Effizientes Patch-Management
Thorvald Kik
Sicherer Betrieb des Microsoft
Office Systems:
Effizientes Patch-Management
Thorvald Kik
Senior Consultant
Hansevision GmbH
[email protected]
Agenda
Anforderungen
 „Patch Management – Braucht man das wirklich ?“
 Was muß Patch Management leisten ?
 Lösungsansätze
 Welche Tools stehen heute zur Verfügung
 Welches Tool ist das Richtige für Sie
 Ausblick
 Zukünftig verfügbare Lösungen
 Fragen und Antworten
Sicherheit verbessern
 Zeit bis Exploit immer
kürzer
 Exploits immer raffinierter
 Aktueller Ansatz reicht
nicht aus
Tage zwischen Patch
und Exploit
331
180
151
Sie haben immer weniger Zeit für das
Rollout eines Patches!
25
Herausforderungen
 Bestandsaufnahme
 Welche Systeme sind zu patchen
 Welche Software ist zu patchen
 Ständige Kontrolle
 Gibt es neue Patches?
 Erkennen der Wichtigkeit spezifischer Patches
 Sind alle Systeme auf dem neuesten Stand?
 Funktionalität sicherstellen
 Test vor Implementierung notwendig
 Einfluß auf die bestehende (und laufende) Umgebung
 Was ändert das einzelne Patch
 Abhängigkeiten zwischen Komponenten
 Deinstallation eines Patches
 Schnelle Implementation
 Schnelligkeit bei der Implementierung neuer Patches
Microsoft Severity Ratings
Rating
Kritisch
Empfohlener Zeitrahmen bis
Installation
Innerhalb von 24 Stunden nach Verfügbarkeit
Hoch
Innerhalb von 1 Monat nach Verfügbarkeit
Mittel
Innerhalb von 4 Monaten nach Verfügbarkeit
Abhängig von der Dringlichkeit der Funktionalität abwarten
bis zum nächsten Service Pack oder Patch Rollup
Niedrig
Innerhalb von 12 Monaten nach Verfügbarkeit
Abhängig von der Dringlichkeit der Funktionalität abwarten
bis zum nächsten Service Pack oder Patch Rollup
Patch Management Prozess
1. Inventarisierung
2. Identifizierung neuer Patches
Periodische Aufgaben
Aufgaben
A. Neue Patches in Erfahrung bringen
B. Relevanz bestimmen
C. Überprüfung und Test des Patches
auf isoliertem System
A. Systeme auf gleichen Stand bringen
(Baseline)
B. Nutzung der Patch Management
Lösung (Sofern vorhanden)
C. Überarbeiten der Infrastruktur/
Konfiguration
1. Assess
2. Identify
Ständige Aufgaben
A. Neue Geräte entdecken
B. Clients inventarisieren
4. Deploy
4. Umsetzung und Installation
Aufgaben
A. Verteilung / Installation des Patches
B. Berichte über Fortschritt
C. Ausnahmebehandlung
D. Auswertung und Optimierung des
Deploymentprozesses
3.
Evaluate &
Plan 3. Evaluierung & Planung
Aufgaben
A. Genehmigung der Patch Installation
B. Risikoanalyse
C. Planung des Rollouts
D. Test in Pilotumgebung abschließen
Bremsende Faktoren
Inkonsistente
Lösungswege
bei Patchen
Ungenügende
Kommunikation
Anzahl und
Häufigkeit
der Patches
Verschiedene
Patch
Management
Tools
Inkonsistente
Patch
Qualität
Lösungskomponenten
Analyse
Tools
Online Update
Dienste
 Microsoft Baseline Security Analyzer (MBSA)
 Office Inventory Tool
 Windows Update
 Office Update
 Windows Update Catalog
Download
Kataloge
 Office Download Catalog
 Microsoft Download Center
 Automatic Updates (AU) Feature in Windows
Management
Tools
Hilfen und
Nachschlagewerke
 Software Update Services (SUS)
 Systems Management Server (SMS)
 Microsoft Guide to Security Patch Management
 Patch Management Using SUS
 Patch Management Using SMS
Microsoft Baseline Security Analyser
 Automatisierte Erkennung fehlender
Sicherheitspatches und
Fehlkonfigurationen
 Ermöglicht dem Administrator, von
zentraler Stelle aus eine große Anzahl von
systemem simultan zu scannen
 Deckt eine große Anzahl von Microsoft
Produkten ab, nicht nur Windows
MBSA: Was erkannt wird
 Fehlende Patches /
Updates:
 Windows NT 4.0, Windows 2000,
Windows Server 2003, Windows
XP
 IIS 4.0, IIS 5.0, IIS 6.0
 SQL 7.0, SQL 2000 (auch MSDE)
 IE 5.01 und neuere Versionen
 Exchange 5.5, Exchange 2000
 Windows Media Player 6.4 und
neuere Versionen
 Fehlkonfigurationen:
 Windows NT 4.0, Windows
2000, Windows Server 2003,
Windows XP
 IIS 4.0, IIS 5.0, IIS 6.0
 SQL 7.0, SQL 2000
 IE 5.01 und neuere Versionen
 Office 2000, Office XP
Scan a Computer
Viewing a Security Report
Windows Update (Website)
 Enthält alle Windows Patches & Updates
 Automatisiert Scan und anschließende
Installation für Patches und Updates
 Einfachste Nutzung, auch für unerfahrene
Nutzer
 Hält das System aktuell mit den letzten
Sicherheitsupdates und kritischen Patchen
Windows Update (Dienst)
 Prüft regelmäßig auf neue Patches (1-22h)
 Fehlertoleranter Download der Patches vom WU
Server im Hintergrund (BITS Technologie)
 Kann vollständig automatisiert im Hintergrund
arbeiten
 Hält das System aktuell mit den letzten
Sicherheitsupdates und kritischen Patchen
Windows Update
 Unterstützung für :




