Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant.

Ähnliche Präsentationen


Präsentation zum Thema: "Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant."—  Präsentation transkript:

1 Effizientes Patch-Management Thorvald Kik

2 Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant Hansevision GmbH

3 Agenda Anforderungen Patch Management – Braucht man das wirklich ? Was muß Patch Management leisten ? Lösungsansätze Welche Tools stehen heute zur Verfügung Welches Tool ist das Richtige für Sie Ausblick Zukünftig verfügbare Lösungen Fragen und Antworten

4 Zeit bis Exploit immer kürzer Exploits immer raffinierter Aktueller Ansatz reicht nicht aus Sie haben immer weniger Zeit für das Rollout eines Patches! Blaster Welchia/ Nachi Nimda 25 SQL Slammer Tage zwischen Patch und Exploit Sicherheit verbessern

5 Herausforderungen Bestandsaufnahme Welche Systeme sind zu patchen Welche Software ist zu patchen Ständige Kontrolle Gibt es neue Patches? Erkennen der Wichtigkeit spezifischer Patches Sind alle Systeme auf dem neuesten Stand? Funktionalität sicherstellen Test vor Implementierung notwendig Einfluß auf die bestehende (und laufende) Umgebung Was ändert das einzelne Patch Abhängigkeiten zwischen Komponenten Deinstallation eines Patches Schnelle Implementation Schnelligkeit bei der Implementierung neuer Patches

6 Microsoft Severity Ratings Rating Empfohlener Zeitrahmen bis Installation Kritisch Innerhalb von 24 Stunden nach Verfügbarkeit Hoch Innerhalb von 1 Monat nach Verfügbarkeit Mittel Innerhalb von 4 Monaten nach Verfügbarkeit Abhängig von der Dringlichkeit der Funktionalität abwarten bis zum nächsten Service Pack oder Patch Rollup Niedrig Innerhalb von 12 Monaten nach Verfügbarkeit Abhängig von der Dringlichkeit der Funktionalität abwarten bis zum nächsten Service Pack oder Patch Rollup

7 Patch Management Prozess 1. Inventarisierung Periodische Aufgaben A. Systeme auf gleichen Stand bringen (Baseline) B. Nutzung der Patch Management Lösung (Sofern vorhanden) C. Überarbeiten der Infrastruktur/ Konfiguration Ständige Aufgaben A. Neue Geräte entdecken B. Clients inventarisieren 1. Assess 2. Identify 4. Deploy 3. Evaluate & Plan 2. Identifizierung neuer Patches Aufgaben A. Neue Patches in Erfahrung bringen B. Relevanz bestimmen C. Überprüfung und Test des Patches auf isoliertem System 3. Evaluierung & Planung Aufgaben A. Genehmigung der Patch Installation B. Risikoanalyse C. Planung des Rollouts D. Test in Pilotumgebung abschließen 4. Umsetzung und Installation Aufgaben A. Verteilung / Installation des Patches B. Berichte über Fortschritt C. Ausnahmebehandlung D. Auswertung und Optimierung des Deploymentprozesses

8 Bremsende Faktoren Anzahl und Häufigkeit der Patches Ungenügende Kommunikation Inkonsistente Lösungswege bei Patchen Verschiedene Patch Management Tools Inkonsistente Patch Qualität

9 Lösungskomponenten Analyse Tools Microsoft Baseline Security Analyzer (MBSA) Office Inventory Tool Online Update Dienste Windows Update Office Update Download Kataloge Windows Update Catalog Office Download Catalog Microsoft Download Center Management Tools Automatic Updates (AU) Feature in Windows Software Update Services (SUS) Systems Management Server (SMS) Hilfen und Nachschlage- werke Microsoft Guide to Security Patch Management Patch Management Using SUS Patch Management Using SMS

10 Microsoft Baseline Security Analyser Automatisierte Erkennung fehlender Sicherheitspatches und Fehlkonfigurationen Ermöglicht dem Administrator, von zentraler Stelle aus eine große Anzahl von systemem simultan zu scannen Deckt eine große Anzahl von Microsoft Produkten ab, nicht nur Windows

