Soluzioni Microsoft per il Security Patch Management

II INFN SECURITY WORKSHOP - Parma 24/25 Febbraio 2004
Security Patch
Management
Francesca Del Corso
INFN Sez. Firenze [email protected]
PERCHE’ E’ IMPORTANTE IL SECURITY
PATCH MANAGEMENT





Downtime
Remediation time
Integrità dei dati
Perdita di credibilità
Costi attività legale di difesa e investigazione
Francesca Del Corso - II INFN SECURITY WORKSHOP
Prerequisiti al Patch Management







Quanti computer, prodotti e tecnologie
conoscere l’infrastruttura di rete
Inventario dei computer e delle risorse di sistema critiche
lo stato delle vulnerabilità correnti
la distribuzione del software
preparazione del personale
conoscenza dei processi coinvolti
Francesca Del Corso - II INFN SECURITY WORKSHOP
Ciclo di vita del Security Patch Management
Francesca Del Corso - II INFN SECURITY WORKSHOP
Fasi del Patch Management

SETUP

Baseline (Inventario hw/sw, definizione di standard, pianificazione

Sottoscrizione a Product Security Notification, Microsoft Security
allineamento)
Update,Security Bulletin Web Search tool

CHANGE INIZIATION


Identificazione delle nuove vulnerabilità nei propri sistemi e rilevanza
delle patch
SECURITY RELEASE
Change management
 Documentazione dei cambiamenti richiesti
 Priorizzazione e scheduling del rilascio dell’update
 Release management ( testing, rilascio aggiornamenti)
 Change review (controllo dei log e delle chiamate di help desk)
 Conferma o rollback

Francesca Del Corso - II INFN SECURITY WORKSHOP



ENFORCING SECURITY POLICY
EMERGENCY SECURITY RESPONSE
 Preparazione a rispondere agli eventuali
attacchi che utilizzano le vulnerabilità nei
sistemi
OPTIMIZING RESULTS
 Monitorare i sistemi e apportare migliorie
Francesca Del Corso - II INFN SECURITY WORKSHOP
I TOOL
:

Per sezioni di piccole dimensioni
 Windows Update
 Office Update
 Microsoft Baseline Security Analizer 1.2

Per sezioni di medie dimensioni
 Software Update Services 1.0 SP1
 Microsoft Baseline Security Analizer 1.2
 Office Update

Per sezioni di grandi dimensioni
 System Management Server 2003
Francesca Del Corso - II INFN SECURITY WORKSHOP
Windows Update





Supportato da: Windows 98, ME, 2000, XP, Windows Server 2003
Aggiorna s.o, driver, alcuni programmi presenti sul pc
da Start\Programs\Windows Update (%systemfolder%
system32\wupdmgr.exe)
system32\wupdmgr.exe
ci si collega al sito: http://windowsupdate.microsoft.com e si segue un
processo in tre passi.
E’ necessario che il singolo client possieda:
 un collegamento ad Internet
 se esiste un proxy server non venga richiesta l’autenticazione
 l’utente possieda permessi di amministratore per poter effettuare
l’installazione delle patch sul computer
Automatizzato con le utility Critical Update Notification (95, 98, 98SE,
Windows 2000 ) e Automatic Update,
Update introdotto in Windows XP e
Windows 2000 SP2.
Francesca Del Corso - II INFN SECURITY WORKSHOP
Francesca Del Corso - II INFN SECURITY WORKSHOP
Francesca Del Corso - II INFN SECURITY WORKSHOP
Francesca Del Corso - II INFN SECURITY WORKSHOP
Office Update




Vale solo per Office 2000 e Office XP
Richieste minime per i client:
 Microsoft W indows® 98 o successivi
 Microsoft Office 2000 SR-1a o successivi e Office XP
http://office.microsoft.com/officeupdate
Per l’analisi delle patch mancanti:
 Office Update Inventory Tool v2.0 (invconf.exe)
 Office Update Inventory Tool Catalog (invcif.exe)



C:\inventory\inventory.exe /s cifs\ /o C:\inventory\
C:\inventory\inventory.exe /update
C:\inventory\convert.exe /d C:\inventory /o output.txt
MBSA 1.2
Francesca Del Corso - II INFN SECURITY WORKSHOP
Francesca Del Corso - II INFN SECURITY WORKSHOP
Microsoft Baseline Security Analizer 1.2


Effettua scansioni in locale per s.o. Windows 2000, XP,
famiglia 2003, remote su s.o. Windows NT 4.0 SP4,
2000, XP, Windows Server 2003
Verifica:






Presenza di security updates e service pack
Autologon e guest account
Auditing enabled
Account password expiration, blank o simple
File system
Servizi non necessari

GUI e a riga di comando: mbsacli.exe /hf

File di log in %userprofile%\SecurityScan
Francesca Del Corso - II INFN SECURITY WORKSHOP
Software Update Services



Architettura client/server che estende le funzionalità del
W indows Automatic Update per il download e l’aggiornamento
dei critical updates e dei security roll-ups
Server side:
 Minimi requisiti hw:
 CPU: pentium III 700MHz
 Memoria: 512 Mb RAM
 Spazio disco: 6Gb
 Requisiti Software:
 s.o. W indows 2000 Server SP2 e successivi, W indows
Server 2003;
 Internet Information Server 5.0 o successivi, porta 80
Client side:
 Automatic Update 2.2 o successivo
 AU configurato manualmente o tramite Group Policy
 W orkgroup o dominio
Francesca Del Corso - II INFN SECURITY WORKSHOP
Vantaggi di SUS







