La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Installare e distribuire in modo semplice patch di sicurezza Fabrizio Grossi

Presentazioni simili


Presentazione sul tema: "Installare e distribuire in modo semplice patch di sicurezza Fabrizio Grossi"— Transcript della presentazione:

1 Installare e distribuire in modo semplice patch di sicurezza Fabrizio Grossi

2 Agenda Introduzione Overview delle caratteristiche Scelta della soluzione Sommario Informazioni Addizionali

3 Cronologia delle minacce Segnalazione vulnerabilità Sviluppo patch Rilascio bollettino sulla sicurezza e patch Decodificapatch Creazione worm/virus Diffusione worm/virus Nessuna minaccia Solo Microsoft e la parte segnalante sono a conoscenza della vulnerabilità Nessuna minaccia Solo Microsoft e la parte segnalante sono a conoscenza della vulnerabilità Nessuna minaccia Vulnerabilità di dominio pubblico ma informazioni per sfruttarla non disponibili Nessuna minaccia Informazioni per lo sfruttamento disponibili ma virus/worm non disponibile Nessuna minaccia Virus/worm disponibile ma non diffuso Minaccia Virus/worm diffuso; sistemi non protetti/privi di patch infettati Corsa contro il tempo per proteggere e dotare di patch i sistemi prima dell'attacco

4 Criteri di valutazione della gravità utilizzati da Microsoft Ricerca nei bollettini sulla sicurezza di TechNet: (in lingua inglese) Livello gravitàDefinizione Critico La vulnerabilità consente la propagazione di un worm su Internet come Code Red o Nimda senza l'intervento dell'utente Importante La vulnerabilità consente la compromissione della riservatezza, dellintegrità o della disponibilità dei dati utente, oppure dell'integrità e della disponibilità delle risorse di elaborazione Moderato La vulnerabilità è grave, ma il rischio attenuato in misura notevole da fattori quali la configurazione predefinita, il controllo, la necessità di un'azione dell'utente o la difficoltà di sfruttamento Basso La vulnerabilità è estremamente difficile da sfruttare o l'impatto è minimo

5 Tempi di applicazione delle patch Livello di gravità Tempi di applicazione delle patch consigliati Tempi massimi di applicazione consigliati CriticoEntro 24 oreEntro due settimane ImportanteEntro un meseEntro due mesi Moderato Secondo la disponibilità prevista, attendere il service pack o il rollup delle patch successivo o distribuire la patch entro quattro mesi Distribuire l'aggiornamento software entro sei mesi Basso Secondo la disponibilità prevista, attendere il service pack o il rollup delle patch successivo o distribuire la patch entro un anno Distribuire l'aggiornamento software entro un anno o scegliere di non distribuirlo affatto FattoreImpatto potenziale Impatto su beni di alto valore o alta esposizione Ridurre i tempi di applicazione Impatto su beni generalmente attaccati Ridurre i tempi di applicazione Fattori attenuanti in atto o messi in atto a breve Aumentare i tempi di applicazione Basso rischio di esposizione per beni interessati Aumentare i tempi di applicazione Fattori che incidono sui tempi di rilascio

6 Tipo di clienteScenario Scelte del cliente ConsumatoreTutti gli scenari Windows Update Piccola impresa Nessun server Windows Windows Update Da uno a tre server Windows e un amministratore IT SUS Media o grande impresa Desidera una soluzione di gestione delle patch con livello base di controllo che aggiorni Windows 2000 e le versioni pi ù recenti di Windows SUS Desidera una soluzione unica di gestione delle patch con livello esteso di controllo su patch e aggiornamento e distribuzione di tutti i software SMS Scelta di una soluzione di gestione delle patch

7 Cosè Windows Update Services? Gestione degli update –Contenuto da Microsoft Update (MU) service (Win + SQL + Exch + Office) Componente RTW di Windows Server –Gratis per chi ha Windows Server (2000 e sup.) –Richiede Windows Server / Core CAL per i sistemi target Non cambia le soluzioni correnti –SUS 1.0 continua a prendere i contenuti da WU –Possible migrare o Side by side (porta 80 e porta 8530) –SUS Client e WSUS client funzionano Side by Side Componente Core della Microsofts Patch & Update Management solutions