11 MBSA: Was erkannt wird Fehlkonfigurationen: Windows NT 4.0, Windows 2000, Windows Server 2003, Windows XP IIS 4.0, IIS 5.0, IIS 6.0 SQL 7.0, SQL 2000 IE 5.01 und neuere Versionen Office 2000, Office XP Fehlende Patches / Updates: Windows NT 4.0, Windows 2000, Windows Server 2003, Windows XP IIS 4.0, IIS 5.0, IIS 6.0 SQL 7.0, SQL 2000 (auch MSDE) IE 5.01 und neuere Versionen Exchange 5.5, Exchange 2000 Windows Media Player 6.4 und neuere Versionen

12 Scan a Computer

13 Viewing a Security Report

14 Windows Update (Website) Enthält alle Windows Patches & Updates Automatisiert Scan und anschließende Installation für Patches und Updates Einfachste Nutzung, auch für unerfahrene Nutzer Hält das System aktuell mit den letzten Sicherheitsupdates und kritischen Patchen

15 Windows Update (Dienst) Prüft regelmäßig auf neue Patches (1-22h) Fehlertoleranter Download der Patches vom WU Server im Hintergrund (BITS Technologie) Kann vollständig automatisiert im Hintergrund arbeiten Hält das System aktuell mit den letzten Sicherheitsupdates und kritischen Patchen

16 Windows Update Unterstützung für : Kritische Updates und Sicherheitsrelevante Updates Empfohlene Downloads Internet und Multimedia Updates – IE, Media Player, etc. Windows Tools & Utilities Zusätzliche Windows Downloads – Updates für Desktop Einstellungen und andere Windows Features Multi-Language Features – Menüs und Dialoge, sprachen support, etc. Windows Logo Hardware Treiber Für folgende Systeme: Windows 98 / 98SE Windows ME Windows 2000/XP Windows 2003

17 Office Update (Website) Pendant zum Windows Update Automatisches scannen und Installation der Patches und Updates Einfache Nutzung – Auch für unerfahrene Benutzer Hält Office aktuell mit den letzten Sicherheitsupdates und kritischen Patchen

18 Office aktualisieren Data1.msi ver cache Excel.exe ver.11.0 ClientFileserver data1.msi ver Data1.msi ver Excel.exe ver.11.1 patch.msp ver Synch cache Nachinstallation und Reparieren scheitert! data1.msi ver Excel.exe ver.11.1 Nachinstallation und Reparieren funktioniert wieder! Msiexec /i data1.msi REINSTALL=All REINSTALLMODE=vomus

19 Office aktualisieren Data1.msi ver cache Excel.exe ver.11.0 ClientFileserver Data1.msi ver patch.exe ver Excel.exe ver.11.1 Nachinstallation und Reparieren funktioniert

20 Management Lösungen Software Update Service 1.0 Mit Automatic Update (AU) Systems Management Server 2003

21 Software Update Service (SUS) Ermöglicht kontrollierte Freigabe von Patchen und Updates durch den Administrator Gruppenrichtlinien verhindern Installation nicht freigegebener Updates von Windows Update Ermöglicht vorheriges Testen und Evaluieren von Updates vor der Installation Vereinfacht und automatisiert die Patch Auswahl und Installation auf die Clients Clients laden Updates optional direkt vom SUS Server herunter Einfache Bedienbarkeit vereinfacht und beschleunigt die Aktualisierung der Clients, wodurch Sicherheitsrisiken reduziert werden

22 SUS 1.0: Funktion Parent SUS Server Firewall untergeordneter SUS Server Windows Update Service Bandbreiten kontrolle 2.Administrator prüft, evaluiert und genehmigt Updates 1.SUS Server schaut alle Stunden nach neuen Updates 3.Genehmigungen & Updates werden synchronisiert mit unterg. SUS servern 4.AU erhält Liste mit genehmigten Updates vom SUS server 6.AU benachrichtigt den Benutzer oder installiert automatisch 7.AU verzeichnet Installation in Historie 5.AU lädt Updates vom SUS Server oder von Windows Update untergeordneter SUS Server Bandbreiten kontrolle

23

24 SUS 1.0: Funktion Parent SUS Server Firewall untergeordneter SUS Server Bandbreiten kontrolle Windows Update Service Bandbreiten kontrolle 2.Administrator prüft, evaluiert und genehmigt Updates 1.SUS Server schaut alle Stunden nach neuen Updates 3.Genehmigungen & Updates werden synchronisiert mit unterg. SUS servern 4.AU erhält Liste mit genehmigten Updates vom SUS server 6.AU benachrichtigt den Benutzer oder installiert automatisch 7.AU verzeichnet Installation in Historie 5.AU lädt Updates vom SUS Server oder von Windows Update

