michael kalbe manager technical evangelism microsoft deutschland gmbh l.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Erfolgreiches Patch Management PowerPoint Presentation
Download Presentation
Erfolgreiches Patch Management

Loading in 2 Seconds...

play fullscreen
1 / 39

Erfolgreiches Patch Management - PowerPoint PPT Presentation


  • 110 Views
  • Uploaded on

Michael Kalbe Manager Technical Evangelism Microsoft Deutschland GmbH. Erfolgreiches Patch Management. Erfolgreiches Patch Management. am Beispiel: Windows Server Update Services 3.0 und System Center Essentials. Agenda. Patch Management und Patch Testing

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Erfolgreiches Patch Management' - trynt


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
michael kalbe manager technical evangelism microsoft deutschland gmbh
Michael Kalbe

Manager Technical Evangelism

Microsoft Deutschland GmbH

Erfolgreiches Patch Management

erfolgreiches patch management

Erfolgreiches Patch Management

am Beispiel: Windows Server Update Services 3.0 und System Center Essentials

agenda
Agenda
  • Patch Management und Patch Testing
    • Herausforderungen des Patch Managements
    • Grundlagen des Patch Managements
    • Patch Testing imRahmen des Patch Managements
  • Patch Testing Tools und Resourcen
    • Microsoft Application Compatibility Toolkit (ACT)
    • Microsoft Virtual Server 2005 R2 und Windows Virtualization
    • Microsoft Windows Update
    • Microsoft Windows Server Update Services 3.0
    • Microsoft System Center Essentials 2007
    • Network Access Protection in Microsoft Windows Server 2008
slide4

Since human beings themselves are not fully debugged yet, there will be bugs in your code no matter what you do.

-Chris Mason

bill gates trustworthy computing
Bill Gates: Trustworthycomputing

Öffentliche Quelle: http://www.microsoft.com/about/companyinformation/timeline/timeline/docs/bp_Trustworthy.rtf

positionierung von patch management
Positionierung von Patch Management

Richtlinien, Verfahren & Sicherheitsbewusstsein

  • Patch Management istintegralerBestandteiljeder Security Policy.
  • Patches minimieren das Risikoprofildurch das Beheben von Verwundbarkeiten.
  • Patch Management berührtmehrereEbenen des Security-in-Depth Modells:
    • Anwendungen (z.B. MS Office)
    • Host (z.B. Windows Vista)
    • InternesNetzwerk (Hardware, Switches, Servers, etc.)
    • Perimeter (Router und Firewalls)
    • Richtlinien, Verfahren & Sicherheitsbewusstsein(Patch Management isteinProzess)

Daten

Patch Management

Anwendung

Host

InternesNetzwerk

Perimeter

PhysischeAbsicherung

Security Defense-in-Depth

patch management herausforderungen
Patch Management Herausforderungen
  • Fehlenaktueller und korrekterInventurdaten
  • FehleneinesetabliertenProzesses

BEURTEILEN

  • ErhaltenzeitnaherInformationenüber Patches
  • VerstehenderAuswirkungeneines Patches

BESTIMMEN

  • Fehlen von Zeit und Ressourcenfür Patch-Testing
  • BegründungderKostenfür Patch Management

PRÜFEN & PLANEN

  • BereitstellenimVerwundbarkeitszeitfenster
  • BedenkenüberPatchinkompatibilitäten

BEREITSTELLEN

patch management grundlagen

Assess

Identify

Deploy

Evaluate

Patch Management Grundlagen
  • Beurteilen
    • Sammeln technischer Informationen über die Ausnutzbarkeit der Sicherheitslücke
    • Sammeln von Abschwächungsfaktoren
    • Einschätzen der Gefahren zur Festlegung von Prioritäten
  • Bestimmen
    • Technical Security Notifications
      • Email: Security Notification Service
      • RSS: Security for IT Professionals
      • Windows Live Alert: Technical Security Update Alerts
    • Windows Update
patch managements grundlagen

