patch management i kmd

Patch Management Patch Management

i i KMDKMD

Side 2Dato: onsdag 19. april 2023

Patch Management Implementation i KMD

Henrik Sawa Christensen

• Teknisk Senior Konsulent, MCSE• Specialist på SMS 2.0 og Software Update Services

Feature Pack• Produktansvarlig for SMS 2.0 og SMS 2003• 6½ års erfaring med Software distribution• 3½ års erfaring med SMS 2.0• 1 års erfaring med patch management



KMD installation

• ~3900 SMS klienter• 1 central site server og 4 secondary site

server• >300 server intern

KMD deltog i Microsoft Early Adaptor Program på Feature pack 1.0 (SUS FP) i efteråret 2002 samt betatester på Software Update Services (SUS)



Hvorfor Patch Management?

• Virus infektioner– MSBlast – Code Red – Nimda– Melissa– I love you

• Secure computing– Luk huller for diverse hackere i netværket



Valg af værktøj - 1

• Microsoft Windows Update• Microsoft Software Update Services (SUS)• Microsoft SMS Software Update Services

Feature Pack (SUS FP)• Tredje parts produkter




Win

dow

s Up

date

SU

S

SM

S S

US

FP

Automatisk distribution

Administrativ distribution

Support for NT 4.0 SP6A

MBSA (Support for SQL, IIS, Exchange)

Support for Office

Rapportering

Schedulering




Microsoft anbefaler:• Windows Update anvendes af mindre

virksomheder og hjemmebrugere. (<50 brugere)

• Software Update Services (SUS) anvendes af mellemstore virksomheder. (50 brugere < x < 150 brugere)

• SUS Feature pack (SUS FP) anvendes af store virksomheder (> 150 brugere) eller hvis SMS anvendes i forvejen.

KMD valgte at anvende SMS SUS FP.



Hvordan virker SUS FP

• Synkroniseringsprogrammer til Security og Office

• Skanningsprogrammer til Security og Office• Patch Wizard til installation af patches• Web Reporting og MMC til rapportering



Skanning

Internet

Intranet

SMS 2.0 Site Infra-struktur

Download Center / Office Update, etc.

Synkronisering af MSSecure.xml

1

1. Microsoft anbefaler download ugentligt. KMD downloader dagligt

3. Microsoft anbefaler HW inventory anvender default skema (1 uge).

KMD anvender default skema

Inventory data via SMS HW inventory

3

2. Microsoft anbefaler skanning 2 gange ugentligt.

KMD skanner hver tredje dag.

Security eller Office skanningsværktøj

SMS klienter

2

Web Reports

4



Patch installation

Internet

IntranetSMS 2.0 Site Infra-struktur

Status messages3

2. Under frivillig installation kører pakken 2 gange ellers ugentlig

Scan Tool + Install Patches

SMS klienter

2

Download Center / Office Update, etc.

1. Frivillig installation i 1 uge for security og 2 uger for office patches

Download patches og hotfixes etc.

1MMC / Patch Wizard

1

4. Default kan status messages ikke ses, men i Release notes står den

query, som viser dem

4

MMC / Status messages



Demo af SUS FP og Webreporting



KMD implementation af SUS FP - 1

1. Den produktansvarlige eller sikkerhedsgruppen afleverer request for pakning af software til vores software library / Distributionscenter (DC).

2. Distributionscenter afgør om det er en patch eller almindelig stykke software i samarbejde med SMS administrationen.

3. ”Pakning”, test og evt. pilottest sendes til godkendelse i Change Advisory Board (CAB) inden for 2 dage.

4. Hvis godkendt i CAB aktiverer SMS administrationen patchen via SUS FP til test i testmiljøet og adviserer Distributionscenter.

5. Patchen testes i Testcentreret af den produktansvarlige.6. Godkendes testen adviserer den produktansvarlige

Distributionscenter, og afleverer et underskrevet testdokument.




7. SMS administration aktiverer patchen i produktions-miljøet via SUS FP og tildeler den til en pilottest gruppe, som skal indeholde de forskellige typer af brugere, som vi har.

8. Pilottesterne adviseres via e-mail. De har 3 dage til at installere patchen. Pilottesterne melder tilbage til SMS administrationen.

9. Godkender SMS administrationen pilottesten sendes patchen til godkendelse i CAB.

10. Godkendes patchen til endelig distribution i CAB aktiveres i vores patch distribution til alle brugere. Sikkerhedspatches har 7 dage til at installere og office patches har 14 dage til at installere.




11. Brugerne adviseres via intranet, og Distributionscenter adviseres, om patchen er aktiveret.

12. SMS administrationen følger op på distributionen via deres normale driftsrutiner



Distribution af MS03-026 via SUS FP

*Fjernet error og warning, som er rettet automatisk

Pc’er % Pc’er * %

Error 35 1,30 7 0,26

Warning 4 0,15 0 0,00

Informational 2662 98,56 2662 99,74



Anbefalinger

•Have organisationen på plads inkl. formelle arbejdsgange.

•Saml alle patches i en package via Patch Wizard og have en separat package til at teste patches.

•Dokumentere alt.•Opbyg et separat test miljø, som ligner

produktionsmiljøet.•Husk at teste.



Yderligere information

• Microsoft Solutions for Management on TechNet: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/msm/default.asp

• Microsoft Guide to Security Patch Management: http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=73ac38b7-5826-421d-99e8-cdcc608b8992

• SMS Software Update Services Guide: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/sms/maintain/operate/Smssusgd.asp

• Patch Management Using Microsoft SMS: http://www.microsoft.com/downloads/details.aspx?FamilyId=7D8999AF-7E88-416C-8404-56912F886E8D&displaylang=en

• MyItForum, som er websted for SMS, patch management, MOM og mange andre ting: http://www.myitforum.com/



?? Spørgsmål ??

patch management i kmd

Documents