Soluciones para la Administración de actualizaciones Microsoft Windows Update Management.
-
Upload
alita-valentino -
Category
Documents
-
view
10 -
download
2
Transcript of Soluciones para la Administración de actualizaciones Microsoft Windows Update Management.
Soluciones para la Administración de
actualizaciones Microsoft
“Windows Update Management”
Qué estaremos cubriendo?
• A qué le llamamos Administración de
Actualizaciones ó “Update Management”?
• Porqué necesito Administrar las
Actualizaciones?
• Cómo puedo Administrar Actualizaciones?
Experiencia que será útil en la Sesión
Nivel 200
• Experiencia práctica “Hands-on” Con las herramientas de administración de Microsoft Windows®
2000 Server or
Windows Server™ 2003
Agenda
• Vista General sobre la Adm. de Actualizaciones
• Proceso de la Adm. de Actualizaciones
• Herramientas en la Adm. de Actualizaciones
Justificación de Negocios para la Adm. De Actualizaciones• Caídas de Sistemas o “Downtime”
• Tiempo de Mitigación
• Integridad de Datos en riesgo
• Pérdida de Credibilidad
• Relaciones Públicas Negativas
• Demandas Legales
• Robo de Propiedad Intelectual
Entendiendo Las Franjas de tiempo con las Vulnerabilidades
Producto Producto LiberadoLiberadoProducto Producto LiberadoLiberado
Vulnerabilidad Vulnerabilidad DescubiertaDescubierta
Vulnerabilidad Vulnerabilidad DescubiertaDescubierta
Actualización Actualización DisponibleDisponible
Actualización Actualización DisponibleDisponible
Actualización Actualización Instalada por TIInstalada por TIActualización Actualización
Instalada por TIInstalada por TIVulnerabilidad Vulnerabilidad
PublicadaPublicadaVulnerabilidad Vulnerabilidad
PublicadaPublicada
La maroría de ataques ocurren en este momento
Producto Producto LiberadoLiberadoProducto Producto LiberadoLiberado
Vulnerabilidad Vulnerabilidad DescubiertaDescubierta
Vulnerabilidad Vulnerabilidad DescubiertaDescubierta
Actualización Actualización DisponibleDisponible
Actualización Actualización DisponibleDisponible
Actualización Instalada Actualización Instalada por TIpor TI
Actualización Instalada Actualización Instalada por TIpor TI
Vulnerabilidad Vulnerabilidad PublicadaPublicada
Vulnerabilidad Vulnerabilidad PublicadaPublicada
Entendiendo los tiempos en la Violación a una Vulnerabilidad
La Mayoría de Ataques ocurren en este momento
Ataque con MalwareDías entre la actualización y
la Violación
Nimda 331
SQL Slammer 180
Welchia/Nachi 151
Blaster 25
Sasser 14
Índices de Severidad para las Actualiciones Microsoft
Índice Definición
CríticoLa “explotación” podría generar la propagación de gusanos en Internet con intervención del usuario
ImportanteLa “explotación” podría comprometer los datos de usuarios o la disponibilidad de recursos de procesamiento
Moderado
La “explotación” es seria pero mitigada con la ayuda de la configuración “default”, auditorías, ayuda del usuario o que se sea muy compleja de explotar o violar
BajoLa “explotación” es extremadamente compleja y difícil de atacar o su impacto es mínimo
Ver “Microsoft Security Bulletin Search” en el sitio de TechNet
Update Time Frames
Severity rating
Recommended update time frame
Recommended maximum update
time frame
Critical Within 24 hours Within two weeks
Important Within one monthWithin two months
ModerateWait for next service pack or update rollup, or deploy update within four months
Deploy update within six months
LowWait for next service pack or update rollup, or deploy update within one year
Deploy update within one year
Mejorando la Experiencia de ActualizaciónTu Necesidad Respuesta de Microsoft
Reducir la Frecuencia de Act.