Assess

Identify

Deploy

Evaluate

Patch Managements Grundlagen
  • Prüfen & Planen
    • Methoden zum Testen von Patches
    • PlanenderBereitstellung
    • Überprüfen der Installation
    • Management von Veränderungsprozessen
  • Bereitstellen
    • Zuverlässige Implementierung im Produktionssystem
    • EffizienteBereitstellung
    • Compliance Reporting
    • Compliance Enforcement
patch testing in testumgebung
Patch Testing in Testumgebung
  • Baseline- oder “Gold”-Images müssenspeziellgeschützt und zentralverwaltetwerden.
  • Patch Testing erfolgtimmernurgegenKopiender “Gold”-Images.
  • JedeerfolgreichgetesteteÄnderung, die in das Produktionssystemübernommenwird, wird in das “Gold”-Image überführt.
  • “Gold”-Images derTestumgebungmüssenimmeraktuellgehaltenwerden, um den Stand derProduktionsumgebungabbildenzukönnen.
virtualisieren der testumgebung
VirtualisierenderTestumgebung
  • VorteiledurchVirtualisierung
  • ErhöhteFlexibilität
  • Geringere TCO fürTestnetz
  • VerringerterPlatzbedarf
  • SchnellereBereitstellungszeiten
virtualisierungsszenarien im testnetz
VirtualisierungsszenarienimTestnetz
  • VirtuellesNetzwerkdesign
  • VollständigeIsolation jedes Hosts
  • IsoliertmitNetzwerkzugriff (NAT)
  • IsoliertesVLAN mitDomainzugriff
  • VirtuellesMaschinendesign
  • Hosts enthalteneineReihevirtuellerMaschinengruppiertnachFunktion
  • Hosts enthaltenvirtuelleMaschinengruppiertnachLokation (Remote Office)
  • Gemischtes Design gruppiertnachFunktion, Lokation und Serverlast des Virtual Server Hosts
windows server update services
Windows Server Update Services

Microsoft Update

WSUS Server

Desktop ClientsGruppe 1

Server ClientsGruppe 2

WSUS Administrator

Administrator genehmigt die Updates

Administrator ordnet die Rechner in unterschiedliche Gruppen ein

Administrator “abonniert” die Update Kategorien

Server holt die “Updates” von Microsoft Update

Rechner registrieren sich beim Server

Rechner installieren die vom Administrator genehmigten Updates

wsus deploymentszenarien
WSUS Deploymentszenarien

Microsoft Update

Downstream

WSUS Server

WSUS Server

wsus deploymentszenarien16
WSUS Deploymentszenarien

Microsoft Update

WSUS Server

WSUS Server

Offline Medium

system center essentials 2007
System Center Essentials 2007
  • Einheitliche Konsole
  • Bestandsaufnahme der Desktops & Server
  • Umfassende Überwachung der IT Dienste
  • Einheitliche Berichterstattung
  • Zentrale Verteilung von Software
  • Automatisierte Updateverwaltung
  • Einfache Installation, Einrichtung & Einführung inkl. Remote Mangement
zugrundeliegende architektur
ZugrundeliegendeArchitektur

OpsMgr 2007

WSUS 3.0

bestandsaufnahme
Bestandsaufnahme
  • 60+ Hardware und Softwareeigenschaften werden von den Clients eingesammelt
  • Softwaredaten stammen aus der Registry und zeigen die gleichen Applikationen wie “Add/Remove” aus dem Control Panel
  • Hardwaredaten werden über einen WMI Provider ausgelesen: Harddisk und Speichernutzung, Netzwerk etc.

