Microsoft-Leitfaden zur Sicherheitspatch-Verwaltung Solutions for Security Solutions for Management Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf Internetwebsites, können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Personen und Ereignisse sind frei erfunden. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Personen oder Ereignissen ist rein zufällig. Die Verantwortung für die Beachtung aller geltenden Urheberrechte liegt allein beim Benutzer. Unabhängig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze, darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft Corporation kein Teil dieser Unterlagen für irgendwelche Zwecke vervielfältigt oder übertragen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln, elektronisch oder mechanisch, dies geschieht. Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken, Urheberrechten oder sonstigem geistigen Eigentum besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt. © 2003 Microsoft Corporation. Alle Rechte vorbehalten. Weitere in diesem Dokument aufgeführte tatsächliche Produkt- und Firmennamen können geschützte Marken ihrer jeweiligen Inhaber sein. Inhaltsverzeichnis Inhaltsverzeichnis .................................................................................................................................... 2 Überblick .................................................................................................................................................. 5 Kurzfassung ......................................................................................................................................... 5 Hinweise zur Lektüre ........................................................................................................................... 6 Software und Ressourcen .................................................................................................................... 8 Umfang des Leitfadens ........................................................................................................................ 9 Ihre Meinung ...................................................................................................................................... 10 Beratung und Support ........................................................................................................................ 10 Danksagung........................................................................................................................................... 10 Veröffentlichungshinweise ..................................................................................................................... 11 Änderungen in dieser Ausgabe .......................................................................................................... 11 Offene Fragen und Probleme ............................................................................................................ 12 Teil I ....................................................................................................................................................... 12 Wichtige Informationen .......................................................................................................................... 12 1 Einführung in die Sicherheitspatch-Verwaltung.................................................................................. 12 Sichere IT-Verwaltung und Betrieb .................................................................................................... 12 Sicherheitspatch-Verwaltung ............................................................................................................. 13 Sicherheit: Terminologie .................................................................................................................... 14 Wie Microsoft Software nach Veröffentlichung korrigiert ................................................................... 16 Die Bedeutung einer proaktiven Sicherheitspatch-Verwaltung ......................................................... 17 2 Vorbereitung der Patchverwaltung ..................................................................................................... 19 Bewerten Ihrer Umgebung, Risiken und Anforderungen ................................................................... 19 Definieren von Gruppen und Verantwortlichen .................................................................................. 22 Weitere Schritte.................................................................................................................................. 22 3 Verstehen der Sicherheitspatch-Verwaltung ...................................................................................... 23 Einrichtung ......................................................................................................................................... 24 Änderungseinleitung .......................................................................................................................... 27 Sicherheits-Veröffentlichungen .......................................................................................................... 31 Erzwingen von Sicherheitsrichtlinien ................................................................................................. 36 Reaktionen auf sicherheitsrelevante Notfälle .................................................................................... 36 Ergebnisoptimierung .......................................................................................................................... 37 4 Werkzeuge und Technologien ............................................................................................................ 37 Kurzfassung: Verteilung von Software-Updates ................................................................................ 37 Microsoft-Produkt- und –Technologie-Wegweiser ............................................................................. 39 Anhang A ............................................................................................................................................... 45 Drittanbieter-Werkzeuge und Ressourcen ......................................................................................... 45 Patchverwaltung................................................................................................................................. 46 Software für die Sicherheit ................................................................................................................. 46 Teil II ...................................................................................................................................................... 47 Phasenmodel der Sicherheitspatch-Verwaltung ................................................................................... 47 1 Einführung .......................................................................................................................................... 48 Überblick über das Phasenmodell einer Sicherheitspatch-Verwaltung ............................................. 48 Unregelmäßige Aktivitäten ................................................................................................................. 48 Einführung in verschiedene Techniken .............................................................................................. 51 2 Einrichtung .......................................................................................................................................... 52 Zusammenfassung ............................................................................................................................ 52 Konfiguration und Pflege der Infrastruktur ......................................................................................... 52 Basiseinrichtung ................................................................................................................................. 53 Abonnements ..................................................................................................................................... 55 Sicherheitsberichte ............................................................................................................................ 57 Einrichtungs-Techniken ..................................................................................................................... 58 3 Änderungseinleitung ........................................................................................................................... 69 Zusammenfassung ............................................................................................................................ 69 Identifikation ....................................................................................................................................... 70 Relevanz ............................................................................................................................................ 72 Quarantäne ........................................................................................................................................ 73 4 Veröffentlichung .................................................................................................................................. 74 Zusammenfassung ............................................................................................................................ 74 Änderungsverwaltung ........................................................................................................................ 75 Veröffentlichungsverwaltung .............................................................................................................. 79 Änderungsüberprüfung ...................................................................................................................... 83 Techniken der Sicherheitsveröffentlichungen .................................................................................... 84 5 Sicherheitsrichtlinien durchsetzen ...................................................................................................... 91 Zusammenfassung ............................................................................................................................ 91 Strategien zur Durchsetzung ............................................................................................................. 93 6 Reaktion auf sicherheitsrelevante Notfälle ......................................................................................... 94 Zusammenfassung ............................................................................................................................ 94 Vorbereitungen für den Notfall – Planen von Alternativen ................................................................. 95 Einbruchserkennung .......................................................................................................................... 96 Notfall-Reaktionsplan ......................................................................................................................... 99 Aktivitäten nach dem Vorfall und Nachbetrachtung ......................................................................... 102 7 Ergebnisoptimierung ......................................................................................................................... 103 Messverfahren und Verbesserungen ............................................................................................... 103 Tätigkeitsbeurteilung ........................................................................................................................ 107 Sicherheitsbeurteilung ..................................................................................................................... 107 Überblick Kurzfassung Die unternehmerische Problemstellung Organisationen sind von IT-Ressourcen und deren Sicherheit abhängig: Während einige Tage Ausfallzeit nur kostspielig sind, kann eine Sicherheitskompromittierung schwerwiegende Folgen haben. Viren und Würmer, wie etwa Klez, Nimda und SQL-Slammer, verwenden Sicherheitslücken um Computer anzugreifen und von diesen aus neue Angriffe auf andere Computer zu starten. Diese Sicherheitslücken geben Angreifern außerdem die Möglichkeit, Informationen und Systeme zu kompromittieren, sowie den Zugriff von rechtmäßigen Benutzern zu unterbinden. Der Angreifer könnte sich erweiterte Berechtigungen auf einem System verschaffen und Daten lesen und verändern. Die Betriebskosten eines Ausfalltages können größtenteils abgeschätzt werden, aber wie verhält es sich mit Informationen, wenn diese der Öffentlichkeit preisgegeben werden? Ein Sicherheitsproblem und der resultierende Verlust an Glaubwürdigkeit (gegenüber Kunden, Partnern und Behörden), kann für ein Unternehmen schwere Probleme aufwerfen. Unternehmen, denen es nicht gelingt, eine proaktive Sicherheitspatch-Verwaltung als Teil ihrer IT-Strategie umzusetzen, gehen ein unnötiges Risiko ein. Die Reaktion Microsoft nimmt Sicherheitbedrohungen sehr ernst, und stellt Ihnen schnelle Hilfe und Sicherheitspatches zur Verfügung. Microsoft möchte sicherstellen, dass Kunden die Möglichkeit haben, ihre Computer gegen Sicherheitslücken abzusichern, bevor diese durch Viren oder Angreifer ausgenutzt werden können. Einige Unternehmen wenden regelmäßig Sicherheitspatches an, um das Risiko eines zukünftigen Angriffs zu minimieren und ihre Umgebung abzusichern – eine Menge anderer Unternehmen machen dies nicht. Um IT-Ressourcen sicher zu halten, ist eine proaktive SicherheitspatchVerwaltung notwendig. Dieser Leitfaden bietet Unternehmen präzise Informationen, Anleitungen, Werkzeuge und Vorlagen, um bei einer kostengünstigen Realisierung einer sicheren und verlässlichen MicrosoftUmgebung über eine proaktive Beurteilung von Sicherheitslücken und der Verwendung von Sicherheitspatches zu helfen. Hinweis: Dieser Leitfaden bietet Informationen über die Wartung von Computern innerhalb eines Unternehmens. Wenn Sie für die Sicherheit ihres eigenen Computers verantwortlich sind, finden Sie weitere Informationen zur Sicherheit Ihres Computers unter http://www.microsoft.com/security/home/basics.asp (englischsprachig). Hinweise zur Lektüre Der Leitfaden ist in zwei Teile geteilt: Der erste Teil bietet grundlegende Informationen zur Sicherheitspatch-Verwaltung, der zweite Teil bietet detaillierte Beschreibungen zu Verfahren und Techniken. Teil I – Grundlegende Informationen Teil I bietet nützliche Informationen für Entscheidungsträger und IT-Experten, die im Bereich der Sicherheitspatch-Verwaltung keine Erfahrung besitzen. Er zeigt, wie Microsoft bei SoftwareUpdates und Sicherheitslücken vorgeht. Sie erhalten Informationen zu Prozessen, Werkzeugen, Methoden und Ressourcen, mit denen Sie eine effektive Sicherheitspatch-Verwaltung durchführen können. Im zweiten Teil werden Schlüsselkonzepte und Technologien besprochen. 1. Einführung in die Sicherheitspatch-Verwaltung Dieses Kapitel diskutiert unterschiedliche Aspekte der Sicherheit in der Softwareindustrie und die resultierenden Auswirkungen, die sie auf ein Unternehmen haben können. Es werden Schlüsselbegriffe eingeführt, die in diesem Leitfaden oft verwendet werden. Sie erfahren mehr über die bekannten Sicherheitslücken, und wie diese in der Vergangenheit ausgenutzt wurden. 2. Vorbereitung der Patch-Verwaltung Kapitel 2 zeigt die Folgekosten einer fehlenden Patch-Verwaltung auf. Sie erfahren mehr über die zur Einführung einer proaktiven Patch-Verwaltung notwendigen Schritte und die für ein PatchVerwaltungs-Phasenmodel erforderlichen Kernkompetenzen. 3. Die Sicherheitspatch-Verwaltung verstehen In diesem Kapitel wird ein durchgängiges Verfahren für die Sicherheitspatch-Verwaltung besprochen. Es definiert Schlüsselaufgaben, Konzepte und optimale Vorgehensweisen. Dieses Verfahren dient als strukturelle Grundlage für die empfohlenen Prozesse und Techniken, die im zweiten Teil vorgestellt werden. 4. Werkzeuge und Technologien In Kapitel 4 erhalten Sie Informationen zu Patch-Ressourcen bei Microsoft, zu Bereitstellungstechnologien und zu deren Einsatzmöglichkeiten und Kosten. Das Kapitel hilft Ihnen außerdem bei der Entscheidung, welche Patchverteilungs-Infrastruktur die beste für Ihre Umgebung ist. Anhang A: Dritthersteller-Produkte und Ressourcen Enthält eine Liste von Drittanbieter-Produkten und -Ressourcen aus dem Bereich Sicherheitspatch-Verwaltung. Teil II – Das Phasenmodel einer Sicherheitspatch-Verwaltung Teil II bespricht die Verfahrensweisen der Sicherheitspatch-Verwaltung genauer. Werkzeugspezifische Aufgaben und Techniken werden beschrieben. Während die Verfahrensweisen für jedes Unternehmen interessant sind, wendet sich die Beschreibung der Aufgaben und Techniken besonders an die Unternehmen, die Microsoft Windows Update (WU), Microsoft Software Update Services (SUS) oder Microsoft Systems Management Server (SMS) zur SicherheitspatchVerwaltung verwenden. 1. Einführung Dieses Kapitel gibt Ihnen einen Überblick über das Phasenmodell einer SicherheitspatchVerwaltung und führt unterschiedliche Techniken ein. Sie erhalten Informationen dazu, wie Sie die unterschiedlichen Aktivitäten des Phasenmodells mit Hilfe dieser Techniken durchführen. 2. Einrichtung Selbst bei einer bereits vorhanden Infrastruktur zur Patchverwaltung gibt es einige Aufgaben, die in unregelmäßigen Abständen auszuführen sind. Diese sind für eine effektive Patchverwaltung notwendig. Dieses Kapitel bespricht diese Aufgaben, wie zum Beispiel die Konfiguration und Wartung der Infrastruktur, die Inventarisierung und Basiseinrichtung der Umgebung, die Abonnierung von Sicherheitsbenachrichtungen und das permanente Erstellen von Sicherheitsberichten (zum Beispiel über den Microsoft Baseline Security Analyzer). 3. Änderungseinleitung Kapitel 3 beschreibt Wartungs- und Überwachungsaktivitäten, und wie Sie die so erhaltenen Informationen für die Reaktion auf Sicherheitsprobleme nutzen. Diese Aktivitäten umfassen eine regelmäßige Überprüfung von Webseiten, Sicherheitsbenachrichtigungen und Sicherheitsberichten. So bleiben Sie über neue Software-Updates informiert, und können diese herunterladen, sie für die eigene Umgebung bewerten und gegebenenfalls eine Veröffentlichung einleiten. 4. Veröffentlichung Das Veröffentlichen eines Software-Updates oder ähnliche Gegenmaßnahmen sind eine typische Reaktion auf eine gerade erkannte Sicherheitslücke. Dieses Kapitel bespricht die Aspekte der Änderungsverwaltung, Veröffentlichungsverwaltung (einschließlich der Tests von SoftwareUpdates) und einer Erfolgsüberwachung (inklusive einer möglichen Wiederherstellung), die einer Veröffentlichung folgen sollten. 5. Sicherheitsrichtlinien durchsetzten Neu installierte Computer, Laborumgebungen, mobile Benutzer und eine dezentrale Administration können dazu führen, dass bereits beseitigte Sicherheitslücken wieder auftreten. Solche Sicherheitslücken stellen ein erhöhtes Risiko dar. In Kapitel 5 werden einige Strategien besprochen, über die Unternehmen wiederkehrende Sicherheitslücken eliminieren können. 6. Reaktion auf sicherheitsrelevante Notfälle Dieses Kapitel beschreibt die Vorbereitung auf einen Sicherheitsnotfall. Außerdem erfahren Sie mehr über optimale Vorgehensweisen, mit denen wirksam auf eine mögliche Bedrohung oder eine Angriff reagieren werden kann. 7. Ergebnisoptimierung Es ist wichtig, die Effektivität der Sicherheitspatch-Verwaltung regelmäßig zu prüfen. Kapitel 7 bespricht die zentralen Leistungsindikatoren, die ermittelt und verbessert werden können. Software und Ressourcen Werkzeuge und Vorlagen des Leitfadens verwenden Zusammen mit diesem Leitfaden haben Sie textbasierte Skripte, Abfragen und Dokumente und Formulare bezüglich der Sicherheitspatch-Verwaltung erhalten. Das gesamte Paket enthält keinerlei ausführbare Programme. Nach dem Entpacken finden Sie die folgende Verzeichnisstruktur vor: Die Datei Liesmich.txt enthält eine vollständige Liste aller Datei des Paketes. Verwandte Ressourcen Microsoft Security Ressourcen im TechNet: http://www.microsoft.com/technet/security (englischsprachig) Das Microsoft Security Technologies Community Center: http://www.microsoft.com/communities/security (englischsprachig) Umfang des Leitfadens Ein Ziel von Microsoft ist es, dass Ihre Umgebung sicher und zuverlässig bleibt. Obwohl alle Software-Updates auf die gleiche Weise behandelt werden können, konzentriert sich der Leitfaden primär auf die Sicherheitspatches. Wenn Sicherheitspatches und Servicepacks nicht korrekt aktualisiert werden, kann dies verheerende Auswirkungen auf ein Unternehmen haben. Hinweis: In diesem Leitfaden finden Sie nur wenige Informationen über zukünftige Microsoft-Entwicklungen. Weitere Informationen zu zukünftigen Features und Verbesserungen finden Sie im Whitepaper Improving Patch Management unter http://www.microsoft.com/security/whitepapers/patch_management.asp (englischsprachig) Microsoft Operations Framework (MOF) und Microsoft Solutions for Management (MSM) Dieser Leitfaden wurde auf Grundlage der Microsoft Solutions for Management (MSM)-Leitfäden zur Patchverwaltung erstellt. Er konzentriert sich zusätzlich auf das Thema Sicherheit. Die MSM geben Ihnen Informationen zu optimalen Vorgehensweisen und Dienste zur Implementierung und Automatisierung für ein reibungslosen Betrieb. Um diesen Leitfaden zu lesen, ist es nicht erforderlich, dass Sie das MOF oder die MSM bereits implementiert haben. Einige Aspekte der MSM und des MOF werden vereinfacht dargestellt. Weitere Informationen zu den MSM und dem MOF finden Sie unter: Microsoft Solutions for Management: http://www.microsoft.com/technet/itsolutions/msm (englischsprachig) Microsoft Operations Framework: http://www.microsoft.com/mof (englischsprachig) Nicht vom Leitfaden abgedeckt Der Zweck dieses Leitfadens ist es, Microsoft Anwendungen auf der Basis von Windows abzudecken. Produkte die für andere Plattformen konzipiert sind, werden nicht berücksichtigt. Für OEM-Software ist normalerweise der Hardware-Hersteller zuständig. Es gibt im Sicherheitsbereich einige Themen, die mit der in diesem Leitfaden eingeführten Sicherheitspatch-Verwaltung eng verbunden sind, hier jedoch nicht besprochen werden. Wann immer möglich, erhalten Sie Verweise auf externe Quellen zu den folgenden Bereichen: Virenscanner Einbruchserkennung Betriebssystem- und Anwendungsabsicherung Der Fokus dieses Leitfadens liegt bei der Sicherheitspatch-Verwaltung. Sie erhalten keine Anleitung zu Architektur und Bereitstellungsverfahren einer Patchverteilungs-Infrastruktur über SUS, SMS oder anderen Produkten von Drittanbietern. Der Leitfaden verweist jedoch auf vorhandene externe Quellen. Ihre Meinung Wir interessieren uns für ihre Meinung zu diesem Leitfaden. Für Meinungen zu den folgenden Themen sind wir ganz besonders dankbar: Wie nützlich waren die Informationen? Waren die Schritt-für-Schritt-Anleitungen präzise? Waren die Kapitel gut lesbar und interessant? Welche anderen Techniken haben Sie vermisst? Wie bewerten Sie den Leitfaden insgesamt? Schicken Sie uns Ihre Meinung an die E-Mail-Adresse [email protected]. Wir freuen uns darauf, von Ihnen zu hören. Beratung und Support Es gibt viele Organisationen, die Unternehmen bei der Patchverwaltung unterstützen. Als Startpunkt können Ihnen die folgenden Ressourcen dienen: Suchen Sie im Microsoft Resource Directory nach Microsoft Gold Certified Partnern, Microsoft Certified Technical Education Centern, Microsoft Certified Partnern und Produkten unabhängiger Softwarehersteller, die Microsoft-Technologien verwenden. Danksagung Microsoft Solutions for Security (MSS) spricht seine Anerkennung und seinen Dank dem Team aus, dass den Microsoft Leitfaden - Sicherheitspatch-Verwaltung erstellt hat. Die folgenden Personen waren direkt verantwortlich oder haben einen wesentlichen Beitrag zur Erstellung dieses Leitfadens geleistet. Entwicklungsteam Autoren Tester José Maldonado, Microsoft Services Greg Feiges, Microsoft Services Rod Trent, Studio B Mike Jenne, Microsoft Services Redakteure Programm-Manager Jennifer Kerns, Wadeware Derick Campbell, MSS Anthony Baron und Graham Stenson vom Microsoft Solutions for Management (MSM) Team haben ebenfalls einen Umfangreichen Beitrag geleistet. Betatester Microsoft-Tester Externe-Tester Kristie B. R. Atwood, Enterprise Technical Sales Susan E. Bradley, Microsoft MVP Gigel Avram, Software Update Services Dean Farrington, Wells Fargo David H. Baur, Microsoft Services Nina Ferguson, Qwest Cory Delamarter, Operations and Technology Adam S. Greene, Intel Group Chris Geier, Microsoft Services Glenn Hellriegel, Verizon Wireless Robert Hensing, PSS Security Paul Hudson, Attenda Ltd. Maxim Kapteijns, Microsoft Services Deanna Jenness, First Call Computer Solutions David Lef, Operations and Technology Group Russ Klanke, Verizon Wireless Patrick Martin, Microsoft Services Jeff Middleton, Microsoft MVP Eric Price, Windows Sustained Engineering Hans Muller, Attenda Ltd. Christopher Reinhold, Microsoft Services Chad Sharp, Intel John Roller, Enterprise Technical Sales Kerry Steele, Citadel Security Software Fernando Pessoa Sousa, Microsoft Services Maria M. Tsiolakki, University of Cyprus Bill Stackpole, Microsoft Services Microsoft bedankt sich außerdem beim National Institute of Standards and Technology für die wertvollen Informationen und den Beta-Test dieses Leitfadens. Veröffentlichungshinweise Dies ist Version 1.1 des Microsoft Leitfadens zur Sicherheitspatch-Verwaltung. Sie wurde am 3. Juli 2003 fertiggestellt. Änderungen in dieser Ausgabe Version 1.1 Es wurden zwei Korrekturen durchgeführt: Seite 59 – Office Update - Teil I, Kapitel 4, Werkzeuge und Technologien. Ein Update von Office steht erst ab Office 2000 und nicht ab Office 97 zur Verfügung. Seite 115 – Ohotfix.exe Beschreibung - Teil II, Kapitel 4, Veröffentlichung. Beschreibung von Ohotfix.exe korrigiert. Geringfügige Ergänzung am 24. Juli 2003 MBSAScan.wsf.txt konnte wegen der Kommentare nicht ausgeführt werden. Dies wurde behoben. Version 1.0 Die erste Version dieses Leitfadens wurde am 30. Juni 2003 veröffentlicht. Offene Fragen und Probleme FWLink im TechNet Diverse Links in diesem Leitfaden verwenden eine Weiterleitungstechnik von Microsoft.com. Diese wird FWLink (Forward Link) genannt. Auf einige Computer kann es gelegentlich passieren, dass Sie die Meldung Objekt nicht gefunden erhalten. In diesem Fall klicken Sie in Ihrem Browser bitte einfach auf Aktualisieren. Teil I Wichtige Informationen 1 Einführung in die Sicherheitspatch-Verwaltung Sichere IT-Verwaltung und Betrieb Computersicherheit ist zu einem entscheidendem Faktor bei der Investitionen in Technologien geworden. Die Implementierung und das kontinuierliche Verbessern der Computersicherheit gewinnt zunehmend an Bedeutung, da sich ständig neue Technologien entwickeln und Angreifer neue Methoden entdecken um Sicherheitslücken auszunutzen. Dies kann sich negativ auf Ihre Geschäftsprozesse auswirken. Sicherheitspatch-Verwaltung, die Absicherung von Betriebssystemen und Anwendungen, eine proaktive Virenerkennung, Einbruchserkennung und die regelmäßige Überprüfung von Sicherheitseinstellungen, sowie Kontenberechtigungen sind ausschlaggebende Elemente einer sicheren IT-Verwaltung. Jedes Element für sich ist Teil eines effektiven Schutzes und einer umfassenden Strategie, die dazu beiträgt, die Auswirkungen der Computerkriminalität auf die eigene Organisation so gering wie möglich zu halten. Die Kosten einer schlechten Sicherheit Es ist schwierig die Kosten von Sicherheitsmängeln zu beziffern - viele Firmen machen keine Angaben über Angriffe auf ihr Netzwerk. Das Computer Security Institute und das U.S. Federal Bureau of Investigation führen eine jährliche Befragung durch. So wurden mehr als 201 Millionen Dollar an finanziellen Verlusten für das Jahr 2002 errechnen. Von diesen Angriffen waren mit 82% die häufigsten Viren und mit 80% ein Missbrauch von Zugriffsrechten durch Mitarbeiter. Der Diebstahl von geschützten Daten verursachte den größten Schaden, mit einem durchschnittlichen Wert von 2,7 Millionen Dollar. Hinweis: Die Untersuchung 2003 CSI/FBI Computer Crime and Security Survey finden Sie unter http://www.gocsi.com/db_area/pdfs/fbi/FBI2003.pdf (englischsprachig) Die Konsequenzen eines Angriffs auf ein Unternehmen können schwerwiegend sein. Sie zeigen sich in beschädigten Daten und Ressourcen, Unterbrechung des Geschäftsbetriebs und durch unerwünschte Zugriff auf vertrauliche und geheime Daten. Nachdem ein Computer infiltriert wurde, ist das Anwenden von Sicherheitspatches nicht länger zweckmäßig – eine erfolgreiche Wiederherstellung der Sicherheit kann häufig nur durch eine vollständige Neuinstallation