Windows Patchmanagement Michael Kalbe Technologieberater - Security Microsoft Deutschland GmbH

Agenda Patchmanagement – Allgemeiner Überblick Was ist WUS und wie funktioniert WUS? WUS Komponenten Durch WUS Unterstützte Produkte Neue Funktionen Verteilungs und Management Flexibilität Überlegungen zum Einsatz von WUS Unterschiede zu SMS

Mehrstufige Verteidigung Verwenden eines mehrschichtigen Sicherheitsmodells Erhöht die Wahrscheinlichkeit, dass ein Angreifer entdeckt wird Verringert die Erfolgsaussichten eines Angriffs Richtlinien, Verfahren und Bewusstsein Betriebssystemhärtung, Authentifizierung, Patchverwaltung, HIDS Firewalls, VPN-Quarantäne Sicherheitskräfte, Schlösser, Überwachungsgeräte Netzwerksegmente, IPSec, NIDS Anwendungshärtung, Antivirussoftware ACL, Verschlüsselung Benutzerschulung Physische Sicherheit Perimeter Internes Netzwerk Host Anwendung Daten

Ablauf bis zur Ausnutzung einer Sicherheitslücke Meldung der Sicherheitslücke Entwicklung des Patches Veröffentlichung von Security Bulletin und Patch Reverse Engineering von Patch Erstellung des Wurm-/Viruscodes Einsatz des Wurms/Virus Kein Angriff Sicherheitslücke ist nur Microsoft und der betroffenen Person bekannt Kein Angriff Sicherheitslücke ist nur Microsoft und der betroffenen Person bekannt Kein Angriff Sicherheitslücke veröffentlicht, aber Informationen zum Angriff nicht verfügbar Kein Angriff Informationen zum Angriff verfügbar, aber Virus/Wurm nicht verfügbar Kein Angriff Virus/Wurm verfügbar, aber noch nicht eingesetzt Angriff Virus/Wurm eingesetzt, ungeschützte Systeme/Syste me ohne Patches werden infiziert Schnelle Absicherung von Systemen und Installieren von Patches, bevor ein Angriff erfolgt

Produkte, Tools und Automatisierung Konsistent und wiederholbar Kenntnisse, Funktionen und Aufgaben Verfahren Mitarbeiter Technologien Erfolgreiche Patchverwaltung

Microsoft-Leitfaden zur Sicherheitspatch-Verwaltung

Patchverwaltungs-Prozess 1. Bewertung der Umgebung, in der Patches installiert werden sollen Regelmäßige Aufgaben A. Erstellen/Warten einer Baseline für Systeme B. Bewerten der Architektur für die Patchverwaltung C. Überprüfen der Infrastruktur/ Konfiguration Kontinuierliche Aufgaben A. Erkennen von Ressourcen B. Bestandsaufnahme von Clients 1. Bewerten 2. Identifizieren 4. Bereitstellen 3. Evaluieren und Planen 2. Identifizieren von neuen Patches Aufgaben A. Identifizieren von neuen Patches B. Bestimmen der Relevanz des Patches C. Überprüfen der Patchauthentizität und -integrität 3. Evaluieren und Planen der Patchbereitstellung Aufgaben A. Einholen der Genehmigung zum Bereitstellen des Patches B. Durchführen einer Risikobewertung C. Planen der Patchveröffentlichung D. Testen der Akzeptanz des Patches 4. Bereitstellen des Patches Aufgaben A. Verteilen und Installieren des Patches B. Berichten über Fortschritt C. Behandeln von Ausnahmen D. Überprüfen der Bereitstellung

Heute Office Update Download Center SUS SMS VS Update Windows Update Nur Windows Updating Roadmap Windows, SQL, Exchange, Office… AutoUpdate

In Zukunft Windows, SQL, Exchange, Office… Windows, SQL, Exchange, Office… SMS “Microsoft Update” (Windows Update) WindowsUpdateServices Updating Roadmap AutoUpdate Windows, SQL, Exchange, Office…

Agenda Patchmanagement – Allgemeiner Überblick Was ist WUS und wie funktioniert WUS? WUS Komponenten Von WUS Unterstützte Produkte Neue Funktionen Verteilungs und Management Flexibilität Überlegungen zum Einsatz von WUS Unterschiede zu SMS

Was ist der Windows Update Service? Lösung für update Management in Unternehmen Verwaltung, Kontrolle und automatisierte Verteilung von Microsoft Software updates Aufgrund Administratoren Erfahrungen optimiert für ‘IT Generalisten’ Nächste Version des Software Update Services (SUS) 1.0 Zentrale update management infrastructure in Windows Ermöglicht es SMS, MBSA, sowie anderen Microsoft und 3 rd party Programmen eine einheitliche Infrastruktur zu nutzen “Single update analysis engine” für unterstützte Microsoft Software Erweiterungsmöglichkeit durch Client und Server APIs Komponente des Windows Server Frei für Windows Server (2000 und höher) lizenzen System die aktualiesiert werden benötigen Windows oder Core CAL für den Zugriff zum Windows Server Lauffähig unter Windows Server 2003 Web Edition und benötigt daher keine CALs Lizenz Details unter:

