Administracin de actualizaciones de seguridad

Mario Inostroza Pastor

Ingeniero de Proyectos MCSE + M MCSE +S mipastor@hotmail.com Policomp S.A

Agenda
Microsoft Solutions for Patch Management Windows Server Update Services
Arquitectura Configuracin

Inventory Tool for Microsoft Updates

Cmo funciona con SMS 2003

MOM Management pack for MBSA

Utilizar MOM para gestionar parches ausentes

Recomendaciones Shared Computer Toolkit

Presentacin del producto

Demos

Microsoft Solutions for Patch Management

Tipo de Tecnologa Offering de Microsoft
Anlisis de Updates Baseline Security Analizer 2.0
MOM Management Pack Management Pack

Office Update Inventory Tool 2.0 Servicio Online de Updates Windows Update Office Update Microsoft Update Automatic Updates en Windows Windows Server Updates Services Windows Server Updates Services (WSUS) Systems Management Server 2003
Inventory Tool for Microsoft Updates Inventory Tool for Microsoft (ITMU) (ITMU) Updates

Administracin automatizada de Updates

Windows Server Update Services (WSUS)

Windows Server Update Services (WSUS)

Solucin gratuita para administrar centralizadamente Updates Microsoft Sucesor de SUS (Software Update Services) Administrable desde una consola Web Updates Microsoft, no slo Windows

Componentes
Microsoft Update Windows Server Update Services
Web Site MSDE/SQL

Automatic Updates Client

Windows 2000 Server y Professional Windows XP Professional Windows Server 2003

Requisitos de instalacin
Windows 2000 Server SP3 Windows Server 2003 BITS 2.0
Windows 2000 Server Windows Server 2003

Internet Information Services 5.0 o 6.0 ASP.NET 1.1

Administracin
Servidor
Interfaz Web de WSUS Sincronizacin de updates
Metadata Archivos de instalacin

Creacin de grupos de computadores Aprobacin de updates para cada grupo

Cliente
Modificacin de registro a travs de:
GPOs de Active Directory Logon Script u otro mtodo

Aprobacin de updates
Estados
Slo detectar Instalar Sin aprobacin

Segmento por grupos Vistas de updates

All Computers Grupos personalizados Familia de productos Aprobacin Sincronizacin Vistas personalizadas

Productos y contenido soportado

Productos
Windows 2000 Family SP3 > Windows XP Family
64 Bit Embedded

Windows Server 2003 Family Exchange Server 2000/2003 SQL Server 2000 Office 2002(Xp)/2003

Tipos de updates
Services Packs Security Updates Critical Updates Drivers Tools Rollups Feature Packs Regular updates

Arquitectura de la solucin

Microsoft Update

Servidor WSUS

Windows Update Services Windows UpdateServices Services

< Back < Back

Finish Finish

Cancel Cancel

Clientes Desktop Grupo 1

Administrador de WSUS

Clientes Servidores Grupo 2 El administrador coloca los clientes en grupos objetivo servidor baja los updates desde Microsoft Update aprueba los updatespor el Los clientes se registran en elcategoras a bajar suscribe las servidor Agentes instalan updates aprobados administrador

Arquitectura de servidor
Clients WSUS Servers/MU Admin workstation Server/Server Web service Catalog sync Content sync

Reporting Client/Server Admin UI Web service Web service

Server API

Metadata Store MSDE/SQL

File Store (NTFS)

Arquitectura del cliente

WU Service or WSUS WU Client Update handlers Update manager IE (WU Site) Custom scripts

WU Client API Automatic updates

BITS

Content store

Metadata Store

Escenarios de implementacin

nico Servidor

Microsoft update WSUS server

Desktop clients

nico Servidor:
PYME o red simple Configuracin de un solo servidor para interactuar con Microsoft Update Sincronizar contenido (metadata y archivos) Configurar clientes Opcional:
Crear grupos de mquinas para segmentarlas y distribuir en el tiempo la instalacin de los updates Configurar a los clientes para ser miembros del grupo Configurar reglas de auto-aprobacin para que la instalacin se realize automticamente

