Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006 SUS - WSUS per il Security Patch Management

Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006

SUS - WSUSper il Security Patch Management


Software Update Services

• Architettura client/server che estende le funzionalità del Windows Automatic Update per il download e l’aggiornamento dei critical updates e dei security roll-ups

• Server side:– Minimi requisiti hw:

• CPU: pentium III 700MHz• Memoria: 512 Mb RAM• Spazio disco: 6Gb

– Requisiti Software: • s.o. Windows 2000 Server SP2 e successivi, Windows

Server 2003;• Internet Information Server 5.0 o successivi, porta 80

• Client side: – Automatic Update 2.2 o successivo– AU configurato manualmente o tramite Group Policy– Workstation o dominio


Vantaggi SUS

• Possibilità di testare gli aggiornamenti scaricati da Internet prima della loro distribuzione

• Maggior sicurezza evitando che i singoli client facciano download e si installino direttamente gli update

• può operare in presenza di proxy server che richiede autenticazione

• distribuzione patch ai computer di una Intranet che non possono connettersi direttamente ad Internet

• SUS è gratuito• facilità di configurazione ed utilizzo


Limiti del SUS

• Distribuzione solo di critical security patch e update per:– s.o. Windows 2000 S.P.2, Windows XP, Windows Server 2003

(no NT o Windows 98/ME);– componenti Windows: IIS, IExplorer, Windows Media Player; no

supporto per MS Office, SQLServer, Exchange Server;

• Non vengono distribuiti patch per:– driver componenti hardware (schede di rete, audio, ecc.)– altri s.o. (Linux, Unix, Novell)

• Reportistica limitata; no analisi e controllo dei risultati della distribuzione delle patch sulle singole macchine;

• Mancanza strumento centralizzato di rimozione delle patch.


SUS: Approve updates


SUS: Synchronization Log


SUS: Set options


SUS: Monitor server


NOVITÁ WSUS• Introdotti gli aggiornamenti per Office XP, Office 2003, SQL Server

2000, Exchange Server 2003• Controllo granulare sugli aggiornamenti da fare e da scaricare,

maggior controllo sul processo di upgrade• Introduzione dei gruppi, approvazione degli updates personalizzata

per gruppo• Miglioramento nella reportistica: quali computer necessitano quali

upgrades, quali computer hanno installato quali aggiornamenti• Export/Import data e aggiornamenti su media – importante per reti

scollegate o connessioni di rete lente• API per estendere e personalizzare il pacchetto secondo le

esigenze• BITS 2.0 – miglioramento del consumo di banda, resumes

interrupted synchronizations• UI per installazione ed amministrazione disponibile anche in

italiano• Migrazione semplice degli aggiornamenti e/o del contenuto dal

SUS Server 1.0


Architettura WSUS


Caratteristiche WSUS• WSUS client (Automatic Update sw):

– Aggiornamento automatico dei SUS client a WSUS client; gli altri utilizzeranno l’ultimo Automatic Update dell’XP SP2

• Windows 2000 SP3 e successivi• Windows XP e successivi• Windows Server 2003

• WSUS Server:• Windows 2000 SP4 e successivi• Windows Server 2003

– Prerequisiti: IIS 6.0, BITS 2.0, MS .NET Framwork 1.1 s.p. per Win srv2003

• Migrazione (non update!) da SUS 1.0 a WSUS – WSUSutil.exe WSUSutil.exe in WSUSInstallationDrive:\ProgramFiles\WSUSInstallationDrive:\ProgramFiles\

UpdateServices\ToolsUpdateServices\Tools– http://WSUSInstallationServer:8530/WSUSAdmin/http://WSUSInstallationServer:8530/WSUSAdmin/


WSUS Home page


WSUS: Aggiornamenti


Proposte di lavoro

• Verifica problematiche WSUS http://blogs.technet.com/default.aspx

• Analisi di strumenti per l'installazione e la manutenzione di software e applicazioni su computer (SMS)

• Integrazione con Cisco NAC?

http://blogs.technet.com/default.aspx




Documents

Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006 SUS - WSUS per il Security Patch Management