22

22

22

22

beispiel der datenbank berwachung vom sql server
Beispiel der Datenbanküberwachungvom SQL Server
  • AlleFunktionenunterstützt
    • Clustering, Log Shipping, Backup, SQL Server Agent
    • Instanzen, Datenbanken, Jobs, Dateigruppen, Rollen, Replikation
  • 3 Überwachungsarten
    • Verfügbarkeit, Performance, Konfiguration
es existieren management packs f r unmengen von anwendungen
Es existieren Management Packs für Unmengen von Anwendungen
  • Exchange 2003 / 2007
  • SQL Server 2000 / 2005 / 2008*
  • Windows Server 2003 / 2008*
    • AD, DHCP, DNS, IIS, DFS, RRAS…
  • Sharepoint & MOSS
  • Server Hardware von HP, IBM, Dell, Intel…
  • Netzwerk-Geräte
  • Microsoft Dynamics…
  • Vorgabe für alle Microsoft Serverprodukte

*mit und nach Produktverfügbarkeit

beispiel exchange berichte
Beispiel: Exchange Berichte
  • “Health-Model” erlaubt Reporting vom Exchange Service bis hinunter zu einzelnen Komponenten
  • Konfigurationsüberwachung erlaubt Änderungsberichte über die Zeitachse zum Vergleichen
sce update funktionen
SCE: Update Funktionen
  • Automatische Konfiguration der GPOs
  • Unterstützt Microsoft, 3rd Party & Custom Updates
  • “Update now” Funktionalität
  • Überwachung des Update Status
  • Täglicher Übersichtsbericht
system center essentials fokussiert sich auf die benutzerproduktivit t
System Center Essentials fokussiert sich auf die Benutzerproduktivität
  • Unterstützte Versionen
    • Windows 2000 Professional, Windows XP und Windows Vista; Office XP, 2003, 2007, Zusatz-Meldungen für Outlook über Exchange
  • Berichte über Ihre Gesamtumgebung
    • Stürzen meine Applikationen ab?
    • Brauchen meine Anwendungen zu viel Systemressourcen?
    • Wie sind die Antwortzeiten?
  • Anwendungsspezifische Aussagen
    • Können meine Outlook Anwender Emails empfangen / senden?
    • Kann der IE auf Webseiten zugreifen?
    • Können Windows Desktops auf Datenbanken zugreifen?
    • Kann man auf File-Shares / Sharepointzugreifen?
endbenutzerunterst tzung
Endbenutzerunterstützung
  • Detaillierte PC Übersicht für die Helpdesk-Mitarbeiter inkl. Update-Now
  • Schneller Zugriff auf typische Trouble-Shooting Tasks: Ping, IPConfig, Auflisten der Prozesse etc.
  • Remote-Zugriff Unterstützung direkt aus SCE Konsole (Windows XP / Windows Vista)
w as ist mit benutzer verwalten pcs aufsetzen
Was ist mit Benutzer verwalten, PCs aufsetzen?
  • Benutzerverwaltung ist Bestandteil der Plattform: Active Directory & GPOs
    • Neue Funktionen mit Group Preferences!
    • Windows PowerShell hilft beim Automatisieren
    • Lernen Sie mehr in meinen Gratisworkshops!
  • PCs aufsetzen ist Bestandteil der Plattform: Windows Deployment Services
    • Kostenlos PC Images erstellen und verteilen
    • Multicast-Support im Windows Server 2008
    • Microsoft Deployment beschreibt alles im Detail
integration in ihre bestehende it
Integration in Ihre bestehende IT
  • 1 Windows Server 2003 SP1 oder höher
    • SQL Server 2005 SP1 als zentrale Datenbank
    • Express Edition liegt bei
  • Das Produkt unterstützt bis zu
    • 500 Desktops
      • Windows 2000 SP4, XP SP2 & Vista (32 / 64bit)
    • 30 Server
      • Windows 2000 SP4, Windows 2003 SP1 & R2
    • beliebig viele SNMP Netzwerkkomponenten
      • OSI Schicht 3 und niedriger
tipps zur installation von sce 2007
Tipps zur Installation von SCE 2007
  • Vor einer Neuinstallation erst den Rollup-Fix von Microsoft Downloads einspielen
    • Slip-Stream Installation, erzeugt neues Medium
  • SCE basiert auf WSUS 3.0 und OpsMgr 2007
    • WSUS 3.0 SP1 wird nicht unterstützt!
    • OpsMgr 2007 SP1 wird nicht unterstützt
    • Warten Sie auf das SCE 2007 SP1, welches WSUS 3.0SP1 und OpsMgr 2007 SP1 beinhaltet
schrittweise einf hrung
Schrittweise Einführung
  • Normerweise haben Mittelstandkunden bereits (Teil-) Lösungen im Einsatz
  • Eine denkbare Einführung kann so aussehen:
    • Beginn der Server- und Netzwerküberwachung zur schnellen Problemerkennung und –lösung
    • Umstellen auf zentrale Updateverteilung
    • Inventarisierung aller Desktop Systeme
    • Umstellen des Helpdesks
    • Einführung der Softwareverteilung
system center essentials sce
System Center Essentials (SCE)
  • Intel hat SCE lizenziert und liefert es mit seinen Serverprodukten aus
    • Bestandteil ist eine Einzelserverüberwachung
    • Intel bietet Upgradekey auf bis zu 15 Server
    • Intel bietet Upgradekey auf SCE 2007