8 Scopi di WUS Fornire una soluzione semplice da usare, con tutte le funzionalità per gli scenari di gestione degli update per tutti i prodotti Microsoft –Automatizzare il più possibile il processo di gestione degli update –Non supportare solo le patch di Windows –Soddisfare le richieste degli utenti di SUS 1.0 –Ottimizzare lesperienza dellamministratore Costruire linfrastruttura di base della gestione delle patch per la piattaforma Windows –Permette a SMS, MBSA, e agli altri software Microsoft e di terze parti di utilizzare uninfrastruttura unificata Unico motore di analisi degli update per il software Microsoft supportato Modello di dati & infrastruttura di deployment per la gestione degli update API Client e Server per estendere / utilizzare linfrastruttura

9 LAmministratore si iscrive a varie categorie di updateIl Server scarica gli update da Microsoft UpdateI Client si registrano sul server LAmministratore mette i client in gruppo target differenti LAmministratore approva gli update LAgente installa gli update approvati dellamministratore Microsoft Update WUS Server Desktop Clients Target Group 1 Server Clients Target Group 2 WUS Administrator Overview della Soluzione

10 Prodotti e Contenuti Supportati Content Partner –Windows, Office, SQL, Exchange (RTM). –Verranno via via aggiunti altri prodotti OS platform –Client/agent Win2k SP3 e sup., WinXP RTM e sup (incl. XP embedded) Win2k3 RTM (solo 32-bit), Win2k3 SP1 (x64 e ia64) Client Self-Update (eccetto Win XP senza SP, bisogna installare SUS client -- ) –Server Win2k SP4 e sup. Win2k3 RTM e sup. (solo 32-bit)

11 Caratteristiche Target group definiti dallAmministratore –In AD la membership ai gruppi è definita tramite le Group Policy –Se non cè AD la membership ai gruppi è definita tramite WUS Server Controllo delle approvazioni per lAmministratore –Detect only: valuta le macchine per lapplicabilità delle patch –Approvazione per linstallazione e la disinstallazione (richiede il supporto dellupdate) –Deadline basate su date –Approvazione per target group: Update diverse installate su target group diversi Deadline differenti a seconda dei target group Azioni differenti a seconda dei target group

12 Caratteristiche Configurazione flessibile dellAgente –Frequenza di Polling –Comportamento della notifica e dellinstallazione –Comportamento del Reboot –Utenti Non-amministratori possono installare gli update (come gli amministratori) –Installazione allo Shutdown (solo XP SP2)

13 Caratteristiche di ottimizzazione della rete Resilient e trasparente –BITS* sia per i download client-server che per quelli server-server –Download in background Minimized data downloads –Update subscription – Scarica updates per i prodotti, e linguaggi di cui si ha bisogno –Supporto per la tecnologia di delta compression per le comunicazioni client-server –Opzione per scaricare solo gli update approvati (download on demand) –Opzione per scaricare solo la descrizione degli (update & detection file su MU) *Background Intelligent Transfer Service

14 Reporting Features 1:1 reporting for updates and computers

15 Reporting Features 1: Many reporting for Updates –Per machine/per update/per target group

16 Reporting Features Report di Sincronizzazione –Cosa cè di nuovo, cosa è cambiato Integrato con Event log –Status event dellAgent e del server sono inviati al event log locale Tutte le informazione di reportistica disponibili via Server.NET API

17 Flessibilità nella Gestione e nel Deployment 1/2 Opzioni di Server deployment –Gli Update restano presso Microsoft Update WUS server funziona come punto di controllo –Distribuzione gerarchica di server indipendenti Manageability (e estendibilità) –Server API Server basate su.NET Semplici regole per gestire il deployment automatico degli update –Client Possibilità di attivare l update detection lato Client da linea di Comando API COM based con supporto per scripting supporto remoto

18 Flessibilità nella Gestione e nel Deployment 2/2 Wuauclt.exe / : –InstallAUClient –DetectNow –DownloadNow –StopDownload –TestWUSServer –ResetAuthorization /DetectNow

