Security Patch Management - PowerPoint PPT Presentation

1 / 35
About This Presentation
Title:

Security Patch Management

Description:

II INFN SECURITY WORKSHOP - Parma 24/25 Febbraio 2004 Security Patch Management Francesca Del Corso INFN Sez. Firenze delcorso_at_fi.infn.it PERCHE E IMPORTANTE IL ... – PowerPoint PPT presentation

Number of Views:231
Avg rating:3.0/5.0
Slides: 36
Provided by: fran646
Category:

less

Transcript and Presenter's Notes

Title: Security Patch Management


1
Security Patch Management
II INFN SECURITY WORKSHOP - Parma 24/25 Febbraio
2004
  • Francesca Del Corso
  • INFN Sez. Firenze delcorso_at_fi.infn.it

2
PERCHE E IMPORTANTE IL SECURITY PATCH MANAGEMENT
  • Downtime
  • Remediation time
  • Integrità dei dati
  • Perdita di credibilità
  • Costi attività legale di difesa e investigazione

3
Prerequisiti al Patch Management
  • Quanti computer, prodotti e tecnologie
  • conoscere linfrastruttura di rete
  • Inventario dei computer e delle risorse di
    sistema critiche
  • lo stato delle vulnerabilità correnti
  • la distribuzione del software
  • preparazione del personale
  • conoscenza dei processi coinvolti

4
  • Ciclo di vita del Security Patch Management

Begin
Setup
Change Iniziation
Emergency Security Response
Enforce Security Policy
Security Release
Software Update Release
Optimizing Results
5
Fasi del Patch Management
  • SETUP
  • Baseline (Inventario hw/sw, definizione di
    standard, pianificazione allineamento)
  • Sottoscrizione a Product Security Notification,
    Microsoft Security Update,Security Bulletin Web
    Search tool
  • CHANGE INIZIATION
  • Identificazione delle nuove vulnerabilità nei
    propri sistemi e rilevanza delle patch
  • SECURITY RELEASE
  • Change management
  • Documentazione dei cambiamenti richiesti
  • Priorizzazione e scheduling del rilascio
    dellupdate
  • Release management ( testing, rilascio
    aggiornamenti)
  • Change review (controllo dei log e delle chiamate
    di help desk)
  • Conferma o rollback

6
  • ENFORCING SECURITY POLICY
  • EMERGENCY SECURITY RESPONSE
  • Preparazione a rispondere agli eventuali attacchi
    che utilizzano le vulnerabilità nei sistemi
  • OPTIMIZING RESULTS
  • Monitorare i sistemi e apportare migliorie

7
I TOOL
  • Per sezioni di piccole dimensioni
  • Windows Update
  • Office Update
  • Microsoft Baseline Security Analizer 1.2
  • Per sezioni di medie dimensioni
  • Software Update Services 1.0 SP1
  • Microsoft Baseline Security Analizer 1.2
  • Office Update
  • Per sezioni di grandi dimensioni
  • System Management Server 2003

8
Windows Update
  • Supportato da Windows 98, ME, 2000, XP, Windows
    Server 2003
  • Aggiorna s.o, driver, alcuni programmi presenti
    sul pc
  • da Start\Programs\Windows Update
    (systemfoldersystem32\wupdmgr.exe)
  • ci si collega al sito http//windowsupdate.micr
    osoft.com e si segue un processo in tre passi.
  • E necessario che il singolo client possieda
  • un collegamento ad Internet
  • se esiste un proxy server non venga richiesta
    lautenticazione
  • lutente possieda permessi di amministratore per
    poter effettuare linstallazione delle patch sul
    computer
  • Automatizzato con le utility Critical Update
    Notification (95, 98, 98SE, Windows 2000 ) e
    Automatic Update, introdotto in Windows XP e
    Windows 2000 SP2.

9
(No Transcript)
10
(No Transcript)
11
(No Transcript)
12
Office Update
  • Vale solo per Office 2000 e Office XP
  • Richieste minime per i client
  • Microsoft Windows 98 o successivi
  • Microsoft Office 2000 SR-1a o successivi e Office
    XP
  • http//office.microsoft.com/officeupdate
  • Per lanalisi delle patch mancanti
  • Office Update Inventory Tool v2.0 (invconf.exe)
  • Office Update Inventory Tool Catalog (invcif.exe)
  • C\inventory\inventory.exe /s cifs\ /o
    C\inventory\ C\inventory\inventory.exe
    /update
  • C\inventory\convert.exe /d C\inventory /o
    output.txt
  • MBSA 1.2

13
(No Transcript)
14
Microsoft Baseline Security Analizer 1.2
  • Effettua scansioni in locale per s.o. Windows
    2000, XP, famiglia 2003, remote su s.o. Windows
    NT 4.0 SP4, 2000, XP, Windows Server 2003
  • Verifica
  • Presenza di security updates e service pack
  • Autologon e guest account
  • Auditing enabled
  • Account password expiration, blank o simple
  • File system
  • Servizi non necessari
  • GUI e a riga di comando mbsacli.exe /hf
  • File di log in userprofile\SecurityScan