gewährleistet werden. Sicherheitspatch-Verwaltung Die Sicherheitspatch-Verwaltung ist ein auf allen Plattformen notwendiger Prozess - jeder bedeutende Softwarehersteller, der sich der Sicherheit verpflichtet fühlt, wird regelmäßig Sicherheitspatches veröffentlichen. Es gibt kein weitverbreitetes Betriebssystem und keine Anwendung, das immun gegen Angriffe wären. Der Begriff Patchverwaltung beschreibt Werkzeuge, Hilfsmittel und Verfahren, um Computer ständig mit den neuesten Software-Updates zu versorgen. Sicherheitspatch-Verwaltung ist ein Begriff, der im gesamten Leitfaden verwendet wird. Er beschreibt eine Patchverwaltung mit Fokus auf die Beseitigung von Sicherheitslücken. Eine proaktive Verwaltung von Sicherheitspatches ist erforderlich, um eine Umgebung sicher und zuverlässlich zu halten. Als Teil der Wartung einer sicheren Umgebung sollten Unternehmen einen Prozess definieren, der Sicherheitslücken identifiziert und schnell auf diese reagiert. Dies bezieht das Anwenden von Software-Updates, Konfigurationsänderungen und Gegenmaßnahmen mit ein. Die Natur vieler Angriffe benötigt lediglich einen verwundbaren Computer in einem Netzwerk. Daher sollte dieses Verfahren so umfassend wie möglich sein. Die Mehrheit erfolgreicher Angriffe entsteht durch das Ausnutzen von nur wenigen Sicherheitslücken. Der durchschnittliche Angreifer versucht, den einfachsten und bequemsten Weg zu wählen und die bekanntesten Schwächen zu nutzen. Er verwendet für seinen Angriff weit verbreitete Werkzeuge. Solche Angreifer zählen darauf, dass Unternehmen bekannte Probleme nicht beheben. Sie durchkämmen das Internet nach ungeschützten Computern. Angreifer finden die eigentliche Sicherheitslücke normalerweise nicht selbst, sondern nutzen diese nur aus. Sie müssen keine Sicherheitsexperten sein, um eine Sicherheitslücke auszunutzen. Sicherheitspatch-Verwaltung und IT-Betrieb Sicherheitspatch-Verwaltung sollte als eine Untermenge eines größeren Bereiches betrachtet werden, der die Verwaltung von Änderungen und Veröffentlichungen umfasst. Die Implementierung der Sicherheitspatch-Verwaltung wird am besten durch eine konsistente und integrierte Lösung im Zusammenhang mit standardisierten Unternehmensprozessen erreicht. Ohne einen einheitlichen Betrieb kann ein separater Prozess für die Sicherheit sehr leicht höhere Gesamtkosten verursachen und zu nicht kompatiblen Prozessen führen. Dieser Leitfaden stärkt die Konsistenz der Abläufe, indem er eine einheitliche Begrifflichkeit fördert. Das MOF dient als Bezugssystem und Vorlage zur Verwaltung von Änderungen und Veröffentlichungen. Sicherheit: Terminologie Dieser Abschnitt beschreibt einige Schlüsselbegriffe, die den Personen, die sich mit der Sicherheitspatch-Verwaltung beschäftigen, bekannt sein sollten. Die Begriffe in der folgende Tabelle werden im gesamten Leitfaden verwendet. Tabelle 1.1: Wichtige Begriffe Begriff Definition Sicherheitslücke Software, Hardware, Eigenschaft, Konfiguration, die während eines Angriffs ausgenutzt werden kann. Im englischen Sprachraum auch als Exposure bekannt. Angriff Ein Versuch, eine Sicherheitslücke auszunutzen und sich dadurch Vorteile zu verschaffen. Gegenmaßnahme Hardware, Software, Konfiguration, um das Risiko in einer Umgebung zu verringern. Bedrohung Eine Gefahrenquelle. Art des Angriffs Person oder der Prozess, über den der Angriff durchführt wird. Sicherheitslücken Die folgende Tabelle enthält einige typische Software-Sicherheitslücken Tabelle 1.2: Sicherheitslücken Begriff Definition Pufferüberlauf Ein nicht überprüfter Puffer in einem Programm kann mit neuen Daten überschrieben werden. Wenn es sich um ausführbaren Code handelt, kann ein Angreifer dies dazu nutzen, beliebige Operationen im Kontext des Programms auszuführen. RechteErweiterung Erlaubt Benutzern oder Angreifern höhere Rechte als die vorgesehenen zu erlangen. Prüffehler Fehlerhafte Daten können zu unbeabsichtigten Ergebnissen führen. MSRC-Schweregrade für Sicherheitslücken Das Microsoft Security Response Center (MSRC) nutzt eine Klassifikationen von Schweregraden. Mit ihnen haben Unternehmen eine Möglichkeit, die Dringlichkeit einer Sicherheitslücke und der entsprechenden Software-Updates zu bestimmen. Tabelle 1.3: Schweregrade für Sicherheitslücken Bewertung Definition Kritisch Über diese Sicherheitslücke könnte sich ein Internetwurm ohne Aktion des Benutzers ausbreiten. Wichtig Ein solche Sicherheitslücke könnte zur Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit von Daten des Benutzers oder von Ressourcen führen. Durchschnittlich Eine Sicherheitslücke, die durch unterschiedliche Faktoren (zum Beispiel eine Standardkonfiguration oder eine Überwachung) entschärft wird. Gering Ein Sicherheitslücke, die nur extrem schwer auszunutzen ist oder deren Auswirkungen minimal sind. Weitere Informationen zu den MSRC-Schweregraden für Sicherheitslücken finden Sie unter http://www.microsoft.com/technet/security/policy/rating.asp (englischsprachig) Bedrohungskategorien Microsoft hat das STRIDE-Modell entwickelt, um Bedrohungen von Software zu kategorisieren. Diese Kategorien werden in Security Bulletins zur Beschreibung von Sicherheitslücken verwendet. Tabelle 1.4: Das STRIDE-Modell der Bedrohungskategorien Begriff Definition Vortäuschung Illegaler Zugang zu Systemen unter Nutzung einer fremden Identität. einer Identität Manipulation von Daten Die böswillige Verfälschung von Daten. Ablehnung In Zusammenhang mit Benutzern, die das Ausführen einer Aktion verweigern, auch wenn kein anderer Weg zu[m?] Nachweis existiert. Nichtablehnung bezieht sich auf die Fähigkeit einer Ablehnung zu begegnen. (Etwa das Bestätigen eines Paket Empfangs, das als Nachweis genutzt werden kann). Offenlegung von Informationen Das Zugänglichmachen von Information gegenüber Personen, für die diese Informationen nicht gedacht sind. Denial of Service Ein direkter Versuch, einen Dienst derart mit unsinnigen Anfragen zu überlasten, dass ein normale Benutzung nicht mehr möglich ist. RechteErweiterung Erlaubt Benutzern oder Angreifern höhere Rechte als die vorgesehenen zu erlangen. Hinweis: Weitere Informationen über das STRIDE Model und darüber, wie Microsoft Entwickler ausbildet, um sicheren Code zu schreiben, finden Sie unter Howard, Michael and David LeBlanc, Writing Secure Code, Second Edition, Redmond, WA: Microsoft Press, 2002, http://www.microsoft.com/mspress/books/5957.asp (englischsprachig) Träger des Angriffs Bösartige Bedrohungen sind Angriffe von innerhalb oder außerhalb des Netzwerks, mit dem Zweck einem Unternehmen zu schaden oder den Betrieb zu stören. Nicht bösartige Bedrohungen entstehen gewöhnlich durch schlecht geschulte Mitarbeiter, die sich ihrer Handlungen nicht bewusst sind. Die folgende Tabelle beschreibt verschiedene bösartige Bedrohungen durch Angreifer. Tabelle 1.5: Art des Angriffs Begriff Definition Virus Ein Programm, welches wichtige Dateien löscht, Änderungen am System durchführt oder andere schädliche Operationen ausführt. Ein Virus hängt sich selbstständig an sein Wirtsprogramm an. Wurm Ein sich selbst vervielfältigendes Programm, oft ähnlich schädlich wie ein Virus, dass sich von Computer zu Computer ausbreiten kann. Trojanisches Software oder eine E-Mail, die scheinbar nützliche Funktionen bietet - tatsächlich aber eine Pferd Hintertür für spätere Angriffe öffnet. E-Mail Bombe Eine böswillige E-Mail, die von einem unverdächtigen Absender stammt. Wenn der Empfänger die Nachricht öffnet oder ein Programm startet, entfaltet es seine Schadwirkung oder gewährt einem Angreifer Zugriff. Angreifer Eine Person oder Organisation, die einen Angriff durchführt. Hinweis: Während Bedrohungen wie Viren sich durch eine Sicherheitslücke Vorteile verschaffen, kennt ein Angreifer solche Beschränkungen nicht – er versucht mit allen möglich Mitteln in eine Umgebung einzudringen. Gesteuerte Angriffe können lokal oder ferngesteuert ausgeführt werden. Wie Microsoft Software nach Veröffentlichung korrigiert Microsoft sieht sich verpflichtet, seine Kunden vor Sicherheitslücken zu schützen. Als Teil dieses Verfahrens veröffentlicht Microsoft regelmäßig Software-Updates. Weitere Informationen zu diesem Verfahren finden Sie unter http://www.microsoft.com/presspass/exec/craig/1002trustworthywp.asp (englischsprachig) Jede Microsoft-Produktgruppe umfasst eine eigenständige technische Arbeitsgruppe, die für Probleme mit dem veröffentlichten Produkt Software-Updates bereitstellt. Wenn Microsoft auf eine Sicherheitslücke aufmerksam geworden ist, wird diese durch das MSRC der entsprechenden Produktgruppe bewertet und überprüft. Die Arbeitsgruppen erstellen und testen dann einen Sicherheitspatch, um den Mangel zu beheben, während das MSRC sich mit dem Entdecker der Sicherheitslücke austauscht, um eine Veröffentlichung der Sicherheitslücke als Security Bulletin zusammen mit dem Sicherheitspatch durchzuführen. Die Software-Updates sind über das Microsoft Download Center und andere Dienste zugänglich. Zum Beispiel Microsoft Windows Update, Microsoft Office Update, Microsoft Software Update Services (SUS) und Microsoft Systems Management Server (SMS) mit dem SUS Feature Pack. Sobald das Software-Update verfügbar ist, teilt dies das MSRC in einem entsprechenden Security Bulletin mit. Hinweis: Sicherheitspatches werden für unterstützte Betriebssystem- und Anwendungsversionen entwickelt. Informationen zu Produktlebenszyklen finden Sie unter http://support.microsoft.com/default.aspx?scid=fh;[LN];lifecycle (englischsprachig) Typischerweise stehen Sicherheitspatches für die aktuelle und die vorhergehende Version zur Verfügung. Das ist jedoch nicht immer der Fall. Überprüfen Sie den Produktlebenszyklus um festzustellen, welche Patches verfügbar sind. Software-Update Terminologie Die folgende Tabelle zeigt die neuen Begriffe für Software-Updates. Diese sind ab dem 30. Juni 2003 gültig. Beachten Sie, dass der Begriff Patch - außer im Zusammenhang mit dem Begriff Sicherheitspatch oder in der Beschreibung von Verfahren zur Patchverwaltung - nicht länger von Microsoft im Sinne eines Software-Updates gebraucht wird. Tabelle 1.6: Neue Terminologie für Software-Updates Begriff Definition Sicherheitspatch Eine allgemein veröffentlichte Korrektur für eine bestimmte Sicherheitslücke in einem bestimmten Produkt. (Security patch) Kritisches Update Eine allgemein veröffentlichte Korrektur eines kritischen Problems, dass aber keine Sicherheitsbelange betrifft. (Critical update) Update Eine allgemein veröffentlichte Korrektur eines bestimmten Problems, dass aber keine Sicherheitsbelange betrifft. (Update) Hotfix Ein einzelnes Paket aus einer oder mehreren Dateien, um ein spezielles Problem in einem Produkt zu beheben. Hotfixes beziehen sich auf eine ganz bestimmte Kundensituation. Sie sind nur für Kunden mit Supportvertrag verfügbar und ausschließlich für die entsprechenden Kunden gedacht. Sie dürfen ohne Zustimmung von Microsoft nicht an Dritte weitergegeben werden. (Hotfix) Update rollup Ein Zusammenstellung von Sicherheitspatches, kritischen Updates und Hotfixes. Diese Zusammenstellung wird zum Beispiel. für den Microsoft Internet Information Server (IIS) oder den Microsoft Internet Explorer angeboten. (Update rollup) Servicepack Eine Sammlung von Sicherheitspatches, kritischen Updates und Hotfixes seit der Veröffentlichung des Produktes. Sie können Kundenwünsche enthalten, etwa Änderungen an der Oberfläche oder von Funktionen. (Servicepack) Integriertes Servicepack Die Kombination eines Produktes mit einem integrierten Servicepack in einem Paket. (Integrated service pack) Featurepack Eine neue Veröffentlichung, die einem Produkt Eigenschaften hinzufügt - gewöhnlich fließen diese in die nächste Version mit ein. (Feature pack) Hinweis: Da diese Definitionen neu sind, werden sie in diversen Ressourcen und Werkzeugen noch nicht berücksichtigt. Die Bedeutung einer proaktiven Sicherheitspatch-Verwaltung Es gibt diverse veröffentlichte Angriffe und Sicherheitslücken zu Microsoft-Produkten. Viele Unternehmen, die eine proaktive Verwaltung von Sicherheitspatches durchführen, waren von diesen Angriffen nicht betroffen. Sie haben auf die von Microsoft zur Verfügung gestellten Informationen reagiert und die Angriffe verhindert. In der folgenden Tabelle sind einige historische Angriffe mit deren Datum aufgeführt. In allen Fällen hat das MSRC vorher eine Warnung veröffentlicht, in der auf die Sicherheitslücke und deren Beseitigung hingewiesen wurde (etwa durch Gegenmaßnahmen und Updates). Die letzte Spalte zeigt die Anzahl der Tage zwischen Veröffentlichung der Sicherheitslücke durch das MSRC und dem Angriff. Tabelle 1.7: Beispiel zu Angriffen und den entsprechenden MSRC Security Bulletins Angriff Datum der öffentlichen Entdeckung MSRC Schweregrad MSRC Bericht MSRC Berichtsdatum Tage verfügbar vor Angriff Trojan.Kaht 05. Mai 03 Kritisch MS03-007 17. Mrz 03 49 SQL Slammer 24. Jan 03 Kritisch MS02-039 24. Jul 02 184 Klez-E 17. Jan 02 * MS01-020 29. Mrz 01 294 Nimda 18. Sep 01 * MS00-078 17. Okt 00 336 Code Red 16. Jul 01 * MS01-033 18. Jun 01 28 * Bericht wurde vor der Zuordnung eines MSRC-Schweregrads veröffentlicht Dieser Leitfaden wurde entwickelt, um Unternehmen zu helfen, zukünftige Angriffe zu vermeiden. Viele Unternehmen verhinderten erfolgreich Angriffe durch eine proaktive SicherheitspatchVerwaltung. Hinweis: Die Tabelle deckt keine gesteuerten Angriffe von Personen, die gezielt Sicherheitslücken suchen und diese kriminell ausnutzen ab. Eine proaktive Sicherheitspatch-Verwaltung ist eine effektive Maßnahme, um Angriffe zu begrenzen die bekannte Sicherheitslücken nutzen. Angriffe vermeiden, Beispiel 1: Code Red Code Red ist ein Wurm, der sich sehr schnell verbreitet hat und ein großes Schadenspotential aufweist. Am 16. Juli 2001 breitete sich die ursprüngliche Version in nur neun Stunden auf 250.000 Computer aus. Die Auswirkungen des Wurms waren eine Verlangsamung des Internetzugriffs, Ausfall von Webseiten und Manipulationen, sowie Störungen an geschäftlichen und privaten Anwendungen. Code Red nutzte einen Pufferüberlauf als Sicherheitslücke in den IIS, um Code auf Webservern auszuführen. Die IIS sind unter Microsoft Windows Server 2000 standardmäßig installiert und werden von vielen Anwendungen genutzt. Einige Unternehmen vermieden einen Angriff durch Code Red, indem sie den Security Bulletins MS01-033 des MSRC folgten, die am 18 Juni 2001 veröffentlicht wurden. Dies war 28 Tage, bevor Code Red in Umlauf kam. Weitere Informationen zu diesem Security Bulletin, einschließlich technischer Informationen und Gegenmaßnahmen, finden Sie unter http://www.microsoft.com/technet/security/bulletin/MS01033.asp (englischsprachig) Angriffe vermeiden, Beispiel 2: SQL Slammer SQL Slammer (oder Sapphire) ist ein Wurm, der auf Microsoft SQL Server 2000 und Microsoft Data Engine (MSDE) 2000-Systeme abzielt und zu einem hohen Netzwerkverkehr führt. Er verursacht so einen DoS-Zustand. Etwa um 21:30 Uhr PST (Pacific Standard Time) am Freitag, den 24. Januar 2003, verursachte SQL Slammer einen dramatischen Anstieg des weltweiten Netzwerkverkehrs. Eine Analyse von SQL Slammer zeigt: Der Wurm benötigte etwa 10 Minuten, um sich weltweit auszubreiten, was ihn mit Abstand zum bis jetzt schnellsten Wurm macht. In den frühen Phasen verdoppelte sich die Anzahl der betroffenen Computer alle 8,5 Sekunden Zur Spitzenzeit (etwa 3 Minuten nach Aktivierung des Wurms), durchkämmten die Computer 55 Millionen IP-Adressen pro Sekunde. Er erreichte mindestens 75.000 Opfer (wahrscheinlich beträchtlich mehr). SQL Slammer nutzte eine Sicherheitslücke mit einem Pufferüberlauf aus. Die wurde zuerst im Microsoft Security Bulletin MS02-039 (Juli 2002) veröffentlicht, 184 Tage bevor der Angriff startete. Noch einmal erwähnt wurde die Sicherheitslücke im Security Bulletin MS02-061. Mit beiden Bulletins wurden Sicherheitspatches angeboten und Gegenmaßnahmen veröffentlicht. Weitere Informationen zu diesem Security Bulletin, einschließlich technischer Informationen und Gegenmaßnahmen finden Sie unter http://www.microsoft.com/technet/security/bulletin/MS02039.asp (englischsprachig). Lektion aus SQL Slammer Eine der Herausforderungen bei der Vermeidung von SQL Slammer für die betroffenen Unternehmen war die hohe Verbreitung der MSDE von SQL Server. Diese kommen in vielen Produkten zum Einsatz. Der SQL-Slammer-Angriff hebt drei wichtige Punkte im Zusammenhang mit Sicherheitslücken hervor: Einen guten Überblick über alle eingesetzten Computer, Produkte und Technologien in der Umgebung ist unabdingbar für eine erfolgreiche Sicherheitspatch-Verwaltung. Ein wirksamer Angriff benötigt keine Sicherheitslücken in wertvollen Ressourcen. SQL Slammer erreichte sein Ziel auch über einfache Computer innerhalb des Netzwerks. Die Anwendung eines Sicherheitspatches ist nicht ausreichend, um eine Sicherheitslücke zu beheben. Regelmäßiges Scannen auf ein erneutes Auftreten der Sicherheitslücke ist ebenso notwendig. Hinweis: SQL Slammer hat auch Microsoft einiges darüber gelehrt, wie Werkzeuge für die Sicherheitspatch-Verwaltung beschaffen sein müssen. Softwarequalität, externe Kommunikation und ständige interne Evaluierungsprozesse sind entscheidende Elemente einer Sicherheitsstrategie. Weitere Informationen über diese Prozesse bei Microsoft finden Sie unter http://www.microsoft.com/security/whitepapers/patch_management.asp (englischsprachig). 2 Vorbereitung der Patchverwaltung Um sich für die Patchverwaltung vorzubereiten, ist es wichtig, die geschäftliche Tragweite zu verstehen. Wichtig sind auch die Technologien und Fähigkeiten, die vorhanden oder nicht vorhanden sind. Als nächstes müssen Gruppen und Verantwortlichkeiten vereinbart werden, um sicher zu stellen, dass die Betriebsabläufe wirkungsvoll eingehalten werden können. Eine erfolgreiche Umsetzung von Sicherheitsmaßnahmen wird durch eine Kombination von Menschen, Prozessen und Technologien erreicht. Bewerten Ihrer Umgebung, Risiken und Anforderungen Um den Aufwand für die Sicherheitspatch-Verwaltung zu bestimmen, müssen Sie zuerst die Auswirkung einer schwachen (oder reaktiven) Patchverwaltung betrachten. Danach bestimmen Sie, ob die vorhanden Fähigkeiten und Infrastrukturen für die Patchverwaltung ausreichend sind. Die unternehmerische Problemstellung Betrachten Sie die geschäftlichen Auswirkungen, die auftreten, wenn keine Patchverwaltung durchgeführt und lediglich auf Zwischenfälle reagiert wird. Die folgenden Aspekte helfen Ihnen bei der Abschätzung der finanziellen Auswirkungen einer schwachen Patchverwaltung: Ausfallzeit: Wie hoch sind die Kosten einer Ausfallzeit? Was geschieht, wenn wichtige Systeme betroffen sind? Schätzen Sie die Kosten für den Verlust an Produktivität der Benutzer, fehlende Transaktionen sowie verlorengegangenem Umsatz ein. Ausfallzeit wird meist durch Angriffe verursacht. Entweder durch den Angriff selbst oder durch die Wiederherstellung der Umgebung. Vergangene Angriffe haben Computer zum Teil für Tage lahmgelegt. Wiederherstellungszeit: Welche Kosten entstehen bei einer Behebung eines Problems? Wie hoch sind die Kosten für eine Neuinstallation von Computern? Viele Angriffe erfordern eine Neuinstallation, um möglichen Hintertüren vorzubeugen. Fragwürdige Integrität der Daten: Für den Fall eines Angriffs kann die Integrität von Daten geschädigt werden. Wie hoch sind die Kosten dafür, die letzte verlässliche Sicherungskopie ausfindig zu machen oder die Daten mit Kunden und Partnern abzugleichen? Verlust an Vertrauenswürdigkeit: Welche Kosten entstehen durch einen Vertauensverlust bei den Kunden? Wie wirkt sich der Verlust von Kunden aus? Schlechte Wirkung auf die Öffentlichkeit: Was sind die Auswirkungen für ein Unternehmen hinsichtlich des Ansehensverlustes? Wie wirkt sich dies etwa auf den Aktienkurs aus? Was sind die Auswirkung bei einem Diebstahl von vertrauliche Daten (Kreditkarten-Informationen)? Rechtliche Folgen: Wie sehen die Kosten für mögliche Gerichtsverfahren aus, die gegen ein Unternehmen in der Folge eines Angriffs angestrengt werden könnten? Diebstahl geistigen Eigentums: Was sind die Kosten für den Verlust oder die Zerstörung geistigen Eigentums? Andere Bereiche: Wie sehen die Kosten für mögliche gerichtliche Untersuchungen gegen Angreifer aus? Nutzen Sie vergangene Angriffe, um diese Kosten zu bestimmen. Bedenken Sie jedoch, dass diese Angriffe möglicherweise nicht ihr volles Schadenspotential entfaltet haben. Zielgerichtete Angriffe können noch kostspieliger sein. Die Beurteilung Die Beurteilungsphase sollte alle Werkzeuge und Ressourcen umfassen, die für die Patchverwaltung zur Verfügung stehen. Einige der kritischen Bereiche sind: Betriebssysteme und Versionen: Wie viele unterschiedliche Betriebssysteme werden unterstützt? Je mehr Betriebssysteme unterstützt werden, um so größer ist die Herausforderung für eine umfassende Patchverwaltung. Anwendungen und Versionen: Wie viele verschiedene Anwendungen und Versionen bedürfen gegebenenfalls eines Patches? Werden alle Anwendungen unterstützt? Wie viele wurden im vergangenen Jahr mit Patches aktualisiert? Verschiedene Versionen derselben Anwendung können die Patchverwaltung erschweren. Computerbestand und kritische Ressourcen: Wie viele Computer müssen in der Umgebung verwaltet werden? Welche Systeme sind besonders kritisch und erfordern eine hohe Verfügbarkeit? Werden Inventarisierungen von Computern und Software unterstützt und laufen diese manuell oder automatisch ab? Eine aktuelle Inventarliste ist ausschlaggebend für die wirkungsvolle Patchverwaltung. Nicht verwaltete Computer: Wie viele nicht zentral verwaltete Computer gibt es in der Umgebung? Diese müssen ebenfalls von der Patchverwaltung erfasst werden. Sie verursachen häufig einen größeren Aufwand. Aktueller Sicherheitslücken-Status: Werden alle Computer mit den neuesten Servicepacks und Sicherheitspatches versorgt? Gibt es hinreichende Richtlinien zur Sicherheit im Unternehmen? Wie werden Sicherheitslücken in einer Umgebung gefunden? Das regelmäßige Nutzen von Werkzeugen, wie dem Microsoft Baseline Security Analyzer, dient dem Aufspüren von Sicherheitslücken. Netzwerk-Infrastruktur: Wie ist die Struktur des Netzwerks und sein Sicherheitsstatus? Ist das Netzwerk gegen allgemeine Gefahren gesichert? Sind Firewalls vorhanden? Sind drahtlose Netzwerke gesichert? Software-Bereitstellung: Gibt es eine Infrastruktur für die Software-Bereitstellung? Kann diese auch Aktualisierungen bereitstellen? Bedient sie alle Computer der Umgebung? Personen und Fähigkeiten: Gibt es genügend qualifizierte Mitarbeiter, um eine Sicherheitspatch-Verwaltung zu realisieren? Sind sich die Mitarbeiter der Notwendigkeit bewusst? Kennen sie die wesentlichen Sicherheitselemente, wie etwa Analyse, Softwareverteilung und Patchverwaltung? Effektiver Betrieb: Sind standardisierte Prozesse vorhanden, oder sind diese nur vage umrissen? Gibt es Prozesse für die Verwaltung von Änderungen oder Veröffentlichungen, zumindest informelle? Die Sicherung einer Umgebung sollte nicht dem Zufall überlassen, oder von Fall zu Fall durchgeführt werden. Unterstützung sichern, Ziele definieren Die Einführung von Sicherheitsprogrammen, wie etwa die Sicherheitspatch-Verwaltung, wird durch eine Unterstützung durch die Geschäftsleitung vereinfacht. IT-Experten können eine Infrastruktur betreiben, aber ohne eine umfassende Unterstützung kann die Durchsetzung von Richtlinien schwierig werden. Klare Geschäftsziele und eine gute Unterstützung sollten vorhanden sein. Die Geschäftsziele sollten folgende Bereiche abdecken: Ziel: Minimierung von Angriffen Sicherstellen einer proaktiven Einrichtung und Installation aller notwendigen SoftwareUpdates. Sicherstellen der Durchsetzung einer Sicherheitsrichtlinie, einschließlich der Standardeinstellungen für Computer, die den Sicherheitsanforderungen des Unternehmens entsprechen (keine Sicherheitsrichtlinie = maximales Risiko). Minimierung von Sicherheitslücken durch regelmäßiges analysieren der Umgebung. Sicherstellen kurzer Reaktionszeiten bei Angriffen durch eine proaktive Erkennung von Einbrüchen. Sicherstellen, dass das Unternehmen geeignete Werkzeuge, Fähigkeiten und Maßnahmen zur Reaktion bereitgestellt hat, um wirksam auf Angriffe reagieren zu können. Ziel: Optimale Verwendung von Zeit und Ressourcen auf die Sicherheitspatch-Verwaltung. Verwendung von Werkzeugen, die Sicherheitslücken automatisiert finden, beurteilen und beheben. Verfahren für eine wirkungsvolle Sicherheitspatch-Verwaltung etablieren. Teil II dieses Leitfadens gibt Ihnen Detailinformationen und Ressourcen um diese Ziele zu erreichen. Definieren von Gruppen und Verantwortlichen Abhängig von den Bedürfnissen eines Unternehmens und seiner Größe, wird die Patchverwaltung entweder von einer einzigen Person oder von einer Gruppe zentral oder dezentral ausgeführt. Um deren Erfolg sicherzustellen, sollte die Verantwortung klar verteilt sein. Ein Hilfestellung bei diesen Gruppenstrukturen bietet Ihnen das Microsoft Operations FrameworkGruppenmodell, welches sechs Rollentypen umfasst. Dies decken einen effektiven Betrieb komplett ab. Die Rollentypen können für die gesamte Gruppe, die den Betrieb realisiert, verwendet werden. In kleineren Umgebungen können einige Gruppen auch mehrere Rollen übernehmen. Eine vollständige Beschreibung der MOF-Rollentypen finden sie unter: http://www.microsoft.com/technet/itsolutions/tandp/opex/mofrl/MOFTMl.asp (englischsprachig). Weitere Schritte Nach dem Bewerten der Anforderungen des Unternehmens und dem Festlegen alle Rollentypen und Verantwortlichkeiten, wird im nächsten Schritt die Implementierung der benötigten Infrastruktur als integraler Bestandteil der IT-Umgebung angegangen. Implementierung und Betrieb Die Implementierung konzentriert sich auf die Auswahl und Installation der notwendigen Werkzeuge, Technologien und Infrastrukturen, die zur wirkungsvollen Einrichtung einer Sicherheitspatch-Verwaltung nötig sind. Teil I, Kapitel 4, Werkzeuge und Technologien und Teil I, Anhang A, Drittanbieter-Produkte und Ressourcen stellen Ihnen Informationen zu verfügbaren Werkzeuge für eine automatischen Erkennung von Sicherheitslücken, sowie zur automatisierten Anwendung von Sicherheitspatches zur Verfügung. Teil I, Kapitel 4, umfasst außerdem Anleitungen zur Auswahl einer MicrosoftBereitstellungs-Infrastruktur. Hinweis: Anleitungen und Vorgehensweisen zur Planung und Erstellung von ITLösungen finden Sie im Microsoft Solutions Framework unter http://www.microsoft.com/msf (englischsprachig). 3 Verstehen der Sicherheitspatch-Verwaltung Hinweis: Teil II dieses Leitfadens arbeitet mit dem selben Phasenmodell, dass auch in diesem Kapitel behandelt wird. Er bietet Ihnen jedoch zusätzlich Informationen zu den unterschiedlichen Techniken. Abbildung 3.1 Überblick über die Sicherheitspatch-Verwaltung Software-Firmen veröffentlichen Software-Updates um Probleme zu beheben, die nach der Auslieferung des Produktes aufgetreten sind. Um eine Umgebung sicher und stabil gegen Angriffe zu machen, bedarf es großer Sorgfalt und eines nicht unerheblichen Aufwandes. Dieses Kapitel bietet dem Leser ein grundlegendes Verständnis der permanent erforderlichen Prozesse im Rahmen einer Sicherheitspatch-Verwaltung und beschreibt die zentralen Konzepte und Prinzipien einer Patchverwaltung, einschließlich: Einrichtung: Die erforderlichen unregelmäßigen Tätigkeiten, die für eine effektive Sicherheitspatch-Verwaltung erforderlich sind, umfassen unter anderem das Inventarisieren der Umgebung, das Erstellen von Basiseinrichtungen, sowie die Einrichtung von Warnungen, die Erstellung von Sicherheitsberichten, um eine Identifikation, Konfiguration und Wartung der Infrastruktur zu ermöglichen. Änderungseinleitung: Fortwährende Überwachung, um sicherheitsrelevante Sachverhalte zu erkennen und diese in die Produktivumgebung einfließen zu lassen. Dies schließt die Überprüfung verschiedener Informationsquellen mit ein. Damit können die geeigneten Schritte eingeleitet und passende Software-Updates ausgewählt werden. Die typischen Reaktionen auf ein Sicherheitsproblem sind: Veröffentlichung: Das Veröffentlichen eines Software-Updates und ähnliche Gegenmaßnahmen sind die übliche Reaktion auf erkannte Sicherheitslücken. Sicherheitsänderungen bedürfen immer vorbereitender Maßnahmen, wie dem Testen der Patches und dem Ankündigen der Änderung. Sicherheitsrichtlinie durchsetzen: Diese Maßnahme ist notwendig, wenn bereits beseitigte Sicherheitslücken erneut auftreten. Solche Sicherheitslücken stellen ein erhöhtes Risiko dar. Reaktion auf sicherheitsrelevante Notfälle Im Laufe der Zeit sollte ein Unternehmen eine Optimierung erreichen – regelmäßig sollte man prüfen, wie effektiv die verwendeten Prozesse sind und diese unter Umständen anpassen. Dieses Kapitel schließt mit einem allgemeinen Überblick zu den Optimierungsresultaten. Einrichtung Dieser Abschnitt bietet einen allgemeinen Überblick über seltene Tätigkeiten zum Einrichten der Sicherheitspatch-Verwaltung. Dieses Thema wird detaillierter in Teil II, Kapitel 2, Einrichten diskutiert. Abbildung 3.2 Einrichten der Sicherheitspatch-Verwaltung Basiseinrichtung Eine Basiseinrichtung heißt, alle Computer in einer Umgebung auf einen einheitlichen Stand zu bringen – also den gleichen Softwareversionen und Patches. Ohne diesen Vorgang wäre die Sicherheitspatches-Verwaltung unnötig aufwendig. Die Basiseinrichtung umfasst die folgenden Schritte: 1. Erstellen einer Inventarliste der Hardware (Computer und Modelle), Betriebssysteme und Anwendungen, inklusive besondere Softwareversionen und Updates, die angewendet wurden. 