Mltiples servidores

Microsoft update

WSUS server

WSUS server

Desktop clients

Desktop clients

Mltiples Servidores:
Gran empresa / Esquema complejo de redes
Configurar servidor(es) para hablar con Microsoft Update Sincronizar contenido (metadata, archivos) Crear jerarqua de servidores
Servidores WSUS independientes en la Intranet Rplica de servidores

Configurar clientes para apuntar a sus respectivos servers WSUS Opcional:

Crear grupos de computadores Configurar clientes para que sean miembros de los grupos

Servidores desconectados

Microsoft update

WSUS server

WSUS server

Desktop

Servidores desconectados:
Redes desconectadas Configurar un servidor externo para hablar con
Microsoft Update Sincronizar contenido (metadata, archivos) Exportar metadata y archivos a media externa (CD, DVD, HDD) Importar metadata y archivos al servidor desconectado
Servidor desconectado validar certificados Microsoft en la metadata y en los archivos para verificar integridad entre ellos Configurar clientes para apuntar a su respectivo servidor WSUS

Windows Server Update Services

Inventory Tool for Microsoft Updates

Parte de Systems Management Server 2003

Introduccin a SMS 2003

Inventario de Hardware y Software Distribucin de software
Software clsicos Software interno Deploy de imgenes de sistema operativo

Control remoto Software metering IIS Reporting Distribucin de actualizaciones Microsoft

Inventory Tool for Microsoft Updates (ITMU)

Inventory Tool for Microsoft Updates (ITMU)

Administracin Servidor
Sincronizacin con Microsoft Update (slo Metadata) Download de contenido segn se requiera a travs de Wizard de SMS

Administracin Cliente
Administracin tpica de SMS Windows Update Agent / Microsoft Update Tool Colecciones de equipos basadas en criterios avanzados

SMS Reporting para installation compliance

Eventos detallados (exitosos, fallidos)

Inventory Tool for Microsoft Updates

Baseline Security Analizer Management Pack

Parte de Microsoft Operations Manager 2005

Introduccin a MOM 2005

Monitoreo avanzado de servidores
Microsoft Non-Microsoft Management Packs

Alertas y eventos centralizados

Roles separados por consola

Resolucin automtica de problemas Tareas comunes desde la consola del operador Visualizacin grfica de la red
Topologa fsica y lgica de:
Active Directory Exchange Server 2003

Reportes de gestin con SQL Reporting Services Bajo tiempo de implementacin Integracin con otros productos de monitoreo

MBSA Management Pack

Basado en MBSA 2.0
Instalacin y reporting centralizado

Alertas en la consola en relacin a:

Updates faltantes
Windows Office SQL Exchange

Configuracin de seguridad
IIS SQL Windows

Reportes web de SQL Reporting Services

Reporte de MBSA Management Pack

Diferencias entre soluciones

WSUS MOM ITMU
Actualizacin de Updates y Parches Instalacin de Software

Reportes de parches instalados Reportes avanzados de Hardware y Software instalados Coleccin de equipos por criterios avanzados Alertas de Parches no instalados

Recomendaciones
Implementar una solucin administrada centralizadamente Ambiente de testing
Virtual PC Virtual Server 2005 R2

Partir de lo ms simple a lo ms complejo Leer guas de implementacin disponibles en Technet

Microsoft Shared Computer Toolkit

Estaciones controladas Rpida recuperacin de configuracin base Configurable por polticas de grupo

Microsoft Shared Computer Toolkit

Recursos
Herramientas de Patch Management
http://www.microsoft.com/technet/security/tools

Windows Server Update Services

http://www.microsoft.com/wsus

Inventory Tool for Microsoft Updates SMS 2003

http://www.microsoft.com/sms

MBSA Management Pack

http://www.microsoft.com/mom

Microsoft Shared Computer Toolkit

http://www.microsoft.com/windowsxp/sharedaccess/default.mspx