Gerenciamento de Patches

I
FANESE – Faculdade de Administração e Negócios de Sergipe
GERENCIAMENTO DE PATCHES
Atualizações de segurança
Aracaju, Agosto de 2009
DAYSE SOARES SANTOS
LUCIELMO DE AQUINO SANTOS
II
GERENCIAMENTO DE PATCHES
Atualizações de segurança
Trabalho de graduação apresentado à
disciplina
de
Administração
de
Servidores do curso de Graduação
Tecnológica em Desenvolvimento de
Sistemas para Internet.
Professor: Luciano Alves Lunguinho
Santos
Aracaju, Agosto de 2009
DAYSE SOARES SANTOS
LUCIELMO DE AQUINO SANTOS
III
SUMÁRIO
SUMÁRIO ____________________________________________________ III
RESUMO _____________________________________________________ IV
CAPÍTULO I __________________________________________________ 5
1. INTRODUÇÃO __________________________________________________ 5
CAPÍTULO II ________________________________________________________ 6
2. GERENCIAMENTO DE PATCHES _________________________________ 6
2.1 VANTAGENS DO PATCHES ___________________________________ 6
CAPITULO III _______________________________________________________ 6
3. PRÁTICAS RECOMENDADAS ____________________________________ 6
CAPITULO IV _______________________________________________________ 8
4. WSUS ___________________________________________________________ 8
CAPITULO V ________________________________________________________ 8
5. MBSA___________________________________________________________ 8
CAPITULO VI _______________________________________________________ 9
6. MBSA E O WSUS ________________________________________________ 9
CONCLUSÃO_______________________________________________________ 10
REFERÊNCIAS DE PESQUISAS ______________________________________ 11
ANEXOS ___________________________________________________________ 12
IV
RESUMO
Nesse trabalho será possível aprender mais sobre o Gerenciamento de Patches,
falaremos sobre MBSA (Microsoft Baseline Security Analyzer) e WSUS (Windows
Server Update Services) fazendo algumas comparações como vantagens, segurança.
5
CAPÍTULO I
1. INTRODUÇÃO
Falar sobre Gerenciamento de Patches que tem uma relevância na
Administração de Servidores é bem complicado, pois existem alguns tipos de Software
que projetam certa segurança nas atualizações. Aqui nesse trabalho nós iremos abordar
somente o MBS e o WSUS, que são boas ferramentas para gerenciar essas atualizações,
ambas da Microsoft, onde cada uma tem sua particularidade.
6
CAPÍTULO II
2. GERENCIAMENTO DE PATCHES
Gerenciamento de Patches são processos que controla o desenvolvimento e
atualizações de novas versões de software nos computadores. Ajudando a manter a
eficiência operacional e efetividade, evitando a vulnerabilidade e mantendo a
estabilidade do software ou mesmo do computador.
2.1 VANTAGENS DO PATCHES
As principais vantagens das atualizações é manter a segurança e a
produtividades, porém é necessário que as atualizações sejam bem identificadas e
implementadas de maneira correta. As atualizações vem para corrigir bugs e é muito útil
se cada fase for executada de maneira correta, para os Administradores de Servidores
essa é uma tarefa relevante.
CAPITULO III
3. PRÁTICAS RECOMENDADAS
A partir do momento em que uma empresa decidir implantar um
gerenciamento de patches eficiente, deve-se em primeiro lugar assegurar de que possui:
 Operações eficazes, incluindo pessoal que conhece suas funções e
responsabilidades.
 Ferramentas e tecnologias mais apropriadas para o gerenciamento de patches
eficaz.
 Processos eficazes de gerenciamento de projeto.
Para iniciar o projeto existem quatro fases:
a) AVALIAR
 Fazer o inventário, quantidade de computadores ativos e existentes.
 Avaliar ameaças à segurança e as vulnerabilidades.
7
 Determinar a melhor fonte de informações sobre novas atualizações de
software.
 Avaliar a infra-estrutura de distribuição de software existente.
 Avaliar a eficácia operacional.
b) IDENTIFICAR
 Descobrir novas atualizações de software de uma forma confiável.
 Determinar se as atualizações são relevantes para o seu ambiente de
produção.
 Obter os arquivos de origem de atualização e confirmar se eles são seguros e
terão uma instalação bem sucedida.
 Determinar se a atualização de software deve ser considerada uma alteração
normal ou de emergência e enviar uma RFC (Solicitação de Alterações)
para implantá-la.
O envio de uma RFC é o evento inicial para a fase seguinte de gerenciamento
de patches, que é Avaliar e Planejar.
c) AVALIAR E PLANEJAR
O ponto de entrada para a fase Avaliar e planejar é uma RFC. No final
você deverá ter determinado se a solicitação de alteração deve ser classificada
como uma emergência deverá ter revisado e aprovado a solicitação e
determinado as tarefas necessárias para implantar as alterações aprovadas na
produção. Testar a atualização de software em um ambiente semelhante ao de
produção para certificar-se de que ela não comprometerá sistemas e aplicativos
críticos aos negócios.
8
d) IMPLANTAR
O ponto de entrada dessa fase é uma determinação de que a
atualização de software está pronta para a implantação na produção e de que a
aprovação foi obtida para implantar essa atualização.
O objetivo é desenvolver com êxito a atualização de software
aprovada e/ou qualquer contramedida em seu ambiente de produção.
CAPITULO IV
4. WSUS
O WSUS é a nova versão do já conhecido Software Update Services (SUS).
Fases de implementação:

Testar, aprovar, e agendar as instalações de atualizações.