Se ha reducido la frecuencia de Actualizaciones de “no-emergencia” de una vez por semana a una vez por mes
Reducir la Complejidad de Actualizar Se ha reducido el número de tecnologías de instalación
Reducir el riesgo de actualizaciones en la instalación
Se ha mejorado la calidad de actualizaciones y se ha introducido la capacidad de poder hacer ROLLBACK
Reducir el tamaño de las Actualiaciónes
Se ha desarrollado la tecnología “delta updating” para reducir el tamaño de las actualizaciones
Mejorar la consistencia de herramientas
Se han desarrollado Herramientas consistentes (scanning por ejemplo)
Mejora de las capacidad en las herramientas
Se han desarrollado herramientas con mayor capacidad (SUS, WUS, Software Malicious Removal tool)
Defensa en Profundidad
Política, Procedimients & AlertasPolítica, Procedimients & Alertas
Seguridad FísicaSeguridad Física
Fortalecer el OS, Autenticación, Adm. De Adm. De act, HIDS
Firewalls, Control de Cuarentena del Acceso de Red
Vigilantes, Llaves, control de Dispositivos
Segmentos de Red, IPSec, NIDS
Fortalecers las Apps, antivirus
ACLs, Cifrado, EFS
Documentación de la Seguridad, Eduación al Usuario
Perímetro
Red Interna
Servidor/Cliente
Aplicación
Datos
Políticas, Procedimientos & AlertasPolíticas, Procedimientos & Alertas
Reguridad FísicaReguridad Física
Fortalecer el OS, autenticación, Adm. De Parches, HIDS
Firewalls, Control de Cuarentena en el Acceso a la Red
Vigilancia, llaves, control de dispositivos
Segmentos de Red, IPSec, NIDS
Fortalecer Apps, antivirus
ACLs, Cifrado, EFS
Documentos de Seguridad, Eduación al Usuario
Perímetro
Red Interna
Servidor/Cliente
Aplicación
Datos
Agenda
• Vista General sobre la Adm. de Actualizaciones
• Proceso de la Adm. de Actualizaciones
• Herramientas en la Adm. de Actualizaciones
Condiciones para una Exitosa Administración de Actualicaciones
Procesos Efectivos
Operaciones Efectivas
Herramientas y Tecnologías
Administración de Proyectos, Proceso de 4 fases
Administración de Proyectos, Proceso de 4 fases
Productos, Herramientas, AutomatizaciónProductos, Herramientas, Automatización
Gente que entiende sus funciones y responsabilidades
Gente que entiende sus funciones y responsabilidades
Proceso de Adminsitración de Actualizaciones
1. Examina el ambiente a ser actualizado1. Examina el ambiente a ser actualizado
• Crear/mantener un “baseline” de sistemasCrear/mantener un “baseline” de sistemas• Descubra todos los bienesDescubra todos los bienes•Inventario de ClientesInventario de Clientes
1. Examinar
2. Identificar
4. Instalar
3. 3. Evaluar y Planificar
2. Identica Nuevas Actualizaciones2. Identica Nuevas Actualizaciones
•Identifica Nuevos ParchesIdentifica Nuevos Parches•Determina la relevanciaDetermina la relevancia•Verifica la autenticidad e integridadVerifica la autenticidad e integridad
3. Evaluar & Planificar la 3. Evaluar & Planificar la distr. De Actu.distr. De Actu.
•Contar con la aprobación de InstalarContar con la aprobación de Instalar•Hacer un exámen de riesgoHacer un exámen de riesgo•Planifica el proceso de distribuciónPlanifica el proceso de distribución•Realiza una prueba de aceptación de Realiza una prueba de aceptación de actualizacionesactualizaciones
4. Instala las actualizaciones4. Instala las actualizaciones
•Distribuye e instala las actuzalicionesDistribuye e instala las actuzaliciones•Reporta el progreso o avanceReporta el progreso o avance•Maneja las excepcionesManeja las excepciones
•Revisa la instalaciónRevisa la instalación
Agenda
• Vista General sobre la Adm. de Actualizaciones
• Proceso de la Adm. de Actualizaciones
• Herramientas en la Adm. de Actualizaciones
Eligiendo una solución de Administración de Actualizaciones
Tipo de Cliente Escenario Solución
Consumidor Todos Los Escenarios Microsoft Update
Pequeña Empresa
No tiene Servidores Windows MBSA and Microsoft Update
Tiene de 1 a 3 Servidores Windows 2000 ó más recientesy 1 Administrador de TI
MBSA and WSUS
Media y Gran Empresa
Necesita Adm. Actualizaciones con control básico para actualizar servidores Windows 2000 y superiores
MBSA and WSUS
Requiere una solución flexible de adm. Con niveles de control ampliados para actualizar y distribuir cualquier software
Systems Management Server
Soluciones para Consumidores y Pequeña Empresa
• Usa “Microsoft Update”
• Solución basada en “Proteja su PC”:Usa un Firewall para protegerse en Internet
Descarga las actualizaciones
Utiliza Software Antivirus actualizado al día-
• Instala Windows XP SP 2
Tamaño de la organización
Escenario Solución de Gestión
PequeñaTiene de 1 a 3 servidores corriendo WS200 o superior y cuenta con al menos 1 Adm de TI
MBSA y WSUS
Media o Grande
Necesita una solución con servicios básicos de control que actulice servidores corriendo W2000srvr, Win Xp y WS2003 y algunas aplicaciones
MBSA y WSUS
Soluciones para la Pequeña y Mediana Empresa
Beneficios de MBSA “Microsoft Baseline Security Analyzer”• Revisa Sistemas para detectar:
Actualizaciones de seguridad faltantes
Problemas de Configuración Potencialmente inseguras
• Funciona con un amplio rango de aplicaciones Microsoft
• Permite a un Administrador centralizar la revisión de varios computadores y de manera simultánea
Revisiones que realiza MBSA
• Debilidad en los Passwords• Cuenta “Guest” no deshabilitada• Si Auditorías no están configuradas• Servicios Innecesarios instalados• Problemas de Seguridad con IIS• Config. de las Zonas de Seguridad de IE• Configuración de “Automatic Updates”• Configuración del Firewall de Windows® XP
MBSA – Cómo Funciona?
