Transcript SUS - WSUS per il Security Patch Management

SUS - WSUS
per il Security Patch Management
Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006
Software Update Services
• Architettura client/server che estende le funzionalità del Windows
Automatic Update per il download e l’aggiornamento dei critical
updates e dei security roll-ups
• Server side:
– Minimi requisiti hw:
• CPU: pentium III 700MHz
• Memoria: 512 Mb RAM
• Spazio disco: 6Gb
– Requisiti Software:
• s.o. Windows 2000 Server SP2 e successivi, Windows
Server 2003;
• Internet Information Server 5.0 o successivi, porta 80
• Client side:
– Automatic Update 2.2 o successivo
– AU configurato manualmente o tramite Group Policy
– Workstation o dominio
Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006
Vantaggi SUS
• Possibilità di testare gli aggiornamenti scaricati da
Internet prima della loro distribuzione
• Maggior sicurezza evitando che i singoli client facciano
download e si installino direttamente gli update
• può operare in presenza di proxy server che richiede
autenticazione
• distribuzione patch ai computer di una Intranet che non
possono connettersi direttamente ad Internet
• SUS è gratuito
• facilità di configurazione ed utilizzo
Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006
Limiti del SUS
• Distribuzione solo di critical security patch e update per:
– s.o. Windows 2000 S.P.2, Windows XP, Windows Server 2003
(no NT o Windows 98/ME);
– componenti Windows: IIS, IExplorer, Windows Media Player; no
supporto per MS Office, SQLServer, Exchange Server;
• Non vengono distribuiti patch per:
– driver componenti hardware (schede di rete, audio, ecc.)
– altri s.o. (Linux, Unix, Novell)
• Reportistica limitata; no analisi e controllo dei risultati
della distribuzione delle patch sulle singole macchine;
• Mancanza strumento centralizzato di rimozione delle
patch.
Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006
SUS: Approve updates
Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006
SUS: Synchronization Log
Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006
SUS: Set options
Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006
SUS: Monitor server
Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006
NOVITÁ WSUS
• Introdotti gli aggiornamenti per Office XP, Office 2003, SQL Server
2000, Exchange Server 2003
• Controllo granulare sugli aggiornamenti da fare e da scaricare,
maggior controllo sul processo di upgrade
• Introduzione dei gruppi, approvazione degli updates personalizzata
per gruppo
• Miglioramento nella reportistica: quali computer necessitano quali
upgrades, quali computer hanno installato quali aggiornamenti
• Export/Import data e aggiornamenti su media – importante per reti
scollegate o connessioni di rete lente
• API per estendere e personalizzare il pacchetto secondo le
esigenze
• BITS 2.0 – miglioramento del consumo di banda, resumes
interrupted synchronizations
• UI per installazione ed amministrazione disponibile anche in
italiano
• Migrazione semplice degli aggiornamenti e/o del contenuto dal
SUS Server 1.0
Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006
Architettura WSUS
Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006
Caratteristiche WSUS
• WSUS client (Automatic Update sw):
– Aggiornamento automatico dei SUS client a WSUS client; gli altri
utilizzeranno l’ultimo Automatic Update dell’XP SP2
• Windows 2000 SP3 e successivi
• Windows XP e successivi
• Windows Server 2003
• WSUS Server:
• Windows 2000 SP4 e successivi
• Windows Server 2003
– Prerequisiti: IIS 6.0, BITS 2.0, MS .NET Framwork 1.1 s.p. per Win
srv2003
• Migrazione (non update!) da SUS 1.0 a WSUS
– WSUSutil.exe in
WSUSInstallationDrive:\ProgramFiles\UpdateServices\Tools
– http://WSUSInstallationServer:8530/WSUSAdmin/
Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006
WSUS Home page
Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006
WSUS: Aggiornamenti
Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006
Proposte di lavoro
• Verifica problematiche WSUS
http://blogs.technet.com/default.aspx
• Analisi di strumenti per l'installazione e la
manutenzione di software e applicazioni
su computer (SMS)
• Integrazione con Cisco NAC?
Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006