Installare e distribuire in modo semplice patch di sicurezza Fabrizio Grossi [email protected].
-
Upload
ciriaco-scotti -
Category
Documents
-
view
218 -
download
2
Transcript of Installare e distribuire in modo semplice patch di sicurezza Fabrizio Grossi [email protected].
Installare e distribuire in modo Installare e distribuire in modo semplice patch di sicurezzasemplice patch di sicurezza
Fabrizio Grossi
Agenda
• Introduzione
• Overview delle caratteristiche
• Scelta della soluzione
• Sommario
• Informazioni Addizionali
Cronologia delle minacce
SegnalazioneSegnalazionevulnerabilitàvulnerabilità
SviluppoSviluppopatchpatch
RilascioRilascio bollettinobollettinosullasulla sicurezzasicurezza ee patchpatch
DecodificaDecodifica
patchpatchCreazioneCreazioneworm/virusworm/virus
DiffusioneDiffusioneworm/virusworm/virus
Nessuna minaccia
Solo Solo Microsoft Microsoft e la parte e la parte
segnalantesegnalantesono a sono a
conoscenza conoscenza della della
vulnerabilitàvulnerabilità
Nessuna minaccia
Solo Solo Microsoft Microsoft e la parte e la parte
segnalantesegnalantesono a sono a
conoscenza conoscenza della della
vulnerabilitàvulnerabilità
NessunaNessuna minacciaminaccia
VulnerabilitàVulnerabilitàdidi dominiodominio
pubblicopubblico mama informazioniinformazioni perper sfruttarlasfruttarla
nonnon disponibilidisponibili
NessunaNessuna minacciaminaccia
InformazioniInformazioni perper lolo
sfruttamentosfruttamento disponibilidisponibili mama
virus/wormvirus/worm nonnon
disponibiledisponibile
NessunaNessuna minacciaminacciaVirus/wormVirus/worm disponibiledisponibile
mama nonnon diffusodiffuso
MinacciaMinaccia
Virus/worm Virus/worm diffuso; diffuso;
sistemi non sistemi non protetti/privi protetti/privi
di patch di patch infettatiinfettati
Corsa contro il tempo per
proteggere e dotare di patch i sistemi prima dell'attacco
Criteri di valutazione della gravità utilizzati da Microsoft
Ricerca nei bollettini sulla sicurezza di TechNet:http://www.microsoft.com/technet/security/current.asp (in lingua inglese)
Livello gravità Definizione
CriticoLa vulnerabilità consente la propagazione di un worm su Internet come Code Red o Nimda senza l'intervento dell'utente
Importante
La vulnerabilità consente la compromissione della riservatezza, dell’integrità o della disponibilità dei dati utente, oppure dell'integrità e della disponibilità delle risorse di elaborazione
Moderato
La vulnerabilità è grave, ma il rischio attenuato in misura notevole da fattori quali la configurazione predefinita, il controllo, la necessità di un'azione dell'utente o la difficoltà di sfruttamento
BassoLa vulnerabilità è estremamente difficile da sfruttare o l'impatto è minimo
Tempi di applicazione delle patchLivello di gravità
Tempi di applicazione delle patch consigliatiTempi massimi di applicazione
consigliati
Critico Entro 24 ore Entro due settimane
Importante Entro un mese Entro due mesi
ModeratoSecondo la disponibilità prevista, attendere il service pack o il rollup delle patch successivo o distribuire la patch entro quattro mesi
Distribuire l'aggiornamento software entro sei mesi
BassoSecondo la disponibilità prevista, attendere il service pack o il rollup delle patch successivo o distribuire la patch entro un anno
Distribuire l'aggiornamento software entro un anno o scegliere di non distribuirlo affatto
Fattore Impatto potenziale
Impatto su beni di alto valore o alta esposizione Ridurre i tempi di applicazione
Impatto su beni generalmente attaccati Ridurre i tempi di applicazione
Fattori attenuanti in atto o messi in atto a breve Aumentare i tempi di applicazione
Basso rischio di esposizione per beni interessati Aumentare i tempi di applicazione
Fattori che incidono sui tempi di rilascio
Tipo di cliente ScenarioScelte del
cliente
Consumatore Tutti gli scenariWindows Update
Piccola impresa
Nessun server WindowsWindows Update
Da uno a tre server Windows e un amministratore IT
SUS
Media o grande impresa
Desidera una soluzione di gestione delle patch con livello base di controllo che aggiorni Windows 2000 e le versioni più recenti di Windows
SUS
Desidera una soluzione unica di gestione delle patch con livello esteso di controllo su patch e aggiornamento e distribuzione di tuttii software
SMS
Scelta di una soluzione di gestione delle patch
Cos’è Windows Update Services?
