Построение системы управления обновлениями ДокладчикMicrosoft
Содержание Концепция системы управления обновлениями Процесс управления обновлениями Инструменты для управления обновлениями
Пожелания пользователей Улучшить качество продуктов; снизить частоту обновлений Улучшить и интегрировать инструменты Предоставить руководства и обучение Улучшить процедуры обновления Слишком много уязвимостей и обновлений Нужно знать, как правильно внедрять и использовать Несовместимость процессов обновления разных продуктов Слишком много неполных и пересекающихся инструментов Низкое качество обновлений: размеры, перезагрузки, отзыв Улучшить качество обновлений
Инициатива по управлению обновлениями Информированные и подготовленные пользователи Высокое качество обновлений Совместимые и унифицированные процедуры Лучшие решения по управлению обновлениями Рациональные уровни критичности обновлений Бюллетени и статьи в «Базе Знаний» Security Readiness Kit; Руководства по созданию системы управления обновлениями Стратегия развития технологий и инструментария Software Update Services 2.0 Systems Management Server 2003 Стандартизованная терминология Стандартизованные команды и параметры установки Снижение частоты выхода обновлений: 1 раз в месяц Улучшенный процесс тестирования обновлений Привлечение пользователей к тестированию Снижение количества перезагрузок на 10%; снижение размера обновлений на 75%
Содержание Концепция системы управления обновлениями Процесс управления обновлениями Инструменты для управления обновлениями
Временная шкала использования уязвимости Время для обновления и защиты системы Обнаружение уязвимости Исправление создано Исправление выпущено Создается механизм атаки Вирус/червь создан Вирус/червь задействован Атаки нет Об уязвимости знают только Microsoft и источник информации Атаки нет Об уязвимости знают только Microsoft и источник информации Атаки нет Уязвимость опубликована, но атака еще не разработана Атаки нет Атака разработана, но вирус/червь еще не создан Атаки нет Вирус/червь создан, но еще не задействован Атака Вирус/червь атакует и заражает незащищенные системы
Уровни критичности УровеньОписание Критичный Возможно распространение «червя» через Интернет без участия пользователя Серьезный Возможно нарушение конфиденциальности, целостности и доступности пользовательских данных или ресурсов системы Умеренный Результаты использования уязвимости существенно зависят от различных факторов: конфигурация системы, ведение аудита, действия пользователей Низкий Использование уязвимости чрезвычайно сложно, либо его воздействие минимально
Выпуск исправления Уровень Рекомендуемый срок Максимальный срок Критичный 24 часа 2 недели Серьезный 1 месяц 2 месяца Умеренный Зависит от ожидаемых атак. В составе следующего пакета обновлений в пределах 4 месяцев 6 месяцев Низкий Зависит от ожидаемых атак. В составе следующего пакета обновлений в пределах 1 года 1 год (исправление может не потребоваться) ФакторДействие Серьезное воздействие на важнейшие объекты Сокращение срока Воздействие на типично атакуемые объекты Сокращение срока Имеются факторы, снижающие критичность Увеличение срока Низкий уровень риска Увеличение срока Факторы, влияющие на сроки выпуска
Процессы Люди Технология Управление обновлениями Продукты, инструменты, автоматизация Последовательность и периодичность Навыки, роли и обязанности
Процесс управления исправлениями 1. Анализ ИТ-инфраструктуры Периодические работы A. Создание и поддержание правильной конфигурации систем B. Проверка соответствия используемого решения требованиям C. Пересмотр инфраструктуры Постоянные работы A. Обнаружение систем, входящих в инфраструктуру B. Инвентаризация систем 1. Анализ 2.Обнаружение 4. Установка 3. Тестирование 2. Проверка доступности новых исправлений Исходные данные A. Появились новые исправления B. Эти исправления актуальны для инфраструктуры C. Исправления получены из надежных источников 3. Тестирование и планирование установки Работы A. Анализ рисков B. Получение разрешения на установку C. Планирование процесса развертывания D. Завершение тестирования 4. Установка Работы A. Распространение и установка B. Отслеживание процесса установки C. Решение непредвиденных проблем D. Анализ результатов всего процесса
