Installare e distribuire in modo Installare e distribuire in modo semplice patch di sicurezzasemplice patch di sicurezza

Fabrizio Grossi

V-fagros@microsoft.com

Agenda

• Introduzione

• Overview delle caratteristiche

• Scelta della soluzione

• Sommario

• Informazioni Addizionali

Cronologia delle minacce

SegnalazioneSegnalazionevulnerabilitàvulnerabilità

SviluppoSviluppopatchpatch

RilascioRilascio bollettinobollettinosullasulla sicurezzasicurezza ee patchpatch

DecodificaDecodifica

patchpatchCreazioneCreazioneworm/virusworm/virus

DiffusioneDiffusioneworm/virusworm/virus

Nessuna minaccia

Solo Solo Microsoft Microsoft e la parte e la parte

segnalantesegnalantesono a sono a

conoscenza conoscenza della della

vulnerabilitàvulnerabilità

Nessuna minaccia

Solo Solo Microsoft Microsoft e la parte e la parte

segnalantesegnalantesono a sono a

conoscenza conoscenza della della

vulnerabilitàvulnerabilità

NessunaNessuna minacciaminaccia

VulnerabilitàVulnerabilitàdidi dominiodominio

pubblicopubblico mama informazioniinformazioni perper sfruttarlasfruttarla

nonnon disponibilidisponibili

NessunaNessuna minacciaminaccia

InformazioniInformazioni perper lolo

sfruttamentosfruttamento disponibilidisponibili mama

virus/wormvirus/worm nonnon

disponibiledisponibile

NessunaNessuna minacciaminacciaVirus/wormVirus/worm disponibiledisponibile

mama nonnon diffusodiffuso

MinacciaMinaccia

Virus/worm Virus/worm diffuso; diffuso;

sistemi non sistemi non protetti/privi protetti/privi

di patch di patch infettatiinfettati

Corsa contro il tempo per

proteggere e dotare di patch i sistemi prima dell'attacco

Criteri di valutazione della gravità utilizzati da Microsoft

Ricerca nei bollettini sulla sicurezza di TechNet:http://www.microsoft.com/technet/security/current.asp (in lingua inglese)

Livello gravità Definizione

CriticoLa vulnerabilità consente la propagazione di un worm su Internet come Code Red o Nimda senza l'intervento dell'utente

Importante

La vulnerabilità consente la compromissione della riservatezza, dell’integrità o della disponibilità dei dati utente, oppure dell'integrità e della disponibilità delle risorse di elaborazione

Moderato

La vulnerabilità è grave, ma il rischio attenuato in misura notevole da fattori quali la configurazione predefinita, il controllo, la necessità di un'azione dell'utente o la difficoltà di sfruttamento

BassoLa vulnerabilità è estremamente difficile da sfruttare o l'impatto è minimo

Tempi di applicazione delle patchLivello di gravità

Tempi di applicazione delle patch consigliatiTempi massimi di applicazione

consigliati

Critico Entro 24 ore Entro due settimane

Importante Entro un mese Entro due mesi

ModeratoSecondo la disponibilità prevista, attendere il service pack o il rollup delle patch successivo o distribuire la patch entro quattro mesi

Distribuire l'aggiornamento software entro sei mesi

BassoSecondo la disponibilità prevista, attendere il service pack o il rollup delle patch successivo o distribuire la patch entro un anno

Distribuire l'aggiornamento software entro un anno o scegliere di non distribuirlo affatto

Fattore Impatto potenziale

Impatto su beni di alto valore o alta esposizione Ridurre i tempi di applicazione

Impatto su beni generalmente attaccati Ridurre i tempi di applicazione

Fattori attenuanti in atto o messi in atto a breve Aumentare i tempi di applicazione

Basso rischio di esposizione per beni interessati Aumentare i tempi di applicazione

Fattori che incidono sui tempi di rilascio

 

Tipo di cliente ScenarioScelte del

cliente

Consumatore Tutti gli scenariWindows Update

Piccola impresa

Nessun server WindowsWindows Update

Da uno a tre server Windows e un amministratore IT

SUS

Media o grande impresa

Desidera una soluzione di gestione delle patch con livello base di controllo che aggiorni Windows 2000 e le versioni più recenti di Windows

SUS

Desidera una soluzione unica di gestione delle patch con livello esteso di controllo su patch e aggiornamento e distribuzione di tuttii software

SMS

Scelta di una soluzione di gestione delle patch

Cos’è Windows Update Services?

• Gestione degli update– Contenuto da Microsoft Update (MU) service (Win + SQL + Exch

+ Office)

• Componente RTW di Windows Server– Gratis per chi ha Windows Server (2000 e sup.)

