II INFN SECURITY WORKSHOP - Parma 24/25 Febbraio 2004 Security Patch Management Francesca Del Corso INFN Sez. Firenze delcorso@fi.infn.it
PERCHE E IMPORTANTE IL SECURITY PATCH MANAGEMENT Downtime Remediation time Integrità dei dati Perdita di credibilità Costi attività legale di difesa e investigazione
Prerequisiti al Patch Management Quanti computer, prodotti e tecnologie conoscere l infrastruttura di rete Inventario dei computer e delle risorse di sistema critiche lo stato delle vulnerabilità correnti la distribuzione del software preparazione del personale conoscenza dei processi coinvolti
Ciclo di vita del Security Patch Management
Fasi del Patch Management SETUP Baseline (Inventario hw/sw, definizione di standard, pianificazione Sottoscrizione a Product Security Notification, Microsoft Security allineamento) Update,Security Bulletin Web Search tool CHANGE INIZIATION Identificazione delle nuove vulnerabilità nei propri sistemi e rilevanza delle patch SECURITY RELEASE Change management Documentazione dei cambiamenti richiesti Priorizzazione e scheduling del rilascio dell update Release management ( testing, rilascio aggiornamenti) Change review (controllo dei log e delle chiamate di help desk) Conferma o rollback
ENFORCING SECURITY POLICY EMERGENCY SECURITY RESPONSE Preparazione a rispondere agli eventuali attacchi che utilizzano le vulnerabilità nei sistemi OPTIMIZING RESULTS Monitorare i sistemi e apportare migliorie
I TOOL : Per sezioni di piccole dimensioni Windows Update Office Update Microsoft Baseline Security Analizer 1.2 Per sezioni di medie dimensioni Software Update Services 1.0 SP1 Microsoft Baseline Security Analizer 1.2 Office Update Per sezioni di grandi dimensioni System Management Server 2003
Windows Update Supportato da: Windows 98, ME, 2000, XP, Windows Server 2003 Aggiorna s.o, driver, alcuni programmi presenti sul pc da Start\Programs\Windows Update (%systemfolder% system32\wupdmgr.exe) system32\wupdmgr.exe ci si collega al sito: http://windowsupdate.microsoft.com e si segue un processo in tre passi. E necessario che il singolo client possieda: un collegamento ad Internet se esiste un proxy server non venga richiesta l autenticazione l utente possieda permessi di amministratore per poter effettuare l installazione delle patch sul computer Automatizzato con le utility Critical Update Notification (95, 98, 98SE, Windows 2000 ) e Automatic Update, Update introdotto in Windows XP e Windows 2000 SP2.
Office Update Vale solo per Office 2000 e Office XP Richieste minime per i client: Microsoft W indows 98 o successivi Microsoft Office 2000 SR-1a o successivi e Office XP http://office.microsoft.com/officeupdate Per l analisi delle patch mancanti: Office Update Inventory Tool v2.0 (invconf.exe) Office Update Inventory Tool Catalog (invcif.exe) C:\inventory\inventory.exe /s cifs\ /o C:\inventory\ C:\inventory\inventory.exe /update C:\inventory\convert.exe /d C:\inventory /o output.txt MBSA 1.2
Microsoft Baseline Security Analizer 1.2 Effettua scansioni in locale per s.o. Windows 2000, XP, famiglia 2003, remote su s.o. Windows NT 4.0 SP4, 2000, XP, Windows Server 2003 Verifica: Presenza di security updates e service pack Autologon e guest account Auditing enabled Account password expiration, blank o simple File system Servizi non necessari GUI e a riga di comando: mbsacli.exe /hf File di log in %userprofile%\securityscan
Software Update Services Architettura client/server che estende le funzionalità del W indows Automatic Update per il download e l aggiornamento dei critical updates e dei security roll-ups Server side: Minimi requisiti hw: CPU: pentium III 700MHz Memoria: 512 Mb RAM Spazio disco: 6Gb Requisiti Software: s.o. W indows 2000 Server SP2 e successivi, W indows Server 2003; Internet Information Server 5.0 o successivi, porta 80 Client side: Automatic Update 2.2 o successivo AU configurato manualmente o tramite Group Policy W orkgroup o dominio