Centro de Descarga Windows
Catálogo Offline
Computador con
MBSA
MBSA – Opciones de Revisión (Scan)
• MBSA Interfaz Gráfica de Usuario
• MBSA Interfaz estándar en Línea de Comando
Beneficios de WSUS
• Permite que los administradores tengan el contro sobre la gestión de Actualizaciones
• Simplifica y Automatiza aspectos claves del proceso de gestión de actualizaciones.
• Fácil de Implantar
• Herramienta gratuita de Microsoft
Comparación entre SUS & WSUS
• Funcionalidad ComúnActualizan computadores corriendo Windows XP, Windows 2000, or Windows Server 2003
Los clientes descargan actualizaciones del servidor – “no push”
• Mejoras en WSUSSoporte ampliado a otros productos MS tales como Office, SQL Server y Exchange Server
Puede crear y administrar grupos blancos de computadoresMás opciones para administrar actualizacionesMás opciones para configurar agentesMás efeiciente en el uso del ancho de banda en la redCapacidades para Generar Reportes
WSUS – Cómo Funciona
Servidor WSUS
Microsoft Update
Computadores ClienteGrupo Blanco (Target Group)
Servidores WindowsGrupo Blanco (target Group)
Administrador WSUS
Computadores PilotoGrupo Blanco (Target Group)
Firewall
WSUS – Escenarios de Implantación
Servidor WSUS
Oficina Principal
Servidor WSUS
Desconectado
Computadores Cliente
Oficinas Remotas
Computadores Cliente
Oficina Principal
Computadores Cliente Regionales
Servidor WSUS
Independiente
Replica ServidorWSUS
Firewall
Microsoft Update
WSUS – Componente Cliente
• Puede descargar las actualizaciones ya sea del servidor WSUS o Microsoft Update
• 3 formas de configurar “Automatic Updates”
• WSUS actualizará automáticamente el cliente de “Automatic Update” para que mantenga una versión compatible.
WSUS – Componente Servidor
• Can download updates on a schedule
• Provides Web-based administrative GUI
• Several built-in default security features
• Provides synchronization and update reports
• Uses SQL database to store update metadata, events, and settings
WSUS – Integración con MBSA
• MBSA puede ser usada junto con WSUS
• MBSA puede revisar (scan) basándose en actualiaciones aprobadas en WSUS en lugar del servicio Windows Update
• Disponible con GUI y con interfaz de comando de línea para MBSA
Migrando de SUS a WSUS
• Instale SUS y WSUS en la misma computadora• Migre las actualizaciones y aprobaciones• Utilice la herramienta WSUSUTIL.exe que es basada
en comandos de línea• Configure los clientes para que hagan uso del nuevo
servidor WSUS• Utilice la auto-actualización del “Automatic Update”• Si no tiene Win XP SP´s, primero instale el cliente de
“automatic Update” antes
Capacidades WSUS SMS 2003
Plataformas que soportan
Windows 2000
Windows XP
Windows Server 2003
Windows NT 4.0
Windows 98
Windows 2000
Windows XP
Windows Server 2003
Tipos de Contenido que Soportan
Seguridad y actualizaciones contínuas, act. Críticas y Service Packs para los Sistemas Operativos de arriba y también actualizaciones para algunas aplicaciones adicionales Microsoft
Todas las actualizaciones, service packs y actualizaciones para los Sistemas Operativos de arriba, soporta actualizaciones e instalaciones de aplicaciones Microsoft y no Microsoft
Contol de Distribución de Actualizaciones
Básico Avanzado
Soluciones para la Mediana y Gran Empresa
Beneficios de SMS
• Facilita un control amplio de la gestión de actualización
• Automatiza aspectos claves de la adminsitración de actualizciones
• Puede actualizar un amplio rango de productos Microsoft
• Puede también actualizar software de Terceros e instalar otras actualizaciones u otras aplicaciones
Integración con SMS
• La herramienta de Inventario de actualiaciones de SMS (ITMU) se basa en el agente de Windows Update para realizar la revisión (scan) e instalación de actualizaciones
Herramienta de revisión “standalone”El agente es nativo para todos los sitemas operativos a partir de
Windows Server 2003 SP1Se distribuye como una instalación “stand-alone” con SMS y en las
carpetas de Sistemas Operativos
• Provee consistencia con “Microsoft Update” con respecto a las actualizaciones críticas de seguridad, actualizaciones contínuas y Service Packs
Firewall
Microsoft Update
SMS – Cómo Funciona?