19 A grande richiesta... Possibilità di esportare le patch scaricate da una macchina WSUS a unaltra macchina WSUS Possibilità di usare una porta alternativa –Port 8530 –Utile per Side by Side con SUS o altri servizi –Si può implementare: Durante il Setup Dopo linstallazione –Necessario modificare la URL

20 Gestione patch su una rete non connessa Importo le Patch da un server WSUS connesso a uno disconnesso 3 passi –I due WSUS devono avere le stesse impostazioni delle advanced synchronization options express installation files feature e languages –Copiare il contenuto di \WSUS\WSUSContent\ –Esportare gli Update Metadata dallexport server WSUS Da fare DOPO aver copiato WSUSContent wsusutil.exe export export.cab export.log Copiare export package (export.cab) sullimport WSUS –Importare gli Update Metadata sullimport server WSUS wsusutil.exe import export.cab import.log –ZEN !!!! 3-4 ore per validare il contenuto importato

21 Customer Feature Requests *Gestibile parzialmente attraverso la modifica della polling frequency e script Feature più Richieste SUS 1.0 SP1WUS Supporto per i service pack Installazione su SBS e domain controller Supporto per Office e altri prodotti MS Fornire reportistica (es. deployment status) Update targeting Migliorare il supporto per le reti con banda bassa Permettere di sottoscrivere solo una parte del contenuto Impostare la frequenza di polling per scaricare nuovi update Minimizzare le interruzioni dellutente Emergency patch deployment (big red button) * Deploy update per ISV e applicazioni custom Supporto NT4

22 Distribuzione di Updates con WUS

23 Vantaggi di SMS Fornisce agli amministratori il controllo sulla gestione delle patch –Gestione temporanea e test prima dell'installazione –Stretto controllo sulle opzioni di gestione delle patch Automazione degli aspetti chiave del processo di gestione delle patch Aggiornamento di un'ampia gamma di prodotti Microsoft Possibilità di utilizzo per aggiornamento software di terze parti e per distribuzione e installazione di aggiornamenti software o applicazioni Alto livello di flessibilità tramite l'utilizzo di script

24 SMS Inventory Tool for Microsoft Updates Costruito sullagente Windows Update per lanalisi e linstallazione –Standalone scan tool – non richiede WUS server o connettività a Internet –Lagente WU è nativo su tutti i sistemi operativi Windows a partire da Windows Server 2003 SP1 Distribuito come installazione stand-alone con SMS per i sistemi operativi precedenti

25 SMS Inventory Tool for Microsoft Updates Consistenza –I risultati di SMS sono consistenti con Microsoft Update (MU) e Windows Udpate/Automatic Update (WU/AU) Copertura –Security updates, update rollups, e service packs –Windows, SQL Server, Exchange, Microsoft Office –Eventuallmente TUTTI i prodotti Microsoft Catalogo completo –Download automatico per tutti i linguaggi –Include opzioni da linea di Comando

26 Funzionamento di SMS 2. I componenti di analisi vengono distribuiti sui client SMS 1. Impostazione: scaricare Inventory Tool for Microsoft Update ed installarlo 3. Analisi dei client; i risultati di analisi vengono uniti ai dati di inventario hardware di SMS 4. L'amministratore utilizza la procedura guidata di distribuzione degli aggiornamenti software per autorizzare gli aggiornamenti 6. L'agente di installazione aggiornamenti software distribuisce gli aggiornamenti sui client 7. Periodicamente: il componente di sincronizzazione verifica la disponibilità di nuovi aggiornamenti, analizza client e distribuisce gli aggiornamenti richiesti 5. Download dei file di aggiornamento; creazione e aggiornamento di pacchetti, programmi e annunci; replica dei pacchetti e annuncio dei programmi ai client SMS Area di download di Microsoft Firewall Server del sito SMS Punto di distribuzione SMS Client SMS

27 WUS vs. SMS Semplice vs. Avanzato Supporto Client Update / Distribuzione di Applicazioni Funzionalità di Reporting WUS: Necessità di una soluzione che gestisca solo update management e che fornisca un update semplice per il software Microsoft SMS: Necessità di una soluzione di update management e di software distribution con un livello di controllo esteso per tutti i SO Window e per tutte le applicazioni, e soluzione per gestire lasset management

