Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Michael Kalbe Manager Technical Evangelism Microsoft Deutschland GmbH.

Ähnliche Präsentationen


Präsentation zum Thema: "Michael Kalbe Manager Technical Evangelism Microsoft Deutschland GmbH."—  Präsentation transkript:

1 Michael Kalbe Manager Technical Evangelism Microsoft Deutschland GmbH

2 Notes (hidden) In dieser Session werden die grundlegenden Aspekte der Patchverwaltung in Umgebungen mit Microsoft Windows®-Betriebssystemen vorgestellt und die wichtigsten Tools, Technologien und Verfahren (einschliesslich dem von Microsoft empfohlenen vierphasige Patchverwaltungsprozess), die Microsoft für diese Aufgabe empfiehlt. NEXT:

3 am Beispiel: Windows Server Update Services 3.0 und System Center Essentials

4 Patch Management und Patch Testing Herausforderungen des Patch Managements Grundlagen des Patch Managements Patch Testing im Rahmen des Patch Managements Patch Testing Tools und Resourcen Microsoft Application Compatibility Toolkit (ACT) Microsoft Virtual Server 2005 R2 und Windows Virtualization Microsoft Windows Update Microsoft Windows Server Update Services 3.0 Microsoft System Center Essentials 2007 Network Access Protection in Microsoft Windows Server 2008

5 Since human beings themselves are not fully debugged yet, there will be bugs in your code no matter what you do. -Chris Mason

6 Öffentliche Quelle:

7 Angriff Datum der bekanntgegebenen Entdeckung MSRC- Schweregrad MSRC- Bulletin Datum des MSRC- Bulletins Tage vor dem Angriff Trojan.Kaht 5. Mai 2003KritischMS SQL Slammer 24. Januar 2003KritischMS Klez-E 17. Januar 2002*MS Nimda 18. September 2001*MS Code Red 16. Juli 2001*MS

8 Patch Management ist integraler Bestandteil jeder Security Policy. Patches minimieren das Risikoprofil durch das Beheben von Verwundbarkeiten. Patch Management berührt mehrere Ebenen des Security-in- Depth Modells: Anwendungen ( z.B. MS Office) Host (z.B. Windows Vista) Internes Netzwerk (H ardware, Switches, Servers, etc.) Perimeter ( Router und Firewalls) Richtlinien, Verfahren & Sicherheitsbewusstsein ( Patch Management ist ein Prozess) Security Defense-in-Depth Richtlinien, Verfahren & Sicherheitsbewusstsein Perimeter Internes Netzwerk Host Anwendung Daten Physische Absicherung Patch Management

9 Fehlen aktueller und korrekter Inventurdaten Fehlen eines etablierten Prozesses Erhalten zeitnaher Informationen über Patches Verstehen der Auswirkungen eines Patches Fehlen von Zeit und Ressourcen für Patch- Testing Begründung der Kosten für Patch Management Bereitstellen im Verwundbarkeitszeitfenster Bedenken über Patchinkompatibilitäten BEURTEILEN BESTIMMEN PRÜFEN & PLANEN BEREITSTELLE N

10 1.Beurteilen Sammeln technischer Informationen über die Ausnutzbarkeit der Sicherheitslücke Sammeln von Abschwächungsfaktoren Einschätzen der Gefahren zur Festlegung von Prioritäten 2.Bestimmen Technical Security Notifications Security Notification Service RSS: Security for IT Professionals Windows Live Alert: Technical Security Update Alerts Windows Update Assess Identify Evaluate Deploy

11 3.Prüfen & Planen Methoden zum Testen von Patches Planen der Bereitstellung Überprüfen der Installation Management von Veränderungsprozessen 4.Bereitstellen Zuverlässige Implementierung im Produktionssystem Effiziente Bereitstellung Compliance Reporting Compliance Enforcement Assess Identify Evaluate Deploy

12 Baseline- oder Gold-Images müssen speziell geschützt und zentral verwaltet werden. Patch Testing erfolgt immer nur gegen Kopien der Gold-Images. Jede erfolgreich getestete Änderung, die in das Produktionssystem übernommen wird, wird in das Gold-Image überführt. Gold-Images der Testumgebung müssen immer aktuell gehalten werden, um den Stand der Produktionsumgebung abbilden zu können.