– Richiede Windows Server / Core CAL per i sistemi target

• Non cambia le soluzioni correnti– SUS 1.0 continua a prendere i contenuti da WU– Possible migrare o Side by side (porta 80 e porta 8530)– SUS Client e WSUS client funzionano Side by Side

• Componente Core della Microsoft’s Patch & Update Management solutions

Scopi di WUS

• Fornire una soluzione semplice da usare, con tutte le funzionalità per gli scenari di gestione degli update per tutti i prodotti Microsoft– Automatizzare il più possibile il processo di gestione degli update– Non supportare solo le patch di Windows– Soddisfare le richieste degli utenti di SUS 1.0– Ottimizzare l’esperienza dell’amministratore

• Costruire l’infrastruttura di base della gestione delle patch per la piattaforma Windows– Permette a SMS, MBSA, e agli altri software Microsoft e di terze

parti di utilizzare un’infrastruttura unificata• Unico motore di analisi degli update per il software Microsoft supportato• Modello di dati & infrastruttura di deployment per la gestione degli update• API Client e Server per estendere / utilizzare l’infrastruttura

L’Amministratore si iscrive a varie categorie di updateIl Server scarica gli update da Microsoft UpdateI Client si registrano sul serverL’Amministratore mette i client in gruppo target differenti

L’Amministratore approva gli updateL’Agente installa gli update approvati dell’amministratore

< Back Finish Cancel

Windows Update ServicesWindows Update Services

< Back Finish Cancel

Windows Update ServicesWindows Update Services

Microsoft Update

WUS Server

Desktop ClientsTarget Group 1 Server

ClientsTarget Group 2

WUS Administrator

Overview della Soluzione

Prodotti e Contenuti Supportati• Content Partner

– Windows, Office, SQL, Exchange (RTM).– Verranno via via aggiunti altri prodotti

• OS platform– Client/agent

• Win2k SP3 e sup., WinXP RTM e sup (incl. XP embedded)• Win2k3 RTM (solo 32-bit), Win2k3 SP1 (x64 e ia64)• Client Self-Update (eccetto Win XP senza SP, bisogna installare

SUS client -- http://go.microsoft.com/fwlink/?LinkId=22338)– Server

• Win2k SP4 e sup.• Win2k3 RTM e sup. (solo 32-bit)

Caratteristiche

• Target group definiti dall’Amministratore– In AD la membership ai gruppi è definita tramite le Group Policy– Se non c’è AD la membership ai gruppi è definita tramite WUS Server

• Controllo delle approvazioni per l’Amministratore– “Detect only”: valuta le macchine per l’applicabilità delle patch– Approvazione per l’installazione e la disinstallazione (richiede il

supporto dell’update)– Deadline basate su date– Approvazione per target group:

• Update diverse installate su target group diversi• Deadline differenti a seconda dei target group• Azioni differenti a seconda dei target group

Caratteristiche

• Configurazione flessibile dell’Agente– Frequenza di Polling

– Comportamento della notifica e dell’installazione

– Comportamento del Reboot

– Utenti Non-amministratori possono installare gli update (come gli amministratori)

– Installazione allo Shutdown (solo XP SP2)

Caratteristiche di ottimizzazione della rete

• Resilient e trasparente– BITS* sia per i download client-server che per quelli server-server– Download in background

• Minimized data downloads– Update subscription – Scarica updates per i prodotti, e linguaggi di

cui si ha bisogno– Supporto per la tecnologia di “delta compression” per le

comunicazioni client-server– Opzione per scaricare solo gli update approvati (download on

demand)– Opzione per scaricare solo la descrizione degli (update & detection

file su MU)

*Background Intelligent Transfer Service

Reporting Features

• 1:1 reporting for updates

• and computers

Reporting Features

• 1: Many reporting for Updates– Per machine/per update/per target group

Reporting Features

• Report di Sincronizzazione– Cosa c’è di nuovo, cosa è cambiato

• Integrato con Event log– Status event dell’Agent e del server sono

inviati al event log locale• Tutte le informazione di reportistica

disponibili via Server .NET API

Flessibilità nella Gestione e nel Deployment 1/2

• Opzioni di Server deployment– Gli Update restano presso Microsoft Update

• WUS server funziona come punto di controllo

– Distribuzione gerarchica di server indipendenti• Manageability (e estendibilità)

– Server• API Server basate su .NET• Semplici regole per gestire il deployment automatico degli update

– Client• Possibilità di attivare l’ update detection lato Client da linea di

Comando• API COM based con supporto per scripting supporto remoto

Flessibilità nella Gestione e nel Deployment 2/2

• Wuauclt.exe / :– InstallAUClient– DetectNow– DownloadNow– StopDownload– TestWUSServer– ResetAuthorization /DetectNow

A grande richiesta ...