2. Benutzen Sie die Informationen der Inventarisierung, um die Standard-Software für alle Computer zu ermitteln. 3. Prüfen Sie, welche Computer den Kriterien entsprechen und welche nicht. Dann entscheiden Sie, welche Computer Sie neu konfigurieren müssen. 4. Bringen Sie alle Computer auf den gewünschten Stand. 5. Stellen Sie sicher, dass die Kriterien zu Standard-Software erfüllt sind. Wenn aus geschäftlichen Gründen Ausnahmen nötig sind, entscheiden Sie fallweise. Unterschiedliche Arten von Computern (etwa E-Mail Server oder Verzeichnisdienst-Server) können unterschiedliche Anwendungs-Basiseinrichtungen benötigen, jedoch trotzdem über eine gemeinsame Betriebssystem-Basiseinrichtung verfügen. Unterschiedliche Modelle (etwa HP oder Dell) können unterschiedliche Basiseinrichtungen haben. Hinweis: In einer Umgebung, in der Richtlinien nicht strikt eingehalten werden, wird das Erstellen von Basiseinrichtungen anfangs eine Herausforderung darstellen, da Softwareversionen und Updates auf einem unterschiedlichen Stand sein werden. Ohne eine Basiseinrichtung wären eine effektive Sicherheitspatch-Verwaltung jedoch nur schwer durchzuführen. Das Erstellen von Basiseinrichtungen hat weitere Vorteile. Sie haben zum Beispiel einen umfassenden Überblick über den Bestand an Computern und Software. Microsoft Produkt-Supportrichtlinie Microsoft erstellt nur für unterstützte Produkte Sicherheitsupdates. Damit die Verfügbarkeit von neuen Sicherheitsupdates sichergestellt ist, sollten die Software-Basiseinrichtungen nur unterstützte Produkte mit aktuellen Servicepacks umfassen. Weitere Informationen darüber, welche Versionen von Microsoft Produkten im Moment unterstützt werden finden Sie unter http://support.microsoft.com/default.aspx?scid=fh;[LN];lifecycle (englischsprachig). Sicherheitspatches werden zwischen den einzelnen Servicepacks veröffentlicht. Aktualisieren Sie Ihre Basiseinrichtungen mit diesen Sicherheitspatches so schnell wie möglich. Damit reduzieren Sie die Zahl an Servicepatches, die Sie nach der Einrichtung eines neuen Computers installieren müssen. Weitere Informationen zu Servicepacks finden Sie unter http://www.microsoft.com/technet/columns/security/essays/srvpatch.asp (englischsprachig). Bestandskategorisierung und Wertbestimmung Während des Erstellens von Basiseinrichtungen ist es hilfreich, verschiedene Ressourcen und Kategorien zu unterscheiden. Wichtig sind auch Unterkategorien, die später für eine Priorisierung benötigt werden. Bedenken Sie dabei die Kosten für Ausfallzeiten und die Anforderungen jeder Kategorie und Unterkategorie – führen Sie eine Risikoabschätzung durch, um die Wichtigkeit unterschiedlicher Ressourcen zu bestimmen. Kategorisierungen nach technischen Funktionen sind nicht immer zutreffend. Hinweis: Unabhängig vom relativen Wert jeder Ressource sollten Sie bedenken, dass ein Angriff Ressourcen mit geringer Bedeutung die gesamte Umgebung in Mitleidenschaft ziehen kann. Die Sicherheitspatch-Verwaltung sollte so umfassend wie möglich sein – es soll keine Lücke für einen Angriff bleiben. Abonnements Die Abonnierung der entsprechenden Benachrichtigungen ist für eine Pflege und Aktualisierung der etablierten Basiseinrichtungen und für eine effiziente Patchverwaltung essentiell. Das Microsoft Security Response Center (MSRC) kümmert sich um Sicherheitsprobleme, die Microsoft Produkte betreffen und gibt Security Bulletins heraus. Jedes Unternehmen das Microsoft Produkte nutzt, sollte diese abonnieren. Sie stehen in zwei Varianten zur Verfügung: Technische Warnungen – Abonnieren Sie diese unter http://www.microsoft.com/technet/security/bulletin/notify.asp (englischsprachig). Nicht-Technische Warnungen – Abonnieren Sie die unter http://register.microsoft.com/subscription/subscribeme.asp?id=166 (englischsprachig). Stellen Sie sicher, dass mehr als eine Person in ihrem Unternehmen Security Bulletins erhält. So gewährleisten Sie, dass diese Informationen auch während des Urlaubs eines Mitarbeiters ausgewertet werden. Alte Security Bulletins finden Sie unter http://www.microsoft.com/technet/security/current.asp (englischsprachig). Sicherheitsberichte Kontinuierliches Untersuchen und Berichten über sicherheitsrelevante Belange ist notwendig, um die Sicherheit in Ihrer Umgebung zu gewährleisten. Dies ist der Prozessschritt, bei dem Sicherheitsberichte angefertigt werden. Die wichtigsten Sicherheitsberichte über ihre Umgebung sollten für eine effektive Sicherheitspatch-Verwaltung die folgende Punkte beinhalten: Sicherheitslücken-Analysebericht: Diese Berichte können durch Werkzeuge, wie den Microsoft Baseline Security Analyzer (MBSA) erstellt werden. Virus-Analyseberichte: Diese Berichte können durch Virensuchprogramme erstellt werden. Berichte zur Einbruchserkennung: Diese Berichte fassen die Resultate von unterschiedlichen Aktivitäten zusammen, wie etwa die Überwachung von Netzwerken und das Untersuchen der Ereignisanzeigen und die Ergebnisse von Systemen zur Einbruchserkennung. Ein solches System zur Einbruchserkennung hilft bei der automatisierten Überwachung von Sicherheitsproblemen. Jeder dieser Berichte - zusammen mit Sicherheitsbenachrichtigungen und anderen Informationsquellen - ermöglicht, dass ein Unternehmen stets die nötigen sicherheitsrelevanten Informationen hat, um die Änderungseinleitung zu steuern. Die Erstellung solcher Berichte sollte soweit wie möglich automatisiert werden; außerdem sollten sie regelmäßig erstellt werden. Viele Berichte sollten täglich, einige wöchentlich angefertigt werden. Die Häufigkeit hängt vom Grad der Automatisierung und dem Umfang des Berichts ab. Weitere Faktoren sind die vorhanden Technologien und die Personaldecke des Unternehmens und der Stellenwert, den die angestrebte Sicherheit im Unternehmen einnimmt. Konfiguration und Wartung Die Infrastruktur zur Patchverwaltung umfasst alle Werkzeuge und Technologien die genutzt werden, um die Anlagen zu warten, zu testen und in Betrieb zu nehmen. Diese Infrastruktur ist ein unerlässliches Instrument, um die Sicherheit und Stabilität in einer Umgebung zu gewährleisten. Sie verdient ein hohes Maß an Aufmerksamkeit und Pflege. Wenn die Infrastruktur zur Patchverwaltung eine Sicherheitslücke aufweist, bietet dies einem Angreifer umfassenden Zugriff auf das Unternehmen – dies beinhaltet die Möglichkeit, eine große Anzahl von Computern in kurzer Zeit anzugreifen. Eine Patchverwaltungs-Infrastruktur muss mit weitreichenden Überlegungen zur Sicherheit in Betrieb genommen, konfiguriert und gewartet werden. Änderungseinleitung Dieser Abschnitt gibt einen grundlegenden Überblick über die Änderungseinleitung. Dieser fortdauernde Prozess steuert die Sicherheitspatch-Verwaltung. Das Thema wird in Teil II, Kapitel 3, Änderungseinleitung noch detailliert diskutiert. Abbildung 3.3 Einleitung von Änderungen in der Sicherheitspatch-Verwaltung Ermittlung Die Ermittlung von Sicherheitsbelangen und den damit verbundenen Software-Updates ist ein andauernder Prozess, der von unterschiedlichen Quellen abhängig ist. Untersuchungsberichte zur Verwundbarkeit Diese Berichte erfassen Sicherheitslücken, die mit konfigurierten Einstellungen und Softwareversionen in Zusammenhang stehen. Das Ziel sollte eine geringe Anzahl von verschiedenen Versionen sein. Sicherheitslücken, die mit kürzlich gemachten Veröffentlichungen in Verbindung stehen, leiten gewöhnlich eine Sicherheitsveröffentlichung ein. Wiederkehrende Sicherheitslücken und schwache Sicherheitseinstellungen werden am besten durch den Einsatz einer schärferen Sicherheitsrichtlinie behoben. Security Bulletins Microsoft Security Bulletins beschreiben neue Sicherheitslücken von Produkten, Aktualisierungen der vergangenen Berichte und neu entdeckte Viren. Berichte über Sicherheitslücken beschreiben die passenden Software-Updates und geeignete Gegenmaßnahmen zur Absicherung der Systeme. Besondere Sicherheitslücken werden normalerweise durch eine Sicherheitsveröffentlichung im Security Bulletin erklärt. Microsoft Security Bulletins werden - wenn sich der Schweregrad der Lücke ändert - neu erstellt. Die Security Bulletins werden ebenso neu aufgelegt, wenn die entsprechenden Software-Updates veröffentlicht wurden, um ein Problem des Produktes zu beheben oder die Qualität zu verbessern. Neu aufgelegte Berichte, die einen höheren Schweregrad haben, sollten erneut evaluiert werden. Dabei sollte geprüft werden, ob eine beabsichtigte Sicherheitsveröffentlichung mit hoher Priorität und beschleunigt ausgeführt werden muss. Wenn eine neuere Version eines Software-Updates veröffentlicht wurde, sollten Sie feststellen, ob eine neue Sicherheitsveröffentlichung durchgeführt werden muss. Microsoft Richtlinie im Bezug auf Security Bulletins Microsoft verteilt niemals Software direkt durch einen E-Mail-Anhang. Wenn Sie eine Nachricht erhalten, die behauptet Software von Microsoft zu beinhalten, führen Sie nicht den Dateianhang aus – löschen Sie stattdessen die Nachricht. Weitere Informationen zu diesen Richtlinien finden Sie unter http://www.microsoft.com/technet/security/policy/swdist.asp (englischsprachig). Es gibt ein Menge an E-Mail-Täuschungen und -Scherzen, die behaupten, von Microsoft zu stammen. Wenn Sie ein Microsoft Security Bulletin erhalten, überprüfen Sie alle Links durch den Aufruf der offiziellen Microsoft Seite: http://www.microsoft.com/technet/security/current.asp (englischsprachig). Weitere Informationen hierzu finden Sie unter http://www.microsoft.com/technet/security/news/patch_hoax.asp (englischsprachig). Warnungen und Webseiten Neben dem Lesen von Sicherheitsberichten und der Überprüfung auf Sicherheitslücken, sollten Sie regelmäßig Produkt- und Technologiewebseiten besuchen, um herauszufinden, ob neue Service Packs, wichtige Sicherheitsbetrachtungen oder Whitepapers veröffentlicht wurden. Einige Dienste senden per E-Mail Warnungen, die in Zusammenhang mit bestimmten Produkten stehen. Die Folge einer neu gefunden Sicherheitsinformation kann das Einleiten einer Sicherheitsveröffentlichung sein. Überprüfen Sie, ob Änderungen an den Sicherheitsrichtlinien vorgenommen werden müssen, um einen besseren Schutz zu erzielen. Der Einsatz eines neuen Tools könnte auch eine hilfreiche Neuerung darstellen. Besondere Software-Updates, die nichts mit Sicherheit zu tun haben, sollten eigenständig behandelt werden. Ein Angriff durch einen neuen Virus oder einen Wurm ist ein guter Grund für die Einrichtung eines Notfallreaktionsplans. Dieser kann Ihnen helfen, den Schaden durch einen Angriff zu minimieren und versetzt ein Unternehmen in ein gute Ausgangslage. Berichte zu Viren und Einbruchserkennung Das Aufspüren eines Virus oder Einbruchs offenbart einen bereits laufenden Angriff, der einer schnellen Reaktion bedarf. Die typische Reaktion auf einen Angriff ist ein Notfallreaktionsplan. Microsoft-Richtlinie zu neu entdeckten Sicherheitslücken Wenn Sie eine neue Sicherheitslücke in eine Microsoft Produkt entdecken, informieren Sie Microsoft bitte sofort. Wenn Sie einen Microsoft Premium Support Vertrag haben, kontaktieren Sie ihren Ansprechpartner bei Microsoft. Für Unternehmen, bei denen dies nicht der Fall ist, bietet Microsoft eine entsprechende Formular-Seite im Internet an, über die Sicherheitslücken gemeldet werden können: https://www.microsoft.com/technet/security/bulletin/alertus.asp (englischsprachig). Relevanz Um die notwendigen Reaktionsmaßnahmen zu bestimmen, sollten Sie erkannte Sicherheitslücken auf deren Bedeutung für die Unternehmensumgebung überprüfen. Die Überprüfung sollte alle entscheidenden Dokumentationen umfassen, wie zum Beispiel Knowledge Base (KB)-Artikel. Stellen Sie fest, of eine Sicherheitslücke in der Umgebung für eine bestimmte Softwareversion existiert. Wenn die Sicherheitslücke existiert, muss reagiert werden. Hinweis: Eine Sicherheitslücke, die durch eine Gegenmaßnahme abgeschwächt wurde (etwa durch Netzwerkfilter oder Dienstabschaltung) ist noch immer eine Gefahrenquelle. Da einige Gegenmaßnahmen nicht umfassend sind, verhindern sie nicht jeden Angriff. Außerdem kann durch eine zukünftige Konfigurationsänderung unbeabsichtigt eine Gegenmaßnahme entfernt werden. Aus diesen Gründen sind solche Sicherheitslücken trotz Gegenmaßnahmen bedeutsam und benötigen ein Sicherheitspatch. Obwohl die Existenz einer solchen Gegenmaßnahme die Priorität eines SoftwareUpdates reduziert, muss die Sicherheitslücke trotzdem weiter überwacht und später behoben werden. Quarantäne Um die Produktionsumgebung vor Vireninfektion und bösartigem Code zu schützen, sollten alle Software-Updates in einer speziellen Testumgebung geprüft werden. Diese Quarantäne sollte sich über die gesamte Software und Dokumentation erstrecken. Die Software, welche die Quarantäne durchlaufen hat, sollte dann die einzige verwendete Version für die Verwaltung von Änderungen und Veröffentlichungen sein. Hinweis: Microsoft Software-Updates und Verteilungswerkzeuge umfassen die Software Update Services (SUS) und den Systems Management Server (SMS) mit SUSErweiterung. Dadurch wird erreicht, dass nur Software aus vertrauenswürdigen, virusfreien Microsoft-Quellen bezogen wird. Die Authentizität der Datenpakete wird durch digitale Signaturen sichergestellt. Diese Richtlinie versucht die größtmögliche Sicherheit für den Bezug von SoftwareUpdates durchzusetzen. Trotzdem können bestimmte Prozesse weiterhin eine Quarantäne-Umgebung für die heruntergeladenen Softwareaktualisierungen erfordern. Sicherheits-Veröffentlichungen Dieser Abschnitt bietet einen grundlegenden Überblick über Sicherheits-Veröffentlichungen, die typische Reaktion auf eine entdeckte Sicherheitslücke. Dieses Thema wird detaillierter in Teil II, Kapitel 4, Sicherheits-Veröffentlichungen diskutiert. Abbildung 3.4 Sicherheits-Veröffentlichungen Änderungsverwaltung Die Änderungsverwaltung im Zusammenhang mit Sicherheits-Veröffentlichungen ist der Prozess, um eine geeignete Reaktion auf eine Sicherheitslücke oder eine Bedrohung zu bieten. Dies schließt folgende Punkte ein: Bestimmen, welche Art von Änderung in der Produktionsumgebung notwendig ist. Die Lösung kann entweder das Einsetzen von Software-Updates oder aber das Anwenden von Gegenmaßnahmen sein. Auch eine Kombination aus beiden Maßnahmen ist denkbar. Beschreibung der notwendigen Änderungen, so dass andere diese verstehen und entsprechend handeln können. Priorisierung und Planung einer Veröffentlichung, um die Änderung zu implementieren. Sicherstellen, dass die entsprechenden Personen den Vorgang autorisieren und freigeben, um die Änderung durchzuführen. Auswahl von Gegenmaßnahmen Die beste Reaktion auf Softwaresicherheitslücken ist der Einsatz von Updates, die das Problem beheben. Gelegentlich ist dies nicht sofort erforderlich. Die Anwendung einer Gegenmaßnahme hat unterschiedliche Nutzen: Einige Gegenmaßnahmen können ohne Ausfallzeit angewendet werden, während andere Software-Updates einen Neustart erfordern. Einige Gegenmaßnahmen sind mit einem geringeren Risiko verbunden und können schnell eingesetzt werden ohne umfangreiche Tests. Bei Software-Updates ist dies jedoch meist nicht der Fall. Gegenmaßnahmen können gewöhnlich schnell wieder rückgängig gemacht werden, wenn sie ungewollte Auswirkungen haben. Updates hingegen können nicht einfach deinstalliert werden. Aus diesen Gründen sind Gegenmaßnahmen am ehesten zu nutzen, um schnell auf Sicherheitslücken zu reagieren, wenn diese aufgrund der Bedrohung geboten sind und eine Aktualisierung nicht so schnell angewendet werden kann. Wann immer lediglich eine Gegenmaßnahme angewendet wird, sollte auch eine Planung von Sicherheitsveröffentlichungen als zweiter Schritt vorgenommen werden um die zugrunde liegende Sicherheitslücke zu beheben. Hinweis: Viele Gegenmaßnahmen sind in der Anwendung gut für die allgemeine Sicherheit. Wenn die Gegenmaßnahmen vollständig verstanden wurden, sollten Sie überlegen, ob die Einstellungen nicht in die Standardsicherheitsrichtlinien übernommen werden können. Beschreibung der Änderungen Es gibt viele Aspekte von Sicherheitsveröffentlichungen, die Sie verstehen sollten. Dabei helfen Ihnen die nachfolgenden Fragen: Was ist die Änderung? Welche Reaktion auf welches Sicherheitsproblem stellt die Änderung dar? Welche Dienste sind von der Änderung betroffen? Wurde eine Software-Update angewendet? Ist durch die Aktualisierung ein Neustart erforderlich? Kann die Aktualisierung rückgängig gemacht werden? Sollte eine Gegenmaßnahme angewendet werden? Was sind die empfohlenen Teststrategien für die Änderung? Priorisierung und Planung der Veröffentlichung Die folgende Tabelle gibt einige Empfehlungen zu unterschiedlichen Prioritäten für Sicherheitsveröffentlichungen. Tabelle 3.1: Zeitrahmen und Empfehlungen für Sicherheitsveröffentlichungen Priorität Empfohlener Zeitrahmen Minimaler Zeitrahmen 1 Innerhalb 24 Stunden Innerhalb von 2 Wochen 2 Innerhalb eines Monats Innerhalb von 2 Monaten 3 In Abhängigkeit der Verfügbarkeit anwenden. Aktualisierung innerhalb von 6 Dies kann die Installation eines Servicepacks Monaten. oder die Aktualisierung der Anwendungssoftware bedeuten und sollte innerhalb von 4 Monaten geschehen. 4 In Abhängigkeit der Verfügbarkeit anwenden. Anwendung der Software-Updates Dies kann die Installation eines Servicepacks innerhalb eines Jahres oder kein oder einer Aktualisierung der Software umfassen Einsatz von Software-Updates. und sollte innerhalb eines Jahres eingesetzt werden. Die Priorität und die resultierende Planung für eine Sicherheitsveröffentlichung sollte durch die Überlegung bestimmt werden, dass der definierte Schweregrad des MSRC durch spezifische Eigenschaften der jeweiligen Umgebung ergänzt werden muss. Ein einfaches Verfahren zur Ermittlung der tatsächlichen Priorität sollte zuerst den vom MSRC vorgeschlagen Schweregrad zugrunde legen und diesen dann den spezifischen Bedürfnissen des Unternehmens anpassen. Dabei spielen die individuellen Aspekte der jeweiligen Umgebung eine wichtige Rolle (Tabelle 3.3). Tabelle 3.2: Bestimmen der anfänglichen Priorität MSRC Schweregrad Anfängliche Priorität der Sicherheitslücke Kritisch 1 Wichtig 2 Mäßig 3 Niedrig 4 Tabelle 3.3: Faktoren, die einen Einfluss auf die Priorität der Veröffentlichung haben Umgebungs-/Unternehmensfaktoren Mögliche Anpassung der Priorität Hohe Werte oder hohe Gefährdung von Ressourcen Erhöhen Ressourcen, die typischerweise angegriffen werden Erhöhen Abschwächende Faktoren, die bereits eingesetzt wurden –zum Beispiel bereits Herabsetzen implementierte Gegenmaßnahmen Geringe Werte oder geringe Gefährdung von Ressourcen Herabsetzen Um die Anwendung von Veröffentlichung zu erleichtern, können verschiedene Sicherheitsänderungen der selben Kategorie kombiniert werden. Dies ist am ehesten für die Prioritäten 2 bis 4 zu empfehlen. Veröffentlichungsverwaltung Der Schwerpunkt der Veröffentlichungsverwaltung liegt auf einer Erleichterung der Einführung von Software- und Hardwareaktualisierungen in verwalteten IT-Umgebungen. Typischerweise umfassen diese Umgebungen eine Produktiv- und eine Testumgebung. Der Prozess der Veröffentlichungsverwaltung umfasst folgende Schritte: Planung der Veröffentlichung: Definieren und priorisieren aller Anforderungen für die Veröffentlichung und Erstellen der Planungsunterlagen - inklusive eines Test-Plans, RolloutPlans und Rollback-Plans. Diese Pläne werden von allen Gruppenmitgliedern genutzt. Entwicklung von Veröffentlichungen: Die Auswahl des Veröffentlichungsverfahrens, sowie der Entwurf, das Erstellen und Testen des zu veröffentlichenden Paketes. Die Verfahren sollten die Aktualisierungen effizient zur Verfügung stellen und dabei ebenso Computer berücksichtigen, die zwischen den Basiseinrichtungen neu hinzukommen. Akzeptanz-Test: Der Zweck des Testens ist es, die fehlerfreie Funktion des Patches zu bestätigen. Dieser Test zielt darauf ab, zu überprüfen, wie sich das Paket in einer Produktivumgebung verhält. Rollout-Planung und –Vorbereitung: Die endgültigen Parameter und Vorbereitungen für die Infrastruktur, in der die Veröffentlichung angewendet werden soll. Rollout-Vorbereitungen erfordern die Koordination von Ressourcen sowie das Anpassen von Hard- und Software. Anwendung der Veröffentlichung: Verteilen und Installieren der Veröffentlichung im gesamten Unternehmen. Dies kann auf eine Pilot-Phase umfassen, um den Patch auf wenigen Computer anzuwenden. Die dabei gemachten Erfahrungen können dann dazu benutzt werden, eine Veröffentlichung entweder stufenweise oder in einem Stück durchzuführen. Hinweis: Der Fokus des Akzeptanztests sollte darauf liegen, wie gut das Sicherheitspatch in ihrer Umgebung angewendet werden kann. Achten sie besonders darauf, wie kompatibel er mit Standardanwendungen (line-of-business LOB) und unabhängigen Software-Lieferanten (ISV) zusammenarbeitet und wie sich ältere Software und Hardware verhält. Unter Umständen ist es sinnvoll, bei diesen Tests mit den Software-Lieferanten zusammenzuarbeiten, die zentrale Anwendungen für Sie liefern. Erfolgsüberwachung Der Überprüfungsprozess sollte die erfolgreiche Anwendung der Sicherheitspatches sicherstellen und belegen, dass es dadurch zu keinen negativen Auswirkungen auf den laufenden Betrieb kommt. Das betrifft auch die Überprüfung der Protokolle und Berichte zur Verteilung. Hotlineanrufe und Anfragen an den Helpdesk sollten ebenfalls mit aufgenommen werden. Zuletzt überprüfen Sie durch einen Verwundbarkeit-Untersuchungsbericht, ob die Sicherheitslücke erfolgreich geschlossen wurde. Dies bietet Ihnen die Gelegenheit zu überprüfen, wie der Prozess insgesamt abgelaufen ist. Haben alle Einstellungen bezüglich Änderungseinleitung und Veröffentlichungsverwaltung funktioniert, oder müssen diese für den nächsten Durchlauf angepasst werden? Trotz akkuraten Planung und Tests können Probleme auftauchen. Auch wenn ein bestimmtes Software-Update nicht deinstalliert werden kann, so sollte doch immer der Versuch unternommen werden, eine Rollbackmöglichkeit zu definieren. Dies geschieht für den Fall, dass die Änderungen des Sicherheitspatches nicht auf andere Weise korrigiert werden können. Erzwingen von Sicherheitsrichtlinien Dieser Abschnitt bietet einen grundlegenden Überblick über das Durchsetzen von Sicherheitsrichtlinien. Dies ist die typische Reaktion auf wiederkehrende Sicherheitslücken. Dieses Thema wird detaillierter in Teil II, Kapitel 5, Durchsetzen von Sicherheitsrichtlinien behandelt. Neuinstallationen, die Laborausstattung, mobile Benutzer und dezentralisierte Verwaltung können Quellen für wiederkehrende Sicherheitslücken sein. Wiederkehrende Sicherheitslücken sind ein erhöhtes Risiko, da Viren, Würmer und Angriffswerkzeuge diese leichte ausnutzen können. Eine Sicherheitsrichtlinie sollte Definitionen über die Softwarestände, Software-Updates und Einstellungen umfassen, die wirksam den Grad an tolerierbarem Risiko für ein Unternehmen wiederspiegeln. Computer, auf die die Sicherheitsrichtlinie nicht angewendet werden kann, sind angreifbar und stellen somit ein inakzeptables Sicherheitsrisiko dar. Die Ergebnisse einer vorangegangenen Sicherheitslückenanalyse können ebenfalls dazu dienen, nicht konforme Systeme zu erfassen. So kann schnell auf diese reagiert werden. Das Durchsetzen einer Annäherung an Richtlinien mit Hilfe von Werkzeugen und Methoden, einschließlich der Erfassung von Computerbesitzern, zielt hauptsächlich auf die Beseitigung von Sicherheitslücken und das Erkennen geeigneter Eskalationsstrategien ab. Reaktionen auf sicherheitsrelevante Notfälle Dieser Abschnitt gibt einen grundlegenden Überblick über die Möglichkeit, auf sicherheitsrelevante Notfälle zu reagieren. Zum einen auf Notfälle, die sich bereits ereignen und zum anderen wahrscheinliche Angriffe in der Zukunft. Dieses Thema wird detaillierter in Teil II, Kapitel 6, Reaktionen auf sicherheitsrelevante Notfälle beschrieben. Es gibt drei Hauptbereiche, die vor dem Eintreten eines Notfalls vorbereitet werden sollten: Regelmäßige Überprüfungen, sowie der Gebrauch von Tools zur Eindringlingserkennung. Schaffung eines Teams, dass auf Vorfälle nach festgelegter Vorgehensweise reagieren soll. Vordefinierte Schritte nach einem Vorfall und eine Überprüfung der Vorgehensweise, um aus dem Angriff zu lernen. Überwachung und Einbruchserkennung umfasst eine Überwachung des Netzwerkumfelds. Darüber hinaus sollten regelmäßige Überprüfungen der Dienste und Konfiguration der verschiedenen Computer vorgenommen werden. Außerdem sollten im gesamten Unternehmen die Ereignisanzeigen der Systeme auf bestimmte Ereignistypen hin untersucht werden. Diverse Werkzeuge stehen für die Durchführung solcher Aufgaben bereit. Der offizielle Notfallplan beschreibt, wie das Notfallreaktionsteam die folgenden Aufgaben ausführt: Wie wird der Angriff bewertet? Dies umfasst eine Analyse des Angriffs. Wer sollte bei einem Angriff benachrichtigt werden? Die Liste sollte auch Strafverfolgungsbehörden und staatliche Stellen umfassen. Wie kann der Angriff eingedämmt und isoliert werden? Dies sollte alle Eventualitäten, die eingesetzt werden können, einschließen. Wie ist ein Angriff zu bewerten und wie soll darauf reagiert werden? Dies sollte alle Hilfsmaßnahmen und beschleunigte Änderungen und schnellere Veröffentlichungsverwaltung beinhalten. Was sollte nach einem Angriff geschehen? Dieser Schritt sollte eine Beurteilung der Auswirkungen und Wiederholen von Änderungen an der Umgebung umfassen, da eventuell Änderungen unter Zeitdruck unvollständig oder fehlerhaft ausgeführt wurden. Darüber hinaus sollte die Leistung der Systeme während eines Angriffes untersucht werden. Ergebnisoptimierung Dieser Abschnitt gibt einen grundlegenden Überblick über die Optimierung der SicherheitspatchVerwaltung. Dieses Thema wird detaillierter in Teil II, Kapitel 7, Optimierung der Ergebnisse diskutiert. Es ist wichtig, Fortschritte zu dokumentieren und Abläufe zu verbessern. Selbst bei einer guten Planung zeigen sich nach einiger Zeit Möglichkeiten zur Verbesserung. Jeder Baustein der Sicherheitspatch-Verwaltung, zum Beispiel das Einrichten, die Änderungseinleitung einschließlich der Veröffentlichung von Sicherheitspatches, dem Erzwingen von Sicherheitsrichtlinien und definierten Notfallreaktionsplänen, sollte überprüft werden. Die Sicherheitspatch-Verwaltung sollte ein integraler Teil des laufenden Betriebs sein. Es gibt sehr viele Quellen, die eine Hilfestellung bei der Überprüfung und Verbesserung dieser Vorgänge geben. Genannt sei hier das „Microsoft Operations Framework Self-Assessment“ Tool: http://www.microsoft.com/technet/itsolutions/tandp/opex/moftool.asp (englischsprachig). Weitere Informationen über die Beurteilung von Betriebsprozessen finden Sie unter http://www.microsoft.com/solutions/msm/evaluation/overview/opsassessment.asp (englischsprachig). 4 Werkzeuge und Technologien Dieses Kapitel hebt besonders die Technologien hervor, die von Microsoft® für die Sicherheitspatch-Verwaltung zur Verfügung gestellt werden. Es soll als Entscheidungshilfe dienen. Kurzfassung: Verteilung von Software-Updates Es gibt grundsätzlich drei unterschiedliche Möglichkeiten der Softwareverteilung bei Microsoft: Windows® Update (WU), Software Update Services (SUS) 1.0 SP1 und Systems Management Server (SMS) 2.0 mit dem SUS Feature Pack. Tabelle 4.1: Kurzfassung WU, SUS und SMS. Anwendungsbereich Windows Update SUS 1.0 SP1 SMS mit SUS Service Pack Zentralisierte Verwaltung Unzureichend. Computer installieren Aktualisierungen ausgewählt durch den Benutzer Gut. Aktualisierungen werden durch den Administrator abgenommen. Ideal. Aktualisierungen werden durch den Administrator abgenommen und gezielt angewendet. Zentrale Inventarisierung Unzureichend. Keine zentrale Unzureichend. Keine Inventarisierung oder zentrale Einstufung. Inventarisierung oder Einstufung. Ideal. Anpassbare zentrale Inventarisierung für Hard- und Software sowie Sicherheitslücken. Software Abdeckung Gut. Alle Arten von Windows Angemessen*. Aktualisierungen. Nur Sicherheitspatches, Windows. kritische Aktualisierungen, Aktualisierungen und Zusammenfassungen davon. Nur Windows. Ideal. Verteilt jede Software oder Aktualisierung zu SMS Clients. Kosten. keine Lizenzgebühren erforderlich. Windows Betriebssysteme Gut. Windows 98, Windows Angemessen. WindowsIdeal. Windows 95, 98 SE, Windows Millennium XP, Windows 2000 und Windows 98, Windows Edition, Windows XP, Windows 2003. 