Содержание Концепция системы управления обновлениями Процесс управления обновлениями Инструменты для управления обновлениями
Windows Update Все сценарии Индивидуальный пользователь Windows Update В сети нет серверов под управлением Windows Малое предприятие MBSA + SUS В сети есть один или несколько серверов Windows. Сетью управляет один администратор Среднее или крупное предприятие Тип SMS Требуется решение с высоким уровнем контроля для обновления всех программных систем MBSA + SUS Требуется решение с базовым уровнем контроля для обновления систем Windows 2000 и более поздних версий Windows ВыборСценарий Выбор решения для управления обновлениями
Windows Update. По запросу пользователя Windows Update Service 2. Браузер клиента получает метаданные каталога обновлений 1. Пользователь подключается к сайту Windows Update и выбираетПоиск обновлений 3. Метаданные используются для определения отсутствующих обновлений 4. Пользователь выбирает обновления для установки 5. Обновления скачиваются, проверяются и устанавливаются 6. Обновляются история и статистика
Windows Update. Автоматически 2. Клиент получает метаданные каталога обновлений 1. Служба Windows Update опрашивается каждые часа 3. Метаданные используются для определения отсутствующих обновлений 4. Пользователь извещается, или обновления автоматически загружаются с помощью службы BITS 5. Пользователь извещается, или обновления автоматически устанавливаются 6. Обновляются история и статистика Windows Update Service
Демонстрация Настройка автоматического обновления Windows
Особенности службы Windows Update Windows Update поддерживает: Windows Update поддерживает: Все критичные обновления безопасности Все критичные обновления безопасности Все версии операционных систем, начиная с Windows 98 Все версии операционных систем, начиная с Windows 98 Windows Update не обеспечивает: Windows Update не обеспечивает: Контроля и оптимизации сетевого трафика Контроля и оптимизации сетевого трафика Контроля за распространением обновлений Контроля за распространением обновлений
Office Update Единая точка получения обновлений для Microsoft Office Единая точка получения обновлений для Microsoft Office Автоматическое обнаружение и установка критичных исправлений и обновлений Автоматическое обнаружение и установка критичных исправлений и обновлений Простая и удобная процедура Простая и удобная процедура Различные форматы файлов обновлений Различные форматы файлов обновлений Полные файлы Полные файлы Дельты Дельты
Windows Update Все сценарии Индивидуальный пользователь Windows Update В сети нет серверов под управлением Windows Малое предприятие MBSA + SUS В сети есть один или несколько серверов Windows. Сетью управляет один администратор Среднее или крупное предприятие Тип SMS Требуется решение с высоким уровнем контроля для обновления всех программных систем MBSA + SUS Требуется решение с базовым уровнем контроля для обновления систем Windows 2000 и более поздних версий Windows ВыборСценарий Выбор решения для управления обновлениями
Microsoft Baseline Security Analyzer Инструмент для автоматического обнаружения Инструмент для автоматического обнаружения Отсутствующих обновлений и исправлений Отсутствующих обновлений и исправлений Неверных настроек системы безопасности компьютеров Неверных настроек системы безопасности компьютеров Позволяет администраторам централизованно сканировать большое количество систем Позволяет администраторам централизованно сканировать большое количество систем Варианты интерфейса Варианты интерфейса Графическая консоль Графическая консоль Командная строка (mbsacli.exe) Командная строка (mbsacli.exe)