Servidor SMSServer de Sitio
Servidor de SMS Punto de Distribución
Clientes de SMS
Clientes del SMS
Clientes de SMS
Servidor SMSPunto de Distribución
Resumen de la Sesión
• Distribuir e Instalar Actualizaciones de Seguridad es un componente crítico en un plan de administración de la seguridad
• La Administración de Actualizaciones necesitar ser compatible con tu proceso estándars en la administración de la red.
• Para la pequeña y mediana empresa, MBSA y WSUS juntos, ofrecen una excelente solución de manejo de actualizaciones
For More Information
www.microsoft.com/technet/mgt-11
Visit TechNet at www.microsoft.com/technet
For additional information, go to
www.microsoft.com/technet/subscriptions
Has Escuchado las novedades en la Subscripción de TechNet Plus?
• Software sin límite de tiempo o expiración!
• Soporte Técnico adicional!
• Disponibilidad de los mejores recursos actualizados
Find all these support options at www.microsoft.com/technet/supportMicrosoft offers a progressive series of support options starting with no-charge online support and developing through subscription, incident, and contract support.
1. No-Charge Online Support
Knowledge BaseSearch a vast database of articles to pinpoint the information you need.
NewsgroupsAccess more than 20,000 active newsgroups on scores of topics.
Product Support CentersGet answers to frequently asked questions, plus how-to articles and step-by-step instructions organized by product.
DLL Help Database Search here to identify the software used to install a specific DLL version.
Events and Errors Message CenterResolve event and error messages fast with explanations, recommendations, and links to support and resources.
Support WebcastsTune in to live technical presentations by Microsoft experts and take part in real-time Q&A.
ChatsChat online with Microsoft specialists or search the transcript archives.
User Group ProgramAccess information and support for IT and other interest-specific user groups.
TechNet Security Resource CenterGet ahead of security risks with resources that keep you current, including security newsletters and the Microsoft notification service.
2. Subscription-Based Support
TechNet SubscriptionSubscribe to TechNet for a personal library of articles, service packs, how-tos, resource kits, tools, utilities, and more. Your subscription includes monthly updates delivered on CD or DVD, so you always have the latest information, straight from the source.
Upgrade to a TechNet Plus subscription and add all this:
1. Full-version evaluation software, including Microsoft Office System and Windows Server System™ products, without time restrictions.
2. Free support — two complimentary incidents, plus a discount on other support calls.
3. Unlimited, next-business-day access to reliable answers from the IT community and Microsoft Support Professionals through Managed Newsgroups (English only).
3. Assisted Incident Support
E-mail SupportGet online incident help by e-mail from a Microsoft Support Professional.
Phone SupportGet incident help over the phone from a Microsoft Support Professional.
Phone Support ContractSave with a discounted 5-Pack Phone Support contract.
Advisory ServicesAdd remotely delivered consultation options from Microsoft Advisory Services for proactive support that goes far beyond routine product maintenance.
4. Contract-Based Support
Premier SupportGet the flexibility to match support options to your organization and enjoy direct access to Microsoft technical experts at any time, day or night. Premier Support delivers customized options for businesses with complex needs, including dedicated technical professionals to oversee your support, 24-hour problem resolution, and training and workshops that keep your IT staff up to date.
Essential SupportEssential Support offers prepackaged options specifically designed to meet the fundamental support requirements of any business, large or small. Includes account management, problem resolution, and information services.
• Conversaciones “Chats” gratuitos y conferencias en línea “Webcasts”
• Lista de Grupos, foros de soporte o newsgroups
• Sitios de la comunidad Microsoft
• Columnas y eventos de la Comunidad
Dónde más encuentro ayuda?
www.microsoft.com/latam/techNet