98 SE, Windows Windows 2000 und Windows Millennium Edition, 2003. Windows NT® 4.0, Windows XP, Windows 2000 und Windows 2003. Berichtserstellung Unzureichend. Keine zentrale Angemessen. Einige Ideal. Integrierte Berichtserstattung. zentrale Berichte durch Webseiten mit Protokolldateien. anpassbaren Berichten. Architektur und Installation Leicht. Lediglich Clientkonfiguration, keine weitere Infrastruktur. keine Leicht. Einfache Serverarchitektur: einfache Einrichtung von Clients. Anspruchsvoll: Komplexe Architektur und Diensteinstallation. Die Tabelle oben bietet einen einfachen Vergleich der entsprechenden Technologien und Produkteigenschaften. Dies ist für Unternehmen von Interesse, die Sicherheitspatch-Verwaltung automatisieren wollen. Hinweis: Windows Update und Software Update Services 1.0 SP1 bieten lediglich Softwareaktualisierungen für das Windows-Betriebssystem und Windows-Komponenten (zum Beispiel Microsoft Internet Explorer, Microsoft Internet Information Server und Microsoft Windows Media® player). Wo immer Sicherheitslücken in diesen Produkten gefunden werden, bietet Microsoft Aktualisierungen an. Etwa 75% aller Microsoft Sicherheitsberichte wurden zu Windows-Betriebssystemen und Windows-Komponenten veröffentlicht. Deshalb kann man WU und SUS als angemessene Methoden für die meisten sicherheitsrelevanten Aktualisierungen ansehen. In WU- und SUS-Umgebungen müssen andere Microsoft-Produkte, wie Microsoft Office mit speziellen Aktualisierungsdiensten versorgt werden. In machen Fällen ist eine manuelle Aktualisierung erforderlich (zum Beispiel bei Microsoft Exchange und Microsoft SQL Server). SMS kennt diese Beschränkung nicht und kann zur Aktualisierung aller Arten von Software herangezogen werden. Softwareaktualisierungen beurteilen und Berichte erstellen WU und SUS können feststellen, ob eine Softwareaktualisierung auf einem Computer notwendig ist. Diese Beurteilung wird jedoch nicht zentral vorgenommen; außerdem liefern sie keine vereinheitlichten Berichte über Sicherheitslücken. In WU- und SUS-Umgebungen können der Microsoft Baseline Security Analyzer (MBSA) und das Office Update Inventory-Werkzeug dazu genutzt werden, eine solche zentrale Beurteilung von Sicherheitslücken durchzuführen und einfache Berichte zu erstellen. SMS 2.0 mit dem SUS Feature Pack beinhaltet alle Funktionen des MBSA und des Office Update Inventory Tools und eine einfach zu bedienende Softwareaktualisierung und Sicherheitslückenbeurteilung sowie Berichtsfunktion. Microsoft-Produkt- und –Technologie-Wegweiser Microsoft bietet kleinen, mittleren und großen Unternehmen verschiedene Werkzeuge und Dienste an, um Benutzern und Administratoren die Möglichkeit zu geben ihre Computer sicher und stabil halten. Microsoft-Werkzeuge zur Softwareaktualisierung und zur Sicherheitslückenbeurteilung: Microsoft Baseline Security Analyzer (MBSA): Dieses Werkzeug bietet eine Analyse und Beurteilung von Sicherheitslücken. Außerdem werden fehlende Updates gefunden. Office Update Inventory Tool: Diese Software bietet Analysefunktionen, die auf unterschiedliche Computer zugreifen kann und für diese geeignete Aktualisierungen vorschlägt. Microsoft Dienste zur Softwareaktualisierung: Windows Update (WU): Windows Update ist ein Dienst der Ihnen hilft, das WindowsBetriebssystem und seine Komponenten aktuell zu halten. Office Update: Dieser Dienst arbeitet analog zu Windows Update. Auf einer Webseite bietet Microsoft Hilfe für alle Produkte des Office-Paketes an. Microsoft-Dienste zur Abnahme und Verteilung von Softwareaktualisierungen für Unternehmen: Software Update Services (SUS): SUS ist eine Erweiterung des Windows Update Service, der Unternehmen eine Wartung und Verwaltung von Aktualisierungen für alle Computer mit Windows-Betriebssystemen im Intranet erlaubt. Systems Management Server (SMS) 2.0 und das SUS Feature Pack: Diese Lösung ermöglicht in Großunternehmen die Verwaltung der Änderung und Konfiguration aller Microsoft-Systeme. Es bietet eine vollständige Softwareinventarisierung und Verwaltungsdienste, sowie eine hochentwickelte Berichtsfunktion. Das SUS Feature Pack bietet einen einfachen Zugang zu Softwareaktualisierungen, die durch Windows Update, Office Update und das Microsoft Download Center verfügbar sind. Darüber hinaus sind Analysefunktionen des MBSA und des Office Update integriert. Dies erleichtert die Sicherheitspatch-Verwaltung in Unternehmen jeder Größe. Werkzeuge zur Beurteilung und Softwareaktualisierung Microsoft Baseline Security Analyzer (MBSA) 1.1.1 Der MBSA läuft unter Windows 2000, Windows XP und Windows Server 2003 und untersucht verschiedene Computer auf allgemeine Sicherheitslücken und fehlende Sicherheitsaktualisierungen gemäß der folgenden Tabelle. Tabelle 4.2: MSBA 1.1.1 Analysefunktionen Produkt Allgemeine Sicherheitslücken Fehlende Sicherheitsaktualisierungen Windows NT 4.0 Ja Ja Windows 2000 Ja Ja Windows XP Ja Ja Windows Server 2003 Ja Ja Internet Information Server 4.0, 5.0 Ja und 6.0 Ja SQL Server 7.0 und SQL Server 2000 Ja Ja Internet Explorer 5.01 und höher Ja Ja Exchange 5.5 und 2000 Ja Windows Media Player 6.4 und höher Ja Office 2000 und Office XP Ja * * Beachten Sie die folgenden Informationen über MBSA 1.2 und Office MBSA bietet eine grafische Benutzerschnittstelle um Berichte anzuzeigen; außerdem gibt es eine skript-basierte Schnittstelle. Der MBSA lädt eine XML-Datei aus dem Microsoft Download Center. Er stellt so sicher, dass eine aktuelle Liste aller sicherheitsrelevanten Softwareaktualisierungen vorliegt. Hinweis: MBSA 1.2 wird die Office Update Analysefunktionen des Office Update Inventory Tool enthalten. Weitere Informationen zum Microsoft Baseline Security Analyzer finden Sie unter http://www.microsoft.com/technet/security/tools/tools/mbsahome.asp (englischsprachig). Office Update Inventory Tool Das Office Update Inventory Tool ermöglicht Administratoren den Status hinsichtlich Microsoft Office 2000 und Office XP-Aktualisierungen zu überprüfen. Administratoren können dieses Werkzeug von einem zentralen Punkt aus nutzen. Das Produkt generiert einen Bericht und stellt die angewendeten Aktualisierungen fest. Zusätzlich wird eine Liste der verfügbaren Updates generiert und aufgezeigt, welche Updates nur mit administrativen Rechten angewendet werden können. Weitere Informationen zum Office Update Inventory Tool finden Sie unter http://www.microsoft.com/office/ork/xp/journ/OffUTool.htm (englischsprachig). Dienste zur Installation von Softwareaktualisierungen auf Computern Windows Update Windows Update ist ein kostenloser Dienst, um Windows Computer mit aktuellen Softwareaktualisierungen zu versorgen. Windows Update besteht aus drei Komponenten: Der Windows Update Webseite, der automatischen Clientaktualisierung und dem Windows UpdateKatalog. Windows Update Webseite Viele Benutzer verwenden die Möglichkeiten der Windows Update-Webseite, um ihr System auf dem aktuellen Stand zu halten. Wenn sich Benutzer mit der Windows Update-Seite verbinden, prüft Windows, welche Softwareaktualisierungen und aktualisierten Treiber (mit dem „Designed for Windows“ Logo) auf dem Computer angewendet werden sollten, um ihr System sicher und stabil zu halten. Windows Update kann Benutzer automatisch über wichtige Aktualisierungen und Sicherheitspatches benachrichtigen. Dies geschieht durch den Automatic Updates Client, ohne dass die Windows Update-Webseite besucht werden muss. Automatische Clientaktualisierung Verfügbar ab Windows 2000 SP3, Windows XP Home Edition und Windows XP Professional bietet dieser Dienst Benachrichtigungen über empfohlene Aktualisierungen und eine Benutzerschnittstelle zur Konfiguration an. Dadurch wird eine Möglichkeit zum automatisierten Herunterladen und Installieren geschaffen. Hinweis: Der Critical Update Notification (CUN) Client des Security Toolkit ist nun überflüssig. Wenn dies nicht schon berücksichtigt wurde, aktualisieren sie Windows 2000 auf SP 3, um die aktuelle Version zu erhalten. Windows Update-Katalog Die Windows Update-Webseite beinhaltet einen Katalog, der die gesamten Softwareaktualisierungen für Administratoren bereithält. Diese Installationspakete können über die unterschiedlichsten Wege verteilt werden, bis hin zur Nutzung von SMS oder Softwareverteilungsprodukten von Drittherstellern. Weitere Informationen zu Windows Update finden Sie unter http://support.microsoft.com/support/windows/update/faq (englischsprachig). Den Windows Update Katalog finden Sie unter http://windowsupdate.microsoft.com/catalog (englischsprachig). Das Windows Logo-Programm und weitere Details finden Sie unter http://www.microsoft.com/winlogo (englischsprachig). Office Update Das Office Update ist für Versionen von Office 2000 und höher verfügbar. Die unterstützten Produkte umfassen Word, Outlook, PowerPoint, Access, FrontPage, Publisher, InfoPath, OneNote, Visio, und Microsoft Project. Office Update funktioniert analog zu Windows Update mit der Ausnahme, dass es keine automatische Benachrichtigung für Office gibt. Office Download Center Wie der Windows Update-Katalog bietet das Office Download Center einen umfassenden Überblick aller Pakete zur Softwareaktualisierung, die heruntergeladen, gespeichert und verteilt werden können. Weitere Informationen über Office Produkt Updates finden Sie unter http://office.microsoft.com/productupdates/aboutproductupdates.aspx (englischsprachig). Das Office Download Center finden Sie unter http://office.microsoft.com/downloads (englischsprachig). Dienste zur Verteilung von Software-Updates in Unternehmen Software Update Services 1.0 SP1 Software Update Services (SUS) 1.0 SP1 ist eine Version von Windows Update, die speziell für Unternehmen entworfen wurde, die jede Softwareaktualisierung vorher eingehend prüfen wollen. SUS gestattet es Administratoren sehr schnell und leicht Sicherheitspatches und dergleichen auf Windows-Computern anzuwenden, die Windows 2000, Windows XP Professional oder Windows Server 2003 ausführen. SUS umfasst folgende Funktionen: Softwareaktualisierungen können für jeden SUS Server einzeln abgenommen werden, dies ermöglicht Tests in speziellen Umgebungen und ebenso eine schrittweise Einführung der Aktualisierungen im Konzern. Softwareaktualisierungen können durch SUS verteilt werden (schont die Bandbreite der Internetverbindung). SUS Clients können aber auch selbstständig Aktualisierungen durchführen. SUS kann auch Aktualisierungen auf Systemen durchführen, die keinen Internetanschluss haben. Die SUS Server-Architektur ist als eine einfache hierarchische Beziehung konzipiert und kann daher auch in sehr großen Umgebungen genutzt werden – jeder SUS Server kann bis zu 15.000 Clients versorgen. Softwareaktualisierungen können per CD von einem SUS Server, der eine Internetverbindung hat, auf andere SUS Server übertragen werden. SUS Server benötigen Windows 2000 Server oder Windows Server 2003, den Internet Information Server und den Port 80 zur Kommunikation mit den SUS Clients. Jeder SUS Server kann so konfiguriert werden, dass er entweder manuell oder automatisch von dem übergeordneten SUS Server die Softwareaktualisierungen erhält. SUS Clients benutzen genau den selben Mechanismus wie beim Windows Update. Clients werden so konfiguriert, dass sie sich mit bestimmten Servern verbinden Hinweis: SUS bietet lediglich Sicherheitspatches, wichtige Aktualisierungen und zusammengefasste Aktualisierungen an. Servicepacks werden möglicherweise in der näheren Zukunft verfügbar sein. Treiberaktualisierungen sind nicht über SUS verfügbar. Weitere Informationen Software Update Services Fragenliste: http://www.microsoft.com/windows2000/windowsupdate/sus/susfaq.asp (englischsprachig). Whitepaper zum Einsatz des Software Update Dienstes: http://www.microsoft.com/windows2000/windowsupdate/sus/susdeployment.asp (englischsprachig). Microsoft Solutions für Management (MSM), Patch Management Leitfaden für Software Update Dienste (verfügbar ab August 2003): Architekturleitfaden: http://go.microsoft.com/fwlink/?LinkId=17690 (englischsprachig). Testleitfaden: http://go.microsoft.com/fwlink/?LinkId=17693 (englischsprachig). Detaillierte Testfälle: http://go.microsoft.com/fwlink/?LinkId=17694 (englischsprachig). Einsatzleitfaden: http://go.microsoft.com/fwlink/?LinkId=17691 (englischsprachig). Betriebsleitfaden: http://go.microsoft.com/fwlink/?LinkId=17692 (englischsprachig). Systems Management Server (SMS) 2.0 und das SUS Feature Pack Mit dem Systems Management Server (SMS) 2.0 und dem SUS Feature Pack können Administratoren leicht Sicherheitsaktualisierungen in ihrem Unternehmen verwalten. SMS war immer in der Lage, alle Arten von Software zu verteilen, mit dem SUS Feature Pack kommen jedoch wichtige Sicherheitsfunktionen hinzu. SMS beinhaltet eine umfassende Inventarisierung, sowie Analysefunktionen für Sicherheitslücken und Beurteilung von Sicherheitsaktualisierungen. Außerdem enthält es webbasierte Berichte, um die Konformität und Ergebnisse der Installation zu dokumentieren. Das SUS Feature Pack für SMS 2.0 wurde entworfen, um schnell und effektiv Sicherheitspatches beurteilen und anwenden zu können. Dies umfasst Windows, Office und andere Produkte, die durch MBSA untersucht werden. Das SUS Feature Pack enthält die folgenden neuen Werkzeuge für SMS: Security Update Inventory Tool Microsoft Office Inventory Tool Distribute Software Updates Assisten Web Reports Add-in Security Update Inventory Tool Das Security Update Inventory Tool baut auf der SMS Inventarisierung und seinen Fähigkeiten auf. Es nutzt die Funktionalität des MBSA, um jeden Client auf Sicherheitsaktualisierungen zu untersuchen. Die resultierenden Daten liegen in der SMS Inventarisierung vor und bieten einen vollständigen Überblick mit Hilfe von webbasierten Berichten. Microsoft Office Inventory Tool for Updates Das Microsoft Office Inventory Tool for Updates nutzt das vorhandene Microsoft Office Inventory Tool, um automatisierte, fortwährende Analysen der SMS Clients durchzuführen. Diese Daten werden konvertiert und der SMS Inventarisierung hinzugefügt. Sie können über webbasierte Berichte abgerufen werden. Distribute Software Updates Assistent Der Distribute Software Updates Assistent vergleicht verfügbare Updates mit den Inventardaten der Client Computer, um fehlende Updates zu bestimmen. Nur die notwendigen Updates werden installiert, wohingegen redundante oder nicht notwendige Updates ausgefiltert oder auf später verschoben werden können. Damit wird die Systembelastung möglichst gering gehalten. Der Distribute Software Updates Assistent hat die folgenden Eigenschaften: Der Aktualisierungsstatus aller Clients wird der Inventarliste hinzugefügt, basierend auf der Grundlage neuer Informationen der Sicherheitsaktualisierungen. Überprüfung und Autorisierung von Aktualisierungen die als fehlend erkannt werden. Pakete und Ankündigungen werden für jede Aktualisierung oder jede Gruppe von Aktualisierungen angepasst. Ankündigungen werden an alle Computer weitergeleitet, die SMS Funktionen unterstützten. Benachrichtigungen im Stil von Windows Update und sinnvolle Funktionen, wie etwa das Verhindern des Schließens von Anwendungen wenn die Daten noch nicht gespeichert wurden, stehen zur Verfügung. Planungsfunktionen, die es Benutzern erlauben, ihre Anwendungen ordnungsgemäß zu schließen oder Aktualisierungen zeitlich zu verschieben und die Auswahl, dass System nicht neu zu starten. Web Reports Add-in für Softwareaktualisierungen Das Web Reports Add-in bietet eine Verwaltung von Berichten zu Patchlösungen. Diese Inventarinformationen können webbasiert eingesehen werden. Die vorkonfigurierten Berichte sind über das Web Reports Add-in verfügbar für: Individuelle Aktualisierungen und Gruppen von Aktualisierungen. Individuelle Computer oder Gruppen von Computern. Alle Aktualisierungen oder alle Computer im Unternehmen. Patches nach Betriebssystem aufgelistet. Erkennungsrate für spezielle Aktualisierungen. Anwendbare Aktualisierungen nach Kategorie. Angepasste Inventarberichte sowie Sammlungen können ebenso angelegt werden. Weitere Informationen SMS Software Update Services Feature Pack Überblick: http://www.microsoft.com/smserver/evaluation/overview/featurepacks/fpfaq.asp (englischsprachig). SMS Software Update Services Deployment Einsatzleitfaden (verfügbar ab August 2003): http://go.microsoft.com/fwlink/?LinkId=17452 (englischsprachig). Systems Management Server Web Seite: http://www.microsoft.com/smserver (englischsprachig). Wie das SMS Software Update Services Feature Pack arbeitet: http://www.microsoft.com/smserver/techinfo/administration/20/using/suspackhowto.asp (englischsprachig). Software Update Management die das SMS 2.0 Software Update Services Feature Pack nutzt: http://www.microsoft.com/technet/prodtechnol/sms/deploy/confeat/smsfpdep.asp (englischsprachig). Microsoft Solutions for Management (MSM) Patch Management Guides for Systems Management Server (SMS) (verfügbar ab August 2003): Architekturleitfaden: http://go.microsoft.com/fwlink/?LinkId=17684 (englischsprachig). Testleitfaden: http://go.microsoft.com/fwlink/?LinkId=17687 (englischsprachig). Detaillierte Testfälle: http://go.microsoft.com/fwlink/?LinkId=17688 (englischsprachig). Einsatzleitfaden: http://go.microsoft.com/fwlink/?LinkId=17686 (englischsprachig). Betriebsleitfaden: http://go.microsoft.com/fwlink/?LinkId=17689 (englischsprachig). Anhang A Drittanbieter-Werkzeuge und Ressourcen Dieser Anhang zeigt einige Dritthersteller-Werkzeuge, die mit der Sicherheitspatch-Verwaltung in Verbindung stehen. Einige Werkzeuge werden nicht aufgeführt, zum Beispiel Anti-VirenProgramme, sowie Programme zur Datenbanksicherheit, Verschlüsselung und Internet- und Netzwerksicherheit (einschließlich Firewalls). Dazu gehören auch Werkzeuge für Unternehmensinfrastrukturen, zur Sicherung und Verwaltung von Unternehmensnetzwerken. Diese Kategorien werden auf unsere Webseite im Windows-Katalog für Software angeboten: http://www.microsoft.com/windows/catalog/default.aspx?subid=22&xslt=software (englischsprachig). Die folgenden Kategorien werden hier aufgeführt: Patchverwaltung Systeme zur Erkennung von Eindringlingen Kriminaltechnische Untersuchungen Port Scanning- und Auflistungswerkzeug Hinweis: Die folgende Produktauflistung ist nicht vollständig und stellt keine Empfehlung von Microsoft dar. Patchverwaltung Tabelle A.1: Dritthersteller-Produkte zur Patchverwaltung Produkt Firma Webseite BigFix Patch Manager BigFix www.bigfix.com by-Control für Windows BindView www.bindview.com Ecora PatchLite und Ecora Patch Manager Ecora www.ecora.com Service Pack Manager Gravity Storm Software www.securitybastion.com RealSecure Vulnerability Assessment Internet Security Systems www.iss.net PatchLink Update 4.0 PatchLink www.patchlink.com HFNetChkLt und Shavlik www.shavlik.com St. Bernard Software www.stbernard.com HTNetChkPro UpdateEXPERT Hinweis: Viele Werkzeuge für die Verwaltung und Verteilung von Software in Unternehmen können Softwareaktualisierungen anpassen. Diese Werkzeuge werden im Windows-Katalog für Software aufgeführt und werden hier nicht genannt. Software für die Sicherheit Die folgende Tabelle führt einige Produkte auf, die für die Einbruchserkennung, kriminaltechnische Untersuchungen, Port Scanning und Auflistungen sind. Tabelle A.2: Dritthersteller-Produkte für die Sicherheit Produkt Firma NMap für Windows Web Seite www.nmapwin.org Captus IPS Captus Networks www.captusnetworks.com PureSecure Demarc Security www.demarc.com Superscan und Scanline Foundstone www.foundstone.com LANguard Network Scanner GFI www.gfi.com EnCase Enterprise und EnCase Forensic Guidance Software www.guideancesoftware.com RealSecure Intrusion Protection Internet Security Systems www.iss.net Teil II Phasenmodel der Sicherheitspatch-Verwaltung 1 Einführung Überblick über das Phasenmodell einer Sicherheitspatch-Verwaltung Abbildung 1.1 Überblick über das Phasenmodell der Sicherheitspatch-Verwaltung Das Phasenmodell einer Sicherheitspatch-Verwaltung setzte sich aus mehreren Aktivitäten zusammen. Diese finden bei Bedarf, regelmäßig oder unregelmäßig statt. Diese Aktivitäten werden in diesem Teil des Handbuches detailliert besprochen. Sie erhalten Informationen zu Prozessen, Techniken, Werkzeugen und Vorlagen, die Ihnen bei der Einrichtung einer effektiven Sicherheitspatch-Verwaltung helfen. Anmerkung: Mit diesem Handbuch haben Sie eine Excel-Tabelle mit dem Namen Sicherheitspatch-Verwaltung - Aufgabenliste.xls erhalten. In dieser finden Sie eine Schnellübersicht über alle Aufgaben, die im Rahmen einer Sicherheitspatch-Verwaltung auftreten können. Zusätzliche finden Sie die Prozessdiagramme dieses Handbuches in der Datei Beispiel-Prozessdiagramme.vsd. Unregelmäßige Aktivitäten Einrichtung Diese Aktivitäten sind erforderlich, um eine reibungslose und effiziente SicherheitspatchVerwaltung zu garantieren. Sie umfassen unter anderem: Bestandslisten aufbauen und eine grundlegende Umgebung aufbauen. Sicherheitsalarme und andere Informationsquellen abonnieren. Eine Sicherheitsberichterstattung etablieren. Die Patchverwaltungs-Infrastruktur konfigurieren und pflegen. Die Einrichtung wird typischerweise durchgeführt, wenn sich in Ihrer Umgebung Änderungen, zum Beispiel durch neue Hardware oder Software, ergeben. (Die Wartung wird regelmäßig durchgeführt. So wird sichergestellt, dass die Patchverwaltungs-Infrastruktur sicher und zuverlässig bleibt). Die Einrichtung wird in Teil II, Kapitel 2, Einrichtung, besprochen. Ergebnisoptimierung Die Optimierung der Ergebnisse ist ein unregelmäßiger Prozess, bei dem die Ergebnisse der Patchverwaltung nach einer Operativen- oder Sicherheitsbeurteilung betrachtet werden. Die Ergebnisse einer Beurteilung umfassen idealerweise: Eine Zusammenfassung der aktuellen Leistung der Patchverwaltung. Eine Prioritätsliste der möglichen Optimierungsmöglichkeiten. Eine Optimierung sollte typischerweise vierteljährlich (Schnellbeurteilung) und jährlich (strenge Beurteilung) durchgeführt werden. Sie wird in Teil II, Kapitel 7, Ergebnisoptimierung besprochen. Permanente Aktivitäten Änderungseinleitung Eine Änderungseinleitung wird typischerweise täglich oder wöchentlich durchgeführt. Sie setzt sich aus den folgenden Aktivitäten zusammen: Eine regelmäßige Abfrage von Webseiten, Sicherheitsbenachrichtigungen und Sicherheitsberichten, um über neue Software-Updates und Sicherheitsprobleme informiert zu bleiben. Die Relevanz der Updates und Sicherheitsprobleme für Ihre Umgebung beurteilen. Neue Software-Updates herunterladen und isolieren. Die Änderungseinleitung wird in Teil II, Kapitel 3, Änderungseinleitung, besprochen. Aktivitäten bei Bedarf Die folgenden Aktivitäten sind typische Reaktionen auf das Auftreten von Sicherheitsproblemen oder neuen Software-Updates. Veröffentlichung Normalerweise wird bei der Entdeckung eines Sicherheitsproblems ein Sicherheitspatch oder eine Gegenmaßnahme veröffentlicht. Der Prozess einer Veröffentlichung umfasst: Änderungsverwaltung – Das Sicherheitsproblem vollständig verstehen, Änderungen kategorisieren und Änderungen priorisieren, Einverständnis für das Umsetzen der Änderung in der Produktionsumgebung erlangen. Veröffentlichungsverwaltung – Planen, Entwicklung, Testen und Bereitstellen der Änderung in der Produktionsumgebung. Erfolgsüberwachung: dieser Schritt kann unter anderem die Wiederherstellung umfassen, wenn diese zum Beispiel aufgrund von nicht vorhergesehenen Auswirkungen auf den Geschäftsablauf erforderlich wird. Die Veröffentlichung wird in Teil II, Kapitel 4, Veröffentlichung besprochen. Sicherheitsrichtlinien durchsetzen Die wenigsten IT-Umgebungen sind 100% zentralisiert. Daher ist eine ständige Einhaltung der Sicherheitsrichtlinien nicht gewährleistet. Bei jeder nicht verwalteten Änderung in einer Produktionsumgebung besteht das Risiko, dass neue Sicherheitslücken entstehen oder alte Sicherheitsprobleme wieder auftauchen. Bereits beseitigte Sicherheitslücken können zum Beispiel durch die Installation neuer Computer, mobile Benutzer, administrative Benutzer, eine dezentrale Administration oder eine undisziplinierte Änderungs- und Veröffentlichungsverwaltung entstehen. Erneut auftretende Sicherheitslücken sollten als Standardvorfälle behandelt werden. Das Durchsetzten von Sicherheitsrichtlinien wird in Teil II, Kapitel 5, Sicherheitsrichtlinien durchsetzten besprochen. Reaktion auf sicherheitsrelevante Notfälle Dieses Kapitel (Teil II, Kapitel 6, Reaktion auf sicherheitsrelevante Notfälle) beschreibt, wie Sie sich auf einen Notfall durch die Ausnutzung einer Sicherheitslücke vorbereiten können.. Veröffentlichung Nicht sicherheitsrelevante Software-Updates werden von diesem Handbuch nicht explizit abgedeckt. Ihre Bereitstellung unterscheidet sich allerdings nicht wesentlich von der Bereitstellung von Sicherheits-Updates. Diese wird in Teil II, Kapitel 4, Veröffentlichung beschrieben. Sicherheitspatch-Verwaltung und Risikoverwaltung Die Sicherheitspatch-Verwaltung ist der Prozess der Anwendung von Software-Updates und entsprechender Gegenmaßnahmen, um das Risiko eines zukünftigen Angriffs über eine Sicherheitslücke zu entschärfen. Nach dieser Definition ist eine Sicherheitspatch-Verwaltung auch gleichzeitig eine Risikoverwaltung. Daher können viele Techniken der Risikoverwaltung auch auf die Sicherheitspatch-Verwaltung angewandt werden. Einige Beispiel sind: Eskalationsstrategien und -zeiträume bei der Durchsetzung einer Sicherheitsrichtlinie sind eine Strategie zur Risikominimierung. Eine proaktive Vorbereitung auf Sicherheits-Notfälle ist ein Beispiel für eine Eventualitätsplanung. In diesem Handbuch erhalten Sie keine tiefergehenden Informationen zum grundsätzlichen Verfahren der Risikoverwaltung, da sie sich ausschließlich auf die Elemente der Sicherheitspatch-Verwaltung konzentriert. Es ist allerdings nützlich, die Beziehungen zwischen Risikoverwaltung und Sicherheitspatch-Verwaltung zu kennen. Anmerkung: Weitere Informationen zur Risikoverwaltung finden Sie unter den folgenden Quellen: Risikoverwaltung verstehen (englischsprachig): http://www.microsoft.com/technet/security/prodtech/windows/secwin2k/03secrsk.asp (englischsprachig). Microsoft® Operations Framework Risikomodell: http://www.microsoft.com/technet/itsolutions/tandp/opex/mofrl/mofrisk.asp (englischsprachig). Einführung in verschiedene Techniken In Kapitel 2, Einrichtung und Kapitel 4, Veröffentlichung von Teil II gibt es am Ende jeweils einen Abschnitt über verschiedene Techniken. Dort finden Sie Beschreibungen und verschiedene Informationsquellen zu unterschiedlichen Techniken. Diese beziehen sich oft auf die Verwendung von verschiedenen Softwaretechnologien, oder auf Werkzeugen und Vorlagen, die Ihnen mit diesem Handbuch zur Verfügung gestellt wurden. Auch wenn Sie zur Patchbeurteilung oder -verteilung Werkzeuge von Drittanbietern verwenden, finden Sie möglicherweise Techniken, die für Ihre Umgebung nützlich sind. Jeder Techniken-Abschnitt beginnt mit einer Tabelle, die die entsprechenden Techniken des Kapitels zusammenfasst. Sie beschreibt, welcher Microsoft-Patchverteilungs-Infrastruktur die jeweilige Technik entspricht: Microsoft Windows® Update (WU), Software Update Services (SUS) oder Systems Management Server (SMS). Zu den einzelnen Techniken erhalten Sie dann die folgenden Informationen: Umgebung Die Microsoft Patchverteilungs-Infrastruktur, für die diese Techniken geeignet sind (WU, SUS oder SMS). Zweck Eine Beschreibung der Aufgabe, bei der Sie diese Technik einsetzten können. Voraussetzungen Eine Liste von Werkzeugen und Ressourcen, die Sie zur Durchführung der Technik benötigen. Einsatzbereich Der Einsatzbereich, für den die Technik geeignet ist. Die in diesem Handbuch beschriebenen Techniken sind nicht umfassend. Einige Organisationen müssen, abhängig von den bereits im Einsatz befindlichen Verwaltungslösungen, möglicherweise mehr Arbeit investieren. Es wird zum Beispiel davon ausgegangen, dass größere Organisationen eine Lösung zur Pflege von Computer-Bestandslisten einsetzen. Die in diesem Handbuch beschriebenen WU- und SUSTechniken helfen Ihnen dabei, eine grundsätzliche Bestandsliste in kleinen bis mittleren Umgebungen aufzubauen. Sie können jedoch keine Verwaltungslösung - wie zum Beispiel SMS ersetzten. Anmerkung: Bevor Sie die Techniken und Werkzeuge dieses Handbuches in einer Produktionsumgebung einsetzen, sollten Sie deren Auswirkungen getestet und vollständig verstanden haben. 