Effizientes Patch-Management Thorvald Kik <Vortragstitel> Effizientes Patch-Management Thorvald Kik

<Vortragstitel> Sicherer Betrieb des Microsoft Office Systems: Effizientes Patch-Management Thorvald Kik Senior Consultant Hansevision GmbH tkik@hansevision.de

<Vortragstitel> Agenda Anforderungen „Patch Management – Braucht man das wirklich ?“ Was muß Patch Management leisten ? Lösungsansätze Welche Tools stehen heute zur Verfügung Welches Tool ist das Richtige für Sie Ausblick Zukünftig verfügbare Lösungen Fragen und Antworten

Sicherheit verbessern <Vortragstitel> Sicherheit verbessern 151 180 331 Blaster Welchia/ Nachi Nimda 25 SQL Slammer Tage zwischen Patch und Exploit Zeit bis Exploit immer kürzer Exploits immer raffinierter Aktueller Ansatz reicht nicht aus Sie haben immer weniger Zeit für das Rollout eines Patches!

<Vortragstitel> Herausforderungen Bestandsaufnahme Welche Systeme sind zu patchen Welche Software ist zu patchen Ständige Kontrolle Gibt es neue Patches? Erkennen der Wichtigkeit spezifischer Patches Sind alle Systeme auf dem neuesten Stand? Funktionalität sicherstellen Test vor Implementierung notwendig Einfluß auf die bestehende (und laufende) Umgebung Was ändert das einzelne Patch Abhängigkeiten zwischen Komponenten Deinstallation eines Patches Schnelle Implementation Schnelligkeit bei der Implementierung neuer Patches

Microsoft Severity Ratings <Vortragstitel> Microsoft Severity Ratings Rating Empfohlener Zeitrahmen bis Installation Kritisch Innerhalb von 24 Stunden nach Verfügbarkeit Hoch Innerhalb von 1 Monat nach Verfügbarkeit Mittel Innerhalb von 4 Monaten nach Verfügbarkeit Abhängig von der Dringlichkeit der Funktionalität abwarten bis zum nächsten Service Pack oder Patch Rollup Niedrig Innerhalb von 12 Monaten nach Verfügbarkeit

Patch Management Prozess <Vortragstitel> Patch Management Prozess 1. Inventarisierung Periodische Aufgaben A. Systeme auf gleichen Stand bringen (Baseline) B. Nutzung der Patch Management Lösung (Sofern vorhanden) C. Überarbeiten der Infrastruktur/ Konfiguration Ständige Aufgaben A. Neue Geräte entdecken B. Clients inventarisieren 2. Identifizierung neuer Patches Aufgaben A. Neue Patches in Erfahrung bringen B. Relevanz bestimmen C. Überprüfung und Test des Patches auf isoliertem System 1. Assess 2. Identify 3. Evaluate & Plan 4. Deploy 4. Umsetzung und Installation Aufgaben A. Verteilung / Installation des Patches B. Berichte über Fortschritt C. Ausnahmebehandlung D. Auswertung und Optimierung des Deploymentprozesses 3. Evaluierung & Planung Aufgaben A. Genehmigung der Patch Installation B. Risikoanalyse C. Planung des Rollouts D. Test in Pilotumgebung abschließen

<Vortragstitel> Bremsende Faktoren Inkonsistente Lösungswege bei Patchen Ungenügende Kommunikation Anzahl und Häufigkeit der Patches Verschiedene Patch Management Tools Inkonsistente Patch Qualität

<Vortragstitel> Lösungskomponenten Analyse Tools Microsoft Baseline Security Analyzer (MBSA) Office Inventory Tool Online Update Dienste Windows Update Office Update Download Kataloge Windows Update Catalog Office Download Catalog Microsoft Download Center Management Tools Automatic Updates (AU) Feature in Windows Software Update Services (SUS) Systems Management Server (SMS) Hilfen und Nachschlage-werke Microsoft Guide to Security Patch Management Patch Management Using SUS Patch Management Using SMS

Microsoft Baseline Security Analyser <Vortragstitel> Microsoft Baseline Security Analyser Automatisierte Erkennung fehlender Sicherheitspatches und Fehlkonfigurationen Ermöglicht dem Administrator, von zentraler Stelle aus eine große Anzahl von systemem simultan zu scannen Deckt eine große Anzahl von Microsoft Produkten ab, nicht nur Windows

