Soluciones para la Administración de

actualizaciones Microsoft

“Windows Update Management”

Qué estaremos cubriendo?

• A qué le llamamos Administración de

Actualizaciones ó “Update Management”?

• Porqué necesito Administrar las

Actualizaciones?

• Cómo puedo Administrar Actualizaciones?

Experiencia que será útil en la Sesión

Nivel 200

• Experiencia práctica “Hands-on” Con las herramientas de administración de Microsoft Windows®

2000 Server or

Windows Server™ 2003

Agenda

• Vista General sobre la Adm. de Actualizaciones

• Proceso de la Adm. de Actualizaciones

• Herramientas en la Adm. de Actualizaciones

Justificación de Negocios para la Adm. De Actualizaciones• Caídas de Sistemas o “Downtime”

• Tiempo de Mitigación

• Integridad de Datos en riesgo

• Pérdida de Credibilidad

• Relaciones Públicas Negativas

• Demandas Legales

• Robo de Propiedad Intelectual

Entendiendo Las Franjas de tiempo con las Vulnerabilidades

Producto Producto LiberadoLiberadoProducto Producto LiberadoLiberado

Vulnerabilidad Vulnerabilidad DescubiertaDescubierta

Vulnerabilidad Vulnerabilidad DescubiertaDescubierta

Actualización Actualización DisponibleDisponible

Actualización Actualización DisponibleDisponible

Actualización Actualización Instalada por TIInstalada por TIActualización Actualización

Instalada por TIInstalada por TIVulnerabilidad Vulnerabilidad

PublicadaPublicadaVulnerabilidad Vulnerabilidad

PublicadaPublicada

La maroría de ataques ocurren en este momento

Producto Producto LiberadoLiberadoProducto Producto LiberadoLiberado

Vulnerabilidad Vulnerabilidad DescubiertaDescubierta

Vulnerabilidad Vulnerabilidad DescubiertaDescubierta

Actualización Actualización DisponibleDisponible

Actualización Actualización DisponibleDisponible

Actualización Instalada Actualización Instalada por TIpor TI

Actualización Instalada Actualización Instalada por TIpor TI

Vulnerabilidad Vulnerabilidad PublicadaPublicada

Vulnerabilidad Vulnerabilidad PublicadaPublicada

Entendiendo los tiempos en la Violación a una Vulnerabilidad

La Mayoría de Ataques ocurren en este momento

Ataque con MalwareDías entre la actualización y

la Violación

Nimda 331

SQL Slammer 180

Welchia/Nachi 151

Blaster 25

Sasser 14

Índices de Severidad para las Actualiciones Microsoft

Índice Definición

CríticoLa “explotación” podría generar la propagación de gusanos en Internet con intervención del usuario

ImportanteLa “explotación” podría comprometer los datos de usuarios o la disponibilidad de recursos de procesamiento

Moderado

La “explotación” es seria pero mitigada con la ayuda de la configuración “default”, auditorías, ayuda del usuario o que se sea muy compleja de explotar o violar

BajoLa “explotación” es extremadamente compleja y difícil de atacar o su impacto es mínimo

Ver “Microsoft Security Bulletin Search” en el sitio de TechNet

Update Time Frames

Severity rating

Recommended update time frame

Recommended maximum update

time frame

Critical Within 24 hours Within two weeks

Important Within one monthWithin two months

ModerateWait for next service pack or update rollup, or deploy update within four months

Deploy update within six months

LowWait for next service pack or update rollup, or deploy update within one year

Deploy update within one year

Mejorando la Experiencia de ActualizaciónTu Necesidad Respuesta de Microsoft

Reducir la Frecuencia de Act.

Se ha reducido la frecuencia de Actualizaciones de “no-emergencia” de una vez por semana a una vez por mes

Reducir la Complejidad de Actualizar Se ha reducido el número de tecnologías de instalación

Reducir el riesgo de actualizaciones en la instalación

Se ha mejorado la calidad de actualizaciones y se ha introducido la capacidad de poder hacer ROLLBACK

Reducir el tamaño de las Actualiaciónes

Se ha desarrollado la tecnología “delta updating” para reducir el tamaño de las actualizaciones

Mejorar la consistencia de herramientas

Se han desarrollado Herramientas consistentes (scanning por ejemplo)

Mejora de las capacidad en las herramientas

Se han desarrollado herramientas con mayor capacidad (SUS, WUS, Software Malicious Removal tool)