2 Einrichtung Zusammenfassung Die folgenden Abschnitte beschreiben die kritischen Einrichtungsaktivitäten, die für eine erfolgreiche Implementierung einer Patchverwaltung erforderlich sind. Diese Aktivitäten umfassen die Grundkonfiguration von Clients, das Erstellen von Basissystemen, die Abonnierung von Sicherheitsalarmen und die Implementierung von Verfahren für Sicherheitsscans, Einbruchserkennung und Berichterstellungen. Abbildung 3.1 Einrichtung Techniken zur Umsetzung diese Aktivitäten werden am Ende dieses Kapitels beschrieben. Konfiguration und Pflege der Infrastruktur Unabhängig von der Größe einer Organisation sollten automatisierte Werkzeuge verwendet werden, damit Administratoren über verfügbare Updates benachrichtigt werden. Diese sollten auch die Installation der Patches abdecken. Als erstes sollten Sie sicherstellen, dass die Patchverwaltungs-Infrastruktur korrekt konfiguriert und dokumentiert ist. Danach treffen Sie die entsprechenden Vorkehrungen, damit die konfigurierten Clients diese Infrastruktur korrekt nutzen. Anmerkung: Sie können die Einstellung für die Clients für automatische Updates (AU) Ihrer Umgebung über einige unterschiedliche Methoden konfigurieren. Weitere Informationen zu den Möglichkeiten der Clientkonfiguration finden Sie im Dokument How to Configure Automatic Updates by Using Group Policy or Registry Settings unter http://support.microsoft.com/?kbid=328010 (englischsprachig). Ein einfaches Verfahren zur Remotekonfiguration der AU-Clients finden Sie im Abschnitt Techniken am Ende dieses Kapitels. Basiseinrichtung Eine Basiseinrichtung ist die Konfiguration eines Produktes oder Systems zu einem speziellen Zeitpunkt. Eine Anwendungs-Basiseinrichtung beispielsweise ermöglicht es Ihnen, die Anwendung in einen bestimmten Zustand neu einzurichten. Es kann notwendig sein, eine Basiseinrichtung für unterschiedliche Anwendungen, Hardwarehersteller oder Computertypen zu erstellen. Eine Basiseinrichtung für HP-Server, die unter Microsoft Windows® 2000 ausgeführt werden, kann zum Beispiel von der für Dell-Server abweichen. Eine Basiseinrichtung erfordert erst einmal eine Erstellung und Pflege einer Bestandsliste aller Computer und Dienste Ihrer Umgebung. Patches werden in Organisationen oftmals inkonsistent verteilt. Es gibt keine oder wenig Dokumentation, warum diese Patches verteilt werden, oder warum die Patches gerade auf die entsprechenden Computer verteilt werden. Um Basiseinrichtungen erstellen zu können, müssen Sie mindestens über die folgenden Informationen zu Ihrer Umgebung verfügen: Betriebssysteme – welche Betriebssysteme werden in welchen Versionen in Ihrer Umgebung eingesetzt? Software – welche Programme werden in welchen Versionen eingesetzt? Patches – welche Servicepacks, Software-Updates und Konfigurationsänderungen (z. B. Registrierungsänderungen) gibt es? Kontaktinformationen – wie können Einzelpersonen oder Gruppen kontaktiert werden, die für die Wartung der einzelnen Systeme verantwortlich sind? Gegenmaßnahmen – welche Gegenmaßnahmen wurden für welche Sicherheitsprobleme umgesetzt? Bestand – welche Hardware und Software mit welchem Wert ist vorhanden? Anmerkung: Es wird dringend empfohlen, diese Bestandsinformationen für alle Personen verfügbar zu halten, die mit dem Patchverwaltungs-Prozess beschäftigt sind, und sicherzustellen dass sie auf dem aktuellsten Stand gehalten werden. Operative Basiseinrichtungen umfassen die gesamte Software, die für die unterschiedlichen Computertypen für einen sicheren Betrieb erforderlich ist. Dies schließt sowohl das Betriebssystem, als auch alle Anwendungen und alle erforderlichen Software-Updates mit ein. Die Kategorien der Basiseinrichtungen unterschieden sich zum Beispiel in der Anzahl der Computer einer Kategorie, in der verwendeten Software und den Kosten eines Aktualisierung einer Basiseinrichtung voneinander. Wenn sich die Komponenten einer Basiseinrichtung deutlich ändern, sollten Sie eine neue Basiseinrichtung definieren. Nachdem Sie die Bestandsliste erstellt haben, definieren Sie die erforderlichen Basiseinrichtungen, um Ihre Umgebung bestmöglich abdecken Anmerkung: Damit neue Computer schnell und sicher in Ihre bestehende Umgebung implementiert werden könne, stellen Sie sicher, dass die erstellten Basiseinrichtungen in den Bereitstellungsvorgang neuer Computer in Ihrer Umgebung eingebunden werden (zum Beispiel unbeaufsichtigte Installation, Remote Installation Services [RIS] oder Installations-Images). In diesem Kapitel werden Techniken beschrieben, mit denen Basiseinrichtungen für Umgebungen, in denen Microsoft Windows Update (WU), Microsoft Software Updates Services (SUS) und mit Microsoft Systems Management Server (SMS) verwendet werden. Sie finden diese im Abschnitt Techniken am Ende des Kapitels. Microsoft Produkt-Support-Richtlinie Microsoft erstellt nur für unterstützte Produkte Sicherheitsupdates. Damit die Verfügbarkeit von neuen Sicherheitsupdates sichergestellt ist, sollten die Software-Basiseinrichtungen nur unterstützte Produkte mit aktuellen Servicepacks umfassen. Weitere Informationen darüber, welche Versionen von Microsoft- Produkten im Moment unterstützt werden, finden Sie unter http://support.microsoft.com/default.aspx?scid=fh;[LN];lifecycle (englischsprachig). Sicherheitspatches werden zwischen den einzelnen Servicepacks veröffentlicht. Aktualisieren Sie Ihre Basiseinrichtungen mit diesem Sicherheitspatch so schnell wie möglich. Damit reduzieren Sie die Zahl an Servicepatches, die Sie nach der Einrichtung eines neuen Computers installieren müssen. Weitere Informationen zu Servicepacks finden Sie unter http://www.microsoft.com/technet/columns/security/essays/srvpatch.asp (englischsprachig). Bestandskategorisierung und Wertbestimmung Sie können die Computer Ihrer Umgebung, basierend auf deren Funktion und ihren direkten Auswirkungen auf den geschäftlichen Ablauf, kategorisieren. Dies hilft Ihnen dabei festzulegen, welche Updates relevant sind und in welcher Reihenfolge diese angewandt werden sollten. Mit den entsprechenden Kategorien können Sie Ihre Umgebung effizienter überwachen und Inventarisieren. Jedes Security Bulletin muss sorgfältig bewertet werden, um den Schweregrad der Sicherheitslücke für Ihre Umgebung zu ermitteln. Nicht jedes Update muss jedoch auch tatsächlich bereitgestellt werden. Computerkategorien helfen Ihnen bei der Erkennung des Umfangs eines Sicherheitsproblems In der folgenden Tabelle finden Sie einige allgemeine Computerkategorien, basierend auf den von diesen Computern zur Verfügung gestellten Diensten und ihren Rollen: Tabelle 2.1: Allgemeine Computerkategorien und Rollenkategorien Verzeichnisdienste Domänencontroller Infrastrukturserver DNS Server, WINS Server, DHCP Server, Dateiserver, Druck-Server Messaging Server Exchange Server Database Server SQL Server Webserver Internet IIS Server, Intranet IIS Server Anwendungsserver Terminaldienste Anwendungsserver Softwareverteilungsserver RIS Server, SMS Server Clientcomputer für Endbenutzer Notebooks, Arbeitsstationen, Tablet PCs, Kiosk-Rechner Unabhängig von der Zahl der in Ihrer Umgebung vorhanden Computer kann eine Bestandskategorisierung bei der Entwicklung passender Teststrategien genauso hilfreich sein, wie bei der Etablierung der entsprechenden Bereitstellungsverfahren. Eine Bestandsbeurteilung hilft Ihnen bei der Priorisierung der PatchBereitstellung Wenn Ihre Computer gründlich kategorisiert sind, können Sie leichter feststellen, welche Computer in Ihrer Umgebung eine kritische Funktion ausfüllen. Verwenden Sie die Kategorien, um festzulegen, welche Computer als erstes mit einem neuen Sicherheitspatch versorgt werden. Eine schwierige Aufgabe kann es sein festzustellen, welche Sicherheitspatches für eigenständige Computer und Computer, die keiner Domäne angehören, erforderlich sind. Wenn Sie nicht über lokale administrative Rechte auf diesem Computer verfügen, kann es schwierig sein, Informationen über diese zu sammeln. Der Microsoft Baseline Security Analyser (MBSA) sammelt die IP-Adressen aller Computer, die er nicht prüfen kann (eben wegen dieser fehlenden administrativen Rechte). Sie können diese Computer dann zum Beispiel mit einem Portscanner prüfen, um festzustellen, welche Dienste von ihnen angeboten werden. Anmerkung: Eine Beispielliste einige Portscanner finden Sie in Teil I, Anhang A, Drittanbieter Werkzeuge und Ressourcen. Informationen zu Standardports finden Sie unter http://www.microsoft.com/windows2000/techinfo/reskit/samplechapters/cnfc/cnfc_por_si mw.asp (englischsprachig). Bedenken Sie, dass bei Computern, die IPSec-Filter oder Firewalls verwenden, bei einem Portscan unvollständige Ergebnisse entstehen können. Weitere Informationen zur Konfiguration von IPSec-Filtern um ein Scannen aus vertrauenswürdigen Quellen zu gestatten, finden Sie im Windows Server 2003- Sicherheitshandbuch unter http://go.microsoft.com/fwlink/?LinkId=14845 (englischsprachig). Häufig ist es notwendig, Richtlinien und Verfahren zur Handhabung von nicht verwalteten Computer zu entwickeln. Diese könnten zum Beispiel festlegen, was Administratoren durchführen müssen, um sicherzustellen, dass diese Computer korrekt aktualisiert werden, oder was die Netzwerkbetreuung machen soll, wenn einer dieser Computer zu einer Gefahr für den Rest des Netzwerkes wird. Ein gebräuchliches Verfahren ist es zum Beispiel, dass die Administratoren regelmäßig MBSA-Scans durchführen und deren Ergebnisse auf einem internen FTP-Server ablegen. Durch deren Analyse kann dann festgestellt werden, ob diese Computer weitere Patches benötigen. Die Netzwerkbetreuung kann dazu autorisiert werden, diese Computer bei einer Gefährdung des Netzwerkes von Netz zu nehmen. Abonnements Die Abonnierung der entsprechenden Benachrichtigungen ist für eine Pflege und Aktualisierung der etablierten Basiseinrichtungen und eine effiziente Patchverwaltung essentiell. Das Microsoft Security Response Center (MSRC) kümmert sich um Sicherheitsprobleme, die Microsoft direkt mitgeteilt werden und um Probleme, die in den unterschiedlichsten öffentlichen Sicherheits-Newsgroups veröffentlicht werden. Die von Microsoft veröffentlichten Security Bulletins enthalten eine Zusammenfassung des Sicherheitsproblems und der von diesem betroffenen Produkte. Außerdem erhalten Sie detaillierte technische Beschreibungen der Sicherheitslücken, Updates und Verfahren zu deren Beseitigung. Security Bulletins werden Mittwochs zwischen 10 und 11 Uhr (PST – Pacific Standard Time – 9 Stunden vor deutscher Zeit) veröffentlicht. Es sei denn, Microsoft entscheidet, dass eine frühere Veröffentlichung erforderlich ist. Sie erhalten alle Security Bulletins und weitere Information zu Sicherheit von Microsoft Produkten unter http://www.microsoft.com/technet/security (englischsprachig). Dort können Sie alle Sicherheitspachtes und die letzten zwei Servicepacks für alle im Moment unterstützten Produkte herunterladen. E-Mail-Benachrichtigungen für technische Benutzer und mittlere bis große Unternehmen Microsoft bietet seinen Kunden über das TechNet einen kostenlosen E-MailBenachrichtigungsdienst an - den Microsoft Security Notification Service. Er wendet sich an professionelle IT-Anwender und bietet tiefergehende technische Informationen. Weitere Informationen zu Abonnierung des Microsoft Security Notification Service finden Sie unter http://www.microsoft.com/technet/security/bulletin/notify.asp (englischsprachig). E-Mail-Benachrichtigungen für Heimanwender und kleine Unternehmen Microsoft Security Update ist ein kostenloser E-Mail-Warndienst, der es kleinen Unternehmen einfacher macht, über die aktuellsten Sicherheitsupdates informiert zu bleiben. Wenn Microsoft ein Update herausgibt, erhalten alle Abonnenten eine E-Mail, die eine nicht-technische Erklärung des Sicherheitsproblems enthält. Sie informiert die Kunden darüber, welche Produkte betroffen sind und enthält einen Link zu entsprechenden Sicherheitswebseiten. Sie können das Microsoft Security Update unter http://register.microsoft.com/subscription/subscribeme.asp?id=166 (englischsprachig) abonnieren. Anmerkung: Zur Abonnierung ist ein Microsoft-Passport-Konto erforderlich. Virenwarnungen Microsoft hat sich mit Network Associates und Trend Micro kürzlich in der Virus Information Alliance (VIA) zusammengeschlossen, um den Kunden verlässlich und rechtzeitig Informationen zu neu entdeckten Viren zukommen zu lassen. Informationen zu diesem Zusammenschluss finden Sie unter http://www.microsoft.com/technet/security/virus/via.asp (englischsprachig). Die Virenwarnungen des Product Support Services (PSS) Security Response-Teams finden Sie unter http://www.microsoft.com/technet/security/virus/alerts/default.asp (englischsprachig). Benachrichtigungen von Drittanbietern: CERT Das CERT Coordination Center (CERT/CC) ist eine staatliche Organisation, die Informationen darüber veröffentlicht, wie Sie Ihr System gegen Angriffe schützen können, wie Sie auf aktuelle Angriffe reagieren können und wie Sie sich auf zukünftige Probleme vorbereiten. Das CERT bietet Schulungen an und veröffentlicht Sicherheitswarnungen. Weitere Informationen finden Sie auf der CERT Webseite unter http://www.cert.org/ (englischsprachig). Sicherheitsberichte Die Implementierung einer effektiven Patchverwaltung erfordert es, dass Ihre Umgebung ständig auf Sicherheitslücken geprüft wird. Im Idealfall sollte es Mechanismen geben, die dies automatisch durchführen. In diesem Kapitel werden Techniken beschrieben, die zur Erstellung von Sicherheitsberichten in WU-, SUS- und SMS-Umgebungen verwendet werden können. Sie finden diese am Ende des Kapitels. Scannen nach Sicherheitslücken Besonders in großen Umgebungen kann es sehr zeitaufwändig sein, bei einem neuen Security Bulletin die gesamte Umgebung zu scannen, um festzustellen für welche Computer dieses erforderlich ist. Ein Sicherheitsproblem bedroht oft nur bestimmte Server Ihrer Umgebung, oder die Sicherheitslücke bezieht sich nur auf bestimmte Dienste. Wenn Sie eine Kategorisierung durchgeführt haben, können Sie diese Scans deutlich schneller durchführen. Damit beschleunigen Sie auch die Patchverteilung. Viren- und Einbruchserkennung Obwohl das Thema nicht von diesem Dokument abgedeckt wird, ist eine Virenerkennung ein kritischer Faktor für die Gesamtsicherheit Ihrer Umgebung. Sie sollten alle Computer Ihrer Umgebung darauf prüfen, wie diese durch einen Virenscanner eines Drittanbieters am besten geschützt werden können. Die meisten Verfahren und Werkzeuge zur Einbruchserkennung arbeiten mit der Annahme, dass sich die Aktivitäten eines Eindringlings von denen eines normalen Benutzers unterscheiden. Sie prüfen Protokolldateien und suchen nach Mustern, die auf ungewöhnliche Aktivitäten hinweisen. Auch wenn solche Werkzeuge Sie oft erst informieren, wenn ein Angriff bereits stattgefunden hat, können Sie ihnen dabei helfen, zukünftige Angriffe zu vermeiden. Der Microsoft Internet Security and Acceleration (ISA) Server umfasst Features, die Ihnen bei einer Einbruchserkennung helfen können. Weitere Informationen hierzu finden Sie unter http://www.microsoft.com/technet/prodtechnol/isa/proddocs/isadocs/CMT_IntrusionIntro.asp (englischsprachig). Anmerkung: Weitere Information zu anderen Virenscannern und Werkzeugen zur Einbruchserkennung finden Sie in Teil I, Anhang A, Drittanbieter Werkzeuge und Ressourcen. Eine Sicherheitslücke melden Microsoft erhält häufig von vielen Personen auf der ganzen Welt Hinweise auf Sicherheitslücken. Diese werden in den veröffentlichten Security Bulletins erwähnt. Die entsprechende MicrosoftRichtlinie können Sie unter https://www.microsoft.com/technet/security/bulletin/policy.asp (englischsprachig) einsehen. Wenn Sie eine Sicherheitslücke entdecken, steht Ihnen ein Web-Formular zur Verfügung, über das Sie diese Sicherheitslücke an Microsoft weitergeben können. Ein Mitarbeiter des MicrosoftSupportteams setzt sich dann mit Ihnen in Verbindung, um mehr über die potentielle Sicherheitslücke zu erfahren. Sie finden das Formular unter https://www.microsoft.com/technet/security/bulletin/alertus.asp (englischsprachig). Einrichtungs-Techniken Zusammenfassung Technik WU SUS Ja Ja Ja Ja SMS Konfigurationstechniken Den AU-Client über REG.exe remote konfigurieren Techniken für Basiseinrichtungen Computer und Sicherheitslücken mit dem MBSA prüfen SMS Hardware- und Software-Inventar Ja Anwendungen über SMS-Abfragen finden Ja Techniken für Sicherheitsberichte Einen Sicherheits-Scanbericht mit dem MBSA erstellen Ja Ja Einen Sicherheits-Scanbericht mit dem SMS Web Reporting Tool erstellen Ja Einen Sicherheits-Scanbericht mit dem SMS Distribute Software Updates-Assistenten erstellen Ja Konfigurationstechniken AU-Clients remote mit REG.exe konfigurieren Umgebung WU, SUS Zweck Die AU-Clients remote zu konfigurieren Voraussetzungen Administrativer Zugriff auf die Client-Computer; Resource Kit Tools. Einsatzbereich Kleine und mittlere Umgebungen Sie können das REG.exe verwenden, um die Registrierung eines Computers über das Netzwerk zu bearbeiten. In der Textdatei AURegConfig.cmd.txt, die Sie mit diesem Handbuch erhalten haben, finden Sie einige Beispielbefehle für die auf einem Remotecomputer notwendigen Konfigurationsänderungen. Bevor Sie die Datei verwenden können, müssen Sie diese in AURegConfig.cmd umbenennen und mit einen Texteditor die gewünschten Konfigurationsparameter anpassen. Bevor Sie dies durchführen, lesen Sie die Anweisungen in der Datei. Um die Datei auszuführen öffnen Sie eine Eingabeaufforderung, wechseln Sie zum Ordner, in dem sich die Datei AURegConfig.cmd befindet und führen den folgenden Befehl aus: AURegConfig.cmd computername Auf dem angegebenen Computer werden die Registrierungsänderungen durchgeführt, und der AU-Client wird entsprechend konfiguriert. Anmerkung: Eine genaue Beschreibung der Registrierungseinstellungen des AU-Clients finden Sie unter http://www.microsoft.com/windows2000/windowsupdate/sus/susdeployment.asp (englischsprachig). Basiseinrichtungs-Techniken Mit dem MBSA Computer auf Sicherheitslücken scannen Umgebung WU, SUS Zweck Computerinformationen über den MBSA erlangen Voraussetzungen Ein Computer mit einer Standardinstallation des MBSA und administrativem Zugriff auf die zu prüfenden Computer Einsatzbereich Kleine und mittlere Umgebungen MBSA kann sowohl grafisch als auch auf der Kommandozeile administriert werden. Ferner besteht die Möglichkeit, lokale und entfernte Windowssysteme zu scannen. Der MBSA läuft auf den Betriebssystemen Windows 2000 und Windows XP und kann eine Vielzahl von Informationen über die Systeme eines Netzwerkes anzeigen. Dazu gehören darüber Informationen, welche Rechner sich in einem Netzwerk befinden, die installierten Produkte auf den einzelnen Rechnern und die anwendbaren Sicherheitspatches oder Servicepacks für jedes erkannte Produkt. Die Datei MBSAScan.wsf.txt, die diesem Handbuch beigelegt ist, benutzt MBSA, um Ihr Netzwerk zu scannen. Die generierte Testdatei trennt die einzelnen Werte durch Tabstopps. Diese Outputtextdatei kann dazu benutzt werden, zu bestimmen, welche speziellen Produkte auf den gescannten Computern installiert sind. Mit dieser Datei können die Details über fehlende Sicherheitspatches und Servicepacks für jedes Produkt einfach dargestellt werden. Wenn Sie die Datei benutzen wollen, kopieren Sie diese auf Ihren Computer und benennen Sie sie in MBSAScan.wsf um. Zum Ausführen der Datei öffnen Sie die Kommandozeile und wechseln in den Order, in dem sich die Datei MBSAScan.wsf befindet. Benutzen Sie dann eines der folgenden Kommandos, je nachdem, welche Art von Scan Sie durchführen möchten: Um einen Scan auf den lokalen Computer durchzuführen: Cscript.exe MBSAScan.wsf Um mehrere Computer zu scannen: CScript.exe MBSAScan.wsf –hf servers.txt Hinweis: Damit Sie mehrere Computer scannen, erstellen Sie eine Datei servers.txt, in der alle Namen der zu überprüfenden Computer mit Namen aufgeführt sind. Die Datei sollte sich im gleichen Ordner wie die Datei MBSAScan.wsf befinden. Wenn Sie alle Computer in der Windows-Domäne mit dem Namen CORPDOMAIN scannen wollen: CScript.exe MBSAScan.wsf –d corpdomain Weitere Informationen zum Gebrauch des MBSAScan.wsf Skripts können Sie über diesen Aufruf bekommen: CScript.exe MBSAScan.wsf -? Die Outputdatei, die durch MBSAScan.wsf erstellt wird, hat ein spezielles Namensformat, dass den Zeitpunkt des Scans wiedergibt. Die Form dieses Namens lautet JJJJMMTT_SSMMSS (Jahr, Monat, Tag _ Stunde, Minute, Sekunde). Dieses Namensschema ermöglicht Ihnen die Scans mehrfach durchzuführen, ohne die Daten aus den vorherigen Durchläufen zu verlieren. Die Outputdatei wird im gleichen Ordner abgelegt wie das Skript. Die Outputdatei kann dann in eine Datenbank Ihrer Wahl importiert werden, um weitere Auswertungen durchführen zu können. Über eine Abfrage der Datenbank können dann die Informationen über einzelne Computer jederzeit abgefragt werden. Sie können die Daten natürlich auch in eine Microsoft Excel-Datei importieren und mit der Sortier- oder Filterfunktion von Excel die Daten durchsuchen und analysieren. Zum Zweck der Basiseinrichtung können Sie durch die Analyse der Daten eine Übersicht über das Inventar bekommen. Dies umfasst Informationen über die eingesetzten Betriebssystemvarianten und Microsoft Internet ExplorerVersionen. Außerdem können Sie erkennen, bei wie vielen Computern bestimmte Servicepacks noch fehlen. Hinweis: Dieses Skript geht davon aus, dass MBSA im Standardpfad, auf dem Computer, der die MBSAScan.wsf Datei ausführt, installiert ist (C:\Programme\Microsoft Baseline Security Analyser).Der Scanprozess kann zeitlich zwischen einigen Minuten und mehreren Stunden variieren, je nach Anzahl der Faktoren und Computer, die überprüft werden sollen. Auch die Bandbreite spielt hier eine größere Rolle. Die Inventarinformationen, die dieses Skript zur Verfügung stellt, erstrecken sich allerdings nur auf die durch MBSA unterstützte Produkte. Eine komplette Liste der Produkte, die durch MBSA unterstützt werden, finden Sie in Tabelle 4.2. MSBA Analysefunktionen im Teil I, Kapitel 4 Werkzeuge und Technologien. SMS Hardware und Software Inventory Umgebung SMS Zweck Konfigurieren und warten der Komponenten aus dem SMS Software- und Hardware Inventory. Voraussetzungen Einen funktionierenden SMS-Standort mit SMS Clients. Einsatzbereich Software und Hardware Inventarisierung für jede Umgebung. Der Microsoft Systems Management Server stellt einen robusten Prozess für das Scannen von Clients hinsichtlich der Hard- und Softwareausstattung zur Verfügung. Damit Patches inventarisiert werden können, müssen Sie sowohl Hardware- und Software Inventory für den SMS Standort aktivieren. Hardware Inventory Das SMS Hardware Inventory benutzt die Datei Sms_def.mof, um vom Windows Management Instrumentation (WMI) Repository und der Registrierung der zu überprüfenden Computer Informationen zu bekommen. Software Inventory Das SMS Software Inventory liest während des Scans die verschlüsselten Header von Dateien, um damit Informationen über Anwendungen zu erhalten. Die Information, die das SMS Software Inventory zurückgibt, ist die gleiche Information, die Sie beim Rechtsklick auf eine Datei unter Eigenschaften auf der Registerkarte Allgemein sehen können. SMS Software und Hardware Inventory Scan Der SMS Server führt gleich nach der Installation eines SMS Clients einen Software und Hardware Inventory Scan durch, damit der SMS Client komplett und erfolgreich alles installieren kann. Sowohl der Hardware- als auch der Software-Scannprozess sind konfigurierbar, um die Häufigkeit der durchgeführten Scans beeinflussen zu können. Viele Firmen führen einen Hardware-Scan einmal im Monat durch, während der Software-Scan einmal pro Woche durchgeführt wird. Die Hardware der Computer ändert sich generell weniger häufig als die Softwareausstattung. Die Softwareausstattung kann sich schneller ändern, speziell, wenn die Benutzter das Recht eingeräumt bekommen, Updates selbstständig durchführen zu können. Der SMS Server sammelt Software- und Hardware-Inventory-Informationen und speichert diese in einer zentralen SQL Server-Datenbank. Die Benutzer, die Zugriff auf diese Datenbank haben, können die Daten durchsuchen, Abfragen durchführen, Berichte erstellen, sowie Gruppierungen von Computern vornehmen, die bestimmten Suchkriterien entsprechen. Die Gruppierungen (Sammlungen) dienen dem Zweck, spezielle Computer für die Softwareverteilung und die Ausbringung von Updates zu erkennen und die fehlenden Pakete einzuspielen. Bei der Installation eines SMS Servers mit dem SUS Feature Pack werden in der Datei Sms_def.mof zusätzliche Einträge hinzugefügt, die es dem SMS Hardware Inventory Prozess ermöglichen, Registrierungseinträge von gescannten Computern auszulesen. Update- und Patchinformationen werden bei der Installation in der Registrierung abgelegt. Die gleiche Information können Sie in der Systemsteuerung unter Software, dann Programme ändern oder entfernen nachlesen. Daten, die in diesem Programme ändern oder entfernen inventarisiert sind, werden in der SQL Server-Datenbank gespeichert, damit sie bestimmen können, welche Computer bereits geupdatet sind und welche nicht. Hinweis: Wenn Sie neue Patches und Updates einspielen wollen, sollten Sie über einen geänderten Zeitplan für die Scans nachdenken, bevor der Rollout beginnt. Die Verteilung wird erfolgreicher verlaufen, wenn die Inventardaten der Computer auf dem neusten Stand sind. Vor einem großflächigen Ausbringen eines kritischen Updates sollte der Zeitplan für die Inventarisierung so gewählt werden, dass für alle Computer noch die Daten vor der Aktualisierung vorhanden sind. Das Distribute Software Update Tool überprüft die Computer, um sicher zu stellen, dass keine Patches ein zweites Mal angewendet werden, nachdem die Computer neu gestartet wurden. Um ein Inventory so zu konfigurieren, dass es nur bei Gebrauch gestartet wird, sollte der SMS Server Administrator eine verpflichtende Ankündigung einstellen, damit auf dem Client ein Hardware- und Software Inventory läuft. Die Ankündigung kann zusätzlich noch den Einsatz des Security Update Inventory Tools oder des Office Update Inventory Tools erfordern. Diese beiden Tools werden mit dem SMS Software Update Services Feature Pack mitgeliefert und dienen dazu Computer zu identifizieren, auf denen noch spezielle Patches installiert werden müssen. Sie können auch die Clients zwingen ein Hardware und Software Inventory durchzuführen. Sie erreichen dies durch folgende Methoden: 1. Erstellen Sie ein Paket, dass die Cliutils.exe aus dem Resource Kit enthält. 2. Führen Sie die folgenden zwei Befehle aus: cliutils.exe /START “hardware inventory agent” cliutils.exe /START “software inventory agent” 3. Erstellen Sie zwei Ankündigungen, berücksichtigen Sie jede Programmzeile. Kündigen Sie dies für alle Clients an, so dass es so schnell wie möglich mit administrativen Berechtigungen ausgeführt wird. Dabei spielt es keine Rolle, ob die Benutzter angemeldet sind oder nicht. 4. Überprüfen Sie, ob die Ankündigung erfolgreich durchgeführt wurde. 