<Vortragstitel> MBSA: Was erkannt wird Fehlende Patches / Updates: Windows NT 4.0, Windows 2000, Windows Server 2003, Windows XP IIS 4.0, IIS 5.0, IIS 6.0 SQL 7.0, SQL 2000 (auch MSDE) IE 5.01 und neuere Versionen Exchange 5.5, Exchange 2000 Windows Media Player 6.4 und neuere Versionen Fehlkonfigurationen: Windows NT 4.0, Windows 2000, Windows Server 2003, Windows XP IIS 4.0, IIS 5.0, IIS 6.0 SQL 7.0, SQL 2000 IE 5.01 und neuere Versionen Office 2000, Office XP

<Vortragstitel> Scan a Computer

Viewing a Security Report <Vortragstitel> Viewing a Security Report

Windows Update (Website) <Vortragstitel> Windows Update (Website) Enthält alle Windows Patches & Updates Automatisiert Scan und anschließende Installation für Patches und Updates Einfachste Nutzung, auch für unerfahrene Nutzer Hält das System aktuell mit den letzten Sicherheitsupdates und kritischen Patchen

Windows Update (Dienst) <Vortragstitel> Windows Update (Dienst) Prüft regelmäßig auf neue Patches (1-22h) Fehlertoleranter Download der Patches vom WU Server im Hintergrund (BITS Technologie) Kann vollständig automatisiert im Hintergrund arbeiten Hält das System aktuell mit den letzten Sicherheitsupdates und kritischen Patchen

<Vortragstitel> Windows Update Unterstützung für : Kritische Updates und Sicherheitsrelevante Updates Empfohlene Downloads Internet und Multimedia Updates – IE, Media Player, etc. Windows Tools & Utilities Zusätzliche Windows Downloads – Updates für Desktop Einstellungen und andere Windows Features Multi-Language Features – Menüs und Dialoge, sprachen support, etc. Windows Logo Hardware Treiber Für folgende Systeme: Windows 98 / 98SE Windows ME Windows 2000/XP Windows 2003

Office Update (Website) <Vortragstitel> Office Update (Website) Pendant zum Windows Update Automatisches scannen und Installation der Patches und Updates Einfache Nutzung – Auch für unerfahrene Benutzer Hält Office aktuell mit den letzten Sicherheitsupdates und kritischen Patchen

<Vortragstitel> Office aktualisieren Msiexec /i data1.msi REINSTALL=All REINSTALLMODE=vomus patch.msp ver. 11.1 Nachinstallation und Reparieren scheitert! Nachinstallation und Reparieren funktioniert wieder! Excel.exe ver.11.1 Excel.exe ver.11.0 Data1.msi ver. 11.0 cache Excel.exe ver.11.0 Excel.exe ver.11.1 data1.msi ver. 11.1 Data1.msi ver. 11.0 data1.msi ver. 11.1 Synch cache Client Fileserver

<Vortragstitel> Office aktualisieren patch.exe ver. 11.1 Nachinstallation und Reparieren funktioniert Excel.exe ver.11.0 Excel.exe ver.11.1 Excel.exe ver.11.0 Data1.msi ver. 11.0 cache Data1.msi ver. 11.0 Client Fileserver

<Vortragstitel> Management Lösungen Software Update Service 1.0 Mit Automatic Update (AU) Systems Management Server 2003

Software Update Service (SUS) <Vortragstitel> Software Update Service (SUS) Ermöglicht kontrollierte Freigabe von Patchen und Updates durch den Administrator Gruppenrichtlinien verhindern Installation nicht freigegebener Updates von Windows Update Ermöglicht vorheriges Testen und Evaluieren von Updates vor der Installation Vereinfacht und automatisiert die Patch Auswahl und Installation auf die Clients Clients laden Updates optional direkt vom SUS Server herunter Einfache Bedienbarkeit vereinfacht und beschleunigt die Aktualisierung der Clients, wodurch Sicherheitsrisiken reduziert werden

<Vortragstitel> SUS 1.0: Funktion Windows Update Service Windows Update Service Firewall SUS Server schaut alle 17-22 Stunden nach neuen Updates Administrator prüft, evaluiert und genehmigt Updates untergeordneter SUS Server Bandbreiten kontrolle Bandbreiten kontrolle Genehmigungen & Updates werden synchronisiert mit unterg. SUS servern untergeordneter SUS Server Parent SUS Server AU erhält Liste mit genehmigten Updates vom SUS server Bandbreiten kontrolle AU lädt Updates vom SUS Server oder von Windows Update AU benachrichtigt den Benutzer oder installiert automatisch AU verzeichnet Installation in Historie