15
Software Update Services
  • Architettura client/server che estende le
    funzionalità del Windows Automatic Update per il
    download e laggiornamento dei critical updates e
    dei security roll-ups
  • Server side
  • Minimi requisiti hw
  • CPU pentium III 700MHz
  • Memoria 512 Mb RAM
  • Spazio disco 6Gb
  • Requisiti Software
  • s.o. Windows 2000 Server SP2 e successivi,
    Windows Server 2003
  • Internet Information Server 5.0 o successivi,
    porta 80
  • Client side
  • Automatic Update 2.2 o successivo
  • AU configurato manualmente o tramite Group Policy
  • Workgroup o dominio

16
Vantaggi di SUS
  • Possibilità di testare gli aggiornamenti
    scaricati da Internet prima della loro
    distribuzione
  • Maggior sicurezza evitando che i singoli client
    facciano download e si installino direttamente
    gli update
  • può operare in presenza di proxy server che
    richiede autenticazione
  • distribuzione patch ai computer di una Intranet
    che non possono connettersi direttamente ad
    Internet
  • SUS è gratuito
  • facilità di configurazione ed utilizzo
  • maggiori garanzie di privacy

17
Limiti del SUS
  • Distribuisce solo critical security patch e
    update per
  • s.o. Windows 2000 S.P.2, Windows XP, Windows
    Server 2003 (no NT o Windows 98/ME)
  • componenti Windows IIS, IExplorer, Windows Media
    Player no supporto per MS Office, SQLServer,
    Exchange Server
  • Non vengono distribuiti patch per
  • driver componenti hardware (schede di rete,
    audio, ecc.)
  • altri s.o. (Linux, Unix, Novell) come PatchLink
  • Possiede una reportistica limitata non permette
    di fare analisi e controllo dei risultati della
    distribuzione delle patch sulle singole macchine
  • Manca uno strumento di rimozione delle patch
    centralizzato.

18
SUS 1.0 SP1- Console amministrativa
19
(No Transcript)
20
(No Transcript)
21
(No Transcript)
22
SUS management console Set options
23
(No Transcript)
24
System Management Server 2003
  • Integra le capacità di patch management di SUS
    con quelle di analisi del MBSA
  • Supporto piattaforma più esteso Windows 98,
    98SE, NT 4.0, Windows 2000, XP Professional,
    Windows server 2003 appartenenti ad un dominio
    Windows
  • Controllo maggiore dei security updates (la
    distribuzione del sw può essere fatta ad un
    sottoinsieme)
  • Reportistica centralizzata consultabile via web
  • E a pagamento

25
Distribuzione critical updates con SMS
  • Preparazione (inventario, informazioni)
  • Installazione sul SMS server site di
  • Security Update Inventory tool
  • Microsoft Office Inventory Tool
  • Inventario Sofware
  • Autorizzazione e distribuzione degli update
    Software
  • Sincronizzazione degli Update Software

26
Ambiente di produzione e di test INFN Sez. Firenze
27
(No Transcript)
28
(No Transcript)
29
(No Transcript)
30
(No Transcript)
31
(No Transcript)
32
(No Transcript)
33
(No Transcript)
34
Tabella riepilogativa
WU SUS 1.0 SP1 SMS 2003
Amministrazione centralizzata no Si, buona aggiornamenti approvati dallamministratore Ottima aggiornamenti approvati dallamministratore e inviati in maniera mirata
Inventario centralizzato no no Inventario centralizzato di sw, hw, vulnerabilità
Tipo di software Tutti i tipi di aggiornamenti Windows no aggiornamenti altri s.o. Security patch, critical updates, updates, SP, updates rollup. Solo Windows Qualunque distribuzione di sw e aggiornamenti ai client SMS
s.o. Windows Windows 98, 98SE, ME, XP, Windows 2000, server 2003 Windows 2000, Windows XP e Windows 2003 Windows 98, 98SE, NT 4.0, SP6, Windows 2000, XP Pro, Windows server 2003 devono far parte del dominio
Architettura ed installazione Solo configurazione client nessun altra infrastruttura Semplice architettura server, facile installazione client Architettura complessa e installazione di servizi
Reportistica No reportisiica centralizzata Sufficiente reportistica centralizzatata nei file di log Ottima reportistica centralizzati con consultazione via web
Costo gratuito gratuito A pagamento, costo aggiuntivo delle licenze
35
Bibliografia
  • Patch Management http//www.microsoft.com/securit
    y/whitepapers/patch_management.asp
  • Windows Update
  • http//windowsupdate.microsoft.com/
  • MBSA
  • http//www.microsoft.com/mbsa
  • Microsoft Software Update Services
    http//www.microsoft.com/windowsserversystem/sus/
    default.mspx
  • System Management Server 2003
  • http//www.microsoft.com/smserver/evaluation/capab
    ilities/patch.asp
  • Security Tools
  • http//www.microsoft.com/technet/treeview/defaul
    t.asp?url/technet/security/
  • tools/tools.asp
Write a Comment
User Comments (0)
About PowerShow.com