5. Überprüfen Sie das Datum und die Zeit des letzten Hardware- und Software InventoryDurchlaufs auf den Testclients. Hinweis: Sollte Ihr SMS-Standort Probleme beim Hardware and Software Inventory machen, die auf Kapazitätsengpässe zurückzuführen sind, werden kürzere Inventarisierungsintervalle nicht empfohlen. Grundlegende Ressourcenverfolgung Genaues und aktuelles Wissen über die eingesetzten Systeme in einer Umgebung sind elementar, um einen sauber funktionierenden Patch-Management-Prozess zu unterhalten. Das SMS Hardware Inventory sammelt spezifische Hardwareinformationen standardmäßig. Dazu gehören Informationen über die Laufwerke eines Computers, Videokarteneigenschaften und Arbeitsspeichergröße. Diese Liste kann erweitert werden, damit auch Informationen über die installierten Softwarepatches und andere Informationen, die wichtig sind für den Management Prozess, mit aufgenommen werden. Das Hardware Inventory sollte täglich für Data Center Server durchgeführt werden. Für alle anderen Computer sollte ein wöchentlicher Turnus ausreichend sein. Bei kritischen Updates sollten sie vorher noch mal alle Informationen zur Hardware sammeln. Dabei sollten Sie das Sammeln so einstellen, dass keine Erstellung eines SMS Standortprotokolls stattfindet. Die Sms_def.mof Datei definiert, welche Hardwareeigenschaften der Clients während eines Hardware Inventory’s gesammelt werden. Die Datei finden Sie im Ordner SMS\inboxes\clifiles.src\hinv auf jedem Standortserver. Effektives Patchmanagement erfordert genaues Wissen darüber, welche Software in Ihrer Umgebung installiert ist. Das SMS Software Inventory sammelt Informationen über jede .exeDatei auf dem Clientcomputer. Zusätzliche Arbeit wird nötig, wenn die Daten analysiert werden müssen, um den Umfang der installierten Software festzustellen. Generell sollte das Software Inventory einmal pro Woche ausgeführt werden. Ihre speziellen Ansprüche können allerdings auch von dieser Empfehlung abweichen. Finden von Anwendungen durch SMS-Abfragen Umgebung SMS Zweck Automatisches Verändern der empfangenen SMS-Daten mit Hilfe der SMS WMI Query Language (WQL). Voraussetzungen Einen SMS-Standort, SMS Clients und eine existierende SMS-Inventory-Datenbank. Einsatzbereich SMS kann in jeder Unternehmensgröße eingesetzt werden. Abfragen sind der Schlüssel, um die Daten des SMS Servers zu verwerten. Durch Abfrageantworten können die riesigen Datenmengen extrapoliert werden und zur Erkenntnis führen, welche Computer geupdatet werden müssen. Die Abfragen in diesem Abschnitt stellen Beispiele dar, wie die Abfragesprache benutzt werden kann. Die Abfragen können direkt einzelne Patches betreffen, indem Gruppen (Sammlungen) von Computern angesprochen oder Ankündigungen benutzt werden Es gibt mehrere SMS Abfragebeispiele, die Sie im Ordner Werkzeuge und Vorlagen dieses Handbuchs finden: All Systems Running a Prompted Service SMS Query.txt - Die in dieser Datei abgelegte SMS-Abfrage fragt nach einem Dienst auf den zu inventarisierenden Computern. Wenn Sie danach gefragt werden, über welchen Dienst Sie Informationen haben wollen, können Sie zum Beispiel W3SVC eingeben, um die Einstellungen des Webdienstes abzufragen. All Systems with IIS Installed SMS Query.txt - Diese Abfrage listet auf, welche Computer den Internet Information Server (IIS) installiert haben. All Windows 2000 Professional Workstations SMS Query.txt - Dient dazu, eine Liste aller Windows 2000 Professional-Arbeitsstationen in Ihrer Umgebung zusammenzustellen. All Windows 2000 Servers SMS Query.txt - Diese Abfrage zeigt die Liste aller Windows 2000 Server, die vom SMS Server inventarisiert wurden. Last Inventory Scan SMS Query.txt - Diese SMS Abfrage erfordert als Eingabe ein Datum und wird dann die Zeit anzeigen, bei der das letzte Mal eine Inventarisierung stattfand. Wie bereits oben erwähnt, sollten Sie immer vor und nach kritischen Updates eine Inventarisierung durchführen. Show All Known Software Products by Company SMS Query.txt - Diese Abfrage zeigt eine Liste sämtlicher installierter Softwareprodukte, sortiert nach Firmenname. Abfrageergebnisse außerhalb des SMS Servers Es gibt kein Kommandozeilentool, das Ergebnisse der SMS-Abfragen außerhalb der SMS Administrationskonsole anzeigen kann. Sollten Sie allerdings schnell Informationen benötigen, obwohl Sie keinen Zugriff auf die Administrationskonsole haben, können Sie das Microsoft Visual Basic® Scripting Edition (VBScript) zur Abfrage der SMS-Datenbank und Anzeige von Informationen nutzen. Die Skriptdatei heißt SMS WMI.vbs.txt und liegt im Ordner Werkzeuge und Vorlagen. Vergessen Sie nicht, die Endung .txt zu entfernen, damit das Skript ausgeführt wird. Zur Ausführung des Skripts benötigen sie lediglich den SMS-Standortcode. Die SMS Excel.vbs.txt Datei (entfernen Sie wieder die Endung .txt), die ebenfalls in dem Ordner liegt, ermöglicht den Import der Abfragedaten in eine Excel-Datei. In der Excel-Datei können die Daten dann angeschaut, gefiltert und analysiert werden. Bei der Verwendung dieser Datei müssen Sie nur Ihre eigene SMS-Abfrage einsetzen und den Namen SMSSERVER durch den NetBIOS Namen des SMS Servers ersetzen, sowie den SMS-Standortcode eingeben. Identifizierung der Computertypen Das Wissen, bei welchen Systemen es sich um Notebooks oder Desktopcomputer handelt, hilft dabei zu bestimmen, welche Patches wo angewendet werden sollen. Ferner sind auch die Prozeduren nach der Patchinstallation für die verschiedenen Systeme unterschiedlich. Die Datei Identifying Computer Types MOF.txt aus dem Ordner Werkzeuge und Vorlagen kann bei der Identifizierung der verschiedenen Computertypen in einer Umgebung benutzt werden. Fügen Sie den Text aus dieser Datei in der Sms_def.mof Datei hinzu. Tun Sie dies auf jedem Standortserver, auf dem das Hardware Inventory angeschaltet ist. Zum Bearbeiten wechseln Sie auf dem Server in den Ordner \SMS\Inboxes\Clifiles.src\Hinv und verwenden einen Texteditor. Nach erfolgreichem Test der Datei können Sie die Standard Sms_def.mof im Ordner \SMS\Inboxes\Clifiles.src\Hinv auf dem Standortserver ersetzen. Von dort verbreitet sich diese Datei auf alle Clients in dem Standort. Hinweis: Sie sollten niemals die Sms_def.mof Datei des Standortservers direkt bearbeiten. Arbeiten Sie immer mit einer Kopie, und machen Sie ein Backup der Datei. Nachdem alle SMS Clients die Datei erfolgreich abgearbeitet haben, wird die Win32_SystemEnclosure WMI-Klasse dem SMS-Standortserver als Teil des Hardware Inventorys Berichte schicken. Diese Informationen werden dann im SMS Resource Explorer und in der SMS-Administrationskonsole auftauchen. Sie können dann in Abfragen und Berichten integriert werden. Durch die Ausführung der SMS-Abfrage mit der geänderten Sms_def.mof Datei können Informationen zum Computerhersteller, der Seriennummer und dem Chassistyp gesammelt werden. Der Chassistyp enthält die Informationen über den Computertyp. Folgende Werte für den Chassistyp sind verfügbar: 1 = Other 2 = Unknown 3 = Desktop 4 = Low Profile Desktop 5 = Pizza Box 6 = Mini Tower 7 = Tower 8 = Portable 9 = Laptop 10 = Notebook 11 = Hand Held 12 = Docking Station 13 = All in One 14 = Sub Notebook 15 = Space-Saving 16 = Lunch Box 17 = Main System Chassis 18 = Expansion Chassis 19 = SubChassis 20 = Bus Expansion Chassis 21 = Peripheral Chassis 22 = Storage Chassis 23 = Rack Mount Chassis 24 = Sealed-Case PC Internet Explorer-Inventarisierung Im Internet Explorer tauchen seit 2000 einige sicherheitskritische Verwundbarkeiten auf. Deshalb ist es wichtig, den Internet Explorer immer mit den entsprechenden Patches auszustatten. Die Inventarisierung des Internet Explorers ist notwendig, da die verschiedenen Versionen des Browsers jeweils eigene Lücken aufweisen. Die Inventarisierung des Internet Explorers umfasst etwas mehr als die reine Information über die Iexplorer.exe-Datei, die durch die Standardinventarisierung durchgeführt wird. Es ist vielmehr wichtig, auch die Registrierungsschlüssel der Clientcomputer in das SMS Inventory aufzunehmen. In den Registrierungsschlüsseln werden die Informationen über die Version, den Servicesack-Stand und die installierten Hotfixe abgelegt. Damit das SMS Inventory auch Registrierungsschlüssel mit aufnimmt, müssen Sie die Datei Sms_def.mof ändern. Damit der SMS Server auf die Clientregistrierung zugreifen kann, benötigen Sie den Inhalt aus der Datei Registry Provider MOF.txt aus dem Ordner Werkzeuge und Vorlagen. Welche Informationen Sie aus der Clientregistrierung auslesen wollen, müssen Sie natürlich auch angeben. Mehr Informationen über die Implementierung des WMI Registry Providers im Zusammenspiel mit der Datei Sms_def.mof finden Sie im Internet unter: http://www.microsoft.com/smserver/techinfo/administration/20/using/extenddefmof.asp (englischsprachig). Internet Explorer Code Der Inhalt der Datei Internet Explorer Inventory MOF.txt, die auch im Ordner Werkzeuge und Vorlagen beiliegt, muss in die Sms_def.mof Datei kopiert werden. Stellen Sie sicher, dass der Text dem Abschnitt zum Registry Provider folgt. Durch diese Codestücke werden die aktuellen Internet Explorer-Informationen des Clients inventarisiert. Sicherheitsberichtstechniken Erstellung von Untersuchungsberichten zur Verwundbarkeit mit MBSA Umgebung WU, SUS Zweck Bestimmung, wie viele Computer in Bezug auf einen speziellen Angriff verwundbar sind. Voraussetzungen Ein Computer mit installiertem MBSA in seinem Standardstandort und administrativen Zugriff auf den zu scannenden Computer. Einsatzbereich Kleine und mittlere Umgebungen MBSA kann sowohl grafisch als auch auf der Kommandozeile administriert werden. Ferner besteht die Möglichkeit, lokale und entfernte Windowssysteme zu scannen. Der MBSA läuft auf den Betriebssystemen Windows 2000 und Windows XP und kann eine Vielzahl von Informationen über die Systeme eines Netzwerkes anzeigen. Dazu gehören Informationen, wie zum Beispiel welche Rechner sich in einem Netzwerk befinden, die installierten Produkte auf den einzelnen Rechnern und die anwendbaren Sicherheitspatches oder Servicepacks für jedes erkannte Produkt. Die Datei MBSAScan.wsf.txt, die diesem Handbuch beigelegt ist, benutzt MBSA, um Ihr Netzwerk zu scannen. Die generierte Testdatei trennt die einzelnen Werte durch Tabstopps. Diese Outputtextdatei kann dazu benutzt werden, zu bestimmen, welche speziellen Produkte auf den gescannten Computern installiert sind. Mit dieser Datei können die Details über fehlende Sicherheitspatches und Servicepacks für jedes Produkt einfach dargestellt werden. Wenn Sie die Datei benutzen wollen, kopieren Sie diese auf Ihren Computer und benennen Sie sie in MBSAScan.wsf um. Zum Ausführen der Datei öffnen Sie die Kommandozeile und wechseln in den Ordner, in dem sich die Datei MBSAScan.wsf befindet. Benutzen Sie dann eines der folgenden Kommandos, je nachdem welche Art von Scan Sie durchführen möchten: Um einen Scan auf dem lokalen Computer durchzuführen: Cscript.exe MBSAScan.wsf Um mehrere Computer zu scannen: CScript.exe MBSAScan.wsf –hf servers.txt Hinweis: Damit Sie mehrere Computer scannen, erstellen Sie eine Datei servers.txt, in der alle Namen der zu überprüfenden Computer mit Namen aufgeführt sind. Die Datei sollte sich im gleichen Ordner wie die Datei MBSAScan.wsf befinden. Wenn Sie alle Computer in der Windows-Domäne mit dem Namen CORPDOMAIN scannen wollen: CScript.exe MBSAScan.wsf –d corpdomain Weitere Information zum Gebrauch des MBSAScan.wsf-Skripts können Sie über diesen Aufruf bekommen: CScript.exe MBSAScan.wsf -? Die Outputdatei, die durch MBSAScan.wsf erstellt wird, hat ein spezielles Namensformat, dass den Zeitpunkt des Scans wiedergibt. Die Form dieses Namens lautet JJJJMMTT_SSMMSS (Jahr, Monat, Tag _ Stunde, Minute, Sekunde). Dieses Namensschema ermöglicht Ihnen die Scans mehrfach durchzuführen, ohne die Daten aus den vorherigen Durchläufen zu verlieren. Die Outputdatei wird im gleichen Ordner abgelegt wie das Skript. Die Outputdatei kann dann in eine Datenbank Ihrer Wahl importiert werden, um weitere Auswertungen durchführen zu können. Über eine Abfrage der Datenbank können dann die Informationen über einzelne Computer jederzeit abgefragt werden. Sie können die Daten natürlich auch in eine Microsoft Excel-Datei importieren und mit der Sortier- oder Filterfunktion von Excel die Daten durchsuchen und analysieren. Zum Zweck der Basiseinrichtung können sie durch die Analyse der Daten eine Übersicht über das Inventar bekommen. Dies umfasst Informationen über die eingesetzten Betriebssystemvarianten und Microsoft Internet ExplorerVersionen. Außerdem können Sie erkennen, bei wie vielen Computern bestimmte Servicepacks noch fehlen. Hinweis: Dieses Skript geht davon aus, dass MBSA im Standardpfad, auf dem Computer, der die MBSAScan.wsf Datei ausführt, installiert ist (C:\Programme\Microsoft Baseline Security Analyser). Der Scanprozess kann zeitlich zwischen einigen Minuten und mehreren Stunden variieren, je nach Anzahl der Faktoren und Computer, die überprüft werden sollen. Auch die Bandbreite spielt hier eine größere Rolle. Die Inventarinformationen, die dieses Skript zur Verfügung stellt, erstrecken sich allerdings nur auf die durch MBSA unterstützte Produkte. Eine komplette Liste der Produkte, die durch MBSA unterstützt werden, finden Sie in Tabelle 4.2. MSBA Analysefunktionen im Teil I, Kapitel 4, Werkzeuge und Technologien. Erstellung eines Untersuchungsberichts zur Verwundbarkeit mit dem SMS Web Reporting Tool Umgebung SMS Zweck Bestimmung, wie viele Computer in Bezug auf einen speziellen Angriff verwundbar sind. Voraussetzungen Einen sauber funktionierenden SMS-Standort und Inventarisierungsprozess, sowie ein auf dem IIS Server installiertes Web Reporting Tool. Einsatzbereich Kann in jeder Unternehmensgröße eingesetzt werden. Nachdem Sie das SUS Feature Pack zusammen mit dem Web Reporting Tool installiert haben, wird der SMS Server automatisch Berichte über das Inventory der installierte Patches durchführen. Das Web Reporting Tool liefert Bestandsberichte, die in der nachfolgenden Tabelle dargestellt sind und die die Verbreitung der Verwundbarkeit bestimmen helfen. Tabelle 1.2: Patch-Management-Berichte für das Web Reporting Tool Bericht Beschreibung Installed software updates for a Specific Machine Benutzen Sie diesen Bericht, um eine Liste der installierten Software-Updates eines Computers zu erhalten. Count of installed Software Updates by type Benutzen Sie diesen Bericht, um eine Liste der unternehmensweiten Anzahl der installierten SoftwareUpdates sortiert nach Typ zu bekommen. Installation rate for a specific software update Benutzen Sie diesen Bericht, um eine Liste der unternehmensweiten Information über die Rate der Installationen eines Software-Updates zu erhalten. Installed software updates for a specific product Benutzen Sie diesen Bericht, um eine Liste der unternehmensweiten installierten Software-Updates für ein spezielles Produkt zu generieren. Machines with a specific software update installed Benutzen Sie diesen Bericht, um eine Liste der unternehmensweiten Computer, die spezielle SoftwareUpdates installiert haben zu erstellen Machines with any software update installed Benutzen Sie diesen Bericht, um eine Liste der unternehmensweiten Computer, die irgendein SoftwareUpdate installiert haben, anzufertigen. Applicable software updates for a specific machine Benutzen Sie den Bericht, um eine Liste aller anwendbaren Software-Updates für spezielle Computer zu erstellen. Count of applicable software updates by type Dieser Bericht dient dazu eine unternehmensweite Anzahl der anwendbaren Software-Updates sortiert nach Typ anzuzeigen. Detection rate for a specific software update Dieser Bericht dient dazu eine unternehmensweite Anzahl aller anwendbaren Software-Updates für ein spezielles Produkt zu erstellen. Applicable software updates for a specific product Benutzen Sie diesen Bericht, wenn Sie eine Liste aller Computer im Unternehmen erstellen wollen, für die spezielle Software-Updates anwendbar sind. Count of applicable software updates by type Benutzen Sie diesen Bericht, wenn Sie eine Liste aller Computer im Unternehmen erstellen wollen, für die überhaupt ein Software-Updates zur Verfügung steht. Detection rate for a specific software update Dieser Bericht wird verwendet, um unternehmensweit den Status für alle Software-Updates sowohl autorisiert als nicht autorisiert wiederzugeben. Applicable software updates for a specific product Dieser Bericht wird verwendet, um unternehmensweit den Status für alle autorisierten Software-Updates anzugeben. Machines where a specific software update is applicable Dieser Bericht wird verwendet eine unternehmensweite Liste der autorisierten Software-Updates, inklusive Standort, Computer und Installationsstatus jedes einzelnen anzuzeigen. Machines where any software update is applicable Benutzen Sie diesen Bericht, um unternehmensweit die Computer anzuzeigen, die entsprechend der eingegebenen Anzahl Software-Updates anwenden müssen (Anzahl größer oder gleich der eingegebenen Zahl). Einsatz des SMS Distribute Software Updates Wizards für Verwundbarkeitsscanns Umgebung SMS Zweck Verwendung des Distribute Software Updates Wizards, um Informationen über die Verwundbarkeit einer Umgebung bestimmen zu können. Voraussetzungen Ein im Einsatz befindlicher SMS-Standort mit installiertem SUS Feature Pack , sowie einen funktionierenden Software- und Hardware-Inventory-Prozess. Einsatzbereich SMS kann in jeder Unternehmensgröße eingesetzt werden. Sollten verschiedene Zeitpläne für verschiedene Computer benötigt werden, können mehrfache Ankündigungen für verschiedenen Sammlungen eingerichtet werden. Dies kann auch für das gleiche Paket oder das gleiche Programm mehrfach geschehen. Sollte ein Wiederholungsintervall für den Patch-Installationsagenten auf täglich eingestellt sein, aber ein kritisches Patch sofort verteilt werden müssen, benötigen Sie eine einmalige verpflichtende Zuordnung zu einer Ankündigung, die sofort durchlaufen werden sollte. Wenn die Ankündigungsänderungen den Client-Zugriffspunkt erreicht haben, werden die nächsten Ankündigungen auf dem Client den Patch Installation Agent starten und das neue Patch einspielen. Wenn der Distribute Software Updates Assistant nicht verwendet wird, aber Patches durch angepasste Pakete und Sammlung verteilt werden, verwenden Sie eine einzelne Ankündigung. Setzen Sie dazu die erstellten Sammlungen aus dem Abschnitt Bereitstellungsgruppe wählen ein. Sollten Sie einen Rollout durchführen, der nur auf einer Abfrage/Sammlung beruht, sollten Sie nach Abschluss der ersten Phase die Abfrage so ändern, dass die Clients auch in der nächsten Phase berücksichtigt werden. Die Sammlung wird entweder manuell aktualisiert oder zu einem festgelegten Zeitplan, je nach dem, ob das Patch-Installationsprogramm der neuen Clientgruppe automatisch angekündigt wurde oder nicht. Für Hotfixe gilt: Die SMS-Abfragen werden benutzt, um die Ziel Sammlungen basierend auf den Inventardaten abzugleichen und festzustellen wo ein Patch fehlt. Das bedeutet: Wenn ein Computers ein Patch installiert, wird dieser neu inventarisiert. Gleichzeitig wird dieser Computer aus der Sammlung herausfallen, wenn die Sammlung aktualisiert wird, weil Abfragedefinitionen nicht länger zutreffend sind. Das Wiederholungsintervall solch einer Ankündigung sollte sorgfältig ausgewählt werden weil: Clients, die eine Veröffentlichung erfolgreich angewendet haben, werden in der Ziel Sammlung verbleiben, bis ein neues Inventory erstellt wurde. Dies kann durch das Installationsprogramm selbst gestartet werden. Eine andere Möglichkeit ist ein Inventory, dass durch den SMS Server aktualisiert wurde und die Sammlung neu bewertet. Deshalb ist es möglich, dass ein Programm ein zweites Mal angewendet wird, obwohl der erste Durchlauf schon erfolgreich war. Aus diesem Grund sollte das Programm vorher prüfen, ob ein Patch oder mehrere Patches nicht bereits installiert sind. Wiederholte Ausführung eines Programms, dass aufgrund anderer Fehler immer wieder abbricht, kann die Benutzer nerven. Wiederholte Ausführung einer Installation erzeugt zusätzliche Client- und Netzwerklast. Das Intervall sollte allerdings auch nicht zu groß sein, speziell wenn ein Patch dringend sofort eingespielt werden soll. Es gibt Situationen, in denen ein kritisches Patch sofort eingespielt werden sollte. Meist wird dies unter Zeitdruck und mit kurzer Testphase durchgeführt. Die Abfragen und die Sammlungen sollten immer auf eine minimale Anzahl von Clients eingeschränkt werden, ohne jedoch zu vergessen, welche Clients jeweils ein Update benötigen. SMS-Server-Umgebungen, die nur aus einem SMS-Standort bestehen, bieten die schnellste Art ein kritisches Patch einzuspielen. Nachdem das Paket in dem Standort erstellt wurde, kann es gleich ohne Zeitverlust auf die Ziel Sammlung übertragen werden. Die Ankündigung wird sofort ausgeführt, wenn ein Server das nächste Mal die neuen Ankündigungen prüft. 3 Änderungseinleitung Zusammenfassung Die Änderungseinleitung setzt sich aus drei Hauptkomponenten zusammen: Identifikation – Feststellen, ob ein Patch für Ihre Umgebung erforderlich ist und ob für diesen eine gültige Quelle vorhanden ist. Relevanz – Feststellen, ob ein Patch für die IT-Infrastruktur Ihrer Organisation von Bedeutung ist. Quarantäne – Isolierung aller Dateien, die mit einem Patch in Zusammenhang stehen, während diese auf Viren oder schädlichen Programmcode geprüft werden. Die folgende Abbildung veranschaulicht die Änderungseinleitung: Abbildung 2.1 Änderungseinleitung Identifikation Eine saubere Überwachung und Analyse Ihrer Umgebung und eine Prüfung der Quellen und Inhalte von Security Bulletins ist für Ihre Patchverwaltung essentiell. Scanberichte zur Sicherheitslücken Um potentielle Sicherheitslücken zu erkennen, sollten Sie die Berichte der in Ihrer Umgebung durchgeführten Sicherheitsscans proaktiv analysieren. Berichte zu den unterschiedlichen Computerkategorien Ihrer Umgebung helfen Ihnen dabei auf Sicherheitsprobleme schnell zu reagieren. Der Microsoft® Baseline Security Analyzer (MBSA) ist ein nützliches Werkzeug für Microsoft Windows® Update (WU) und Microsoft Software Update Services (SUS) Umgebungen. Er leistet beim Scannen nach Sicherheitslücken gute Dienste. Im Microsoft Systems Management Server (SMS) mit SUS Feature Pack ist er bereits enthalten. Microsoft Security Bulletins E-Mail-Benachrichtigungen enthalten genaue Informationen zu den jeweils behandelten Sicherheitslücken. Sie sollten diese genausten lesen. Zusätzlich rufen Sie bitte auf der MicrosoftSicherheitswebseite unter http://www.microsoft.com/technet/security/default.asp (englischsprachig) die aktuellsten Informationen zu den Security Bulletins ab. Folgenden Sie bei der Durchsicht von E-Mail-Benachrichtigungen den folgenden Richtlinien. So stellen Sie sicher, das Sie über das aktuellste Security Bulletin verfügen: Installieren Sie niemals ausführbare Dateien, die Sie als Anhang einer E-Mail erhalten. Klicken Sie in einer E-Mail-Benachrichtigung nicht auf Links. Kopieren Sie diese stattdessen, und fügen Sie sie im Adressfeld des Browsers ein. Lesen Sie die Security Bulletins auf der Microsoft-Webseite. Wenn Sie keine Möglichkeit haben auf das Internet zuzugreifen, prüfen Sie die PGP-Signatur, mit der jedes Security Bulletin signiert ist. So können Sie sicherstellen, dass dies authentisch ist. Den Microsoft Security Response Center (MSRC) Security Bulletin Schlüssel können Sie auf folgender Webseite herunterladen: http://www.microsoft.com/technet/security/MSRC.asc (englischsprachig). Weitere Informationen zur Prüfung von digitalen Signaturen finden Sie unter: http://www.microsoft.com/technet/security/bulletin/notify.asp (englischsprachig). Es gibt eine Vielzahl von E-Mail-Hoaxes (Falschmeldungen zu Viren, Würmern und Sicherheitsproblemen), die angeblich von Microsoft stammen. Wenn Sie ein Microsoft Security Bulletin erhalten, gehen Sie sicher, dass dies auch von Microsoft stammt. Prüfen Sie alle Links auf Software-Updates über die Security Bulletin Search Tool Webseite unter: http://www.microsoft.com/technet/security/current.asp (englischsprachig). Weitere Informationen zu Hoaxes finden Sie im Dokument Information on Bogus Microsoft Security Bulletin E-Mails unter: http://www.microsoft.com/technet/security/news/patch_hoax.asp (englischsprachig). Anmerkung: Microsoft versendet Software niemals als E-Mail-Anhang. Die entsprechenden Richtlinien können Sie unter http://www.microsoft.com/technet/security/policy/swdist.asp (englischsprachig) einsehen. Ein Microsoft Security Bulletin lesen Die Informationen in Security Bulletins sind in Abschnitte aufgeteilt. Dies hilft Ihnen festzustellen, wie kritisch die beschriebenen Sicherheitslücken für Ihre Umgebung sind. Obwohl Sie natürlich alle Informationen eines Security Bulletins lesen sollten, schenken Sie den folgenden Bereichen besondere Beachtung: Zusammenfassung – Lesen Sie diesen Abschnitt als erstes. Er stellt Ihnen die folgenden Informationen zur Verfügung: Technische Details – Dieser Abschnitt bietet eine tiefergehende technische Beschreibung der Sicherheitslücke. Er umreißt außerdem die Auswirkungen auf die betroffenen Produkte. Knowledge Base Artikel – Verweist auf den im Titel des Security Bulletin angegebenen Knowledge Base Artikel. Dort erhalten Sie zusätzliche Informationen. Die Zusammenfassung ermöglicht Ihnen eine schnelle Einschätzung der potentiellen Auswirkungen, die eine Sicherheitslücke auf Ihre Umgebung hat. So können Sie feststellen, ob Sie das Security Bulletin tiefergehend studieren müssen. Bewertungssystem für den maximalen Schweregrad Das Microsoft Security Response Center (MSRC) hat ein Bewertungssystem entwickelt. So können Sie schnell feststellen, wie wichtig ein Update für Ihre Organisation ist. Das Bewertungssystem richtet sich nach den möglichen Auswirkungen des Sicherheitsproblems. Die folgenden Bewertungen sind möglich: Kritisch – Über diese Sicherheitslücke könnte sich ein Internetwurm ohne Aktion des Benutzers ausbreiten. Wichtig – Ein solche Sicherheitslücke könnte zur Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit von Daten des Benutzers oder von Ressourcen führen. Durchschnittlich – Eine Sicherheitslücke, die durch unterschiedliche Faktoren (zum Beispiel eine Standardkonfiguration oder eine Überwachung) entschärft wird. Gering – Eine Sicherheitslücke, die nur extrem schwer auszunutzen ist, oder deren Auswirkungen minimal sind. Anmerkung: Weitere Information zum Bewertungssystem finden Sie unter http://www.microsoft.com/technet/security/policy/rating.asp (englischsprachig). Relevanz Im IT-Bereich werden Softwareupdates permanent und in großer Zahl veröffentlicht. Sie stammen aus einer Vielzahl von unterschiedlichen Quellen und werden für die verschiedensten Zwecke entwickelt. Prüfen Sie Patches sorgfältig. Gehen Sie nicht automatisch davon aus, dass diese auf Ihre Umgebung angewandt werden müssen. Um die Effektivität der Patchverwaltung zu erhalten, sollten Sie die Patches sorgfältig nach deren Relevanz bewerten. Nicht jeder Sicherheitspatch, den Microsoft veröffentlicht, ist für Ihre Umgebung von Relevanz. Wenn Sie nur die relevanten Patches in Ihrer Umgebung bereitstellen, verringern Sie den Aufwand, mit dem Sie Ihre Umgebung aktuell und sicher halten. Anmerkung: Eine Bewertung der Relevanz von Technologie-spezifischen Patches kann eine echte Herausforderung darstellen. Es kann sehr schwer sein festzustellen, ob ein Software-Update für bestimmte Computer Ihrer Umgebung relevant ist. In diesem Zusammenhang ist es wichtig, eine genaue Inventarisierung Ihrer Umgebung durchzuführen. Quarantäne Nachdem Sie festgestellt haben, dass ein Patch für Ihre Umgebung relevant ist, besteht der nächste Schritt darin, die entsprechenden Dateien herunterzuladen. In wenigen Fällen reicht es zwar aus, die Registrierung oder Einstellung zu ändern, normalerweise müssen Sie jedoch eine oder mehrere Dateien herunterladen. Während Sie diese Dateien prüfen (zum Beispiel die Signatur), sollten Sie sie von Ihrem Produktions-Netzwerk isolieren. Anmerkung: Im Microsoft Download Center, über Windows Update (und den WindowsUpdate- Katalog), über SUS und den SMS mit SUS Feature Pack erhalten Sie ausschließlich authentifizierte Software-Updates. Wenn Sie Microsoft Software Updates über andere Wege erhalten, prüfen Sie deren digitale Signatur. Die Erstinstallation und die Tests von Sicherheitspatches sollten auf Computern durchgeführt werden, die von Produktions-Netzwerk isoliert sind. Idealerweise sollte diese QuarantäneUmgebung durch ein separates Team innerhalb der Organisation erstellt werden. Die folgenden Abschnitte beschreiben einige Wege, über die Sie Software-Updates für eine Installation über alternative Verteilungsmechanismen herunterladen können. Updates vom Microsoft Download Center herunterladen Um Software-Updates vom Download Center herunterzuladen: 1. Rufen Sie das Microsoft Download Center unter http://www.microsoft.com/downloads (englischsprachig) auf. 2. Im Feld Schlüsselworte geben Sie die Nummer des Knowledge-Base (KB)-Artikels des Software-Updates ein. Möglicherweise müssen Sie vor die Nummer KB oder Q schreiben. 3. Klicken Sie auf das Ihrem Betriebssystem oder Ihrer Anwendung entsprechenden Update. 4. Lesen Sie die zum Software-Update zur Verfügung gestellten Informationen. 5. Wenn notwendig, wählen Sie auf der rechten Seite die gewünschte Sprache und klicken auf Go. 6. Klicken Sie auf den Link zum Herunterladen oder folgenden Sie den Anweisungen auf der Webseite. Anmerkung: Wenn Sie Software-Updates über www.microsoft.com herunterladen, geben Sie die URL immer direkt per Hand im Browser ein. Updates über den Windows-Update-Katalog herunterladen Sie können über die folgenden Wege auf die Windows-Update-Webseite zugreifen: Über den Internet Explorer. Klicken Sie im Menü auf Extras und dann auf Windows Update Über Windows. Klicken Sie auf Start, Alle Programme und auf Windows Update. Direkt über die URL der Windows-Update-Webseite: http://windowsupdate.microsoft.com Anmerkung: Damit Windows Update korrekt arbeitet, müssen Sie die Sicherheitseinstellung der Internet-Zone auf Mittel oder geringer setzen. Um den Windows Update Katalog anzuzeigen, müssen Sie diesen zur Auswahlliste auf der Windows Update Seite hinzufügen. Klicken Sie auf der Windows-Update-Webseite auf Windows Update anpassen und aktivieren dann das Kontrollkästchen Verknüpfung für Update-Katalog unter ‚Siehe auch’ anzeigen. Anmerkung: Der Windows Update Katalog führt die Sicherheitspatches im Moment in den Kategorien Kritische Updates und Servicepacks auf. Updates vom Office Download Center herunterladen Um ein Software-Update über das Office Download Center herunterzuladen: 1. Rufen Sie das Microsoft Office Download Center und http://office.microsoft.com/Downloads auf. 2. Wählen Sie ein Produkt und dessen Version aus. Aktivieren Sie das Kontrollkästchen Updates. 