2 Einleitung Sicherheitspatch Verteilung in mehreren Netzwerken per Microsoft Software Update Services
3 Einleitung Themenübersicht Idee / Planung SUS-Server SUS-Client Produkt Demo
Idee / Planung Idee / Planung Umfeld und Einsatz einer automatischen Patchverteilung
5 Idee / Planung Ideen Sicherheitslücken die durch fehlende Patches entstehen, müssen schnellstmöglich behoben werden Da die Benutzer sich ungenügend um das Aktualisieren kümmern, muss dies zentral koordiniert werden Einfache Überprüfung des aktuellen Updatestatus aller Clients
6 Idee / Planung Umfeld / Infrastruktur Verschiedenste Netzwerke die zum Teil miteinander verbunden sind, oder autonom administriert werden (Schulnetzwerke, Administrationsnetzwerke) Verschiedene Windows Versionen im Einsatz (WinNT 4, W2K, WinXP) Verschiedene Dömänenstrukturen vorhanden (WinNT 4, Win2000)
Idee / Planung Software Die eingesetzte Software muss günstig und einfach einsetzbar sein Nach diversen Vergleichen mit kommerziellen Produkten, stellte sich die SUS-Software von Microsoft als geeignet heraus Die SUS-Software ist kostenlos, gut in Microsoft Nerzwerke integrierbar und einfach zu handhaben 7
8 Idee / Planung Machbarkeit In einem Testbetrieb wird die Machbarkeit einer zentralen Verteilung von Patches abgeklärt Das Testnetzwerk soll möglichst genau den Gegebenheiten im realen Netzwerk entsprechen Möglichst alle Einsatzszenairen der Clients sollen abgedeckt werden
9 Idee / Planung Test-Netzwerk
SUS-Server SUS-Server Installation und Konfiguration der SUS-Server
SUS-Server Verteilkonzept Die Verteilung geschieht über die SUS-Server Es solle ein zentraler SUS- Server eingerichtet werden auf welchem die Patches getestet und freigegeben werden In jedem Netzwerk wird ein weiterer SUS-Server installiert, welcher seine Patches vom zentralen Server bezieht 11
12 SUS-Server Installation SUS-Server Installation auf einem bestehenden Server, oder auf einem neuen Server Es muss genügend Festplattenspeicher vorhanden sein (Für Deutsch und Englisch zur Zeit 1.2 GB) Der Server muss über eine Verbindung ins Internet verfügen
13 SUS-Server Updatestaus der Clients Vor der Installation des SUS- Servers, wird die Software MBSA (Microsoft Baseline Security Anlayzer) installiert Mit dieser Software kann der aktuelle Patchstatus der Clients im Netzwerk überprüft werden
SUS-Server SUS-Server Software Nach der Installation wir der Server über ein Web-Interface konfiguriert Hier bei der Konfiguration entscheidet sich ob der installierte Server als Master- oder Slave SUS-Server arbeitet 14
SUS-Server Test von Patches Über die Administrationsoberfläche können einzelne Patches heruntergeladen werden. Nach einem Test des Patches wir dieser zur Verteilung freigegeben. Nach der Freigabe wir der Patch an die Clients verteilt. 15
SUS-Client SUS-Client Konfiguration der SUS-Clients in verschiedenen Netzwerkumgebungen
17 SUS-Client SUS-Client Alle Computer welche mit einem Windows NT-Betriebsystem, ab Version 5 (Win2000 oder neuer),ausgestattet sind können sich automatisch mit Patches versorgen. Unterschiedliche Konfigurations- Methoden je nach Netzwerkumgebung nötig
18 SUS-Client Active Directory - Netzwerk Verwendung in Netzwerken mit Windows 2000 oder Windows 2003 Servern Durch den Einsatz von Gruppenrichtlinien, einfache Konfiguration und Verteilung der Clientsoftware Zentrale Kontrolle über die Clients
SUS-Client Win NT 4 - Netzwerk Keine globale Kontrolle der Clients möglich Jeder Client muss individuell konfiguriert werden Vereinfachung der Konfiguration durch Erstellen eines Batchfiles Das Batchfile ist in der Lage den Client für alle benötigten Einsatzfälle entsprechend zu konfigurieren Einsatz des Batchfile in Loginscripts zur Vereinfachung der Verteilung möglich 19
SUS-Client DOS-Batchfile 3 Modi per Parameter SUS / MS / GO 1. Konfiguration als Client mit einem SUS- Server 2. Client bezieht die Patches direkt von Microsoft 3. Der Client wird zum Updaten gezwungen Mit zusätzlichen Parametern können Updateserver, Installationsmethode und Installationszeitpunkt eingestellt werden 20
Produkt Demo Produkt Demo Demonstration der Patch- Verteilung im Testnetzwerk
22 Produkt Demo Szenarien Test und Freigabe von Patches Synchronisation der Server Konfiguration eines Clients per Gruppenrichtlinie Konfiguration eines Clients per DOS-Batch in den verschiedenen Modi
23
25 Copyright 2004 beim Verfasser Michael Klenk Kontakt: http://www.surffan.ch surffan@gmx.ch Titelbild Heise Verlag http://www.heise.de aus c t, Heft 21/2003