• Possibilità di esportare le patch scaricate da una macchina WSUS a un’altra macchina WSUS

• Possibilità di usare una porta alternativa– Port 8530– Utile per Side by Side con SUS o altri servizi– Si può implementare:

• Durante il Setup• Dopo l’installazione

– Necessario modificare la URL HTTP://WSUS:8530

Gestione patch su una rete non connessa• Importo le Patch da un server WSUS connesso a uno

disconnesso• 3 passi

– I due WSUS devono avere le stesse impostazioni delle advanced synchronization options

• express installation files feature e languages – Copiare il contenuto di \WSUS\WSUSContent\– Esportare gli Update Metadata dall’export server WSUS

• Da fare DOPO aver copiato WSUSContent• wsusutil.exe export export.cab export.log• Copiare export package (export.cab) sull’import WSUS

– Importare gli Update Metadata sull’import server WSUS• wsusutil.exe import export.cab import.log

– ZEN !!!! 3-4 ore per validare il contenuto importato

Customer Feature Requests

*Gestibile parzialmente attraverso la modifica della polling frequency e script

Feature più Richieste SUS 1.0 SP1 WUSSupporto per i service pack Installazione su SBS e domain controller Supporto per Office e altri prodotti MS Fornire reportistica (es. deployment status) Update targeting Migliorare il supporto per le reti con banda bassa Permettere di sottoscrivere solo una parte del contenuto Impostare la frequenza di polling per scaricare nuovi update Minimizzare le interruzioni dell’utente Emergency patch deployment (‘big red button’) *Deploy update per ISV e applicazioni custom

Supporto NT4

Distribuzione di Updates con WUS

Vantaggi di SMS

• Fornisce agli amministratori il controllo sulla gestione delle patch – Gestione temporanea e test prima dell'installazione– Stretto controllo sulle opzioni di gestione delle patch

• Automazione degli aspetti chiave del processo di gestione delle patch• Aggiornamento di un'ampia gamma di prodotti Microsoft • Possibilità di utilizzo per aggiornamento software di terze parti e per distribuzione

e installazione di aggiornamenti software o applicazioni

• Alto livello di flessibilità tramite l'utilizzo di script

SMS Inventory Tool for Microsoft Updates

• Costruito sull’agente Windows Update per l’analisi e l’installazione– Standalone scan tool – non richiede WUS server

o connettività a Internet– L’agente WU è nativo su tutti i sistemi operativi

Windows a partire da Windows Server 2003 SP1

• Distribuito come installazione stand-alone con SMS per i sistemi operativi precedenti

SMS Inventory Tool for Microsoft Updates

• Consistenza– I risultati di SMS sono consistenti con Microsoft

Update (MU) e Windows Udpate/Automatic Update (WU/AU)

• Copertura– Security updates, update rollups, e service packs– Windows, SQL Server, Exchange, Microsoft Office– Eventuallmente TUTTI i prodotti Microsoft

• Catalogo completo– Download automatico per tutti i linguaggi– Include opzioni da linea di Comando

Funzionamento di SMS

2.2. II componenticomponenti didi analisianalisi vengonovengono distribuitidistribuiti suisui clientclient SMSSMS

1.1. Impostazione:Impostazione: scaricarescaricare InventoryInventory ToolTool for Microsoft Update for Microsoft Update eded installarloinstallarlo

3.3. AnalisiAnalisi deidei client;client; ii risultatirisultati didi analisianalisi vengonovengono unitiuniti aiai datidati didi inventarioinventario hardwarehardware didi SMSSMS

4.4. L'amministratoreL'amministratore utilizzautilizza lala proceduraprocedura guidataguidata didi distribuzionedistribuzione deglidegli aggiornamentiaggiornamenti softwaresoftware perper autorizzareautorizzare gligli aggiornamentiaggiornamenti

6.6. L'agenteL'agente didi installazioneinstallazione aggiornamentiaggiornamenti softwaresoftware distribuiscedistribuisce gligli aggiornamentiaggiornamenti suisui clientclient

7.7. Periodicamente:Periodicamente: ilil componentecomponente didi sincronizzazionesincronizzazione verificaverifica lala disponibilitàdisponibilità didi nuovinuovi aggiornamenti,aggiornamenti, analizzaanalizza clientclient ee distribuiscedistribuisce gligli aggiornamentiaggiornamenti richiestirichiesti