28 Informazioni addizionali Informazioni su WUS (e SUS 1.0) WUS news group

29 Community Resources –http://www.microsoft.com/communities/default.mspxhttp://www.microsoft.com/communities/default.mspx Most Valuable Professional (MVP) –http://www.microsoft.com/communities/mvphttp://www.microsoft.com/communities/mvp Newsgroups –Converse online with Microsoft Newsgroups, including Worldwide –http://communities2.microsoft.com/communities /newsgroups/en-us/default.aspxhttp://communities2.microsoft.com/communities /newsgroups/en-us/default.aspx User Groups - Meet and learn with your peers –http://www.microsoft.com/communities/usergroups default.mspxhttp://www.microsoft.com/communities/usergroups default.mspx

30 Come acquistare Windows Server Promozione server per la media impresa Disponibile per lacquisto in Open License e in Open Value Disponibile per il noleggio in Open Value Subscription da dicembre

31 Servers 3x Windows Server Standard Exchange Server Standard MOM Workgroup Edition 50 Windows, Exchange CALs CAL (250 Max) Windows + Exchange Promozione Windows Server System

32 Acquistalo con Open Value: è meglio! Open Value è più conveniente, più facile, più completo Pagamenti dilazionati Il più basso costo annuale (Open Value Subscription) Prezzi bloccati e costi prevedibili per ogni anno Inoltre…

33 …il Bundle in Open Value include: Software Assurance, lopzione di manutenzione del software Microsoft, con i seguenti importanti benefici: –Supporto web illimitato e telefonico (1 chiamata) –5 licenze server di backup gratuite –Tutte le informazioni tecniche sui nostri prodotti, patch, prodotti per test –Corsi tecnici su CD interattivi; –Le versioni future dei server –Strumenti per la semplificazione dellinstallazione/distribuzione del software –Strumenti per lindividuazione degli errori in rete e la definizione delle priorità dintervento –Estensione del supporto tecnico oltre al periodo standard di 5 anni, senza pagamento del canone annuale

34 Come acquistare Systems Management Server: Open Value Open Value è più conveniente, più facile, più completo Pagamenti dilazionati Il più basso costo annuale (Open Value Subscription) Prezzi bloccati e costi prevedibili per ogni anno Core Cal: 4 tipi di licenze ad un prezzo forfettario –Cal per i server Windows, Exchange, SharePoint portal, System Management –Disponibili sconto del 15%

35 Open Value include Software Assurance Software Assurance è la manutenzione del software Microsoft Include benefici importanti: –Supporto web illimitato e telefonico (1 chiamata) –Licenze server di backup gratuite –Tutte le informazioni tecniche sui nostri prodotti, patch, prodotti per test –Corsi tecnici su CD interattivi; –Le versioni future dei server –Strumenti per la semplificazione dellinstallazione/distribuzione del software –Strumenti per lindividuazione degli errori in rete e la definizione delle priorità dintervento –Estensione del supporto tecnico oltre al periodo standard di 5 anni, senza pagamento del canone annuale

36 Come acquistare Small Business Server (SBS): Open Value Nuovi programmi di noleggio e acquisto Più convenienti, più facili, più completi Open Value Subscription –Il più basso costo annuale –Pagamenti dilazionati –Prezzi bloccati e costi prevedibili per ogni anno –Scegli un prodotto, te ne diamo 2: SBS e la futura versione inclusa nel prezzo! –Sconto 15% per Office SBE + Windows + SBS cal A partire da 1 SBS o da 5 Cal

37 Come acquisire SBS: Open Value Facile essere in regola Benefici eccezionali: –La futura versione di SBS inclusa! –Licenze per il server di backup –Supporto web illimitato e telefonico (1 chiamata) –Corso su CD interattivo...e molti altri!

38 © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.


Scaricare ppt "Installare e distribuire in modo semplice patch di sicurezza Fabrizio Grossi"

Presentazioni simili


Annunci Google