Vantaggi di SUS Possibilità di testare gli aggiornamenti scaricati da Internet prima della loro distribuzione Maggior sicurezza evitando che i singoli client facciano download e si installino direttamente gli update può operare in presenza di proxy server che richiede autenticazione distribuzione patch ai computer di una Intranet che non possono connettersi direttamente ad Internet SUS è gratuito facilità di configurazione ed utilizzo maggiori garanzie di privacy
Limiti del SUS Distribuisce solo critical security patch e update per: Non vengono distribuiti patch per: s.o. W indows 2000 S.P.2, W indows XP, W indows Server 2003 (no NT o W indows 98/ME); componenti W indows: IIS, IExplorer, W indows Media Player; no supporto per MS Office, SQLServer, Exchange Server; driver componenti hardware (schede di rete, audio, ecc.) altri s.o. (Linux, Unix, Novell) come PatchLink Possiede una reportistica limitata; non permette di fare analisi e controllo dei risultati della distribuzione delle patch sulle singole macchine; Manca uno strumento di rimozione delle patch centralizzato.
Francesca - IIConsole INFN SECURITY WORKSHOP SUS Del 1.0Corso SP1amministrativa
SUS management console: Set options
System Management Server 2003 Integra le capacità di patch management di SUS con quelle di analisi del MBSA Supporto piattaforma più esteso: Windows 98, 98SE, NT 4.0, Windows 2000, XP Professional, Windows server 2003 appartenenti ad un dominio Windows Controllo maggiore dei security updates (la distribuzione del sw può essere fatta ad un sottoinsieme) Reportistica centralizzata consultabile via web E a pagamento
Distribuzione critical updates con SMS Preparazione (inventario, informazioni) Installazione sul SMS server site di: Security Update Inventory tool Microsoft Office Inventory Tool Inventario Sofware Autorizzazione e distribuzione degli update Software Sincronizzazione degli Update Software
Ambiente di produzione e di test INFN Sez. Firenze
Tabella riepilogativa WU Amministrazione centralizzata no Inventario centralizzato no Tipo di software s.o. Windows SUS 1.0 SP1 SMS 2003 Si, buona; aggiornamenti Ottima: aggiornamenti approvati dall amministratore approvati dall amministratore e inviati in maniera mirata no Tutti i tipi di aggiornamenti Windows; no aggiornamenti altri s.o. Security patch, critical updates, updates, SP, updates rollup. Solo Windows Windows 98, 98SE, ME, XP, Windows 2000, Windows XP Windows 2000, server 2003 e Windows 2003 Inventario centralizzato di sw, hw, vulnerabilità Qualunque distribuzione di sw e aggiornamenti ai client SMS Windows 98, 98SE, NT 4.0, SP6, Windows 2000, XP Pro, Windows server 2003; devono far parte del dominio Semplice architettura server, Architettura complessa e facile installazione client installazione di servizi Architettura ed installazione Solo configurazione client; nessun altra infrastruttura Reportistica No reportisiica centralizzata Sufficiente reportistica centralizzatata nei file di log Costo gratuito gratuito Ottima reportistica centralizzati con consultazione via web A pagamento, costo aggiuntivo delle licenze
Bibliografia Patch Management: Windows Update: http://www.microsoft.com/security/whitepapers/patch_management.asp http://windowsupdate.microsoft.com/ MBSA: http://www.microsoft.com/mbsa Microsoft Software Update Services: windowsserversystem/sus/default.mspx http://www.microsoft.com/ System Management Server 2003: http://www.microsoft.com/smserver/evaluation/capabilities/patch.asp Security Tools: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/ tools/tools.asp