5.5. DownloadDownload deidei filefile didi aggiornamento;aggiornamento; creazionecreazione ee aggiornamentoaggiornamento didi pacchetti,pacchetti, programmiprogrammi ee annunci;annunci; replicareplica deidei pacchettipacchetti ee annuncioannuncio deidei programmiprogrammi aiai clientclient SMSSMS

Area di download di Microsoft

Firewall

Server del sito SMS

Punto didistribuzione SMS

Client SMS

Client SMS

Client SMS

WUS vs. SMS

• Semplice vs. Avanzato• Supporto Client• Update / Distribuzione di Applicazioni• Funzionalità di Reporting

• WUS: Necessità di una soluzione che gestisca solo update management e che fornisca un update semplice per il software Microsoft

• SMS: Necessità di una soluzione di update management e di software distribution con un livello di controllo esteso per tutti i SO Window e per tutte le applicazioni, e soluzione per gestire l’asset management

Informazioni addizionali

• Informazioni su WUS (e SUS 1.0) www.microsoft.com/wus

• WUS news group

Community Resources• Community Resources

– http://www.microsoft.com/communities/default.mspx

• Most Valuable Professional (MVP)– http://www.microsoft.com/communities/mvp

• Newsgroups– Converse online with Microsoft Newsgroups,

including Worldwide– http://communities2.microsoft.com/communities/newsgroups/en-

us/default.aspx

• User Groups - Meet and learn with your peers– http://www.microsoft.com/communities/usergroupsdefault.mspx

Come acquistare Windows Server

• Promozione server per la media impresa

• Disponibile per l’acquisto in Open License e in Open Value

• Disponibile per il noleggio in Open Value Subscription da dicembre

Servers3x Windows Server StandardExchange Server StandardMOM Workgroup Edition50 Windows, Exchange CALs

CAL (250 Max)Windows + Exchange

PromozioneWindows Server System

Acquistalo con Open Value: è meglio!

• Open Value è più conveniente, più facile, più completo

• Pagamenti dilazionati• Il più basso costo annuale (Open Value

Subscription)• Prezzi bloccati e costi prevedibili per ogni anno• Inoltre…

…il Bundle in Open Value include:

• Software Assurance, l’opzione di manutenzione del software Microsoft, con i seguenti importanti benefici: – Supporto web illimitato e telefonico (1 chiamata)– 5 licenze server di backup gratuite – Tutte le informazioni tecniche sui nostri prodotti, patch, prodotti per

test – Corsi tecnici su CD interattivi; – Le versioni future dei server – Strumenti per la semplificazione dell’installazione/distribuzione del

software– Strumenti per l’individuazione degli errori in rete e la definizione delle

priorità d’intervento– Estensione del supporto tecnico oltre al periodo standard di 5 anni,

senza pagamento del canone annuale

Come acquistare Systems Management Server: Open Value

• Open Value è più conveniente, più facile, più completo

• Pagamenti dilazionati• Il più basso costo annuale (Open Value

Subscription)• Prezzi bloccati e costi prevedibili per ogni anno• Core Cal: 4 tipi di licenze ad un prezzo forfettario

– Cal per i server Windows, Exchange, SharePoint portal, System Management

– Disponibili sconto del 15%

Open Value include Software Assurance

• Software Assurance è la manutenzione del software Microsoft

• Include benefici importanti: – Supporto web illimitato e telefonico (1 chiamata)– Licenze server di backup gratuite – Tutte le informazioni tecniche sui nostri prodotti, patch, prodotti

per test – Corsi tecnici su CD interattivi; – Le versioni future dei server – Strumenti per la semplificazione dell’installazione/distribuzione

del software– Strumenti per l’individuazione degli errori in rete e la definizione

delle priorità d’intervento– Estensione del supporto tecnico oltre al periodo standard di 5

anni, senza pagamento del canone annuale

Come acquistare Small Business Server (SBS): Open Value

• Nuovi programmi di noleggio e acquisto• Più convenienti, più facili, più completi• Open Value Subscription

– Il più basso costo annuale

– Pagamenti dilazionati

– Prezzi bloccati e costi prevedibili per ogni anno

– Scegli un prodotto, te ne diamo 2: SBS e la futura versione inclusa nel prezzo!

– Sconto 15% per Office SBE + Windows + SBS cal

• A partire da 1 SBS o da 5 Cal

Come acquisire SBS: Open Value

• Facile essere in regola

• Benefici eccezionali:– La futura versione di SBS inclusa! – Licenze per il server di backup– Supporto web illimitato e telefonico

(1 chiamata) – Corso su CD interattivo

• ...e molti altri!

© 2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.