Defensa en Profundidad

Política, Procedimients & AlertasPolítica, Procedimients & Alertas

Seguridad FísicaSeguridad Física

Fortalecer el OS, Autenticación, Adm. De Adm. De act, HIDS

Firewalls, Control de Cuarentena del Acceso de Red

Vigilantes, Llaves, control de Dispositivos

Segmentos de Red, IPSec, NIDS

Fortalecers las Apps, antivirus

ACLs, Cifrado, EFS

Documentación de la Seguridad, Eduación al Usuario

Perímetro

Red Interna

Servidor/Cliente

Aplicación

Datos

Políticas, Procedimientos & AlertasPolíticas, Procedimientos & Alertas

Reguridad FísicaReguridad Física

Fortalecer el OS, autenticación, Adm. De Parches, HIDS

Firewalls, Control de Cuarentena en el Acceso a la Red

Vigilancia, llaves, control de dispositivos

Segmentos de Red, IPSec, NIDS

Fortalecer Apps, antivirus

ACLs, Cifrado, EFS

Documentos de Seguridad, Eduación al Usuario

Perímetro

Red Interna

Servidor/Cliente

Aplicación

Datos

Agenda

• Vista General sobre la Adm. de Actualizaciones

• Proceso de la Adm. de Actualizaciones

• Herramientas en la Adm. de Actualizaciones

Condiciones para una Exitosa Administración de Actualicaciones

Procesos Efectivos

Operaciones Efectivas

Herramientas y Tecnologías

Administración de Proyectos, Proceso de 4 fases

Administración de Proyectos, Proceso de 4 fases

Productos, Herramientas, AutomatizaciónProductos, Herramientas, Automatización

Gente que entiende sus funciones y responsabilidades

Gente que entiende sus funciones y responsabilidades

Proceso de Adminsitración de Actualizaciones

1. Examina el ambiente a ser actualizado1. Examina el ambiente a ser actualizado

• Crear/mantener un “baseline” de sistemasCrear/mantener un “baseline” de sistemas• Descubra todos los bienesDescubra todos los bienes•Inventario de ClientesInventario de Clientes

1. Examinar

2. Identificar

4. Instalar

3. 3. Evaluar y Planificar

2. Identica Nuevas Actualizaciones2. Identica Nuevas Actualizaciones

•Identifica Nuevos ParchesIdentifica Nuevos Parches•Determina la relevanciaDetermina la relevancia•Verifica la autenticidad e integridadVerifica la autenticidad e integridad

3. Evaluar & Planificar la 3. Evaluar & Planificar la distr. De Actu.distr. De Actu.

•Contar con la aprobación de InstalarContar con la aprobación de Instalar•Hacer un exámen de riesgoHacer un exámen de riesgo•Planifica el proceso de distribuciónPlanifica el proceso de distribución•Realiza una prueba de aceptación de Realiza una prueba de aceptación de actualizacionesactualizaciones

4. Instala las actualizaciones4. Instala las actualizaciones

•Distribuye e instala las actuzalicionesDistribuye e instala las actuzaliciones•Reporta el progreso o avanceReporta el progreso o avance•Maneja las excepcionesManeja las excepciones

•Revisa la instalaciónRevisa la instalación

Agenda

• Vista General sobre la Adm. de Actualizaciones

• Proceso de la Adm. de Actualizaciones

• Herramientas en la Adm. de Actualizaciones

Eligiendo una solución de Administración de Actualizaciones

Tipo de Cliente Escenario Solución

Consumidor Todos Los Escenarios Microsoft Update

Pequeña Empresa

No tiene Servidores Windows MBSA and Microsoft Update

Tiene de 1 a 3 Servidores Windows 2000 ó más recientesy 1 Administrador de TI

MBSA and WSUS

Media y Gran Empresa

Necesita Adm. Actualizaciones con control básico para actualizar servidores Windows 2000 y superiores

MBSA and WSUS

Requiere una solución flexible de adm. Con niveles de control ampliados para actualizar y distribuir cualquier software

Systems Management Server

Soluciones para Consumidores y Pequeña Empresa

• Usa “Microsoft Update”

• Solución basada en “Proteja su PC”:Usa un Firewall para protegerse en Internet

Descarga las actualizaciones

Utiliza Software Antivirus actualizado al día-

• Instala Windows XP SP 2

Tamaño de la organización

Escenario Solución de Gestión

PequeñaTiene de 1 a 3 servidores corriendo WS200 o superior y cuenta con al menos 1 Adm de TI

MBSA y WSUS

Media o Grande

Necesita una solución con servicios básicos de control que actulice servidores corriendo W2000srvr, Win Xp y WS2003 y algunas aplicaciones

