenere aggiornamenti dal server aziendale SUS
o dal servizio Windows Update
Con il controllo dell'amministratore, può
scaricare e installare patch automaticamente
Consolida più riavvii in un solo riavvio
al momento dell'installazione di più patch
È compreso in Windows 2000 SP3,
Windows XP SP1 e Windows Server 2003
È localizzato in 24 lingue
Integrazione di MBSA e SUS


MBSA è in grado di analizzare
aggiornamenti di protezione e
confrontarli con quelli approvati su un
server SUS specificato
Esecuzione della riga di comando


mbsacli.exe /sus http://mysusserver
mbsacli.exe /hf /sus http://mysusserver
Considerazioni su SUS





Supporta solo aggiornamenti per Windows 2000 o
sistemi operativi superiori
Non prevede la distribuzione di patch verso
computer specifici (targeting)
Il client SUS deve essere configurato per il pull
degli aggiornamenti dal server SUS
Registrazione dello stato di installazione
centralizzato su server Web, ma assenza
di report predefiniti
È possibile utilizzare più server SUS per rendere
disponibili diversi set di aggiornamenti approvati a
gruppi di computer client
Soluzione di gestione
delle patch
Tipo di cliente
Media o
grande
impresa

Scenario
Desidera una soluzione unica di gestione delle
patch con livello esteso di controllo su patch e
aggiornamento e distribuzione di tutti i software
Scelte del cliente
SMS
La soluzione di gestione delle patch
include:

SMS 2003
Oppure
SMS 2.0 con SUS Feature Pack
Vantaggi di SMS

Fornisce agli amministratori il controllo sulla
gestione delle patch






Gestione temporanea e test prima dell'installazione
Stretto controllo sulle opzioni di gestione
delle patch
Automazione degli aspetti chiave del processo di
gestione delle patch
Aggiornamento di un'ampia gamma
di prodotti Microsoft
Possibilità di utilizzo per aggiornamento software
di terze parti e per distribuzione
e installazione di aggiornamenti software
o applicazioni
Alto livello di flessibilità tramite l'utilizzo
di script
1.
2.
3.
4.
5.
6.
7.
Funzionamento di SMS
Impostazione: scaricare Security
Update Inventory Tool e Office
Inventory Tool ed eseguire il
relativo programma di installazione
Area di download
di Microsoft
I componenti di analisi vengono
replicati sui client SMS
Firewall
Analisi dei client; i risultati di
analisi vengono uniti ai dati di
inventario hardware di SMS
L'amministratore utilizza la
procedura guidata di distribuzione
degli aggiornamenti software per
autorizzare gli aggiornamenti
Download dei file di
aggiornamento; creazione e
aggiornamento di pacchetti,
programmi e annunci; replica
dei pacchetti e annuncio dei
programmi ai client SMS
Punto di
distribuzione SMS
Client SMS
Server del
sito SMS
L'agente di installazione
aggiornamenti software distribuisce
gli aggiornamenti sui client
Periodicamente: il componente di sincronizzazione
verifica la disponibilità di nuovi aggiornamenti, analizza
client e distribuisce gli aggiornamenti richiesti
Client SMS
Client SMS
Integrazione di MBSA e SMS

Analisi dei client SMS per l'individuazione di
aggiornamenti di protezione mancanti
tramite CLI MBSA




Push di mbsacli.exe per ciascun client per
eseguire l'analisi locale (mbsacli.exe/hf)
Analisi dell'output di testo dei numeri di patch
Distribuzione centralizzata degli
aggiornamenti di protezione ai client
da parte degli amministratori SMS
SMS 2.0 e SMS 2003 utilizzano MBSA 1.1.1
Considerazioni su SMS