• Gestione degli update– Contenuto da Microsoft Update (MU) service (Win + SQL + Exch
+ Office)
• Componente RTW di Windows Server– Gratis per chi ha Windows Server (2000 e sup.)
– Richiede Windows Server / Core CAL per i sistemi target
• Non cambia le soluzioni correnti– SUS 1.0 continua a prendere i contenuti da WU– Possible migrare o Side by side (porta 80 e porta 8530)– SUS Client e WSUS client funzionano Side by Side
• Componente Core della Microsoft’s Patch & Update Management solutions
Scopi di WUS
• Fornire una soluzione semplice da usare, con tutte le funzionalità per gli scenari di gestione degli update per tutti i prodotti Microsoft– Automatizzare il più possibile il processo di gestione degli update– Non supportare solo le patch di Windows– Soddisfare le richieste degli utenti di SUS 1.0– Ottimizzare l’esperienza dell’amministratore
• Costruire l’infrastruttura di base della gestione delle patch per la piattaforma Windows– Permette a SMS, MBSA, e agli altri software Microsoft e di terze
parti di utilizzare un’infrastruttura unificata• Unico motore di analisi degli update per il software Microsoft supportato• Modello di dati & infrastruttura di deployment per la gestione degli update• API Client e Server per estendere / utilizzare l’infrastruttura
L’Amministratore si iscrive a varie categorie di updateIl Server scarica gli update da Microsoft UpdateI Client si registrano sul serverL’Amministratore mette i client in gruppo target differenti
L’Amministratore approva gli updateL’Agente installa gli update approvati dell’amministratore
< Back Finish Cancel
Windows Update ServicesWindows Update Services
< Back Finish Cancel
Windows Update ServicesWindows Update Services
Microsoft Update
WUS Server
Desktop ClientsTarget Group 1 Server
ClientsTarget Group 2
WUS Administrator
Overview della Soluzione
Prodotti e Contenuti Supportati• Content Partner
– Windows, Office, SQL, Exchange (RTM).– Verranno via via aggiunti altri prodotti
• OS platform– Client/agent
• Win2k SP3 e sup., WinXP RTM e sup (incl. XP embedded)• Win2k3 RTM (solo 32-bit), Win2k3 SP1 (x64 e ia64)• Client Self-Update (eccetto Win XP senza SP, bisogna installare
SUS client -- http://go.microsoft.com/fwlink/?LinkId=22338)– Server
• Win2k SP4 e sup.• Win2k3 RTM e sup. (solo 32-bit)
Caratteristiche
• Target group definiti dall’Amministratore– In AD la membership ai gruppi è definita tramite le Group Policy– Se non c’è AD la membership ai gruppi è definita tramite WUS Server
• Controllo delle approvazioni per l’Amministratore– “Detect only”: valuta le macchine per l’applicabilità delle patch– Approvazione per l’installazione e la disinstallazione (richiede il
supporto dell’update)– Deadline basate su date– Approvazione per target group:
• Update diverse installate su target group diversi• Deadline differenti a seconda dei target group• Azioni differenti a seconda dei target group
Caratteristiche
• Configurazione flessibile dell’Agente– Frequenza di Polling
– Comportamento della notifica e dell’installazione
– Comportamento del Reboot
– Utenti Non-amministratori possono installare gli update (come gli amministratori)
– Installazione allo Shutdown (solo XP SP2)
Caratteristiche di ottimizzazione della rete
• Resilient e trasparente– BITS* sia per i download client-server che per quelli server-server– Download in background
• Minimized data downloads– Update subscription – Scarica updates per i prodotti, e linguaggi di
cui si ha bisogno– Supporto per la tecnologia di “delta compression” per le
comunicazioni client-server– Opzione per scaricare solo gli update approvati (download on
demand)– Opzione per scaricare solo la descrizione degli (update & detection
file su MU)
*Background Intelligent Transfer Service
Reporting Features
• 1:1 reporting for updates
• and computers
Reporting Features
• 1: Many reporting for Updates– Per machine/per update/per target group
Reporting Features
• Report di Sincronizzazione– Cosa c’è di nuovo, cosa è cambiato
• Integrato con Event log– Status event dell’Agent e del server sono
inviati al event log locale• Tutte le informazione di reportistica
disponibili via Server .NET API
Flessibilità nella Gestione e nel Deployment 1/2
• Opzioni di Server deployment– Gli Update restano presso Microsoft Update
• WUS server funziona come punto di controllo
– Distribuzione gerarchica di server indipendenti• Manageability (e estendibilità)
– Server• API Server basate su .NET• Semplici regole per gestire il deployment automatico degli update
– Client• Possibilità di attivare l’ update detection lato Client da linea di
Comando• API COM based con supporto per scripting supporto remoto
Flessibilità nella Gestione e nel Deployment 2/2
• Wuauclt.exe / :– InstallAUClient– DetectNow– DownloadNow– StopDownload– TestWUSServer– ResetAuthorization /DetectNow
A grande richiesta ...
