Installare e distribuire in modo
semplice patch di sicurezza
Fabrizio Grossi
[email protected]
Agenda
•
•
•
•
•
Introduzione
Overview delle caratteristiche
Scelta della soluzione
Sommario
Informazioni Addizionali
Cronologia delle minacce
Segnalazione Sviluppo
vulnerabilità
patch
Rilascio bollettino
sulla sicurezza e patch
Decodifica
patch
Nessuna
minaccia
Creazione
worm/virus
Nessuna
minaccia
Nessuna
minaccia
Solo
Microsoft
e la parte
segnalante
sono a
conoscenza
della
vulnerabilità
Solo
Vulnerabilità Informazioni
Microsoft
di dominio
per lo
e la parte
pubblico ma sfruttamento
segnalante
informazioni disponibili ma
sono a
per sfruttarla virus/worm
conoscenza non disponibili
non
della
disponibile
vulnerabilità
Corsa contro il tempo
per proteggere e dotare
di patch i sistemi prima
dell'attacco
Nessuna
minaccia
Diffusione
worm/virus
Nessuna
minaccia
Minaccia
Virus/worm
disponibile
ma non
diffuso
Virus/worm
diffuso;
sistemi non
protetti/privi
di patch
infettati
Criteri di valutazione della gravità
utilizzati da Microsoft
Livello gravità
Definizione
Critico
La vulnerabilità consente la propagazione di un worm
su Internet come Code Red o Nimda senza l'intervento
dell'utente
Importante
La vulnerabilità consente la compromissione della
riservatezza, dell’integrità o della disponibilità dei dati utente,
oppure dell'integrità e della disponibilità delle risorse di
elaborazione
Moderato
La vulnerabilità è grave, ma il rischio attenuato in misura
notevole da fattori quali la configurazione predefinita, il
controllo, la necessità di un'azione dell'utente o la difficoltà di
sfruttamento
Basso
La vulnerabilità è estremamente difficile da sfruttare
o l'impatto è minimo
Ricerca nei bollettini sulla sicurezza di TechNet:
http://www.microsoft.com/technet/security/current.asp (in lingua inglese)
Tempi di applicazione delle patch
Livello di
gravità
Tempi di applicazione delle patch consigliati
Tempi massimi di applicazione
consigliati
Critico
Entro 24 ore
Entro due settimane
Importante
Entro un mese
Entro due mesi
Moderato
Secondo la disponibilità prevista, attendere il
service pack o il rollup delle patch successivo
o distribuire la patch entro quattro mesi
Distribuire l'aggiornamento
software entro sei mesi
Basso
Secondo la disponibilità prevista, attendere il
service pack o il rollup delle patch successivo
o distribuire la patch entro un anno
Distribuire l'aggiornamento
software entro un anno o
scegliere di non distribuirlo
affatto
Fattori che incidono sui tempi di rilascio
Fattore
Impatto potenziale
Impatto su beni di alto valore o alta esposizione
Ridurre i tempi di applicazione
Impatto su beni generalmente attaccati
Ridurre i tempi di applicazione
Fattori attenuanti in atto o messi in atto a breve
Aumentare i tempi di applicazione
Basso rischio di esposizione per beni interessati
Aumentare i tempi di applicazione
Scelta di una soluzione di gestione
delle patch
Tipo di cliente
Consumatore
Piccola
impresa
Media o
grande
impresa
Scenario
Scelte del
cliente
Tutti gli scenari
Windows
Update
Nessun server Windows
Windows
Update
Da uno a tre server Windows e un
amministratore IT
SUS
Desidera una soluzione di gestione delle patch
con livello base di controllo che aggiorni
Windows 2000 e le versioni più recenti
di Windows
SUS
Desidera una soluzione unica di gestione delle
patch con livello esteso di controllo su patch
e aggiornamento e distribuzione di tutti
i software
SMS
Cos’è Windows Update Services?
• Gestione degli update
– Contenuto da Microsoft Update (MU) service (Win + SQL + Exch
+ Office)
• Componente RTW di Windows Server
– Gratis per chi ha Windows Server (2000 e sup.)
– Richiede Windows Server / Core CAL per i sistemi target
• Non cambia le soluzioni correnti
– SUS 1.0 continua a prendere i contenuti da WU
– Possible migrare o Side by side (porta 80 e porta 8530)
– SUS Client e WSUS client funzionano Side by Side
• Componente Core della Microsoft’s Patch & Update
Management solutions
Scopi di WUS
• Fornire una soluzione semplice da usare, con tutte le
funzionalità per gli scenari di gestione degli update per tutti i
prodotti Microsoft
–
–
–
–
Automatizzare il più possibile il processo di gestione degli update
Non supportare solo le patch di Windows
Soddisfare le richieste degli utenti di SUS 1.0
Ottimizzare l’esperienza dell’amministratore
• Costruire l’infrastruttura di base della gestione delle patch per
la piattaforma Windows
–
Permette a SMS, MBSA, e agli altri software Microsoft e di terze
parti di utilizzare un’infrastruttura unificata
•
•
•
Unico motore di analisi degli update per il software Microsoft supportato
Modello di dati & infrastruttura di deployment per la gestione degli update