13 Vorteile durch Virtualisierung Erhöhte Flexibilität Geringere TCO für Testnetz Verringerter Platzbedarf Schnellere Bereitstellungszeiten

14 Virtuelles Netzwerkdesign Vollständige Isolation jedes Hosts Isoliert mit Netzwerkzugriff (NAT) Isoliertes VLAN mit Domainzugriff Virtuelles Maschinendesign Hosts enthalten eine Reihe virtueller Maschinen gruppiert nach Funktion Hosts enthalten virtuelle Maschinen gruppiert nach Lokation (Remote Office) Gemischtes Design gruppiert nach Funktion, Lokation und Serverlast des Virtual Server Hosts

15 Rechner installieren die vom Administrator genehmigten Updates Administrator genehmigt die Updates Administrator abonniert die Update Kategorien Server holt die Updates von Microsoft Update Rechner registrieren sich beim Server Administrator ordnet die Rechner in unterschiedliche Gruppen ein Microsoft Update WSUS Server Desktop Clients Gruppe 1 Server Clients Gruppe 2 WSUS Administrator

16 Microsoft Update WSUS Server Downstream

17 Microsoft Update WSUS Server Offline Medium

18 { Windows Sever Update Services 3.0 }

19 Einheitliche Konsole Bestandsaufnahme der Desktops & Server Umfassende Überwachung der IT Dienste Einheitliche Berichterstattung Zentrale Verteilung von Software Automatisierte Updateverwaltung Einfache Installation, Einrichtung & Einführung inkl. Remote Mangement

20 WSUS 3.0OpsMgr 2007

21 { System Center Essentials 2007 }

22 Hardware und Softwareeigenschaften werden von den Clients eingesammelt Softwaredaten stammen aus der Registry und zeigen die gleichen Applikationen wie Add/Remove aus dem Control Panel Hardwaredaten werden über einen WMI Provider ausgelesen: Harddisk und Speichernutzung, Netzwerk etc.

23 Alle Funktionen unterstützt Clustering, Log Shipping, Backup, SQL Server Agent Instanzen, Datenbanken, Jobs, Dateigruppen, Rollen, Replikation 3 Überwachungsarten Verfügbarkeit, Performance, Konfiguration

24 Exchange 2003 / 2007 SQL Server 2000 / 2005 / 2008* Windows Server 2003 / 2008* AD, DHCP, DNS, IIS, DFS, RRAS… Sharepoint & MOSS Server Hardware von HP, IBM, Dell, Intel… Netzwerk-Geräte Microsoft Dynamics… Vorgabe für alle Microsoft Serverprodukte *mit und nach Produktverfügbarkeit

25

26 Health-Model erlaubt Reporting vom Exchange Service bis hinunter zu einzelnen Komponenten Konfigurationsüberwachung erlaubt Änderungsberichte über die Zeitachse zum Vergleichen

27 Automatische Konfiguration der GPOs Unterstützt Microsoft, 3 rd Party & Custom Updates Update now Funktionalität Überwachung des Update Status Täglicher Übersichtsbericht

28 Unterstützte Versionen Windows 2000 Professional, Windows XP und Windows Vista; Office XP, 2003, 2007, Zusatz-Meldungen für Outlook über Exchange Berichte über Ihre Gesamtumgebung Stürzen meine Applikationen ab? Brauchen meine Anwendungen zu viel Systemressourcen? Wie sind die Antwortzeiten? Anwendungsspezifische Aussagen Können meine Outlook Anwender s empfangen / senden? Kann der IE auf Webseiten zugreifen? Können Windows Desktops auf Datenbanken zugreifen? Kann man auf File-Shares / Sharepoint zugreifen?