Работа MBSA MSSecure.xml Файл MSSecure.xml содержит Имена бюллетеней по безопасности Список обновлений продуктов Версии и контрольные суммы Изменения в реестре Номера статей «Базы знаний» Microsoft Download Center MSSecure.xml 2. Загружается и проверяется файл MSSecure.xml 1. Запуск MBSA на машине администратора; указание целевых машин 3. Сканируются целевые машины 4. Собранная информация анализируется на основе данных из MSSecure.xml 5. Проверяется наличие необходимых обновлений 6. Генерируется отчет MBSA Computer
Демонстрация Использование Microsoft Baseline Security Analyzer
Software Update Services (SUS) Преимущества Автоматическая установка наиболее важных исправлений Автоматическая установка наиболее важных исправлений Контроль над установкой исправлений ОС в организации Контроль над установкой исправлений ОС в организации Возможность предварительного тестирования исправлений Возможность предварительного тестирования исправлений Средство установки критических обновлений и исправлений, связанных с безопасностью (Только для ОС и ее компонентов!) Средство установки критических обновлений и исправлений, связанных с безопасностью (Только для ОС и ее компонентов!) Автоматическая загрузка исправлений с сайта Windows Update Service Автоматическая загрузка исправлений с сайта Windows Update Service Клиентские компьютеры могут быть централизованно настроены на использование сервера SUS (Group Policy, импорт.REG-файла) Клиентские компьютеры могут быть централизованно настроены на использование сервера SUS (Group Policy, импорт.REG-файла) Различные варианты настройки клиентов по загрузке/установке исправлений Различные варианты настройки клиентов по загрузке/установке исправлений Microsoft Windows Update Service Географически распределенное предприятие Интранет Сервер SUS Компьютеры с установленными клиентами Automated Updates (AU)
Как работает SUS Windows Update Ваш сервер SUS Прокси Проверка наличия новых исправлений (каждые часа) - Загрузка исправлений с сервера - Установка в указанное время - Перезагрузка при необходимости
Требования к системам Сервер Windows 2000 SP3 Windows 2000 SP3 Windows 2003 Windows 2003 Минимальные требования: Минимальные требования: Pentium III 700 MHz и быстрее Pentium III 700 MHz и быстрее 512 МБ памяти 512 МБ памяти 6 гигабайт свободного дискового пространства (ОБЯЗАТЕЛЬНО!)* 6 гигабайт свободного дискового пространства (ОБЯЗАТЕЛЬНО!)* * Текущий объем базы SUS для русского и английского языков – 1.4 GB Клиент Windows 2000, XP или 2003 Windows 2000, XP или 2003 Установленный клиент Auto-Update Установленный клиент Auto-Update Поддерживает установку разрешенных исправлений с сервера SUS Поддерживает установку разрешенных исправлений с сервера SUS Загрузка и установка по расписанию Загрузка и установка по расписанию Все настройки могут быть сделаны через политику или REG-файл Все настройки могут быть сделаны через политику или REG-файл Не требует участия пользователя в процессе Не требует участия пользователя в процессе Клиент AU включен в: Клиент AU включен в: SUS 1.0 Service Pack 1 SUS 1.0 Service Pack 1 Отдельный MSI-файл (доступен на сайте) Отдельный MSI-файл (доступен на сайте) Windows 2000 Service Pack 3 Windows 2000 Service Pack 3 Windows XP SP1 Windows XP SP1 Windows Server 2003 Windows Server 2003
SUS в больших сетях Windows Update Сервер SUS верхнего уровня Прокси Загрузка и установка по расписанию SUS 2-го уровня Загрузка по расписанию NLB
SUS в больших сетях Windows Update Ваш сервер SUS Прокси Групповая политика ОП1 - Установка в 9:00 Групповая политика ОП1 - Установка в 20:00 NLB
Интеграция SUS и MBSA MBSA может проводить сканирование указанного сервера SUS и проверять наличие на нем утвержденных обновлений MBSA может проводить сканирование указанного сервера SUS и проверять наличие на нем утвержденных обновлений Запуск из командной строки Запуск из командной строки mbsacli.exe /sus mbsacli.exe /sus mbsacli.exe /hf /sus mbsacli.exe /hf /sus