• Possibilità di esportare le patch scaricate da una macchina WSUS a un’altra macchina WSUS
• Possibilità di usare una porta alternativa– Port 8530– Utile per Side by Side con SUS o altri servizi– Si può implementare:
• Durante il Setup• Dopo l’installazione
– Necessario modificare la URL HTTP://WSUS:8530
Gestione patch su una rete non connessa• Importo le Patch da un server WSUS connesso a uno
disconnesso• 3 passi
– I due WSUS devono avere le stesse impostazioni delle advanced synchronization options
• express installation files feature e languages – Copiare il contenuto di \WSUS\WSUSContent\– Esportare gli Update Metadata dall’export server WSUS
• Da fare DOPO aver copiato WSUSContent• wsusutil.exe export export.cab export.log• Copiare export package (export.cab) sull’import WSUS
– Importare gli Update Metadata sull’import server WSUS• wsusutil.exe import export.cab import.log
– ZEN !!!! 3-4 ore per validare il contenuto importato
Customer Feature Requests
*Gestibile parzialmente attraverso la modifica della polling frequency e script
Feature più Richieste SUS 1.0 SP1 WUSSupporto per i service pack Installazione su SBS e domain controller Supporto per Office e altri prodotti MS Fornire reportistica (es. deployment status) Update targeting Migliorare il supporto per le reti con banda bassa Permettere di sottoscrivere solo una parte del contenuto Impostare la frequenza di polling per scaricare nuovi update Minimizzare le interruzioni dell’utente Emergency patch deployment (‘big red button’) *Deploy update per ISV e applicazioni custom
Supporto NT4
Distribuzione di Updates con WUS
Vantaggi di SMS
• Fornisce agli amministratori il controllo sulla gestione delle patch – Gestione temporanea e test prima dell'installazione– Stretto controllo sulle opzioni di gestione delle patch
• Automazione degli aspetti chiave del processo di gestione delle patch• Aggiornamento di un'ampia gamma di prodotti Microsoft • Possibilità di utilizzo per aggiornamento software di terze parti e per distribuzione
e installazione di aggiornamenti software o applicazioni
• Alto livello di flessibilità tramite l'utilizzo di script
SMS Inventory Tool for Microsoft Updates
• Costruito sull’agente Windows Update per l’analisi e l’installazione– Standalone scan tool – non richiede WUS server
o connettività a Internet– L’agente WU è nativo su tutti i sistemi operativi
Windows a partire da Windows Server 2003 SP1
• Distribuito come installazione stand-alone con SMS per i sistemi operativi precedenti
SMS Inventory Tool for Microsoft Updates
• Consistenza– I risultati di SMS sono consistenti con Microsoft
Update (MU) e Windows Udpate/Automatic Update (WU/AU)
• Copertura– Security updates, update rollups, e service packs– Windows, SQL Server, Exchange, Microsoft Office– Eventuallmente TUTTI i prodotti Microsoft
• Catalogo completo– Download automatico per tutti i linguaggi– Include opzioni da linea di Comando
Funzionamento di SMS
2.2. II componenticomponenti didi analisianalisi vengonovengono distribuitidistribuiti suisui clientclient SMSSMS
1.1. Impostazione:Impostazione: scaricarescaricare InventoryInventory ToolTool for Microsoft Update for Microsoft Update eded installarloinstallarlo
3.3. AnalisiAnalisi deidei client;client; ii risultatirisultati didi analisianalisi vengonovengono unitiuniti aiai datidati didi inventarioinventario hardwarehardware didi SMSSMS
4.4. L'amministratoreL'amministratore utilizzautilizza lala proceduraprocedura guidataguidata didi distribuzionedistribuzione deglidegli aggiornamentiaggiornamenti softwaresoftware perper autorizzareautorizzare gligli aggiornamentiaggiornamenti
6.6. L'agenteL'agente didi installazioneinstallazione aggiornamentiaggiornamenti softwaresoftware distribuiscedistribuisce gligli aggiornamentiaggiornamenti suisui clientclient
7.7. Periodicamente:Periodicamente: ilil componentecomponente didi sincronizzazionesincronizzazione verificaverifica lala disponibilitàdisponibilità didi nuovinuovi aggiornamenti,aggiornamenti, analizzaanalizza clientclient ee distribuiscedistribuisce gligli aggiornamentiaggiornamenti richiestirichiesti
5.5. DownloadDownload deidei filefile didi aggiornamento;aggiornamento; creazionecreazione ee aggiornamentoaggiornamento didi pacchetti,pacchetti, programmiprogrammi ee annunci;annunci; replicareplica deidei pacchettipacchetti ee annuncioannuncio deidei programmiprogrammi aiai clientclient SMSSMS