MBSA y WSUS

Soluciones para la Pequeña y Mediana Empresa

Beneficios de MBSA “Microsoft Baseline Security Analyzer”• Revisa Sistemas para detectar:

Actualizaciones de seguridad faltantes

Problemas de Configuración Potencialmente inseguras

• Funciona con un amplio rango de aplicaciones Microsoft

• Permite a un Administrador centralizar la revisión de varios computadores y de manera simultánea

Revisiones que realiza MBSA

• Debilidad en los Passwords• Cuenta “Guest” no deshabilitada• Si Auditorías no están configuradas• Servicios Innecesarios instalados• Problemas de Seguridad con IIS• Config. de las Zonas de Seguridad de IE• Configuración de “Automatic Updates”• Configuración del Firewall de Windows® XP

MBSA – Cómo Funciona?

Centro de Descarga Windows

Catálogo Offline

Computador con

MBSA

MBSA – Opciones de Revisión (Scan)

• MBSA Interfaz Gráfica de Usuario

• MBSA Interfaz estándar en Línea de Comando

Beneficios de WSUS

• Permite que los administradores tengan el contro sobre la gestión de Actualizaciones

• Simplifica y Automatiza aspectos claves del proceso de gestión de actualizaciones.

• Fácil de Implantar

• Herramienta gratuita de Microsoft

Comparación entre SUS & WSUS

• Funcionalidad ComúnActualizan computadores corriendo Windows XP, Windows 2000, or Windows Server 2003

Los clientes descargan actualizaciones del servidor – “no push”

• Mejoras en WSUSSoporte ampliado a otros productos MS tales como Office, SQL Server y Exchange Server

Puede crear y administrar grupos blancos de computadoresMás opciones para administrar actualizacionesMás opciones para configurar agentesMás efeiciente en el uso del ancho de banda en la redCapacidades para Generar Reportes

WSUS – Cómo Funciona

Servidor WSUS

Microsoft Update

Computadores ClienteGrupo Blanco (Target Group)

Servidores WindowsGrupo Blanco (target Group)

Administrador WSUS

Computadores PilotoGrupo Blanco (Target Group)

Firewall

WSUS – Escenarios de Implantación

Servidor WSUS

Oficina Principal

Servidor WSUS

Desconectado

Computadores Cliente

Oficinas Remotas

Computadores Cliente

Oficina Principal

Computadores Cliente Regionales

Servidor WSUS

Independiente

Replica ServidorWSUS

Firewall

Microsoft Update

WSUS – Componente Cliente

• Puede descargar las actualizaciones ya sea del servidor WSUS o Microsoft Update

• 3 formas de configurar “Automatic Updates”

• WSUS actualizará automáticamente el cliente de “Automatic Update” para que mantenga una versión compatible.

WSUS – Componente Servidor

• Can download updates on a schedule

• Provides Web-based administrative GUI

• Several built-in default security features

• Provides synchronization and update reports

• Uses SQL database to store update metadata, events, and settings

WSUS – Integración con MBSA

• MBSA puede ser usada junto con WSUS

• MBSA puede revisar (scan) basándose en actualiaciones aprobadas en WSUS en lugar del servicio Windows Update

• Disponible con GUI y con interfaz de comando de línea para MBSA

Migrando de SUS a WSUS

• Instale SUS y WSUS en la misma computadora• Migre las actualizaciones y aprobaciones• Utilice la herramienta WSUSUTIL.exe que es basada

en comandos de línea• Configure los clientes para que hagan uso del nuevo

servidor WSUS• Utilice la auto-actualización del “Automatic Update”• Si no tiene Win XP SP´s, primero instale el cliente de

“automatic Update” antes

Capacidades WSUS SMS 2003

Plataformas que soportan

Windows 2000

Windows XP

Windows Server 2003

Windows NT 4.0

Windows 98

Windows 2000

Windows XP

Windows Server 2003

Tipos de Contenido que Soportan

Seguridad y actualizaciones contínuas, act. Críticas y Service Packs para los Sistemas Operativos de arriba y también actualizaciones para algunas aplicaciones adicionales Microsoft

Todas las actualizaciones, service packs y actualizaciones para los Sistemas Operativos de arriba, soporta actualizaciones e instalaciones de aplicaciones Microsoft y no Microsoft