3. Klicken Sie auf Updateliste. 4. Klicken Sie beim gesuchten Update auf Jetzt herunterladen. 4 Veröffentlichung Zusammenfassung Das Veröffentlichungsverfahren für Sicherheitspatches besteht aus drei Hauptkomponenten: Änderungsverwaltung – Zeigt einen Satz von Prozeduren die dazu geeignet sind, die Anzahl der notwendigen Änderungen in Ihrer Umgebung zu vermindern. Außerdem wird sichergestellt, dass durch die Änderungen keine Ausfälle in Ihrem Netzwerk hervorgerufen werden. Veröffentlichungsverwaltung – Bietet Schritte für die Planung, den Test und die Ausbringung von Patches in der Produktivumgebung. Es wird dabei berücksichtigt, die Verfügbarkeit und Integrität der vorhandenen Dienste sicherzustellen. Erfolgsüberwachung – Besteht aus den notwendigen Schritten, um den Erfolg der PatchBereitstellung zu bestimmen. Zusätzlich werden Überlegungen zum Stoppen und Wiederherstellen der Bereitstellung bei Misserfolg erläutert. Die folgende Grafik zeigt den gesamten Veröffentlichungsprozess: Abbildung 4.1 Veröffentlichungsprozess der Sicherheitspatch-Verwaltung Änderungsverwaltung In der Patchverwaltung stellt eine Änderungen einen Zusatz zu bestehender Software (z. B. ein Software-Update) dar. Änderungen können temporär oder dauerhaft sein. Temporäre Änderungen, wie zum Beispiel Gegenmaßnahmen, können als permanente Änderung implementiert werden. Alle Änderungen, egal ob temporär oder permanent, sollten durch den Änderungsverwaltungsprozess erfasst werden. Sobald die Security Bulletins herausgegeben und die entsprechenden Patches für die Verwendung freigegeben wurden, ist es wichtig in Ihrer Umgebung zu bestimmen, welche Systeme am meisten von dieser Verwundbarkeit betroffen sind. Außerdem sollte auch klar sein, welche Systeme unternehmenskritischen Charakter haben, damit der reibungslose Betrieb aufrechterhalten wird. Die Information der Bestandskategorisierung wird dabei helfen, die Systeme zu erkennen, die am schnellsten geupdatet werden müssen. Ein sauber definierter Änderungsverwaltungsprozess wird eine beschleunigte Anwendung der Patches auf den entsprechenden Computern zur Folge haben. In den Werkzeugen und im Vorlagenordner, der diesem Handbuch beigelegt ist, findet sich auch eine Datei Formular für Änderungsanforderung.doc. Diese Beispieldatei stellt eine Hilfestellung für die Einrichtung eines Änderungsverwaltungsprozesses dar. Identifizierung und Organisation der wichtigsten Informationen bezüglich der Sicherheitspatches können damit erleichtert werden. Anmerkung: Die Patch-Änderungsverwaltung ist nur ein Teil des Änderungsverwaltungsprozesses. Die Änderungen in jedem Bereich Ihres Netzwerks sollten immer mit dem gleichen Änderungsverwaltungsprozess gekoppelt sein. Wie Sie die Änderungsverwaltung am besten einsetzen können finden Sie unter: http://www.microsoft.com/technet/ittasks/maintain/pracserv.asp (englischsprachig). Risikobestimmung Bevor Sie ein Security Patch einspielen, sollte abgewägt werden zwischen dem Risiko der Verwundbarkeit und dem Risiko der dafür notwendigen Änderungen. Die Anwendung eines Sicherheitspatches erfordert manchmal einen Computerneustart, so dass der Zeitplan für die Anwendung des Patches außerhalb der normalen Bürozeiten liegen muss. Denkbar ist auch eine Sammlung von Patches zu bestimmten Zeiten, damit weniger Neustarts und Ausfälle hervorgerufen werden. Die folgende Liste zeigt ein paar Denkanstöße, die Ihnen helfen werden die Risiken des Einsatzes der Sicherheitspatches sauber zu bestimmen: Bestimmung der Auswirkung der einzelnen Verwundbarkeiten in Ihrem Netzwerk. Viele Security Bulletins sind mit Patches verknüpft, die nur auf wenigen Computern angewendet werden müssen. Sollte die Bedrohung durch die Verwundbarkeit gering sein, kann die Ausbringung des Patches erst während der nächsten routinemäßigen Wartung erfolgen. Priorisieren der Veröffentlichungen basierend auf der Bestandsbewertung: Überlegungen zu Computern, die elementar wichtige Dienste für Ihre Umgebung zur Verfügung stellen. Seien Sie sich bewusst, wie viel Ausfallzeit welchen Einfluss auf Ihre Umgebung hat. Einfluss auf die Netzwerkinfrastruktur. Der Einsatz eines großen Patches auf vielen Computern gleichzeitig kann zu einer Abnahme der Netzwerkleistung führen. Dies kann die ordnungsgemäße Nutzung des gesamten Netzwerkes negativ beeinflussen. Sehen Sie sich sämtliche Dokumentation zu Software-Updates durch und behalten Sie die Anzahl der Computer und die Größe des Patches, das angewendet werden soll im Auge. Bestimmung des Einflusses der Computerausfallzeiten. Bedenken Sie die Ausfallzeiten die entstehen können, wenn der Computer nach Anwendung des Patches nicht mehr richtig funktioniert. Sie sollten unbedingt vergleichen und bestimmen, wie die Risiken der zeitlichen Verschiebung des Patcheinsatzes und die Risiken eines Ausfalls einzuordnen sind. Anmerkung: Selbst der kleinste Fehler kann zur Lähmung eines ganzen Netzwerks führen. Das Verständnis der Risiken einer Änderungen ist ein unablässiger Teil für den Prozess der Änderungsverwaltung. Einen detaillierten Überblick über die Risikobestimmung und die empfohlenen Vorgehensweisen finden Sie unter: http://www.microsoft.com/technet/itsolutions/tandp/opex/mofrl/mofrisk.asp (englischsprachig). Klassifikation Klassifikation ist der Schritt der Änderungsverwaltung, bei dem Sie die Priorität der Veröffentlichungen und der damit einhergehenden Zeitpläne einordnen. Die nachfolgende Tabelle gibt einige Hilfestellungen, um die Priorität von Sicherheitsveröffentlichungen zu bestimmen. Tabelle 4.1: Empfehlungen zum Zeitrahmen beim Einsatz von Sicherheitsveröffentlichungen Priorität Empfohlener Zeitrahmen Empfohlener minimaler Zeitrahmen 1 Innerhalb von 24 Stunden Innerhalb von 2 Wochen 2 Innerhalb eines Monats Innerhalb von 2 Monaten 3 Abhängig von der Verfügbarkeit. Setzen Sie ein Setzen Sie innerhalb der Servicepack oder ein Update innerhalb der nächsten nächsten 6 Monate ein 4 Monate ein, um die Verwundbarkeit zu eliminieren. Software-Update ein. 4 Abhängig von der Verfügbarkeit. Setzen Sie ein Servicepack oder ein Update innerhalb des nächsten Jahres ein, um die Verwundbarkeit zu eliminieren. Setzen Sie innerhalb des nächsten Jahres ein SoftwareUpdate ein. Sie können sich auch gegen den Einsatz entscheiden. Das Microsoft® Security Response Center (MSRC) bewertet die Verwundbarkeit in einem Security Bulletin bei der Veröffentlichung. Dadurch wird es den Kunden einfacher gemacht, eine Entscheidung über die einzusetzenden Patches zu treffen - je nach Risiko und Dringlichkeit. Die durch das MSRC definierte Priorität und die daraus resultierende Dringlichkeit des Einsatzes sollte mit in die Überlegungen einfließen. Einen einfachen Mechanismus um die Priorität für Ihre Umgebung bestimmen zu können, erreichen Sie durch die Einordnung in die beiden nachfolgenden Tabellen 4.2 und 4.3. Tabelle 4.2 gibt die Einschätzung der MSRC-definierten Schweregrade an, während Tabelle 4.3 die Aspekte Ihrer Umgebung beinhaltet. Tabelle 4.2: Bestimmung der Priorität MSRC-Schweregrad der Verwundbarkeit Priorität Kritisch 1 Wichtig 2 Moderat 3 Niedrig 4 Tabelle 4.3: Faktoren, die Einfluss auf die Veröffentlichungspriorität haben können Mögliche Umgebungs- / Organisationsfaktoren Anpassung der Priorität Hoher Wert oder starkes Ausgesetztsein der betroffenen Systeme Erhöhen Systeme, die schon immer Ziel von Angriffen waren. Erhöhen Mildernde Faktoren, wie z.B. Gegenmaßnahmen, die die Gefahr einschränken Erniedrigen Geringer Wert oder geringes Ausgesetztsein der betroffenen Systeme Erniedrigen Um den Einfluss der Ressourcen, die mit der Veröffentlichungsverwaltung beschäftigt sind, zu verringern, können mehrere Änderungen der gleichen Kategorie in einer einzelnen Veröffentlichung zusammengefasst werden. Dies eignet sich besonders für die Prioritäten 2 bis 4 aus der Tabelle 4.1. Typische Gegenmaßnahmen Eine Mehrzahl der Patches benötigen einen Neustart der Zielcomputer, damit die Installation abgeschlossen werden kann und um den Computer zu schützen. Sollten Sie ein Patch nicht sofort anwenden können, weil Sie ein Update nur innerhalb der vorgesehenen Wartungszeitfenster durchführen können, gehen Sie dazu über, geeignete Gegenmaßnahmen zu implementieren. Diese Gegenmaßnahmen werden dann bis zur Anwendung des Patches den Computer effektiv schützen. Es gibt immer viele Dinge zu beachten, wenn Software-Updates die in der Organisation ausgebracht werden. Das Security Bulletin sollte zusätzliche Gegenmaßnahmen enthalten, die vor zukünftigen Angriffen abschrecken, bis das Software-Update angewendet wird. Das Security Bulletin auf der Microsoft-Webseite gibt dazu weitere Informationen zu Verwundbarkeiten, technische Details und FAQs (häufig gestellte Fragen). Sie können diese Empfehlungen benutzen, um einen Gegenmaßnahmenplan zu erstellen und damit die Zeit überbrücken, bis ein Software-Update verteilt ist. Anmerkung: Werfen Sie beispielsweise einen Blick auf das Microsoft Security Bulletin MS03-010: http://www.microsoft.com/technet/security/bulletin/MS03-010.asp (englischsprachig). Im Abschnitt über die technischen Details von MS03-010 finden Sie zusätzliche Informationen darüber, wie die Verwundbarkeit des Remote Procedure Calls (RPC) auf Port 135 ausgenutzt wird. Wenn Sie weiterlesen zum Abschnitt FAQ, finden Sie die Empfehlung als Gegenmaßnahme ein Abblocken von Kommunikation auf Port 135 einzurichten. Das Abblocken von bestimmten Netzwerkports und das Abschalten unbenutzter Dienste sind einige Gegenmaßnahmen die - wenn eingerichtet - Ihren Computer schützen können. Mehr Informationen über Gegenmaßnahmen zur Absicherung von Computern erhalten Sie unter http://go.microsoft.com/fwlink/?LinkId=15159 Anmerkung: Gegenmaßnahmen sind kein Ersatz für Software-Updates. Stattdessen sind Gegenmaßnahmen dazu gedacht Ihre Umgebung abzusichern, während ein Software-Update ausgebracht wird. Somit sollte das Hauptziel der Absicherung Ihrer Umgebung immer der Einsatz von Software-Updates sein. Veröffentlichungsverwaltung Veröffentlichungsverwaltung ist der Prozess der Planung, des Tests und der Ausführung von Änderungen in Ihrer Umgebung. Das Ziel ist sicherzustellen, dass alle Änderungen erfolgreich in der Produktivumgebung eingesetzt werden, ohne den Betriebsablauf nennenswert zu unterbrechen. Der folgende Abschnitt beschreibt die Dinge, die während der einzelnen Phasen zu beachten und zu bedenken sind. Die Patch-Bereitstellung wird damit zu einem definierten, gut funktionierenden Prozess. Planen der Veröffentlichung Während der Veröffentlichungsplanungsphase müssen Sie, je nach dem wie kritisch die Veröffentlichung für Ihre Umgebung ist, die Veröffentlichungsdetails definieren. Die effektive Planung der Veröffentlichung umfasst folgende Festlegungen: Die Reichweite der Veröffentlichung: Welche Computer benötigen ein SoftwareUpdate? Sind die Bestandsinformationen der Umgebung aktuell? Genaue Bestimmung der Computer, die ein Update benötigen, trägt dazu bei, die Bereitstellung so effektiv wie möglich zu gestalten. Die Reihenfolge der Veröffentlichungen für mehrere Software-Updates. Welche Abhängigkeiten haben die nötigen Updates? Welche Systeme benötigen einen Neustart? Können mehrere Updates miteinander kombiniert werden? Die Antworten auf diese Fragen helfen, den Einfluss von Ausfallzeiten und nicht notwendigen Neustarts zu minimieren. Wiederherstellung Überlegungen. Kann die Veröffentlichung deinstalliert werden? Ist die notwendige Vorsorge getroffen worden, falls der Computer nach dem Einspielen eines Patches nicht mehr reagiert? Existiert eine Sicherung und funktioniert deren Wiederherstellung? Das Verständnis der notwendigen Schritte, um den Computer wieder in den Ursprungszustand zurückzuversetzen falls etwas schief geht, ist ein wichtiger Aspekt der Veröffentlichungsverwaltung. Zeitplan für die Veröffentlichung: Muss die Veröffentlichung sofort angewendet werden? Kann sie stufenweise in der Produktivumgebung eingeführt werden? Normalerweise werden nicht alle Computer in Ihrer Umgebung sofort ein Update benötigen. Auch hier werden die Antworten auf die Fragen dabei helfen, unnötige Ausfallzeiten zu verhindern. Definieren Sie die Anforderungen für die Benutzerschulung und die notwendigen Kommunikationswege: Worüber sollen die Benutzer informiert werden? Wann soll das geschehen? Information über den Schweregrad, die Dringlichkeit und die potenziellen negativen Effekte sollte dabei helfen, diese zu verhindern. Stellen Sie sicher, dass die Benutzer die Wichtigkeit der Veröffentlichung verstehen. Benutzen Sie mehrere Arten, die Benutzer über Software-Updates zu informieren. Veröffentlichungsentwicklung Mit einem im Einsatz befindlichen Veröffentlichungsplan können Sie Ihren Aufwand zur Identifizierung und der Verwendung von Patches in der Produktivumgebung steuern. Der Veröffentlichungsmechanismus besteht immer aus Prozessen, Werkzeugen und Technologien, die für die Bereitstellung der Veröffentlichung benötigt werden. Während des Prozesses wählen Sie das Design, die Entwicklung, sowie Tests zum Veröffentlichungsmechanismus aus, um das Ergebnis der Bereitstellung zu testen. Der Veröffentlichungsmechanismus den Sie ausgewählt haben, kann durch die vorherige Klassifizierung maßgeblich beeinflusst werden. Veröffentlichungen, die schnell angewendet werden müssen, können einen mehrfachen Einsatz des Veröffentlichungsmechanismus notwendig machen. Die nachfolgenden Überlegungen zu Veröffentlichungen sollen Ihnen dabei helfen, einen sauberen Veröffentlichungsmechanismus zu wählen. Der Mechanismus, für den Sie sich entscheiden, sollte folgendes sicherstellen: Schnelle Bereitstellung über die langsamsten Verbindungen Ihrer Umgebung. Ferninstallation, ohne dass ein Benutzereingriff notwendig ist. So eingestellt, dass Benutzer vor dem Neustart ihre Arbeiten noch abspeichern können. Nur auf Computern installieren, die das Patch benötigen. Zeichnen Sie genügend Details auf, so dass Sie nach der Bereitstellung deren Erfolg oder Fehlschlag feststellen können. Anmerkung: Lesen Sie die Knowledge Base (KB)-Artikel zu Software-Updates sorgfältig. Sollte ein Software-Update nicht deinstalliert werden können, achten Sie auf geeignete Vorsorge für den Notfall. Dies kann auch eine Neuinstallation des Rechners und der Anwendungen bedeuten. Verstehen der Software-Update-Pakete Die verschiedenen Software-Updates von Microsoft werden mit verschiedenen Installern ausgeliefert, um die speziellen Erfordernisse der einzelnen Produkte zu berücksichtigen. Verschiedene Installer besitzen verschiedene Kommandozeilenparameter und Möglichkeiten. Die nachfolgenden Ressourcen beschreiben, wie die verschiedenen Software-Updates benannt werden. Anmerkung: Microsoft arbeitet daran, standardisierte Kommandozeilen-Parameter für alle Software-Update Pakete einzusetzen. Versichern Sie sich, ob die KommandozeilenSchalter, die in dem Software-Update Knowledgebase Artikel genannt werden, nicht schon diese Neuerungen eingebaut haben. Viele der nachfolgenden Verweise benutzen den Ausdruck Hotfix, um jede Art von Software-Update zu kennzeichnen, die nicht Teil eines Servicepacks sind. Der Begriff Hotfix wird mittlerweile dazu benutzt, einen nicht öffentlichen Fix zu bezeichnen. Der Begriff wird in den nachfolgenden Verweisen aber nicht immer in diesem Sinne verwendet. Windows NT 4.0 Software-Updates für Microsoft Windows NT® 4.0 und Microsoft Windows® 2000 SP3 und früher wurden mit einem Installer mit dem Namen Hotfix.exe gepackt. Wie Hotfixes mit der HOTFIX.EXE installiert und entfernt werden, beschriebt diese Quelle: http://support.microsoft.com/?kbid=184305 (englischsprachig). Informationen zu Hotfix Paketen, die keine Debug-Symboldateien enthalten, finden Sie hier: http://support.microsoft.com/?kbid=814411 (englischsprachig). Windows 2000, Windows XP und Windows Server 2003 Software-Updates für Windows 2000 SP4 und später, Windows XP und Windows Server 2003 wurden mit dem Installer Update.exe gepackt. Die Update.exe ist eine neue Version des Hotfix.exe Installers. Neues Namensschema für Microsoft Windows Hotfix Pakete: http://support.microsoft.com/?kbid=816915 (englischsprachig). Hotfix.exe Programmbeschreibung und Kommandozeilen-Schalter: http://support.microsoft.com/?kbid=262841 (englischsprachig). Wie mehrere Windows Updates oder Hotfixes mit nur einem Reboot installiert werden: http://support.microsoft.com/?kbid=296861 (englischsprachig). Wie Microsoft Virtual Machine Updates ohne Neustart auf Ihrem Computer installiert werden: http://support.microsoft.com/?kbid=304930 (englischsprachig). Internet Explorer Software-Updates für den Microsoft Internet Explorer werden mit dem Installer IExpress.exe gepackt. Allgemeingültige Kommandozeilen-Schalter für selbstinstallierende Update-Dateien: http://support.microsoft.com/?kbid=197147 (englischsprachig). Office 2000 und Office XP Software-Updates für Microsoft Office 2000 und XP werden mit dem Installer Ohotfix.exe gepackt. Ohotfix.exe ruft MSP-Dateien (Windows Installer Patch) auf und benutzt dabei den Windows Installer, damit Software-Updates installiert werden. Neues Namensschema für Microsoft Office Hotfix-Pakete: http://support.microsoft.com/?kbid=816916 (englischsprachig). Microsoft Office XP Patch-Bereitstellung Whitepaper: http://support.microsoft.com/?kbid=330043 (englischsprachig). Installation der Client Update Dateien mit OHotFix: http://www.microsoft.com/office/ork/xp/journ/ohotfix.htm (englischsprachig). Liste der OhotFix-Installationsfehler: http://support.microsoft.com/?kbid=324246 (englischsprachig). Exchange Server Software-Updates für den Microsoft Exchange 5.0 und Exchange 5.5 (auf Windows NT 4.0) werden mit dem SMS-Installer gepackt. Software-Updates für Exchange 2000 nutzen Update.exe, außer für die Servicepacks. Diese verwenden einen speziellen Installer. Neues Namensschema für die Exchange Server Hotfix-Pakete: http://support.microsoft.com/?kbid=817903 (englischsprachig). Exchange 2000 Server nach Servicepack 3 Hotfix-Kommandozeilen-Schalter: http://support.microsoft.com/?kbid=331646 (englischsprachig). SQL Server 7.0 und SQL Server 2000 Software-Updates für den Microsoft SQL Server™ benutzen eine Vielzahl von Installern in Abhängigkeit der Updatetypen, der Plattform und der SQL-Serverversionen. SQL Server Hotfix Installer: http://support.microsoft.com/?kbid=330391 (englischsprachig). Visual Studio Microsoft Visual Studio® 6.0 verwendet IExpress als Software-Update Installer. Visual Studio .NET nutzt den Windows Installer 2.0 mit einem wrapper für Software-Update Pakete. Namensschema für Microsoft Visual Studio .NET, das .NET Framework und Visual J# Redistributable Hotfix Pakete: http://support.microsoft.com/?kbid=822464 (englischsprachig). Akzeptanztest Der Zweck dieses Tests ist, zu bestätigen, dass die Veröffentlichung korrekt in Ihrer Umgebung arbeitet. Der Akzeptanztest erlaubt, den geschäftlich Verantwortlichen zu bestimmen, ob Ihr Einsatzplan und der Veröffentlichungsmechanismus in einer Testumgebung zusammenarbeiten. Außerdem sollte der Akzeptanztest demonstrieren, dass Ihr Einsatzplan keine negativen Einflüsse auf die Produktionsumgebung hat. In einigen Fällen ist die Einrichtung einer Pilotumgebung mit wenigen Benutzern notwendig, damit der Akzeptanztest das notwendige Vertrauen für ein unternehmensweites Rollout schaffen kann. Anmerkung: Umfangreiche Akzeptanztests können in Umgebungen mit Computern, die nicht die gleiche Installation aufweisen, schwer durchzuführen sein. Oft ist es nicht möglich, die Computerkonfiguration Ihrer Umgebung exakt nachzustellen. In diesem Fall fokussieren Sie sich darauf, dass eine komplette Datensicherung existiert und die Wiederherstellung wie geplant ausgeführt werden kann. Damit die Veröffentlichung keinen negativen Einfluss auf die Produktionsumgebung hat, testen Sie alles in einer Testumgebung. Diese sollte so strukturiert sein, dass neue Computer, die noch unter der verwendeten Basiseinrichtung konfiguriert wurden, aufgenommen werden können. Damit sollte es beispielsweise möglich sein, neue Computer ohne Patches durch den Veröffentlichungsmechanismus mit allen notwendigen Patches auszustatten. Anmerkung: Um den Akzeptanztest-Prozess zu beschleunigen, können Sie Newsgroups nach Informationen über Security Bulletins und Software-Updates durchsuchen. Dies sollten Sie auch tun, wenn Sie selbst keine Tests in Ihrer Umgebung durchführen können. Auf Newsgroups zur Sicherheit können Sie mit Ihrem NewsgroupReader (z.B. Microsoft Outlook® Express) zugreifen. Tragen Sie entweder den Newsserver ein oder rufen Sie die Adresse news://msnews.microsoft.com auf, und filtern Sie die Liste der verfügbaren Newsgroups, die das Wort „Sicherheit“ enthalten. Andere Benutzer schreiben Ihre Erfahrungen mit Software-Updates auf und schicken sie an diese Newsgroups. Sie können natürlich auch die Microsoft-Sicherheitswebseite besuchen, um das neuste Security Bulletin und aktuelle Sicherheitsschlagzeilen zu erhalten. Die Internetadresse lautet http://www.microsoft.com/technet/security/default.asp. Security-BulletinAktualisierungen und andere Themen, die Ihren Akzeptanztest-Prozess beeinflussen, werden auf dieser Seite veröffentlicht. Rollout-Planung und -Vorbereitung Die Produktivumgebung benötigt eine spezielle Vorbereitung für jede neue Veröffentlichung. Die Aufgaben und Aktivitäten, die für die Vorbereitung des Rollouts notwendig sind, hängen von der Veröffentlichung und dem Veröffentlichungsmechanismus ab. Allgemeine Aufgaben beinhalten die Weitergabe von Informationen über die Veröffentlichung an alle am Veröffentlichungsmechanismus beteiligten Personen. Dies umfasst die Benutzer, den technischen Support sowie die Hotlinebetreuer. Bei der Vorbereitung des Rollouts ist es notwendig vorher die Benutzer und das SupportPersonal über den Einsatzplan zu informieren. Stellen Sie auch sicher, dass die Wiederherstellungsvorgänge vorher klar sind. Die Methoden für die Deinstallation der Patches variieren zwischen vollständiger Deinstallation oder manuellen Deinstallationsschritten bis hin zu keiner Deinstallationsroutine. Ein definierter Wiederherstellungsplan sollte immer vorhanden sein, falls der Erfolg der Installation nicht wie in der Testumgebung eintritt. Bereitstellung von Veröffentlichungen Der Prozess einer Veröffentlichung in der Produktivumgebung hängt vom Typ der Veröffentlichung ab. Dabei spielt der ausgewählte Veröffentlichungsmechanismus eine weitere wichtige Rolle. In allen Fällen jedoch muss die Testumgebung mit der Produktivumgebung synchronisiert werden. Beachten Sie den Fortschritt der Bereitstellung, um alles nachvollziehen und überwachen zu können. Am besten sollten Software-Updates phasenbasiert veröffentlicht werden. Bei der folgenden phasenbasierten Bereitstellung können Sie den Einfluss von Fehlern und negativen Effekten der Patchverteilung minimieren. Änderungsüberprüfung Während Sie die Sicherheitspatches in Ihrer Umgebung ausbringen, müssen Sie überwachen, ob die Patches auch erfolgreich angewendet wurden. Die nachfolgenden Abschnitte erläutern einige der notwendigen Schritte auf dem Weg zur erfolgreichen Patchinstallation. Überlegungen für den Stopp der Bereitstellung oder für die Deinstallation werden ebenfalls behandelt. Bestätigung Die nachfolgenden Aktionen werden Ihnen dabei helfen, die erfolgreiche Bereitstellung von Patches in Ihrer Umgebung zu bestätigen: Benutzen Sie Ihre Untersuchungsberichte zur Verwundbarkeit, um die Bereitstellung der Software-Updates, die erkannt werden, zu überwachen. Analysierende Scans Ihrer Umgebung nach der Bereitstellung bestätigen, dass bestimmte Software-Updates nun vorhanden sind. Sie müssen bestimmen, wann ein erneuter Veröffentlichungsverwaltungs-Prozess am besten durchgeführt werden soll. Überwachen der Computergesundheit. Die beste Vorgehensweise ist, eine Gruppe von Computern zu überwachen und nach Inkonsistenzen abzuklopfen, die negativen Einfluss auf die Benutzer haben können. Beziehen Sie die Ereignisanzeige und das Systemprotokoll in die Betrachtung über die erfolgreiche Patch-Bereitstellung mit ein. Dort auftauchende Fehlermeldungen können einen Hinweis auf Probleme und deren Lösung geben. Überwachen Sie die Anrufe an der Hotline. Achten Sie auf neu auftretende Muster bei den Benutzeranrufen. Allgemeine Beschwerden und Systemabstürze können durch den Einsatz eines Sicherheitspatches hervorgerufen werden. Wiederherstellung Bei jeder Patch-Bereitstellung müssen Sie einen Wiederherstellungsplan aufstellen. Die wichtigsten Hauptsschritte der Wiederherstellung und des erneuten Patcheinsatzes umfassen: Anhalten der momentanen Bereitstellung. Identifizieren Sie alle notwendigen Schritte, die für die Deaktivierung des Veröffentlichungsmechanismus in Ihrer Umgebung nötig sind. Identifizieren und lösen Sie alle Probleme der Patch-Bereitstellung. Bestimmen Sie weshalb die Patch-Bereitstellung fehlschlägt. Die Reihenfolge, wie die Patches angewendet werden, der benutzte Veröffentlichungsmechanismus und die Makel in einem Patch selbst sind mögliche Gründe für den Fehlschlag. Deinstallieren Sie Patches, falls notwendig. Patches, die Instabilitäten in Ihrer Produktivumgebung hervorrufen, sollten - falls möglich - entfernt werden. Reaktivieren Sie den Veröffentlichungsmechanismus. Nach der Lösung der Probleme reaktivieren Sie den entsprechenden Veröffentlichungsmechanismus, damit die Patches erneut angewendet werden. Aufgrund der verschiedenen im Einsatz befindlichen Installer-Technologien für die Patchinstallation können nicht alle Sicherheitspatches deinstalliert werden. Security Bulletins werden immer die Information enthalten, ob ein Patch deinstalliert werden kann oder nicht. Weil es nicht immer möglich ist die Computer auf einen früheren Stand zurückzubringen, beachten Sie vorher die Details, wenn Sie ein Patch, das nicht deinstalliert werden kann, installieren. Sollte eine einfache Deinstallation für das Sicherheitspatch nicht zur Verfügung stehen, stellen Sie sicher, dass eine Übergangslösung vorhanden ist. Nur für den Fall, dass Patch-Bereitstellung zum Computerausfall führt. Denkbare Lösungen sind Ersatzcomputer oder eine Datensicherung, die schnell zurückgespielt werden kann. Überprüfung nach der Implementierung Die Überprüfung nach der Implementierung sollte typischerweise innerhalb von einer bis vier Wochen nach der Bereitstellung durchgeführt werden. Dabei sollte auch nach möglichen Verbesserungen in der Sicherheitspatch-Verwaltung gesucht werden. Die typische Agenda für die Überprüfung beinhaltet: Diskussion über die geplanten und die aktuellen Ergebnisse. Diskussion der Risiken, die mit der Veröffentlichung in Zusammenhang stehen. Diskussion über die gemachten Erfahrungen. Nach der Überprüfung gibt es verschiedene mögliche Nachfolgeschritte, wie zum Beispiel notwendige Änderungen und eine Verteilung von Erfahrungsbereichten an alle Beteiligten. Techniken der Sicherheitsveröffentlichungen Zusammenfassung Liste der Sicherheitsveröffentlichungstechniken WU SUS SMS Techniken zur Veröffentlichungsverwaltung Phasenbasierte Bereitstellung mit SUS Phasenbasierte Bereitstellung mit SMS Techniken für die Änderungsüberprüfung Ja Ja Bestätigung der SUS- und WU-Bereitstellung Ja Bestätigung der SMS-Bereitstellung Ja Techniken zur Veröffentlichungsverwaltung Die nachstehenden Techniken werden Ihnen bei der Implementierung einer schrittweisen Einführung der Software-Updates helfen. Phasenbasierte Bereitstellung mit SUS Umgebung SUS Zweck Um die Veröffentlichung von Patches kontrollieren zu können, führen Sie diese in Teilbereichen Ihrer Umgebung schrittweise ein. Voraussetzungen Eine SUS-Infrastruktur, die aus mehreren Servern besteht. Einsatzbereich Diese Technik kann in jede Art von Umgebung eingesetzt werden. Sollte Ihre SUS-Umgebung aus mehreren Servern bestehen, können Sie einen schrittweisen Rollout durchführen. Dabei werden die verschiedenen SUS-Server nach und nach zum Einsatz kommen. Führen Sie das genehmigte Update zuerst vom übergeordneten SUS-Server aus. Nachdem die Clients des Servers erfolgreich geupdatet wurden, können Sie die genehmigte Liste an die untergeordneten SUS-Server übertragen. Damit leiten Sie die nächste Phase des Rollouts ein. Sie können zum Beispiel alle Windows XP Clients in Hamburg aktualisieren. Nach erfolgreichem Ablauf werden dann alle Clients in Leipzig aktualisiert. In diesem Beispiel ist der SUS-Server in Leipzig ein