Le limitazioni delle funzionalità di rilevamento
sono le stesse presenti in MBSA e Office
Inventory Tool
È necessario configurare la sintassi della riga
di comando per l'installazione automatica
di ciascun aggiornamento
Le patch di Microsoft Office richiedono
l'estrazione per modificare un file di
impostazioni per l'installazione automatica
Gli aggiornamenti internazionali devono essere
ottenuti manualmente, tramite pagina Web
Soluzioni di gestione delle patch: criteri di
selezione
Adottare soluzioni corrispondenti alle esigenze dell'organizzazione
Funzionalità principali di gestione delle patch
Funzionalità
Windows Update
SUS 1.0
SMS 2003
Piattaforme supportate
per contenuto
NT 4.0, Win2K, WS2003, Win2K, WS2003, WinXP
WinXP, WinME, Win98
NT 4.0, Win2K, WS2003, WinXP,
Win98
Tipi di contenuto
supportati
Tutti i contenuti relativi
alle piattaforme sopra
riportate: patch,
aggiornamenti
(compresi i driver)
e service pack (SP)
Solo patch per protezione e
rollup di protezione,
aggiornamenti critici e
Service Pack per le
piattaforme sopra riportate
Tutte le patch, tutti i Service Pack
e tutti gli aggiornamenti per le
piattaforme sopra riportate;
supporto per patch,
aggiornamenti e installazione di
applicazioni Microsoft e di altri
fornitori
Destinazione
del contenuto
ai sistemi
No
No
Sì
Ottimizzazione della
larghezza di banda
No
Sì
(per la distribuzione di patch)
Sì
(per la distribuzione di patch
e la sincronizzazione server)
Controllo della
distribuzione di patch
No
Di base
Avanzato
Flessibilità di
installazione e
pianificazione di patch
Manuale, sotto il
controllo dell'utente
Sotto il controllo
dell'amministratore
(automatico) o dell'utente
(manuale)
Controllo dell'amministratore
con funzionalità di pianificazione
granulare
Limitata
Completa
Granularità del controllo
Creazione report sullo
Valutazione solo
stato dell'installazione di della cronologia
patch
del computer
(registri di cronologia di
installazione client e
installazione basati su Web)
(stato di installazione, risultati
e dettagli di conformità)
Sommario




Processo di gestione delle patch
Strumenti di gestione delle patch
Systems Management Server 2003
Microsoft Operation Manager 2005
Introduzione


Funzionalità base e carattertiche base di
Microsoft Systems Management Server
Caratteristiche migliorate in SMS 2003:








Supporto per i client mobili
Integrazione con Active Directory
Inventory
Software metering
Web reporting
Infrastruttura del Sito
Remote Control
Setup e upgrade
Caratteristiche di Microsoft
Systems Management Server




Inventory Management
Software Distribution
Software Metering
Remote Support of Computers
Inventory Management
Inventory Enhancements

Traffico di inventario ridotto



Migliorata la reportistica relativa alle
applicazioni installate



Delta Inventory (differenze rispetto al precedente)
advanced client usano file XML compressi
Provider WMI (Microsoft® Windows® Management
Instrumentation) per inventariare i dati di
Add/Remove Programs
Provider WMI per inventariare Microsoft® Windows
Installer
Nuove funzionalità di software inventory

Migliorati i criteri di selezione



Wildcards
Directory
Variabli di ambiente
Software Distribution
Integrazione con Add/Remove
Programs




SMS 2003 mostra gli advertisement in
Add/Remove Programs
Gli advertisement di SMS appaiono
uguali a quelli delle Group Policy
advertisements
Vengono supportate le Categorie (singole
e per programma)
Supportato per i client Windows 2000,
Windows XP, e Windows Server 2003 con
installato il client di SMS 2003
Software Metering
Miglioramenti nel Software
Metering


Completamente riscritto il Software Metering di
SMS 2.0
Più scalabile, meno costoso da implementare



Simile all’architettura di inventory
Usa dei provider lato client basati su WMI
Fornisce la funzionalità di “Offline metering”


Reportistica sull’uso del software
Non c’è più la possibilità di controllare il numero di
licenze (“Online” metering)
Utilizzo del Software Metering
di SMS 2003

Le regole sono configurate in ogni sito


L’utilizzo del Metering usage può generare una
grande mole di data



L’Admin Feature Pack multi-site configuration tool di
SMS 2003 permette la replica delle regole su più siti
I Summarization tasks aiutano a ridurre i dati
immagazzinati
E’ possibile bloccare i dati di utilizzo, per impedire che
fluiscano verso i siti di livello superiore
Le regole e i dati di metering esistenti in SMS 2.0
non vengono migrati su SMS 2003
Supporto Remoto dei Computer
Resources and Resource
Discovery
SMS Site Hierarchies
Supporto dei Client Mobili

L’Advanced Client di SMS 2003 è stato
progettato specificatamente per gli utenti
remoti