Rechner installieren die vom Administrator genehmigten Updates Administrator genehmigt die updates Administrator “abonniert” die Update KategorienServer holt die “updates” von Microsoft UpdateRechner registrieren sich beim Server Administrator ordnet die Rechner in unterschiedliche Gruppen ein Microsoft Update WUS Server Desktop Clients Gruppe 1 Server Clients Gruppe 2 WUS Administrator WUS Funktionsweise

Agenda Patchmanagement – Allgemeiner Überblick Was ist WUS und wie funktioniert WUS? WUS Komponenten Von WUS Unterstützte Produkte Neue Funktionen Verteilungs und Management Flexibilität Überlegungen zum Einsatz von WUS Unterschiede zu SMS

WUS Komponente: Service Unterstütze Software Windows Update Microsoft Update Windows (2000 SP3+, XP+, WS2003) √√ Office (XP & 2003) √ SQL Server 2000, MSDE 2000 √ Exchange 2003 √ Zukünftige Microsoft Produkte √ SUS 1.0 synchronisiert mit Windows Update WUS synchronisiert mit Microsoft Update Beide Dienste auf eine modifizierte Version der Windows Update Services aufgebaut

WUS Komponente: Server Intranet hosted Server Simple GUI für die Administrativen Tätigkeiten Unterstützt ein hierarchisches Verteilungsmodell (scale out) SQL-basierte Datenbank für alle anfalenden Daten (Ausnahme: Software Files/Patches) Basierend auf dem.Net Framework Built-in security features Überprüft bei allen Downloads die Microsoft Zertifikate Alle Downloads werden sicher ACL’ed

WUS Komponente: Client Win32 Service (Agent) Update Handlers Built-in self-update Automatische Update Funktion per Richtline konfigurierbar Built-in security features Überprüft bei allen Downloads die Microsoft Zertifikate Alle Downloads werden sicher ACL’ed

Agenda Patchmanagement – Allgemeiner Überblick Was ist WUS und wie funktioniert WUS? WUS Komponenten Durch WUS Unterstützte Produkte Neue Funktionen Verteilungs und Management Flexibilität Überlegungen zum Einsatz von WUS Unterschiede zu SMS

Unterstützte Produkte, Updates, & Plattformen Unterstützte Produke: wie Microsoft Update Unterstützte update Typen Security updates, critical updates, critical driver updates, non- critical updates, service packs Zukünftige Produkte & Update Typen werden unterstützt WUS Client & Server läuft unter Windows 2000 SP3 (SP4 für Server) und höher Windows XP und höher (nur WUS Client) Windows Server 2003 und höher Alle Lokalisierten Versionen (incl. MUI)

Agenda Patchmanagement – Allgemeiner Überblick Was ist WUS und wie funktioniert WUS? WUS Komponenten Von WUS Unterstützte Produkte Neue Funktionen Verteilungs und Management Flexibilität Überlegungen zum Einsatz von WUS Unterschiede zu SMS

Update Management Zielgruppen Steuerung Registry-basierende Richtlinien Unterstützung für AD Umgebungen Serverseitige Listen für nicht-AD Umgebungen Administrator Kontrollen Initierter Scan von Maschinen auf Patch Anwendbarkeit Genehmigung der Installation und Deinstallation Datum-basierende “deadlines” für genehmigte updates Verteilung unterschiedlicher updates an verschiedene Zielgruppen Konfigurierbare Client Polling Frequenz Kofigurierbares neustart Verhalten Port Konfiguration (WUS Port) Nicht-Administratoren können die Updates installieren (wie Administratoren) Install beim Herunterfahren (XP SP2 only)

Netzwerk Optimierung Strapazierfähig und transparent BITS* für Client-Server und Server-Server Downloads Downloads werden im Hintergrund durchgeführt Minimiertes Datenvolumen Update Abonnement (pro Produkt/Einstufung) Unterstützt die “delta compression” Technologie für Client-Server Kommunikation Optional nur genehmigte Downloads herunterladen *Background Intelligent Transfer Service

Reporting Funktionen Konsolidierte Reports (der Client Aktivitäten) Pro Computer/pro Update/pro Zielgruppe Download, Installations detailiert Erfolgs- & Fehlermeldungen mit weiteren Informationen Status Report der Synchronisation Was ist neu, was wurde geändert Gesammelte Reports für mehrere Server Zusammenfassung (event roll-up) zum “parent Server” Event log Integration Client und Server Status events werden in den lokalen Event Log eingetragen

Windows Update Service demo demo

Agenda Patchmanagement – Allgemeiner Überblick Was ist WUS und wie funktioniert WUS? WUS Komponenten Von WUS Unterstützte Produkte Neue Funktionen Verteilungs und Management Flexibilität Überlegungen zum Einsatz von WUS Unterschiede zu SMS