Kritische Updates und Sicherheitsrelevante Updates
Empfohlene Downloads
Internet und Multimedia Updates – IE, Media Player, etc.
Windows Tools & Utilities
 Zusätzliche Windows Downloads – Updates für Desktop Einstellungen
und andere Windows Features
 Multi-Language Features – Menüs und Dialoge,
sprachen support, etc.
 Windows Logo Hardware Treiber
 Für folgende Systeme:
 Windows 98 / 98SE
 Windows ME
 Windows 2000/XP
 Windows 2003
Office Update (Website)
 Pendant zum Windows Update
 Automatisches scannen und Installation der
Patches und Updates
 Einfache Nutzung – Auch für unerfahrene
Benutzer
 Hält Office aktuell mit den letzten
Sicherheitsupdates und kritischen Patchen
Office aktualisieren
Msiexec /i data1.msi REINSTALL=All REINSTALLMODE=vomus
patch.msp
ver. 11.1
Nachinstallation
und Reparieren
scheitert! wieder!
funktioniert
Client
Excel.exe
Excel.exe
ver.11.0
ver.11.1
Excel.exe
ver.11.0
ver.11.1
data1.msi
Data1.msi
ver.
11.1
ver.
11.0
cache
Data1.msi
data1.msi
ver. 11.0
11.1
Synch
cache
Fileserver
Office aktualisieren
patch.exe
ver. 11.1
Nachinstallation
und Reparieren
funktioniert
Client
Excel.exe
ver.11.0
ver.11.1
Excel.exe
ver.11.0
Data1.msi
ver. 11.0
cache
Data1.msi
ver. 11.0
Fileserver
Management Lösungen
 Software Update Service 1.0
 Mit Automatic Update (AU)
 Systems Management Server 2003
Software Update Service
(SUS)
Ermöglicht kontrollierte Freigabe von Patchen
und Updates durch den Administrator
 Gruppenrichtlinien verhindern Installation nicht freigegebener
Updates von Windows Update
 Ermöglicht vorheriges Testen und Evaluieren von Updates vor
der Installation
 Vereinfacht und automatisiert die Patch Auswahl
und Installation auf die Clients
 Clients laden Updates optional direkt vom SUS
Server herunter
 Einfache Bedienbarkeit vereinfacht und
beschleunigt die Aktualisierung der Clients,
wodurch Sicherheitsrisiken reduziert werden
SUS 1.0: Funktion
Windows
Update Service
1. SUS Server schaut alle
17-22 Stunden nach
neuen Updates
2. Administrator prüft,
evaluiert und genehmigt
Updates
3. Genehmigungen &
Updates werden
synchronisiert mit
unterg. SUS servern Parent
4. AU erhält Liste mit SUS Server
genehmigten Updates vom
SUS server
5. AU lädt Updates vom SUS
Server oder von Windows
Update
6. AU benachrichtigt den
Benutzer oder installiert
automatisch
7. AU verzeichnet Installation
in Historie
Windows
Update Service
untergeordneter
SUS Server
untergeordneter
SUS Server
SUS 1.0: Funktion
Windows
Update Service
1. SUS Server schaut alle
17-22 Stunden nach
neuen Updates
2. Administrator prüft,
evaluiert und genehmigt
Updates
3. Genehmigungen &
Updates werden
synchronisiert mit
unterg. SUS servern Parent
4. AU erhält Liste mit SUS Server
genehmigten Updates vom
SUS server
5. AU lädt Updates vom SUS
Server oder von Windows
Update
6. AU benachrichtigt den
Benutzer oder installiert
automatisch
7. AU verzeichnet Installation
in Historie
Windows
Update Service
untergeordneter
SUS Server
untergeordneter
SUS Server
Systems Management Server 2003
 Asset Management
 Soft- und Hardwareinventur
 Berichte
 Change and Configuration Management
 Softwareverteilung
 Patch Management für Office und Windows
 Helpdesk
 Remote Control
 License Management
 Lizenzmessung
SMS 2003 Patch Management
 Kontrolle über den gesamten Patch Management
Prozess