Intel® System Management Software

network access protection

Policy Server

z.B. Patch, AV

Fix-Up-

Server

z.B. Patch

MSFT NPS

Einge-

schränktes

Netzwerk

DHCP, VPN,

Switch/Router

1

Client bittet um Zugang zum Netzwerk und präsentiert seinen gegenwärtigen „Gesundheitszustand“.

Unternehmensnetz

2

3

DHCP, VPN oder Switch/Router leitet Gesundheitszustand an Microsoft Network Policy-Server (RADIUS-basierend) weiter.

Network Policy Server (NPS) validiert diesen mit der von der Unternehmens-IT definierten „Gesundheitsrichtlinie“.

Falls nicht richtlinien-konform, wird Client in ein eingeschränktes VLAN umgeleitet und erhält Zugriff auf Ressourcen wie Patches, Konfigurationen und Signaturen.

4

5

Bei Richtlinien-Konformität wird vollständiger Zugang zum Unternehmensnetz gewährt.

Network Access Protection

3

1

2

Nicht richtlinien-konform

4

Windows-

Client

Richtlinien-konform

5

patch testing tools und ressourcen
Patch Testing Tools und Ressourcen
  • Windows Live OneCare Safety Scannerhttp://onecare.live.com/site/de-de/default.htm
  • Windows Updatehttp://www.windowsupdate.com
  • Microsoft Baseline Security Analyzer (MBSA)http://www.microsoft.com/technet/security/tools/mbsahome.mspx
  • Microsoft Application Compatibility Toolkit (ACT)http://technet.microsoft.com/de-de/windowsvista/aa905102
  • Network Access Protection (Windows Server 2008)http://www.microsoft.com/nap
  • Windows Server Update Services (WSUS) 3.0http://technet.microsoft.com/en-us/wsus/default.aspx
  • System Center Configuration Manager 2007http://www.microsoft.com/smserver/default.mspx
  • Virtual Server 2005 R2 und Windows Virtualizationhttp://www.microsoft.com/windowsserversystem/virtualserver
weiterf hrende informationen
WeiterführendeInformationen
  • Information zu Patch Management: http://www.microsoft.com/technet/security/topics/Patch Management.mspx
  • DerPatchverwaltungsprozess – Einführunghttp://www.microsoft.com/germany/technet/datenbank/articles/900193.mspx
  • ImplementierenderPatchverwaltunghttp://www.microsoft.com/germany/msdn/library/security/ErhoehenDerSicherheitVonWebanwendungen/secmod108.mspx?mfr=true
slide39

© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.