Verteilungs - Management / Flexibilität Server Verteiloptionen Updates hosted on Microsoft Update WUS Server verhält sich wie ein Kontrollpunkt Hierarchisches verteielen unabhängige Server (ohne Vererbung) Managebarkeit (und Erweiterbarkeit).NET basierende Server APIs (für Admin Tasks) COM basierende Client APIs (mit Skripting & Remote Unterstützung) Automatisches verteilen von Updates Command Line Optionen um die Update Suche zu aktivieren

Kunden “Feature Requests” *Partially addressed through polling frequency control and scripts Top Requested Features SUS 1.0 SP1 WUS Support für Service Packs Installation auf SBS und Domain Controllern Unterstützung von Office und anderen MS Produkten Unterstützung für weiter Aktualisierungstypen Update uninstall Update Zieldefinition / Gruppierung Verbesserte Unterstützung für Netzwerke mit niedrigen Bandbreiten Reduzierte Grösse der Aktualisierungen Einstellbare Polling Frequenz für den Download von neuen Updates Minimimierung Endanwender beeinflussung Emergency patch deployment (‘big red button’) * Verteilung von ISV und Eigenen Applikations Updates NT4 Unterstützung

Zusammenfassung Genauere und bessere Verwaltung und Integriertes Reporting Einfache Identifikation der fehleneden Updates Überwachung und Überprüfung der Updateverteilung Erhöhung der Produktivität Einfache und zwingende Installation von Updates Effizientes administrieren der Update Management Implementation Reduzierte Endanwender beeinflussung und “system downtime” Bessere administrative Kontrolle Kontollmöglichkeit wie die Updates von Microsoft geladen werden Einfache Auswahl von Zielgruppen für die Updateverteilung Effiziente Kontrolle, wann Updates übertragen und installiert werden sollen Reduzierung der IT Kosten Niedrige Bereitstellungs- und Implementierungskosten Starke reduzierung der laufenden Betriebskosten Reduziert die Infrastruktur Kosten und Komplexität Windows Update Services ermöglicht es IT Administratoren auf einfache Art, Microsoft Software Updates zu verwalten, kontrollieren und automatisch zu verteilen.

Agenda Patchmanagement – Allgemeiner Überblick Was ist WUS und wie funktioniert WUS? WUS Komponenten Von WUS Unterstützte Produkte Neue Funktionen Verteilungs und Management Flexibilität Überlegungen zum Einsatz von WUS Unterschiede zu SMS

Auswahl der passenden Lösung zur Patchverwaltung *Customer uses Windows Update, another update tool, or manual update process for OS versions & applications not supported by Windows Update Services or Microsoft Update KundentypSzenarioEmpfehlung Mittleres oder großes Unternehmen Es wird eine flexible Lösung zur Patchverwaltung mit erweiterten Steuerungsmöglichkeiten zum Installieren von Patches, zur Aktualisierung (und Verteilung) der gesamten Software benötigt. SMS 2003 Es wird eine flexible Lösung zur Patchverwaltung mit einfachen Steuerungsmöglichkeiten zur Aktualisierung von Windows (Win2K & neuer), Office (2003 & XP), Exchange 2003, SQL Server 2000, und MSDE 2000 benötigt. Windows Update Services* Kleine Unternehmen Mindestens 1 Windows Server und 1 IT Administrator Windows Update Services* Alle anderen Szenarien Microsoft Update* Privatkunde Alle Szenarien Microsoft Update*

Agenda Patchmanagement – Allgemeiner Überblick Was ist WUS und wie funktioniert WUS? WUS Komponenten Von WUS Unterstützte Produkte Neue Funktionen Verteilungs und Management Flexibilität Überlegungen zum Einsatz von WUS Unterschiede zu SMS

Übernehmen Sie die Lösung, die am besten für Ihr Unternehmen geeignet ist. Microsoft Update, WUS, & SMS 2003 im Vergleich Capability Microsoft Update Windows Update Services SMS 2003 Supported Software and Content Supported Software for Content Same as Windows Update Services + WinXP Home Win2K, WS2003, WinXP Pro, Office 2003, Office XP, Exchange 2003, SQL Server 2000, MSDE Same as Windows Update Services + NT 4.0 & Win98* + can update any other Windows based software Supported Content Types for Supported Software All software updates, critical driver updates, service packs (SPs), and feature packs (FPs) All software updates, critical driver updates, SPs, & FPs All updates, SPs, & FPs + supports update & app installs for any Windows based software Update Management Capabilities Targeting Content to Systems N/ASimpleAdvanced Network Bandwidth Optimization YesYesYes Patch Distribution Control N/ASimpleAdvanced Patch Installation & Scheduling Flexibility Manual & end user controlled SimpleAdvanced Patch Installation Status Reporting Install errors reported to user. Lists missing updates for accessing computer SimpleAdvanced Deployment Planning N/ASimpleAdvanced Inventory Management N/ANoYes Compliance Checking N/A No – status reporting only Advanced *MBSA does not support scanning Win98 – Win98 can be updated using SMS2003 inventory management and software distribution capabilities

Weitere Informationen Windows Update Services – offene Evaluierungsversion Microsoft Sicherheitssite (alle Zielgruppen) TechNet Sicherheitssite (IT-Fachkräfte) MSDN Sicherheitssite (Entwickler)