API Client e Server per estendere / utilizzare l’infrastruttura
Overview della Soluzione
Microsoft Update
WUS Server
Windows
WindowsUpdate
UpdateServices
Services
<<Back
Back
Finish
Finish
Cancel
Cancel
WUS Administrator
Desktop Clients
Target Group 1
Server Clients
Target Group 2
L’Amministratore
approva
gli
update
mette
client
in gruppo
target
differenti
IIlL’Agente
Client
Serversiscarica
registrano
gli
si update
iscrive
sul iserver
da
aapprovati
varie
Microsoft
categorie
Update
di update
installa
gli
update
dell’amministratore
Prodotti e Contenuti Supportati
• Content Partner
–
–
Windows, Office, SQL, Exchange (RTM).
Verranno via via aggiunti altri prodotti
• OS platform
–
Client/agent
• Win2k SP3 e sup., WinXP RTM e sup (incl. XP
embedded)
• Win2k3 RTM (solo 32-bit), Win2k3 SP1 (x64 e ia64)
• Client Self-Update (eccetto Win XP senza SP, bisogna
installare SUS client -http://go.microsoft.com/fwlink/?LinkId=22338)
–
Server
• Win2k SP4 e sup.
• Win2k3 RTM e sup. (solo 32-bit)
Caratteristiche
• Target group definiti dall’Amministratore
– In AD la membership ai gruppi è definita tramite le Group Policy
– Se non c’è AD la membership ai gruppi è definita tramite WUS Server
• Controllo delle approvazioni per l’Amministratore
– “Detect only”: valuta le macchine per l’applicabilità delle patch
– Approvazione per l’installazione e la disinstallazione (richiede il
supporto dell’update)
– Deadline basate su date
– Approvazione per target group:
• Update diverse installate su target group diversi
• Deadline differenti a seconda dei target group
• Azioni differenti a seconda dei target group
Caratteristiche
• Configurazione flessibile dell’Agente
– Frequenza di Polling
– Comportamento della notifica e dell’installazione
– Comportamento del Reboot
– Utenti Non-amministratori possono installare gli
update (come gli amministratori)
– Installazione allo Shutdown (solo XP SP2)
Caratteristiche di ottimizzazione
della rete
• Resilient e trasparente
– BITS* sia per i download client-server che per quelli server-server
– Download in background
• Minimized data downloads
– Update subscription – Scarica updates per i prodotti, e linguaggi di
cui si ha bisogno
– Supporto per la tecnologia di “delta compression” per le
comunicazioni client-server
– Opzione per scaricare solo gli update approvati (download on
demand)
– Opzione per scaricare solo la descrizione degli (update & detection
file su MU)
*Background Intelligent Transfer Service
Reporting Features
• 1:1 reporting for updates
• and computers
Reporting Features
• 1: Many reporting for Updates
– Per machine/per update/per target group
Reporting Features
• Report di Sincronizzazione
– Cosa c’è di nuovo, cosa è cambiato
• Integrato con Event log
– Status event dell’Agent e del server sono
inviati al event log locale
• Tutte le informazione di reportistica
disponibili via Server .NET API
Flessibilità nella Gestione e nel
Deployment 1/2
• Opzioni di Server deployment
– Gli Update restano presso Microsoft Update
• WUS server funziona come punto di controllo
– Distribuzione gerarchica di server indipendenti
• Manageability (e estendibilità)
– Server
• API Server basate su .NET
• Semplici regole per gestire il deployment automatico degli update
– Client
• Possibilità di attivare l’ update detection lato Client da linea di
Comando
• API COM based con supporto per scripting supporto remoto
Flessibilità nella Gestione e nel
Deployment 2/2
• Wuauclt.exe / :
– InstallAUClient
– DetectNow
– DownloadNow
– StopDownload
– TestWUSServer
– ResetAuthorization /DetectNow
A grande richiesta ...
• Possibilità di esportare le patch scaricate da una
macchina WSUS a un’altra macchina WSUS
• Possibilità di usare una porta alternativa
– Port 8530
– Utile per Side by Side con SUS o altri servizi
– Si può implementare:
• Durante il Setup
• Dopo l’installazione
– Necessario modificare la URL HTTP://WSUS:8530
Gestione patch su una rete non
connessa
• Importo le Patch da un server WSUS connesso a uno
disconnesso
• 3 passi
– I due WSUS devono avere le stesse impostazioni delle advanced
synchronization options
• express installation files feature e languages
– Copiare il contenuto di \WSUS\WSUSContent\
– Esportare gli Update Metadata dall’export server WSUS
• Da fare DOPO aver copiato WSUSContent
• wsusutil.exe export export.cab export.log
• Copiare export package (export.cab) sull’import WSUS
– Importare gli Update Metadata sull’import server WSUS
• wsusutil.exe import export.cab import.log
– ZEN !!!! 3-4 ore per validare il contenuto importato
Customer Feature Requests
Feature più Richieste
SUS 1.0 SP1
WUS
Supporto per i service pack