25 Systems Management Server 2003 Asset Management Soft- und Hardwareinventur Berichte Change and Configuration Management Softwareverteilung Patch Management für Office und Windows Helpdesk Remote Control License Management Lizenzmessung

26 SMS 2003 Patch Management Kontrolle über den gesamten Patch Management Prozess Erlaubt Evaluierung & Genehmigung der Updates vor der Installation Genaue Festlegung des Patch Prozesses möglich Automatisiert die Hauptaspekte des Patch Management Prozesses Kann auch genutzt werden für Updates von Software anderer Hersteller Unterstützung der Installation und Deinstallation von Softwareanwendungen und Patches Größtmögliche Flexibilität durch Nutzung der Scriptingmöglichkeiten

27 Firewall SMS Site Server SMS Distribution Point SMS Clients Microsoft Download Center SMS Distribution Point 2.Scan Komponenten auf Clients ausführen via Softwareverteilung 1.Setup: Download Security Update Inventory und Office Inventory Tools; Inventory Tool Installer ausführen 3.Clients gescannt; Scan Ergebnisse werden mit SMS Hardwareinventur eingeholt 4.Administrator startet Distri- bute Software Updates Wizard SMS Clients SMS 2003 Patch Management

28 Distribute Software Update Wizard

29

30 Firewall SMS Site Server SMS Distribution Point SMS Clients Microsoft Download Center SMS Distribution Point 2.Scan Komponenten auf Clients ausführen via Softwareverteilung 1.Setup: Download Security Update Inventory und Office Inventory Tools; Inventory Tool Installer ausführen 3.Clients gescannt; Scan Ergebnisse werden mit SMS Hardwareinventur eingeholt 4.Administrator startet Distri- bute Software Updates Wizard 6.Software Update Installation Agent auf den clients installiert updates 5.Download der Update Dateien; Pakete, Programme & Ankündigungen an Clients erstellt SMS Clients SMS 2003 Patch Management

31 Client Meldungen

32 Die richtige Lösung für Sie KundeScenario Empfehlun g Mittlere und gro ß e Firmen Ben ö tigt flexible Patch Management L ö sung um alle Anwendungen zu installieren, upzudaten, und zu deinstallieren SMS Ben ö tigt einfache Patch Management L ö sung um Windows 2000 und neuere Versionen zu patchen SUS Kleinere Firmen Mit mindestens 1 Windows Server und 1 Administrator SUS Alle anderen Szenarios Windows Update Endkunde Alle Szenarios Windows Update

33 Anleitungen Patch Management Guides Microsoft Guide to Security Patch Management Patch Management using Software Update Services Patch Management using Systems Management Server Globales Schulungs-Programm 2-tägige TechNet Security Schulungen Monatliche Security Webcasts Neue Beschreibungen Patterns and practices How-to configure for security How Microsoft Secures Microsoft

34 Patch Management Roadmap Kurzfristig Microsoft Update Patches und Updates von einer zentralen Stelle für alle Produkte SUS 2.0 (Frühjahr 2004) Einheitliche Infrastruktur für Patch Management Unterstützt weitere Microsoft Produkte Bedeutende Verbesserungen in der Patch Management Funktionalität MBSA 1.2 Verbesserung des Reporting Lokalisierung Breitere Produktunterstützung Integration des Office Update Inventory Tool MBSA 2.0 (Frühjahr 2004) Arbeitet mit SUS 2.0 zusammen Speichern der Daten in SQL server Engine Plugin ermöglicht Scannen von Anwendungen anderer Hersteller Langfristig (NGSCB) SUS wird in Windows integriert SUS unterstützt alle Microsoft Produkte SUS Infrastruktur kann auch als Patch Management Lösung von anderen Softwareherstellern genutzt werden

35 Fragen und Antworten

36 Ihr Potenzial. Unser Antrieb. Thorvald Kik Senior Consultant Hansevision GmbH


Herunterladen ppt "Effizientes Patch-Management Thorvald Kik. Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant."

Ähnliche Präsentationen


Google-Anzeigen