Contol de Distribución de Actualizaciones

Básico Avanzado

Soluciones para la Mediana y Gran Empresa

Beneficios de SMS

• Facilita un control amplio de la gestión de actualización

• Automatiza aspectos claves de la adminsitración de actualizciones

• Puede actualizar un amplio rango de productos Microsoft

• Puede también actualizar software de Terceros e instalar otras actualizaciones u otras aplicaciones

Integración con SMS

• La herramienta de Inventario de actualiaciones de SMS (ITMU) se basa en el agente de Windows Update para realizar la revisión (scan) e instalación de actualizaciones

Herramienta de revisión “standalone”El agente es nativo para todos los sitemas operativos a partir de

Windows Server 2003 SP1Se distribuye como una instalación “stand-alone” con SMS y en las

carpetas de Sistemas Operativos

• Provee consistencia con “Microsoft Update” con respecto a las actualizaciones críticas de seguridad, actualizaciones contínuas y Service Packs

Firewall

Microsoft Update

SMS – Cómo Funciona?

Servidor SMSServer de Sitio

Servidor de SMS Punto de Distribución

Clientes de SMS

Clientes del SMS

Clientes de SMS

Servidor SMSPunto de Distribución

Resumen de la Sesión

• Distribuir e Instalar Actualizaciones de Seguridad es un componente crítico en un plan de administración de la seguridad

• La Administración de Actualizaciones necesitar ser compatible con tu proceso estándars en la administración de la red.

• Para la pequeña y mediana empresa, MBSA y WSUS juntos, ofrecen una excelente solución de manejo de actualizaciones

For More Information

www.microsoft.com/technet/mgt-11

Visit TechNet at www.microsoft.com/technet

For additional information, go to

www.microsoft.com/technet/subscriptions

Has Escuchado las novedades en la Subscripción de TechNet Plus?

• Software sin límite de tiempo o expiración!

• Soporte Técnico adicional!

• Disponibilidad de los mejores recursos actualizados

Find all these support options at www.microsoft.com/technet/supportMicrosoft offers a progressive series of support options starting with no-charge online support and developing through subscription, incident, and contract support.

1. No-Charge Online Support

Knowledge BaseSearch a vast database of articles to pinpoint the information you need.

NewsgroupsAccess more than 20,000 active newsgroups on scores of topics.

Product Support CentersGet answers to frequently asked questions, plus how-to articles and step-by-step instructions organized by product.

DLL Help Database Search here to identify the software used to install a specific DLL version.

Events and Errors Message CenterResolve event and error messages fast with explanations, recommendations, and links to support and resources.

Support WebcastsTune in to live technical presentations by Microsoft experts and take part in real-time Q&A.

ChatsChat online with Microsoft specialists or search the transcript archives.

User Group ProgramAccess information and support for IT and other interest-specific user groups.

TechNet Security Resource CenterGet ahead of security risks with resources that keep you current, including security newsletters and the Microsoft notification service.

2. Subscription-Based Support

TechNet SubscriptionSubscribe to TechNet for a personal library of articles, service packs, how-tos, resource kits, tools, utilities, and more. Your subscription includes monthly updates delivered on CD or DVD, so you always have the latest information, straight from the source.

Upgrade to a TechNet Plus subscription and add all this:

1. Full-version evaluation software, including Microsoft Office System and Windows Server System™ products, without time restrictions.

2. Free support — two complimentary incidents, plus a discount on other support calls.

3. Unlimited, next-business-day access to reliable answers from the IT community and Microsoft Support Professionals through Managed Newsgroups (English only).

3. Assisted Incident Support

E-mail SupportGet online incident help by e-mail from a Microsoft Support Professional.

Phone SupportGet incident help over the phone from a Microsoft Support Professional.

Phone Support ContractSave with a discounted 5-Pack Phone Support contract.

Advisory ServicesAdd remotely delivered consultation options from Microsoft Advisory Services for proactive support that goes far beyond routine product maintenance.

4. Contract-Based Support

Premier SupportGet the flexibility to match support options to your organization and enjoy direct access to Microsoft technical experts at any time, day or night. Premier Support delivers customized options for businesses with complex needs, including dedicated technical professionals to oversee your support, 24-hour problem resolution, and training and workshops that keep your IT staff up to date.

Essential SupportEssential Support offers prepackaged options specifically designed to meet the fundamental support requirements of any business, large or small. Includes account management, problem resolution, and information services.

• Conversaciones “Chats” gratuitos y conferencias en línea “Webcasts”

• Lista de Grupos, foros de soporte o newsgroups

• Sitios de la comunidad Microsoft

• Columnas y eventos de la Comunidad

Dónde más encuentro ayuda?

www.microsoft.com/latam/techNet