Installazione su SBS e domain controller


Supporto per Office e altri prodotti MS

Fornire reportistica (es. deployment status)

Update targeting

Migliorare il supporto per le reti con banda bassa

Permettere di sottoscrivere solo una parte del contenuto

Impostare la frequenza di polling per scaricare nuovi update

Minimizzare le interruzioni dell’utente

Emergency patch deployment (‘big red button’)
*
Deploy update per ISV e applicazioni custom
Supporto NT4
*Gestibile parzialmente attraverso la modifica della polling frequency e script
Distribuzione di Updates con WUS
Vantaggi di SMS
• Fornisce agli amministratori il controllo sulla gestione delle
patch
– Gestione temporanea e test prima dell'installazione
– Stretto controllo sulle opzioni di gestione delle patch
• Automazione degli aspetti chiave del processo di gestione
delle patch
• Aggiornamento di un'ampia gamma di prodotti Microsoft
• Possibilità di utilizzo per aggiornamento software di terze parti
e per distribuzione e installazione di aggiornamenti software
o applicazioni
• Alto livello di flessibilità tramite l'utilizzo di script
SMS Inventory Tool for Microsoft
Updates
• Costruito sull’agente Windows Update per
l’analisi e l’installazione
– Standalone scan tool – non richiede WUS server
o connettività a Internet
– L’agente WU è nativo su tutti i sistemi operativi
Windows a partire da Windows Server 2003 SP1
• Distribuito come installazione stand-alone
con SMS per i sistemi operativi precedenti
SMS Inventory Tool for Microsoft
Updates
• Consistenza
– I risultati di SMS sono consistenti con Microsoft
Update (MU) e Windows Udpate/Automatic Update
(WU/AU)
• Copertura
– Security updates, update rollups, e service packs
– Windows, SQL Server, Exchange, Microsoft Office
– Eventuallmente TUTTI i prodotti Microsoft
• Catalogo completo
– Download automatico per tutti i linguaggi
– Include opzioni da linea di Comando
Funzionamento di SMS
1.
2.
3.
4.
5.
6.
7.
Impostazione: scaricare Inventory
Tool for Microsoft Update ed
Area di download
installarlo
di Microsoft
I componenti di analisi vengono
distribuiti sui client SMS
Firewall
Analisi dei client; i risultati di
analisi vengono uniti ai dati di
inventario hardware di SMS
Punto di
L'amministratore utilizza la
distribuzione SMS
procedura guidata di distribuzione
degli aggiornamenti software per
autorizzare gli aggiornamenti
Download dei file di
aggiornamento; creazione e
Client SMS
aggiornamento di pacchetti,
programmi e annunci; replica
dei pacchetti e annuncio dei
programmi ai client SMS
Server del
L'agente di installazione
sito SMS
aggiornamenti software distribuisce
gli aggiornamenti sui client
Periodicamente: il componente di sincronizzazione
Client SMS
verifica la disponibilità di nuovi aggiornamenti, analizza
client e distribuisce gli aggiornamenti richiesti
Client SMS
WUS vs. SMS
•
•
•
•
Semplice vs. Avanzato
Supporto Client
Update / Distribuzione di Applicazioni
Funzionalità di Reporting
• WUS: Necessità di una soluzione che gestisca solo
update management e che fornisca un update
semplice per il software Microsoft
• SMS: Necessità di una soluzione di update
management e di software distribution con un livello
di controllo esteso per tutti i SO Window e per tutte le
applicazioni, e soluzione per gestire l’asset
management
Informazioni addizionali
• Informazioni su WUS (e SUS 1.0)
www.microsoft.com/wus
• WUS news group
Community Resources
• Community Resources