Rever o processo de implementação depois de completado.
Deve-se verificar o ambiente de produção para garantir que ele possa suportar
as atualizações antes de implementá-las. O servidor WSUS permite que os
administradores revejam as propriedades de uma atualização e que façam uma varredura
da rede para detectar quem precisa dela.
Durante o processo, o administrador irá definir quem recebe os pacotes por
grupos de máquinas usando o Active Directory ou não, quando irão se atualizar e tem
uma enorme variedade de relatórios para verificar onde as atualizações foram bem
sucedidas e onde se apresentou problemas.
CAPITULO V
5. MBSA
O MBSA (Microsoft Baseline Security Analyzer) foi criado para profissionais
de TI, que ajuda empresas de pequeno e médio porte a determinar o estado de sua
9
segurança de acordo com as recomendações de segurança da Microsoft e oferece
diretrizes de atualizações específicas.
O MBSA é capaz de detectar erros comuns de configuração relacionados à
segurança e atualizações de segurança que estão faltando nos sistemas de computadores.
Criado a partir do Windows Update Agent e da infra-estrutura do Microsoft Update, o
MBSA assegura a consistência com os demais produtos de gerenciamento Microsoft,
inclusive MU (Microsoft Update), WSUS (Windows Server Update Services), SMS
(Systems Management Server), SCCM (System Center Configuration Manager) 2007 e
SBS (Small Business Server).
CAPITULO VI
6. MBSA E O WSUS
O MBSA tem suporte para o Vista e o Windows Server 2008, tem uma interface
gráfica atualizada, tem um suporte total a plataformas e verificações de Avaliação de
Vulnerabilidade em componentes de 64 bits, registro automático do Microsoft Update,
entre outras funcionalidades na sua nova versão 2.1.
O WSUS cliente tem suporte em Windows 2000 SP3 e mais recente, Windows
XP e Windows Server 2003, o Servidor pode ser executado apenas no Windows 2000
SP4 e mais recente ou Windows Server 2003, nada mais é do que uma atualização do
SUS, no entanto atualiza não somente o Sistemas Operacionais como os Softwares
Corporativos da Microsoft.
O WSUS é um componente de atualização do Windows Server, representa um
passo importante em direção à distribuição essencial de softwares e infra-estrutura de
gerenciamento de atualizações no Windows.
10
CONCLUSÃO
O desenvolvimento do trabalho de certa forma foi difícil pelo simples motivo
de não ter conhecimento e nem domínio quanto ao assunto, porém realizamos diversas
pesquisas e tiramos nossas conclusões para concluir o desenvolvimento do mesmo. Hoje
percebemos que ter conhecimento em Gerenciamento de Patches é relevante para a
segurança da empresa e que as ferramentas disponíveis são de qualidade e confiança, no
entanto nós temos plena consciência de que atualizações é relevante, mas é necessário
ter muito cuidado.
11
REFERÊNCIAS DE PESQUISAS
http://www.microsoft.com/brasil/security/guidance/topics/patch/
http://rmenezes.com/windows/artigos/
http://technet.microsoft.com/pt-br/security/cc184924.aspx
http://technet.microsoft.com/pt-br/wsus/bb466194.aspx
12
ANEXOS
Comparando MBSA, MU, WSUS, Essentials 2007 e SMS 2003
Software e conteúdo com suporte
Produto:
MBSA
Microsoft
Update
Windows
Server
Update
Services
Essentials
2007
SMS 2003
Software e
O mesmo
conteúdo
que MU para
com suporte detecção de
atualizações
de
segurança.
Verificações
de
configuração
do
Windows,
IE,
Exchange e
SQL
Windows
O mesmo
2000+,
que MU
Exchange
2000+, SQL
Server
2000+,
Office XP+
com suporte
em expansão
O mesmo que
WSUS 3.0 +
atualizações
de terceiros e
personalizadas
O mesmo
que WSUS
+ NT 4.0 &
Win98* +
pode
atualizar
qualquer
outro
software
baseado no
Windows
Tipos de
Service
conteúdo
Packs e
com suporte atualizações
de segurança
Todas as
atualizações
de software,
atualizações
de drivers,
service
packs (SPs)
e feature
packs (FPs)
Todas as
atualizações,
SPs & FPs, +
atualizações
de terceiros e
personalizadas
& instalações
de apps
baseadas em
.MSI & .EXE
Todas as
atualizações,
SPs & FPs,
+
atualizações
de suporte &
instalações
de apps de
qualquer
software
baseado no
Windows
O mesmo
que MU com
somente as
atualizações
de driver
críticas
13
Recursos de gerenciamento de atualizações de segurança
Produto
MBSA
Microsoft
Update
Windows
Server
Update
Services
Essentials
2007
Software e
conteúdo com
suporte
Simples
Não
Simples
Intermediário Avançado
Otimização de Não
largura de
banda da rede
Sim
Sim
Sim
Sim
Controle de
Não
distribuição de
atualizações
Não
Simples
Avançado
Avançado
Flexibilidade Não
de instalação e
programação
de atualizações
Controlado
Simples
manualmente
& pelo
usuário final
Avançado
Avançado
Relatórios de
status da
instalação das
atualizações
Erros de
Simples
instalação
relatados ao
usuário.
Lista as
atualizações
necessárias
para o acesso
ao
computador
Avançado
Avançado
Planejamento Não
da implantação
Não
Simples
Intermediário Avançado
Gerenciamento Não
de inventário
Não
Não
Intermediário Avançado
Verificações
de
conformidade
Não
Não –
somente
relatório de
status
Status e
Avançado
relatórios de
conformidade
informal
Simples
Sim
*Fonte: http://technet.microsoft.com/pt-br/wsus/bb466194.aspx
SMS 2003