29

30 Detaillierte PC Übersicht für die Helpdesk-Mitarbeiter inkl. Update-Now Schneller Zugriff auf typische Trouble-Shooting Tasks: Ping, IPConfig, Auflisten der Prozesse etc. Remote-Zugriff Unterstützung direkt aus SCE Konsole (Windows XP / Windows Vista)

31 Benutzerverwaltung ist Bestandteil der Plattform: Active Directory & GPOs Neue Funktionen mit Group Preferences! Windows PowerShell hilft beim Automatisieren Lernen Sie mehr in meinen Gratisworkshops! PCs aufsetzen ist Bestandteil der Plattform: Windows Deployment Services Kostenlos PC Images erstellen und verteilen Multicast-Support im Windows Server 2008 Microsoft Deployment beschreibt alles im Detail

32 1 Windows Server 2003 SP1 oder höher SQL Server 2005 SP1 als zentrale Datenbank Express Edition liegt bei Das Produkt unterstützt bis zu 500 Desktops Windows 2000 SP4, XP SP2 & Vista (32 / 64bit) 30 Server Windows 2000 SP4, Windows 2003 SP1 & R2 beliebig viele SNMP Netzwerkkomponenten OSI Schicht 3 und niedriger

33 Vor einer Neuinstallation erst den Rollup-Fix von Microsoft Downloads einspielen Slip-Stream Installation, erzeugt neues Medium SCE basiert auf WSUS 3.0 und OpsMgr 2007 WSUS 3.0 SP1 wird nicht unterstützt! OpsMgr 2007 SP1 wird nicht unterstützt Warten Sie auf das SCE 2007 SP1, welches WSUS 3.0SP1 und OpsMgr 2007 SP1 beinhaltet

34

35 Normerweise haben Mittelstandkunden bereits (Teil-) Lösungen im Einsatz Eine denkbare Einführung kann so aussehen: 1.Beginn der Server- und Netzwerküberwachung zur schnellen Problemerkennung und –lösung 2.Umstellen auf zentrale Updateverteilung 3.Inventarisierung aller Desktop Systeme 4.Umstellen des Helpdesks 5.Einführung der Softwareverteilung

36 Intel hat SCE lizenziert und liefert es mit seinen Serverprodukten aus Bestandteil ist eine Einzelserverüberwachung Intel bietet Upgradekey auf bis zu 15 Server Intel bietet Upgradekey auf SCE 2007 Intel ® System Management Software

37 Nicht richtlinien- konform 1 Einge-schränktesNetzwerk Client bittet um Zugang zum Netzwerk und präsentiert seinen gegenwärtigen Gesundheitszustand. 1 4 Falls nicht richtlinien-konform, wird Client in ein eingeschränktes VLAN umgeleitet und erhält Zugriff auf Ressourcen wie Patches, Konfigurationen und Signaturen. 2 DHCP, VPN oder Switch/Router leitet Gesundheitszustand an Microsoft Network Policy-Server (RADIUS-basierend) weiter. 5 Bei Richtlinien-Konformität wird vollständiger Zugang zum Unternehmensnetz gewährt. MSFT NPS 3 Policy Server z.B. Patch, AV Richtlinien- konform 3 Network Policy Server (NPS) validiert diesen mit der von der Unternehmens-IT definierten Gesundheitsrichtlinie. 2 Windows-Client DHCP, VPN, Switch/Router Fix-Up-Server z.B. Patch Unternehmensnetz 5 4

38 Windows Live OneCare Safety Scanner Windows Update Microsoft Baseline Security Analyzer (MBSA) Microsoft Application Compatibility Toolkit (ACT) Network Access Protection (Windows Server 2008) Windows Server Update Services (WSUS) 3.0 System Center Configuration Manager Virtual Server 2005 R2 und Windows Virtualization

39 Information zu Patch Management: pics/Patch Management.mspx Der Patchverwaltungsprozess – Einführung atenbank/articles/ mspx Implementieren der Patchverwaltung ary/security/ErhoehenDerSicherheitVonWeb anwendungen/secmod108.mspx?mfr=true

40 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.


Herunterladen ppt "Michael Kalbe Manager Technical Evangelism Microsoft Deutschland GmbH."

Ähnliche Präsentationen


Google-Anzeigen