Новые возможности в SUS 2.0 Средства централизованного сбора отчетов Средства централизованного сбора отчетов Статус распространения и установки исправлений Статус распространения и установки исправлений Возникшие проблемы Возникшие проблемы Жесткие сроки для загрузки и установки исправлений Жесткие сроки для загрузки и установки исправлений Дата «гарантированной установки» Дата «гарантированной установки» Публикация исправлений для приложений Публикация исправлений для приложений Дополнительные правила для установки Дополнительные правила для установки API сервера и клиента (с поддержкой сценариев) API сервера и клиента (с поддержкой сценариев) Делегирование прав администрирования Делегирование прав администрирования Деинсталляция исправлений Деинсталляция исправлений
Демонстрация Software Update Service
Windows Update Все сценарии Индивидуальный пользователь Windows Update В сети нет серверов под управлением Windows Малое предприятие MBSA + SUS В сети есть один или несколько серверов Windows. Сетью управляет один администратор Среднее или крупное предприятие Тип SMS Требуется решение с высоким уровнем контроля для обновления всех программных систем MBSA + SUS Требуется решение с базовым уровнем контроля для обновления систем Windows 2000 и более поздних версий Windows ВыборСценарий Выбор решения для управления обновлениями
Systems Management Server Решение проблем Удаленное управление Удаленное управление Средства диагностики Средства диагностики Анализ сетевого трафика Анализ сетевого трафика Инвентаризация Аппаратура Аппаратура Установленное ПО Установленное ПО Использование ПО Использование ПО Распространение ПО Управление процессом развертывания с учетом полосы пропускания сети Управление процессом развертывания с учетом полосы пропускания сети Подробные отчеты Подробные отчеты Решение масштаба предприятия Централизованное или распределенное управление Централизованное или распределенное управление Масштабируемая архитектура Масштабируемая архитектура
Как работает SMS Feature Pack Средства сканирования Станция синхронизации Интернет Инсталляция FP Фаза синхронизации Сканирование и установка Клиенты DSU Wizard Software Update Packages Пакет исправлений SMS Site Server
Лучшие практики управления обновлениями Внедрить систему управления обновлениями Выбрать решение, соответствующее существующей инфраструктуре Подписаться на рассылку Microsoft Security Notification Service Использовать ресурсы и рекомендации Microsoft Своевременно обновлять систему
Windows Update SUS 1.0 SMS 2003 Поддерживаемые платформы NT 4.0, Win2K, WS2003, WinXP, WinME, Win98 Win2K, WS2003, WinXP NT 4.0, Win2K, WS2003, WinXP, Win98 Поддерживаемые типы исправлений Все исправления, включая обновленные драйверы Только исправления безопасности, критические исправления и Пакеты Исправлений для ОС Все исправления для ОС и приложений Управление процессом Назначение исправлений клиентам НетНетДа Оптимизация сетевого трафика Нет Да (при распространении исправлений клиентам) Да (при распространении обновлений клиентам и серверам SMS) Управление процессом распространения НетБазовоеДетальное Гибкость по времени и способу установки Вручную, определяется пользователем Автоматически или по желанию пользователя Процесс полностью контролируется администратором Возможность предоставления отчетов об установке Информация хранится только на клиентском компьютере Ограниченная Возможность предоставления детальной информации Дополнительные возможности Планирование установки НетНетДа Инвентаризация клиентов НетНетДа Проверка на применимость НетНетДа Функции и свойства решения Выбор правильного решения
Информация Информационный ресурс Microsoft по безопасности Информационный ресурс Microsoft по безопасности Для профессионалов IT: Для профессионалов IT: На русском языке: На русском языке: База знаний Microsoft База знаний Microsoft Сайт Systems Management Server Сайт Systems Management Server Сайт Software Update Services Сайт Software Update Services
© 2004 Microsoft Corporation. All rights reserved. This session is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.