Area di download di Microsoft
Firewall
Server del sito SMS
Punto didistribuzione SMS
Client SMS
Client SMS
Client SMS
WUS vs. SMS
• Semplice vs. Avanzato• Supporto Client• Update / Distribuzione di Applicazioni• Funzionalità di Reporting
• WUS: Necessità di una soluzione che gestisca solo update management e che fornisca un update semplice per il software Microsoft
• SMS: Necessità di una soluzione di update management e di software distribution con un livello di controllo esteso per tutti i SO Window e per tutte le applicazioni, e soluzione per gestire l’asset management
Informazioni addizionali
• Informazioni su WUS (e SUS 1.0) www.microsoft.com/wus
• WUS news group
Community Resources• Community Resources
– http://www.microsoft.com/communities/default.mspx
• Most Valuable Professional (MVP)– http://www.microsoft.com/communities/mvp
• Newsgroups– Converse online with Microsoft Newsgroups,
including Worldwide– http://communities2.microsoft.com/communities/newsgroups/en-
us/default.aspx
• User Groups - Meet and learn with your peers– http://www.microsoft.com/communities/usergroupsdefault.mspx
Come acquistare Windows Server
• Promozione server per la media impresa
• Disponibile per l’acquisto in Open License e in Open Value
• Disponibile per il noleggio in Open Value Subscription da dicembre
Servers3x Windows Server StandardExchange Server StandardMOM Workgroup Edition50 Windows, Exchange CALs
CAL (250 Max)Windows + Exchange
PromozioneWindows Server System
Acquistalo con Open Value: è meglio!
• Open Value è più conveniente, più facile, più completo
• Pagamenti dilazionati• Il più basso costo annuale (Open Value
Subscription)• Prezzi bloccati e costi prevedibili per ogni anno• Inoltre…
…il Bundle in Open Value include:
• Software Assurance, l’opzione di manutenzione del software Microsoft, con i seguenti importanti benefici: – Supporto web illimitato e telefonico (1 chiamata)– 5 licenze server di backup gratuite – Tutte le informazioni tecniche sui nostri prodotti, patch, prodotti per
test – Corsi tecnici su CD interattivi; – Le versioni future dei server – Strumenti per la semplificazione dell’installazione/distribuzione del
software– Strumenti per l’individuazione degli errori in rete e la definizione delle
priorità d’intervento– Estensione del supporto tecnico oltre al periodo standard di 5 anni,
senza pagamento del canone annuale
Come acquistare Systems Management Server: Open Value
• Open Value è più conveniente, più facile, più completo
• Pagamenti dilazionati• Il più basso costo annuale (Open Value
Subscription)• Prezzi bloccati e costi prevedibili per ogni anno• Core Cal: 4 tipi di licenze ad un prezzo forfettario
– Cal per i server Windows, Exchange, SharePoint portal, System Management
– Disponibili sconto del 15%
Open Value include Software Assurance
• Software Assurance è la manutenzione del software Microsoft
• Include benefici importanti: – Supporto web illimitato e telefonico (1 chiamata)– Licenze server di backup gratuite – Tutte le informazioni tecniche sui nostri prodotti, patch, prodotti
per test – Corsi tecnici su CD interattivi; – Le versioni future dei server – Strumenti per la semplificazione dell’installazione/distribuzione
del software– Strumenti per l’individuazione degli errori in rete e la definizione
delle priorità d’intervento– Estensione del supporto tecnico oltre al periodo standard di 5
anni, senza pagamento del canone annuale
Come acquistare Small Business Server (SBS): Open Value
• Nuovi programmi di noleggio e acquisto• Più convenienti, più facili, più completi• Open Value Subscription
– Il più basso costo annuale
– Pagamenti dilazionati
– Prezzi bloccati e costi prevedibili per ogni anno
– Scegli un prodotto, te ne diamo 2: SBS e la futura versione inclusa nel prezzo!
– Sconto 15% per Office SBE + Windows + SBS cal
• A partire da 1 SBS o da 5 Cal
Come acquisire SBS: Open Value
• Facile essere in regola
• Benefici eccezionali:– La futura versione di SBS inclusa! – Licenze per il server di backup– Supporto web illimitato e telefonico
(1 chiamata) – Corso su CD interattivo
• ...e molti altri!
© 2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.