Basato su tecnologia Microsoft® Windows®
Update
Usa HTTP
Lavora con i Management Points di SMS
Sia il Legacy Client che l’Advanced Client
sono gestiti tramite un’interfaccia
comune
Supporto dei Client Mobili(2)

Supporta il BITS per le attività di rete





Installabile in molti modi, preload, setup manuale, logon
script, SMS push, Group Policy deployment, SMS
software distribution, e upgrade di un client esistente
Nuovo modello di sicurezza



Gestisce la Bandwidth
Checkpoint restart
Modalità download e execute
Non è più richiesto un account utente speciale per SMS
I Client possono usare i server DFS come distribution
point
Supporta Microsoft® Windows® 2000, Microsoft®
Windows® XP e Microsoft® Windows Server™ 2003
Advanced Client Download and
Execute
Client di SMS 2003
Caratteristica
Inventory (HW/SW)
Mobile aware inventory
Basic SW Distribution
Mobile-aware SW
Distribution
Remote Control
Metering
Client
Metodi di Installazione
Legacy Client
Si
No
Si
No
Advanced Client
Si
Si
Si
Si
Si *
Si
Si *
Si
Windows® 98,
Windows® NT 4.0,
Windows® 2000,
Windows® XP e
successivi
Windows® 2000,
Windows® XP, e
Windows Server™ 2003
Discovery, script,
manuale, pre-stage
Discovery, script,
manuale, GP, pre-stage,
SW dist
* Il Controllo Remoto è integrato con la Remote Assistance per i client XP e
Windows Server™ 2003. Il controllo remoto di SMS 2.0 funziona con tutte le
piattaforme
Supporto di Windows e Active
Directory



Definisce i confini del sito di SMS
utilizzando i Siti di Active Directory
Gestisce la Discovery di utenti e computer
da Active Directory
Indirizza la software distribution a una OU
o a un gruppo di Active Directory



Inclusi i gruppi di distribuzione
Il client SMS è integrato con Add/Remove
Per gli utenti con diritti ridotti installa
usando MSI e privilegi elevati
Active Directory Discovery

Raccoglie informazioni su utenti e
sistemi in Active Directory




Active Directory System Discovery
Active Directory User Discovery
Active Directory System Group Discovery
Active Directory System Discovery
permette di individuare nuovi sistemi per
assegnarli a un sito e installare il client di
SMS

Più efficiente della Network Discovery
Sommario




Processo di gestione delle patch
Strumenti di gestione delle patch
Systems Management Server 2003
Microsoft Operation Manager 2005
Microsoft Operations Manager
2005






MOM 2005: permette di gestire
l’operatività dei server aziendali
Gestione degli eventi
Monitoraggio e alerting proattivo
Reportistica
Management Pack
Microsoft Connection Framework
Microsoft Operations Manager
2005



Identifica lo stato di salute
dell’infrastruttura IT prima che vengano
generati dei problemi
Migliora l’efficenza dell’operatività
Condivide le informazioni sullo stato dei
servizi e sulle performance con i vari
livelli dello staff IT
Microsoft Operations Manager
2005

Con MOM 2005 è possibile:


essere aggiornati sui problemi che emergono
e rispondere con efficacia e accuratezza
Essere aggiornati sullo stato dei sistemi e
dei servizi, al fine di:


Identificare e risolvere problematiche di
affidabilità e/o di performance, prima che
diventino dei problemi seri.
Gestire gli alert associando dei task
predefiniti
Management Pack di MOM 2005



Permettono di gestire l’operatività di varie
applicazioni server (SQL, Exchange)
Sviluppati direttamente dai team del
prodotto
Contengono regole per monitorare e creare
allarmi.
Microsoft Connection
Framework



Tecnologia basata sui Web Service
Permette di connettere MOM a
piattaforme di gestione di terze parti
Permette l’inoltro degli alert
(bidirezionale) e la sincronizzazione
Ulteriori informazioni

Sito Microsoft dedicato alla protezione (per
tutti gli utenti)


Sito TechNet dedicato alla protezione
(per professionisti IT)


http://www.microsoft.com/italy/security/default.mspx
http://www.microsoft.com/technet/security
(in lingua inglese)
Sito MSDN dedicato alla protezione
(per sviluppatori)

http://msdn.microsoft.com/security
(in lingua inglese)