 Erlaubt Evaluierung & Genehmigung der Updates vor der Installation
 Genaue Festlegung des Patch Prozesses möglich
 Automatisiert die Hauptaspekte des Patch Management
Prozesses
 Kann auch genutzt werden für Updates von Software
anderer Hersteller
 Unterstützung der Installation und Deinstallation von
Softwareanwendungen und Patches
 Größtmögliche Flexibilität durch Nutzung der
Scriptingmöglichkeiten
SMS 2003 Patch Management
1. Setup: Download Security
Update Inventory und Office
Inventory Tools; Inventory Tool
Installer ausführen
Microsoft
Download Center
2. Scan Komponenten
auf Clients ausführen
via Softwareverteilung
3. Clients gescannt; Scan
Ergebnisse werden mit
SMS Hardwareinventur
eingeholt
4. Administrator startet “Distribute Software Updates
Wizard”
SMS Distribution
Point
SMS
Site Server
SMS Clients
SMS Distribution
Point
SMS Clients
SMS Clients
Distribute Software Update Wizard
Distribute Software Update Wizard
SMS 2003 Patch Management
1. Setup: Download Security
Update Inventory und Office
Inventory Tools; Inventory Tool
Installer ausführen
Microsoft
Download Center
2. Scan Komponenten
auf Clients ausführen
via Softwareverteilung
3. Clients gescannt; Scan
Ergebnisse werden mit
SMS Hardwareinventur
eingeholt
4. Administrator startet “Distribute Software Updates
Wizard”
SMS Distribution
Point
SMS
Site Server
5. Download der Update Dateien;
Pakete, Programme &
Ankündigungen an Clients erstellt
SMS Clients
SMS Distribution
Point
6. Software Update Installation
Agent auf den clients installiert
updates
SMS Clients
SMS Clients
Client Meldungen
Die richtige Lösung für Sie
Kunde
Mittlere
und
große
Firmen
Kleinere
Firmen
Endkunde
Scenario
Empfehlun
g
Benötigt flexible Patch Management Lösung um alle
Anwendungen zu installieren, upzudaten, und zu
deinstallieren
SMS
Benötigt einfache Patch Management Lösung um Windows
2000 und neuere Versionen zu patchen
SUS
Mit mindestens 1 Windows Server und 1 Administrator
SUS
Alle anderen Szenarios
Windows
Update
Alle Szenarios
Windows
Update
Anleitungen
 Patch Management Guides
 Microsoft Guide to Security Patch Management
 Patch Management using Software Update
Services
 Patch Management using Systems Management
Server
 Globales Schulungs-Programm
 2-tägige TechNet Security Schulungen
 Monatliche Security Webcasts
 Neue Beschreibungen
 Patterns and practices
 How-to configure for security
 How Microsoft Secures Microsoft
Patch Management Roadmap

Kurzfristig

Microsoft Update


SUS 2.0 (Frühjahr 2004)




Verbesserung des Reporting
Lokalisierung
Breitere Produktunterstützung
Integration des Office Update Inventory Tool
MBSA 2.0 (Frühjahr 2004)




Einheitliche Infrastruktur für Patch Management
Unterstützt weitere Microsoft Produkte
Bedeutende Verbesserungen in der Patch Management Funktionalität
MBSA 1.2





Patches und Updates von einer zentralen Stelle für alle Produkte
Arbeitet mit SUS 2.0 zusammen
Speichern der Daten in SQL server
Engine Plugin ermöglicht Scannen von Anwendungen anderer Hersteller
Langfristig (NGSCB)



SUS wird in Windows integriert
SUS unterstützt alle Microsoft Produkte
SUS Infrastruktur kann auch als Patch Management Lösung von anderen
Softwareherstellern genutzt werden
Fragen und Antworten
Ihr Potenzial. Unser Antrieb.
Thorvald Kik
Senior Consultant
Hansevision GmbH
[email protected]

Effizientes Patchmanagement