<Vortragstitel>

<Vortragstitel> SUS 1.0: Funktion Windows Update Service Windows Update Service Firewall SUS Server schaut alle 17-22 Stunden nach neuen Updates Administrator prüft, evaluiert und genehmigt Updates Bandbreiten kontrolle Bandbreiten kontrolle Genehmigungen & Updates werden synchronisiert mit unterg. SUS servern untergeordneter SUS Server Parent SUS Server AU erhält Liste mit genehmigten Updates vom SUS server Bandbreiten kontrolle AU lädt Updates vom SUS Server oder von Windows Update untergeordneter SUS Server AU benachrichtigt den Benutzer oder installiert automatisch AU verzeichnet Installation in Historie

Systems Management Server 2003 <Vortragstitel> Systems Management Server 2003 Asset Management Soft- und Hardwareinventur Berichte Change and Configuration Management Softwareverteilung Patch Management für Office und Windows Helpdesk Remote Control License Management Lizenzmessung

<Vortragstitel> SMS 2003 Patch Management Kontrolle über den gesamten Patch Management Prozess Erlaubt Evaluierung & Genehmigung der Updates vor der Installation Genaue Festlegung des Patch Prozesses möglich Automatisiert die Hauptaspekte des Patch Management Prozesses Kann auch genutzt werden für Updates von Software anderer Hersteller Unterstützung der Installation und Deinstallation von Softwareanwendungen und Patches Größtmögliche Flexibilität durch Nutzung der Scriptingmöglichkeiten

<Vortragstitel> SMS 2003 Patch Management Setup: Download Security Update Inventory und Office Inventory Tools; Inventory Tool Installer ausführen Microsoft Download Center Scan Komponenten auf Clients ausführen via Softwareverteilung Firewall Clients gescannt; Scan Ergebnisse werden mit SMS Hardwareinventur eingeholt SMS Distribution Point SMS Site Server Administrator startet “Distri-bute Software Updates Wizard” SMS Clients SMS Distribution Point SMS Clients SMS Clients

Distribute Software Update Wizard <Vortragstitel> Distribute Software Update Wizard

Distribute Software Update Wizard <Vortragstitel> Distribute Software Update Wizard

<Vortragstitel> SMS 2003 Patch Management Setup: Download Security Update Inventory und Office Inventory Tools; Inventory Tool Installer ausführen Microsoft Download Center Scan Komponenten auf Clients ausführen via Softwareverteilung Firewall Clients gescannt; Scan Ergebnisse werden mit SMS Hardwareinventur eingeholt SMS Distribution Point SMS Site Server Administrator startet “Distri-bute Software Updates Wizard” SMS Clients Download der Update Dateien; Pakete, Programme & Ankündigungen an Clients erstellt SMS Distribution Point Software Update Installation Agent auf den clients installiert updates SMS Clients SMS Clients

<Vortragstitel> Client Meldungen

Die richtige Lösung für Sie <Vortragstitel> Die richtige Lösung für Sie Kunde Scenario Empfehlung Mittlere und große Firmen Benötigt flexible Patch Management Lösung um alle Anwendungen zu installieren, upzudaten, und zu deinstallieren SMS Benötigt einfache Patch Management Lösung um Windows 2000 und neuere Versionen zu patchen SUS Kleinere Firmen Mit mindestens 1 Windows Server und 1 Administrator Alle anderen Szenarios Windows Update Endkunde Alle Szenarios

<Vortragstitel> Anleitungen Patch Management Guides Microsoft Guide to Security Patch Management Patch Management using Software Update Services Patch Management using Systems Management Server Globales Schulungs-Programm 2-tägige TechNet Security Schulungen Monatliche Security Webcasts Neue Beschreibungen Patterns and practices How-to configure for security How Microsoft Secures Microsoft

Patch Management Roadmap <Vortragstitel> Patch Management Roadmap Kurzfristig Microsoft Update Patches und Updates von einer zentralen Stelle für alle Produkte SUS 2.0 (Frühjahr 2004) Einheitliche Infrastruktur für Patch Management Unterstützt weitere Microsoft Produkte Bedeutende Verbesserungen in der Patch Management Funktionalität MBSA 1.2 Verbesserung des Reporting Lokalisierung Breitere Produktunterstützung Integration des Office Update Inventory Tool MBSA 2.0 (Frühjahr 2004) Arbeitet mit SUS 2.0 zusammen Speichern der Daten in SQL server Engine Plugin ermöglicht Scannen von Anwendungen anderer Hersteller Langfristig (NGSCB) SUS wird in Windows integriert SUS unterstützt alle Microsoft Produkte SUS Infrastruktur kann auch als Patch Management Lösung von anderen Softwareherstellern genutzt werden

<Vortragstitel> Fragen und Antworten

Ihr Potenzial. Unser Antrieb. <Vortragstitel> Ihr Potenzial. Unser Antrieb. Thorvald Kik Senior Consultant Hansevision GmbH tkik@hansevision.de