Possibilità di testare gli aggiornamenti scaricati da
Internet prima della loro distribuzione
Maggior sicurezza evitando che i singoli client facciano
download e si installino direttamente gli update
può operare in presenza di proxy server che richiede
autenticazione
distribuzione patch ai computer di una Intranet che non
possono connettersi direttamente ad Internet
SUS è gratuito
facilità di configurazione ed utilizzo
maggiori garanzie di privacy
Francesca Del Corso - II INFN SECURITY WORKSHOP
Limiti del SUS

Distribuisce solo critical security patch e update per:



Non vengono distribuiti patch per:




s.o. W indows 2000 S.P.2, W indows XP, W indows Server
2003 (no NT o W indows 98/ME);
componenti W indows: IIS, IExplorer, W indows Media Player;
no supporto per MS Office, SQLServer, Exchange Server;
driver componenti hardware (schede di rete, audio, ecc.)
altri s.o. (Linux, Unix, Novell) come PatchLink
Possiede una reportistica limitata; non permette di fare
analisi e controllo dei risultati della distribuzione delle
patch sulle singole macchine;
Manca uno strumento di rimozione delle patch
centralizzato.
Francesca Del Corso - II INFN SECURITY WORKSHOP
Francesca
- IIConsole
INFN SECURITY
WORKSHOP
SUS Del
1.0Corso
SP1amministrativa
Francesca Del Corso - II INFN SECURITY WORKSHOP
Francesca Del Corso - II INFN SECURITY WORKSHOP
Francesca Del Corso - II INFN SECURITY WORKSHOP
SUS management console: Set options
Francesca Del Corso - II INFN SECURITY WORKSHOP
Francesca Del Corso - II INFN SECURITY WORKSHOP
System Management Server 2003





Integra le capacità di patch management di SUS con
quelle di analisi del MBSA
Supporto piattaforma più esteso: Windows 98, 98SE, NT
4.0, Windows 2000, XP Professional, Windows server
2003 appartenenti ad un dominio Windows
Controllo maggiore dei security updates (la distribuzione
del sw può essere fatta ad un sottoinsieme)
Reportistica centralizzata consultabile via web
E’ a pagamento
Francesca Del Corso - II INFN SECURITY WORKSHOP
Distribuzione critical updates con SMS

Preparazione (inventario, informazioni)
Installazione sul SMS server site di:
 Security Update Inventory tool
 Microsoft Office Inventory Tool
Inventario Sofware
Autorizzazione e distribuzione degli update Software

Sincronizzazione degli Update Software



Francesca Del Corso - II INFN SECURITY WORKSHOP
Ambiente di produzione e di test INFN Sez. Firenze
Francesca Del Corso - II INFN SECURITY WORKSHOP
Francesca Del Corso - II INFN SECURITY WORKSHOP
Francesca Del Corso - II INFN SECURITY WORKSHOP
Francesca Del Corso - II INFN SECURITY WORKSHOP
Francesca Del Corso - II INFN SECURITY WORKSHOP
Francesca Del Corso - II INFN SECURITY WORKSHOP
Francesca Del Corso - II INFN SECURITY WORKSHOP
Francesca Del Corso - II INFN SECURITY WORKSHOP
Tabella riepilogativa
WU
Amministrazione
centralizzata
no
Inventario
centralizzato
no
Tipo di software
s.o. Windows
SUS 1.0 SP1
SMS 2003
Si, buona; aggiornamenti
Ottima: aggiornamenti
approvati dall’amministratore approvati dall’amministratore
e inviati in maniera mirata
no
Tutti i tipi di aggiornamenti
Windows; no aggiornamenti
altri s.o.
Security patch, critical
updates, updates, SP,
updates rollup. Solo
Windows
Windows 98, 98SE, ME, XP, Windows 2000, Windows XP
Windows 2000, server 2003
e Windows 2003
Inventario centralizzato di sw,
hw, vulnerabilità
Qualunque distribuzione di
sw e aggiornamenti ai client
SMS
Windows 98, 98SE, NT 4.0,
SP6, Windows 2000, XP
Pro, Windows server 2003;
devono far parte del dominio
Semplice architettura server, Architettura complessa e
facile installazione client
installazione di servizi
Architettura ed
installazione
Solo configurazione client;
nessun altra infrastruttura
Reportistica
No reportisiica centralizzata
Sufficiente reportistica
centralizzatata nei file di log
Costo
gratuito
gratuito
Francesca Del Corso - II INFN SECURITY WORKSHOP
Ottima reportistica
centralizzati con
consultazione via web
A pagamento, costo
aggiuntivo delle licenze
Bibliografia

Patch Management:

Windows Update:
http://www.microsoft.com/security/whitepapers/patch_management.asp
http://windowsupdate.microsoft.com/

MBSA:
http://www.microsoft.com/mbsa

Microsoft Software Update Services:
windowsserversystem/sus/default.mspx

http://www.microsoft.com/
System Management Server 2003:
http://www.microsoft.com/smserver/evaluation/capabilities/patch.asp

Security Tools:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/
tools/tools.asp
Francesca Del Corso - II INFN SECURITY WORKSHOP