Patch Management i KMD
Side 2 Dato: 11. januar 2015 Patch Management Implementation i KMD Henrik Sawa Christensen Teknisk Senior Konsulent, MCSE Specialist på SMS 2.0 og Software Update Services Feature Pack Produktansvarlig for SMS 2.0 og SMS ½ års erfaring med Software distribution 3½ års erfaring med SMS års erfaring med patch management
Side 3 Dato: 11. januar 2015 Patch Management Implementation i KMD KMD installation ~3900 SMS klienter 1 central site server og 4 secondary site server >300 server intern KMD deltog i Microsoft Early Adaptor Program på Feature pack 1.0 (SUS FP) i efteråret 2002 samt betatester på Software Update Services (SUS)
Side 4 Dato: 11. januar 2015 Patch Management Implementation i KMD Hvorfor Patch Management? Virus infektioner –MSBlast –Code Red –Nimda –Melissa –I love you Secure computing –Luk huller for diverse hackere i netværket
Side 5 Dato: 11. januar 2015 Patch Management Implementation i KMD Valg af værktøj - 1 Microsoft Windows Update Microsoft Software Update Services (SUS) Microsoft SMS Software Update Services Feature Pack (SUS FP) Tredje parts produkter
Side 6 Dato: 11. januar 2015 Patch Management Implementation i KMD Valg af værktøj - 2 WindowsUpdateSUSSMSSUS FP Automatisk distribution Administrativ distribution Support for NT 4.0 SP6A MBSA (Support for SQL, IIS, Exchange) Support for Office Rapportering Schedulering
Side 7 Dato: 11. januar 2015 Patch Management Implementation i KMD Valg af værktøj - 3 Microsoft anbefaler: Windows Update anvendes af mindre virksomheder og hjemmebrugere. (<50 brugere) Software Update Services (SUS) anvendes af mellemstore virksomheder. (50 brugere < x < 150 brugere) SUS Feature pack (SUS FP) anvendes af store virksomheder (> 150 brugere) eller hvis SMS anvendes i forvejen. KMD valgte at anvende SMS SUS FP.
Side 8 Dato: 11. januar 2015 Patch Management Implementation i KMD Hvordan virker SUS FP Synkroniseringsprogrammer til Security og Office Skanningsprogrammer til Security og Office Patch Wizard til installation af patches Web Reporting og MMC til rapportering
Side 9 Dato: 11. januar 2015 Patch Management Implementation i KMD Skanning Internet Intranet SMS 2.0 Site Infra- struktur Download Center / Office Update, etc. Synkronisering af MSSecure.xml 1 1. Microsoft anbefaler download ugentligt. KMD downloader dagligt 3. Microsoft anbefaler HW inventory anvender default skema (1 uge). KMD anvender default skema Inventory data via SMS HW inventory 3 2. Microsoft anbefaler skanning 2 gange ugentligt. KMD skanner hver tredje dag. Security eller Office skanningsværktøj SMS klienter 2 Web Reports 4
Side 10 Dato: 11. januar 2015 Patch Management Implementation i KMD Patch installation Internet Intranet SMS 2.0 Site Infra- struktur Status messages 3 2. Under frivillig installation kører pakken 2 gange ellers ugentlig Scan Tool + Install Patches SMS klienter 2 Download Center / Office Update, etc. 1. Frivillig installation i 1 uge for security og 2 uger for office patches Download patches og hotfixes etc. 1MMC / Patch Wizard 1 4. Default kan status messages ikke ses, men i Release notes står den query, som viser dem 4 MMC / Status messages
Side 11 Dato: 11. januar 2015 Patch Management Implementation i KMD Demo af SUS FP og Webreporting
Side 12 Dato: 11. januar 2015 Patch Management Implementation i KMD KMD implementation af SUS FP Den produktansvarlige eller sikkerhedsgruppen afleverer request for pakning af software til vores software library / Distributionscenter (DC). 2.Distributionscenter afgør om det er en patch eller almindelig stykke software i samarbejde med SMS administrationen. 3.”Pakning”, test og evt. pilottest sendes til godkendelse i Change Advisory Board (CAB) inden for 2 dage. 4.Hvis godkendt i CAB aktiverer SMS administrationen patchen via SUS FP til test i testmiljøet og adviserer Distributionscenter. 5.Patchen testes i Testcentreret af den produktansvarlige. 6.Godkendes testen adviserer den produktansvarlige Distributionscenter, og afleverer et underskrevet testdokument.
Side 13 Dato: 11. januar 2015 Patch Management Implementation i KMD KMD implementation af SUS FP SMS administration aktiverer patchen i produktions- miljøet via SUS FP og tildeler den til en pilottest gruppe, som skal indeholde de forskellige typer af brugere, som vi har. 8.Pilottesterne adviseres via . De har 3 dage til at installere patchen. Pilottesterne melder tilbage til SMS administrationen. 9.Godkender SMS administrationen pilottesten sendes patchen til godkendelse i CAB. 10.Godkendes patchen til endelig distribution i CAB aktiveres i vores patch distribution til alle brugere. Sikkerhedspatches har 7 dage til at installere og office patches har 14 dage til at installere.
Side 14 Dato: 11. januar 2015 Patch Management Implementation i KMD KMD implementation af SUS FP Brugerne adviseres via intranet, og Distributionscenter adviseres, om patchen er aktiveret. 12.SMS administrationen følger op på distributionen via deres normale driftsrutiner
Side 15 Dato: 11. januar 2015 Patch Management Implementation i KMD Distribution af MS via SUS FP *Fjernet error og warning, som er rettet automatisk Pc’er%Pc’er *% Error351,3070,26 Warning40,1500,00 Informational266298, ,74
Side 16 Dato: 11. januar 2015 Patch Management Implementation i KMD Anbefalinger Have organisationen på plads inkl. formelle arbejdsgange. Saml alle patches i en package via Patch Wizard og have en separat package til at teste patches. Dokumentere alt. Opbyg et separat test miljø, som ligner produktionsmiljøet. Husk at teste.
Side 17 Dato: 11. januar 2015 Patch Management Implementation i KMD Yderligere information Microsoft Solutions for Management on TechNet: m/default.asp m/default.asp Microsoft Guide to Security Patch Management: b d-99e8-cdcc608b b d-99e8-cdcc608b8992 SMS Software Update Services Guide: ms/maintain/operate/Smssusgd.asp ms/maintain/operate/Smssusgd.asp Patch Management Using Microsoft SMS: F886E8D&displaylang=en F886E8D&displaylang=en MyItForum, som er websted for SMS, patch management, MOM og mange andre ting:
Side 18 Dato: 11. januar 2015 Patch Management Implementation i KMD ?? Spørgsmål ??