– http://www.microsoft.com/communities/default.mspx
• Most Valuable Professional (MVP)
– http://www.microsoft.com/communities/mvp
• Newsgroups
– Converse online with Microsoft Newsgroups,
including Worldwide
– http://communities2.microsoft.com/communities
/newsgroups/en-us/default.aspx
• User Groups - Meet and learn with your peers
– http://www.microsoft.com/communities/usergroups
default.mspx
Come acquistare Windows Server
• Promozione server per la media impresa
• Disponibile per l’acquisto in Open License
e in Open Value
• Disponibile per il noleggio in Open Value
Subscription da dicembre
Promozione
Windows Server System
Servers
3x Windows Server Standard
Exchange Server Standard
MOM Workgroup Edition
50 Windows, Exchange CALs
CAL (250 Max)
Windows + Exchange
Acquistalo con Open Value:
è meglio!
• Open Value è più conveniente, più facile, più
completo
• Pagamenti dilazionati
• Il più basso costo annuale (Open Value
Subscription)
• Prezzi bloccati e costi prevedibili per ogni anno
• Inoltre…
…il Bundle in Open Value include:
• Software Assurance, l’opzione di manutenzione del
software Microsoft, con i seguenti importanti benefici:
– Supporto web illimitato e telefonico (1 chiamata)
– 5 licenze server di backup gratuite
– Tutte le informazioni tecniche sui nostri prodotti, patch, prodotti per
test
– Corsi tecnici su CD interattivi;
– Le versioni future dei server
– Strumenti per la semplificazione dell’installazione/distribuzione del
software
– Strumenti per l’individuazione degli errori in rete e la definizione delle
priorità d’intervento
– Estensione del supporto tecnico oltre al periodo standard di 5 anni,
senza pagamento del canone annuale
Come acquistare Systems
Management Server: Open Value
• Open Value è più conveniente, più facile, più
completo
• Pagamenti dilazionati
• Il più basso costo annuale (Open Value
Subscription)
• Prezzi bloccati e costi prevedibili per ogni anno
• Core Cal: 4 tipi di licenze ad un prezzo forfettario
– Cal per i server Windows, Exchange, SharePoint
portal, System Management
– Disponibili sconto del 15%
Open Value include Software
Assurance
• Software Assurance è la manutenzione del software
Microsoft
• Include benefici importanti:
– Supporto web illimitato e telefonico (1 chiamata)
– Licenze server di backup gratuite
– Tutte le informazioni tecniche sui nostri prodotti, patch, prodotti
per test
– Corsi tecnici su CD interattivi;
– Le versioni future dei server
– Strumenti per la semplificazione dell’installazione/distribuzione
del software
– Strumenti per l’individuazione degli errori in rete e la definizione
delle priorità d’intervento
– Estensione del supporto tecnico oltre al periodo standard di 5
anni, senza pagamento del canone annuale
Come acquistare Small Business
Server (SBS): Open Value
• Nuovi programmi di noleggio e acquisto
• Più convenienti, più facili, più completi
• Open Value Subscription
–
–
–
–
Il più basso costo annuale
Pagamenti dilazionati
Prezzi bloccati e costi prevedibili per ogni anno
Scegli un prodotto, te ne diamo 2: SBS e la futura
versione inclusa nel prezzo!
– Sconto 15% per Office SBE + Windows + SBS cal
• A partire da 1 SBS o da 5 Cal
Come acquisire SBS: Open Value
• Facile essere in regola
• Benefici eccezionali:
– La futura versione di SBS inclusa!
– Licenze per il server di backup
– Supporto web illimitato e telefonico
(1 chiamata)
– Corso su CD interattivo
• ...e molti altri!
© 2004 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.