untergeordneter Server des Hamburger SUS-Servers. Aufgrund der genehmigten Updates des Hamburger SUS-Servers werden die Clients beginnen das Patch herunterzuladen und zu installieren. Nachdem die Bereitstellung in Hamburg fertig ist und keine negativen Auswirkungen auf die Produktivumgebung festzustellen sind, können Sie den Leipziger SUS-Server zur Synchronisation seiner Freigabeliste mit dem Hamburger SUS-Server auffordern. Sobald die Freigabeliste erfolgreich abgeglichen wurde, werden alle Clients, die durch den Leipziger Server versorgt werden, sich updaten. Standardmäßig sind die SUS-Server so eingestellt, dass sie sich direkt mit dem Microsoft Windows Update Servern synchronisieren. Somit müssen auf jedem Server die Updates genehmigt werden. Damit der administrative Aufwand bei dieser schrittweisen Einführung vermindert werden kann, können Sie SUS-Server-Beziehungen definieren, die angemessene Update-Genehmigungen Ihrer Umgebung gewährleisten. Mehr Informationen finden Sie in dem Software Update Services (SUS) Whitepaper: Synchronizing Content With Another Server unter http://www.microsoft.com/windows2000/windowsupdate/sus/susdeployment.asp (englischsprachig). Anmerkung: Eine andere Technik der phasenbasierten Bereitstellung beinhaltet den Installationszeitplan des Automatische-Updates-Clients, der für die einzelnen Clientgruppen unterschiedlich eingestellt sein kann. Phasenbasierte Bereitstellung mit SMS Umgebung SMS Zweck Um die Veröffentlichung von Patches kontrollieren zu können, führen Sie diese in Teilbereichen Ihrer Umgebung schrittweise ein. Voraussetzungen Eine funktionierende SMS-Hierarchie. Einsatzbereich Diese Technik kann in jeder Art von Umgebung eingesetzt werden. In Abhängigkeit der Größe Ihrer SMS-Hierarchie können Sie Sammlungen basierend auf bekannten Subnetzen einrichten. So können Sie Software auf einen Teil der Computer verteilen. Diese schrittweise Vorgehensweise erlaubt eine bessere Überprüfung der Verteilung. Wenn Sie eine phasenbasierte Bereitstellung einsetzen wollen, gehen Sie so vor: Wird pro Subnetz verteilt? Nach Betriebssystem? Sortiert nach Microsoft Active Directory® Standort- oder Containereinteilung? Nach Abteilung? Erstellen Sie Sammlungen basierend auf den SMS-Abfragen, die SMS-Verwaltete Clients sortieren. Sie können beispielsweise SMS-Sammlungen erstellen, die nach Servern, Arbeitsstationen in Organisationseinheiten, SMS-Standorten oder Active Directory Standorten sortiert werden. Erstellen Sie ein Paket. Erstellen Sie eine Ankündigung. Ordnen Sie die Ankündigung der ersten Sammlung zu. Nachdem die Bereitstellung in der ersten Gruppe erfolgreich verlief, ordnen Sie es der zweiten Sammlung zu. Wiederholen Sie den Schritt mit weiteren Sammlungen. Techniken der Änderungsüberprüfung Nachfolgende Techniken werden Ihnen dabei helfen, den Fortschritt und die Wiederherstellung einer Software-Update Bereitstellung zu überwachen. Bestätigung der SUS- und WU-Bereitstellung Umgebung WU, SUS Zweck Bestimmung, ob die Computer Ihrer Umgebung Patches mittels SUS oder WU erfolgreich angewendet haben. Voraussetzungen MBSA-Verwundbarkeitsscans müssen eingerichtet sein, wie in Teil II, Kapitel 2, Einrichtung beschrieben. Einsatzbereich Überprüfen Sie in großen Umgebungen nur die Ereignisanzeige der kritischen Computer. Analyse der Verwundbarkeitsscans, der Ereignisanzeige und der Registrierung Die folgenden Schritte werden Ihnen dabei helfen die erfolgreiche Bereitstellung der SoftwareUpdates zu bestätigen: Verwenden Sie MBSA zur Überprüfung der Bereitstellung aller Software-Updates, die erkannt werden können. Führen Sie einen MBSA-Scan Ihrer Umgebung nach der Patch-Bereitstellung durch, damit der MBSA-Bericht diesen Patch nicht mehr als fehlend anzeigt. Überlegen Sie, wie Updates auf Computern eingespielt werden für den Fall, dass Patches nicht wie erwartet auf Computern angewendet werden. In vielen Fällen können Sie darauf warten, bis sich die Computer wieder mit dem SUS-Server synchronisieren. Ist ein Patch allerdings sicherheitskritisch, oder muss es aus anderen Gründen sofort angewendet werden, sollten Sie zu drastischeren Maßnahmen greifen. Überprüfen Sie die Registrierung des Computers. Viele Software-Updates schreiben ihre Informationen an folgende Stelle in die Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates Die Update-Information wird nach Produkt angeordnet und schließt mit ein, wer das Update installiert hat, sowie die Installationszeit und Deinstallationskommandos (falls anwendbar). Überprüfen Sie die Ereignisanzeige auf Automatische-Updates-Clients (AUClients), die mit SUS Fehlern zusammenhängen. Die Gesamtliste der möglichen Ereignisse für den AU-Client finden Sie unter http://www.microsoft.com/windows2000/windowsupdate/sus/susdeployment.asp (englischsprachig). Sehen Sie die IIS-Server-Protokolldateien auf dem SUS-Server durch. Überprüfen Sie die HTTP-Meldungen (z.B. "HTTP 404 – File not Found") für jeden Eintrag, damit Downloadfehler erkannt werden. Suchen Sie auf kritischen Computern in der Datei "Windows update.log" nach Fehlern. Diese Datei enthält die Aufzeichnung aller Aktionen, die durch den AU-Client ausgeführt wurden. Die Datei finden Sie im Basissystemordner auf jedem Client (z.B. C:\Windows). Bestätigen Sie den Status des AU-Clients in der Registrierung. Der AUState-Wert zeigt, ob die Installation eines Patches immer noch unerledigt ist. Der Registrierungswert ist unter diesem Pfad abgelegt: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpd ate\Auto Update Der Wert für den AUState muss auf 2 gesetzt werden, damit ein Client nach neuen genehmigten Updates Ausschau hält. Ist der AUState auf 5 gesetzt, wird der Client die ausstehenden Installationen heruntergeladener Updates durchführen und keine neue Erkennung durchführen, bis die Updates alle installiert sind. Der Client wird dann diesen AUState nach der kompletten Installation auf 2 zurücksetzen. Achten Sie auf Systeminstabilitäten. Eine gute Möglichkeit der Überprüfung ist danach zu schauen, ob Systemausfälle auftreten. Auch die gemeldeten Probleme an der Hotline sollten Sie im Auge behalten, da auch allgemeine Probleme mit der Installation eines Patches in Verbindung stehen können. Überprüfung der Deinstallationsordner. Die Deinstallationsinformation vieler Patches wird in einem versteckten Ordner unterhalb des Systemordners abgelegt (z.B. C:\Windows\$NtUninstallQ331320$). Die Anwesenheit eines solchen Ordners ist ein guter Indikator dafür, dass ein Patch installiert wurde. IIS-Berichte konfigurieren Automatische-Updates-Clients (AU-Clients) können so eingerichtet werden, dass sie Statusinformationen an den SUS-Server oder einen IIS 5.0 Server mit angeschalteter Protokollierung zurückgeben. Die AU-Client-Statusinformation werden in den Rohdaten der Protokolldateien abgelegt. Wie die Informationen interpretiert werden können, und wie Sie die IISProtokollierung optimal für die AU-Clients einrichten sehen Sie unter http://www.microsoft.com/windows2000/windowsupdate/sus/susdeployment.asp (englischsprachig). Der AU-Client berichtet seinen Status beim angegebenen Server in diesen Fällen: Bei Updates oder ausstehenden Updates Nach Updates Bei der Erkennung Nach der Erkennung Nach dem Herunterladen Nach der Installation Die Durchsicht der Protokolldateien ermöglicht Ihnen eine akkurate und effiziente Überwachung der Installation eines Sicherheitspatches in Ihrer Umgebung. Anmerkung: SUSserver.com stellt ein Werkzeug zur Erstellung von Berichten zur Verfügung, mit dem Sie einen Bericht basierend auf den IIS-Protokolldateien des SUSServers erstellen können. Mehr Informationen erhalten Sie unter: http://www.susserver.com/Software/SUSreporting/ (englischsprachig). SUSserver.com ist nicht an Microsoft angegliedert bzw. wird nicht von Microsoft unterstützt. Deinstallation eines Updates Sollten Sie ein Sicherheitspatch deinstallieren wollen, so können Sie das häufig über die Systemsteuerung entfernen. Die Deinstallation eines Patches ist eine einfache Aufgabe in den meisten Umgebungen. Es ist ferner häufig möglich ein Patch durch das Deinstallationskommando zu entfernen. Der Aufruf könnte zum Beispiel so aussehen: C:\WINNT\$NtUninstallQ331953$\spuninst\spuninst.exe Die Deinstallationskommandos können Sie natürlich auch in einem Loginskript oder Startskript für Computer in einer Gruppenrichtlinie des Active Directorys einsetzen. Anmerkung: Dieses spezielle Kommando wird das Patch, dass mit dem Security Bulletin MS03-010 verbunden ist, deinstallieren. Die Knowledge Base Artikelnummer, welche die speziellen Informationen enthält, findet sich auch im Namen des Deinstallationsordners. Das vorhergehende Beispiel bezieht sich somit auf den KB-Artikel 331953. Bestätigung der SMS-Bereitstellung Umgebung SMS Zweck Bestimmung, ob die Computer Ihrer Umgebung Patches mittels SMS erfolgreich angewendet haben. Voraussetzungen Funktionierende Softwareverteilung. Installiertes Web Reporting Tool auf einem IISServer. Einsatzbereich Diese Technik kann in jeder Art von Umgebung eingesetzt werden. Der Systems Management Server bietet die nachfolgenden Methoden für die Erfolgs- bzw. Fehlerüberprüfung der Patch-Bereitstellung. Der Systems Management Server bietet die nachfolgenden Methoden für die Erfolgs- bzw. Fehlerüberprüfung der Patch-Bereitstellung: Ankündigungsstatus in der SMS-Administrationskonsole Berichterstattung Statusanzeige für Ankündigungen SMS-Protokolldateien SMS-Administrationskonsole Ankündigungsstatus In der SMS-Administratorkonsole beinhaltet der Ankündigungsstatus eine Statuszusammenfassung für jede Ankündigung, die durch den SMS-Server verteilt wurde. Zusätzlich gibt es eine Zusammenfassung der Ankündigungsstatistiken über alle Standorte der Hierarchie. Diese Informationen erlaubt ihnen den Patch-Bereitstellungsprozess zu überwachen. Der Status schließt verschiedene Konsolenpunkte ein, die den Status der Softwareverteilung anzeigen: Zusammenfassung des Paketstatus Zusammenfassung des Ankündigungsstatus Detaillierte Paketinformationen Detaillierte Ankündigungsinformationen Web Reporting Tool Das Microsoft Web Reporting Tool wird mit dem SUS Feature Pack für SMS-Server ausgeliefert. Installiert als eine IIS Website, ermöglicht das Web Reporting Tool eine webbasierte, grafische Ansicht der SMS-Daten. Sie können sich die Berichte zum Software-Update des Web Reporting Tools dann direkt ansehen. Zu finden sind die Berichte innerhalb des Web Reporting Tools im Untermenü Software Updates. Sie können dabei auf mehrere vorgefertigte Berichte zugreifen. Zusätzlich dazu ist es auch möglich SQL-Server-Ansichten zu benutzen, um benutzerdefinierte Berichte anzufertigen. Mehr Informationen über das Web Reporting Tool finden Sie im Internet im Microsoft WebCast Microsoft Systems Management Server Reporting using the SMS Web Reporting Tool unter http://support.microsoft.com/?kbid=325071 (englischsprachig). Ankündigungs-Statusanzeige Sie können die Ankündigungs-Statusanzeige verwenden um einen umfassenden Statusbericht einer Ankündigung auf einem SMS-Client oder in einer Sammlung zu erhalten. Die Ankündigungs-Statusanzeige: Zeigt den Status einer angegebenen Ankündigung auf allen Clients an, die diese erhalten sollten. Zeigt auf, welche Clients die Ankündigung noch nicht erhalten haben. (Beachten Sie dabei, dass es schwierig ist einzuschätzen, ob die Clients die Ankündigung erhalten haben, da der Client die Statusmeldung erst senden muss). Zeigt Statistiken, wie zum Beispiel der prozentuale Anteil der Clients, die erfolgreich eine Ankündigung angewendet haben. Es sind auch noch andere Statistiken verfügbar. Verarbeitet Situationen, in denen die Ankündigung an Sammlungen und alle UnterSammlungen verschickt werden soll. In diesem Fall werden rekursive Abfragen eingesetzt, um die Gesamtzahl der Clients in einer Sammlung zu bestimmen. Für eine angegebene Sammlung werden die Statusinformationen aller Ankündigungen, die die Computer erhalten sollen, angezeigt. Der Status ist nicht beschränkt auf die Ankündigungen der Sammlung, sondern umfasst auch die Ankündigungen, die für jede Sammlung, zu denen diese Clients gehören, erstellt wurde. Zeigt die Rohdaten als Text, die von den Statusmeldungen erzeugt werden. Ferner wird der Text aller WMI-Klassen, die mit der Statusmeldung in Verbindung stehen, angezeigt. Sie können den Status ausdrucken und speichern. Der Status kann in andere Anwendungen kopiert werden. Die Ankündigungs-Statusanzeige ist Teil des Systems Management Server 2.0 Servicepack Support Tools: http://www.microsoft.com/smserver/downloads/20/tools/spsupport (englischsprachig). SMS-Protokolldateien Zusätzlich zum Durchsehen der Informationen der Standortdienste können Sie sowohl auf dem Client als auch auf dem Server die Protokolldateien durchforsten. Beide Informationsquellen stellen eine umfassende Möglichkeit dar, auftretende Probleme zu verstehen. Mehr Informationen über den SMS-Server und die Clientprotokolldateien finden Sie in der SMSServer Produktdokumentation unter http://www.microsoft.com/technet/prodtechnol/sms/proddocs/smsadm/appendixes/smsadad.asp (englischsprachig). Anmerkung: Die Standardgröße der SMS-Client Protokolldateien ist 100 KB. Wenn Sie die Protokolldatei vergrößern wollen, ändern Sie den Registrierungsschlüssel unter HKEY_LOCAL_MACHINE\Software\Microsoft\SMS\Client\Configuration\Client Properties Schlüsselname: Log File Size for Debugging Datentyp: DWORD Wert: 400 (hexadezimal) für die Maximalgröße (1MB) der Protokolldatei Der SMS-Client Agent Angekündigte Programme verwendet Statusnachrichten mit den Nummern von 10000 bis 10021. Sie können diese Statusnachrichtennummern dazu verwenden den Softwareverteilungsprozess zu überwachen. Sie können auch Ihre eigenen Statusabfragen erstellen. Die mitgelieferten Statusabfragen des SMS-Servers basieren auf diesen NachrichtenIDs. Die vollständige Liste der SMS-Statusnachrichten finden Sie unter http://www.microsoft.com/technet/prodtechnol/sms/reskit/sms2res/part8/smc26.asp (englischsprachig). Wiederherstellen einer SMS-Bereitstellung Wiederherstellen einer SMS-Server Bereitstellung 1. Stoppen Sie die Bereitstellung des aktiven Pakets. 2. Identifizieren und lösen Sie die Probleme. 3. Deinstallieren Sie das Update. 4. Das Paket erneut bereitstellen. Schlägt die Bereitstellung fehl, müssen Sie einen Plan zum Stoppen des Rollouts haben. Deinstallieren Sie die fehlgeschlagenen Updates und stellen sie diese erneut bereit. Der SMSServer stellt diese Möglichkeiten durch seine Methoden zur Verfügung: Stopp der Bereitstellung eines aktiven Pakets In der SMS-Administratorkonsole unter Pakete wählen Sie das Programm aus, das sie zeitweise stoppen wollen. Auf der Registerkarte Erweitert wählen Sie die Option Programm auf Computern für die es angekündigt ist deaktivieren. Dies wird die Ankündigung auch stoppen, wenn es sich um eine verpflichtende oder mit Zeitplan versehene Ankündigung handelt. Paket neu ankündigen Sie können das gleiche Paket erneut versenden, indem Sie die Ankündigung nochmals auf den Zeitplan setzen. Diese Vorgehensweise wird die Clients zwingen das Paket erneut anzuwenden, auch wenn der Client dies bereits zuvor angewendet hat. Haben Sie eine Ankündigung gelöscht, und müssen Sie ein Paket erneut übertragen, erstellen Sie eine neue Ankündigung und lassen diese zeitlich zweimal ausführen. Die erste Ausführung sollte fehlschlagen, da der Client die Paket-ID vergleicht. Im zweiten Durchlauf der Ankündigung erkennt der Client, dass die Paket-ID neuer ist und wird das Paket anwenden. Sie können die gleiche Ankündigung immer und immer wieder anwenden, wenn Sie einen weiteren Zeitplan für die Anwendung der Ankündigung erstellen. Gerade für den Einsatz in einer Testumgebung ist dieses Vorgehen eine gute Lösung, damit ein Paket erneut verschickt wird. Somit können Patches erst umfangreich getestet werden, bevor sie in der Produktivumgebung eingesetzt werden. Deinstallierung eines Updates Einige der Updates von Microsoft stellen eine Möglichkeit zur Deinstallation zur Verfügung, andere nicht. Mit Hilfe der Informationen aus dem Security Bulletin können Sie bestimmen, auf welche Updates was zutrifft. Um eine Deinstallation mittels SMS-Server durchzuführen, müssen Sie nun das Deinstallationskommando kennen. Dieses wird generell in der Registrierung abgelegt und kann durch ein SMS-Paket auch von dort ausgelesen und ausgeführt werden. Die Verteilung des Paketes gestaltet sich genau so, wie die Verteilung von Software-Updates. Der SMS-Server beinhaltet ein Programm namens SMS Installer. Mit diesem Programm können Sie Pakete erstellen. Jedes Update verwendet ein eigenes Deinstallationskommando, das mit der Knowledge Base Artikelnummer zusammenhängt. Als Beispiel für den Artikel 331953 könnte dieses Kommando zum Einsatz kommen: C:\WINNT\$NtUninstallQ331953$\spuninst\spuninst.exe Die Verwendung des SMS Installers, um die Informationen zu erhalten und das Deinstallationskommando aufzurufen ist relativ einfach. Das SMS-Installer-Skript „Script.ipfan“ aus dem Werkzeuge und Vorlagenordner zeigt wie der Prozess funktioniert. Mehr Informationen über den SMS Installer finden Sie in der Bücherliste: http://www.microsoft.com/smserver/techinfo/books (englischsprachig). 5 Sicherheitsrichtlinien durchsetzen Zusammenfassung Die Bereitstellung eines Sicherheitspatches eliminiert die mit einem Sicherheitsloch verbundenen Risiken nicht. In vielen Organisationen gibt es eine dezentrale Administration (z. B. unterschiedliche Gruppen mit administrativen Rechten oder Endbenutzer, die auf den eigenen Computern administrative Rechte besitzen), keine oder nicht eingeschränkte Installationsstandards für die Computer und nicht verwaltete Computer in der eigenen Umgebung (z. B. Testcomputer oder „Server unterm Schreibtisch“). Es mag für diese Arbeitsweisen gute geschäftliche Gründe geben, oder möglicherweise gibt es auch keine ausreichende administrative Kontrolle. Auf jeden Fall ist die Kontrolle von Sicherheitslücken eine wichtige Aufgabe, die in einem engen Zusammenhand mit der Verwaltung der Sicherheitspatches steht, und in solchen Umgebungen werden auch nach der Bereitstellung von Sicherheitspatches noch Sicherheitslücken auftreten. Zum Beispiel, wenn neue Computer installiert werden oder Software installiert wird, wenn Konfigurationen geändert werden, oder weil nicht verwaltete Computer von den Sicherheitspatches nicht erreicht werden. Wenn die möglicherweise erneut auftretenden Sicherheitsprobleme nicht berücksichtigt werden, wird die gesamte Verwaltung der Sicherheitspatches und die hierdurch entstehenden Kosten vollkommen ineffektiv. Wiederkehrende Sicherheitslücken sind unter Umständen noch gefährlicher als bei ihrem ersten Auftreten – das Risiko, dass bereits Verfahren zum Ausnutzen der Sicherheitslücke und entsprechende Angriffstools zur Verfügung stehen, ist deutlich größer. Anmerkung: Weitere Informationen zur Handhabung von Sicherheitsproblemen durch die Microsoft® Operations and TechnologyGroup finden Sie im Dokument Managing Computer Vulnerabilities at Microsoft unter http://www.microsoft.com/technet/itsolutions/msit/security/mscomvul.asp (englischsprachig). Sicherheitsrichtlinien – Sicherheitsstandards Um eine Sicherheitsrichtlinie tatsächlich durchzusetzen, muss diese an die Menschen kommuniziert werden, die von ihr betroffen sind. Eine effektive Sicherheitsrichtlinie sollte einen minimalen Sicherheitsstandard für die Computer festlegen. Dieser sollte zum Beispiel folgendes umfassen: Installationsstandards, die die unterstützten Installationsverfahren beschreiben. Netzwerk- und Domänenstandards, die beschreiben, welche Namen und TCP/IPEinstellungen verwendet werden und welchen Domänen die Computer beitreten können. Sicherheitsoptionen und Richtlinieneinstellungen der Betriebssysteme, inklusive einer Verringerung der offenen Ports auf Basis der erforderlichen Dienste. Alle Standards, welche die Verwendung des verschlüsselten Dateisystems festlegen. Die minimal erforderlichen Servicepacks und Sicherheitspatches. Aktualisiert bei jeder Veröffentlichung von weiteren Patches und Servicepacks. Anforderungen an Virenscanner. Sicherheitseinstellungen von Anwendungen, zum Beispiel der Makroschutz und Sicherheitszonen. Standards für administrative Konten, zum Beispiel das Umbenennen oder Deaktivieren. Starke Passwortrichtlinien. Sicherheitsstandards können für die einzelnen Computerkategorien voneinander abweichen (zum Beispiel Arbeitsstationen, Server und Notebooks). Sie sollten permanent weiterentwickelt werden. Ihre Sicherheitsstandards und Software-Basisrichtlinien sollten in enger Beziehung stehen. Ein Verstoß gegen eine Sicherheitsrichtlinie unterstellt eine Sicherheitslücke, die beseitigt werden sollte. Dies könnte z. B. ein Computer sein, dem verschiedenste Softwareupdates fehlen oder der falsch konfiguriert ist oder ein Benutzer, der keine sichereren Passwörter verwendet. Die Sicherheitsrichtlinie sollte Verfahren enthalten, die bei Verstößen angewandt werden können. Über diese soll dann ermittelt werden, wie schwerwiegend der Vorfall ist. Anmerkung: Der Microsoft Baseline Security Analyzer (MBSA) sucht nach fehlenden Sicherheitsupdates und häufigen Fehlkonfigurationen im Bezug auf Sicherheit. Er prüft nicht, ob alle Elemente der Organisations-Sicherheitsrichtlinie eingehalten werden. Basierend auf Ihrer Sicherheitsrichtlinie können Sie den Sicherheitsbericht des MBSA um Sicherheitsberichte durch Scripts und andere Werkzeuge erweitern. Nachdem die Sicherheitsrichtlinie eingerichtet ist, setzen Sie die im folgenden Abschnitt beschriebenen Strategien um. Diese beschreiben, wie Sie Sicherheitslücken und -verletzungen über unterschiedliche Eskalationsstufen erkennen und handhaben. Strategien zur Durchsetzung Eine Sicherheitslücke, wie zum Beispiel ein schwaches Passwort oder ein Computer ohne einen bestimmten Sicherheitspatch, sollte vom Administrationsteam als Standardaufgabe behandelt werden. Das Durchsetzen einer Sicherheitsrichtlinie kann durch eine verteilte Administration und eine nicht zentral verwaltete Umgebung erschwert werden. Die Person oder die Gruppe, die für die Administration und die Beseitigung von Sicherheitsproblemen zuständig ist, könnte unbekannt oder nicht auffindbar sein. Sie könnte in einer anderen Abteilung sitzen oder nicht über die benötigten Fähigkeiten verfügen. Daher gibt es zur Durchsetzung von Sicherheitsrichtlinien einige notwendige und hilfreiche Verfahren: Sicherheitsrichtlinien und Zeitpläne zu deren Umsetzung sollten abteilungsübergreifend von den Führungskräften unterstützt werden. Für bestimmte Servicetechniker sollten Techniken und Werkzeuge zur Verfügung stehen, um den Besitzer und Administrator von nicht verwalteten Computern festzustellen. Servicetechniker sollten darin geschult werden, Verletzungen der Sicherheitsrichtlinien zu beheben. So sind diese in der Lage, andere Benutzer bei solchen Problemen zu unterstützen. Anmerkung: Im TechNet-Scriptcenter stehen verschiedenste Scripts bereit, die Ihnen helfen Informationen über einen Computer über das Netzwerk zu erlangen: Systeminformationen abfragen: http://www.microsoft.com/technet/scriptcenter/compmgmt/scrcm42.asp (englischsprachig). Betriebssystemeigenschaften abfragen: http://www.microsoft.com/technet/scriptcenter/compmgmt/scrcm40.asp (englischsprachig). Den am Computer angemeldeten Benutzer herausfinden: http://www.microsoft.com/technet/scriptcenter/user/scrug59.asp (englischsprachig). Eigenschaften eines lokalen Benutzerkontos abfragen: http://www.microsoft.com/technet/scriptcenter/user/scrug116.asp (englischsprachig). Wenn Sie keinen administrativen Zugriff auf einen Computer haben, werden die Informationen, die Sie abfragen können, deutlich eingeschränkt. Es gibt jedoch Werkzeuge zum Scannen von Ports und andere Sicherheitswerkzeuge, die Ihnen auch dann noch nützlich sein können. Weitere Informationen finden Sie in Teil I, Appendix A, Third-Party Tools and Resources. Zeitpläne Die Sicherheitsrichtlinie definiert, welche Sicherheitslücken in der Umgebung vermieden werden sollen. Sie beschreibt außerdem den Umsetzungsplan und die entsprechenden Zeitpläne. Anhand der Eigenarten eines jeden Sicherheitsproblems, zum Beispiel dem Risiko der Ausnutzung und den Kosten der Wiederherstellung, müssen Sie festlegen, wie aggressiv die Reaktion sein sollte. Einige Sicherheitsprobleme sollten innerhalb von 24 bis 48 Stunden behoben werden. Andere können möglicherweise ein bis zwei Wochen weiter bestehen. Wenn das Sicherheitsproblem durch ein Software-Update behoben wird, können Sie zwei unterschiedliche Ansätze verwenden: Sie fordern den Verantwortlichen dazu auf, die Windows Update-Webseite von Microsoft oder eine entsprechende interne Webseite zu besuchen. Dort kann diese dann die entsprechenden Updates installieren. Sie führe die Softwareupdates über Ihre Infrastruktur zu Patchverteilung durch. Wenn das Sicherheitsproblem innerhalb des festgelegten Zeitraums nicht beseitig werden kann, könnten weitere, aggressivere Verfahren einsetzen: Das Problem innerhalb der Organisation des Verursachers eskalieren. Das Konto deaktivieren, das zum Zugriff verwendet wird. Den Computer physikalisch von Netzwerk trennen. Die letzten beiden Verfahren führen meist zu einem Anruf beim Helpdesk. Dort kann das Sicherheitsproblem dann behoben werden. Stellen Sie vor den letztgenannten Aktionen sicher, dass Sie über die Rückendeckung von Vorgesetzten verfügen. Anmerkung: Im TechNet Script-Center stehen Scripts zur Deaktivierung und Aktivierung von Benutzerkonten zur Verfügung: http://www.microsoft.com/technet/scriptcenter (englischsprachig). Deaktivieren eines Benutzerkontos: http://www.microsoft.com/technet/scriptcenter/user/scrug20.asp (englischsprachig). Aktivieren eines Benutzerkontos: http://www.microsoft.com/technet/scriptcenter/user/scrug25.asp (englischsprachig). Ein Einführung in das Arbeiten mit Scripts finden Sie unter http://support.microsoft.com/default.aspx?kbid=325946 (englischsprachig). 6 Reaktion auf sicherheitsrelevante Notfälle Zusammenfassung Auch mit den besten Patch-Verwaltungsverfahren kann Ihre Umgebung erfolgreich angegriffen werden. Anwendungs- und Software-Updates schließen nicht alle Sicherheitslücken. Eine Software-Sicherheitslücke könnte außerdem ausgenutzt werden, bevor ein Software-Update verfügbar ist oder bevor die Sicherheitslücke öffentlich bekannt wird. Eine erneut auftretende Sicherheitslücke könnte ausgenutzt werden, bevor diese geschlossen werden kann. Sie benötigen auf jeden Fall entsprechende Notfallverfahren; Sie sollten einen NotfallReaktionsplan definieren. In diesem Kapitel werden die Kernpunkte für eine Vorbereitung auf einen Notfall und Ideen für einen Notfall-Reaktionsplan beschrieben. Es beschreibt Maßnahmen und Ideen, mit denen die Auswirkungen eingeschränkt werden und über die Sie in einer NotfallSituation die Kontrolle zurück erlangen. Vorbereitungen für den Notfall – Planen von Alternativen Bei der Vorbereitung eines Notfall-Reaktionsvorfalls gibt es drei Hauptbereiche: Regelmäßige Überwachung, Werkzeuge zur Einbruchserkennung und entsprechende Verfahren. Ein eindeutiges Notfall-Reaktionsteam mit einem formellen Notfall-Reaktionsplan, inklusive Techniken zur Isolierung und Eindämmung, die schnell für die gesamte Umgebung durchgesetzt werden können. Aktionen noch dem Sicherheitsvorfall und ein Nachbetrachtungsverfahren, um aus dem Angriff zu lernen. Die folgenden Angriffsarten sollten berücksichtigt werden: Virus- oder Wurm-Angriffe. DDOS-Angriffe (Distributed Denial of Service). Nicht autorisierten Netzwerkzugriff. Missbrauch des internen Netzwerks. Einige weitere Verfahren, von denen Sie in der Vorbereitung auf Angriffe profitieren könnten, sind zum Beispiel: Pflegen Sie sichere Betriebssystem-Images, die schnell wiederhergestellt werden können. Stellen Sie sicher, dass Ihre Organisation mit allen Techniken vertraut ist, die während eines Angriffs erforderlich sein könnten. Stellen Sie sicher, dass Ihre Endbenutzer mit den Sicherheitsrichtlinien vertraut sind und diese auch einhalten. Pflegen Sie eine priorisierte Liste aller Einrichtungen und Ressourcen, die bei einem Notfall zuerst geschützt werden sollten. Gehen Sie nach den in diesem Handbuch empfohlenen Verfahren zur Verwaltung von Sicherheitspatches vor. Abonnieren Sie Sicherheits-Benachrichtigungsdienste, und scannen Sie regelmäßig nach Sicherheitslücken. Dies wird in Teil II, Kapitel 2, Einrichtung besprochen. Etablieren und Pflegen Sie für alle Systeme Notfall-Wiederherstellungsinformationen. Berücksichtigen Sie für kritische Systeme Failover-Möglichkeiten (möglichst an einem anderen Standort) und Verfahren. Hinterlegen Sie alle Software-Updates auf CD. Diese können Sie auch dann noch verwenden, wenn der Internetzugang betroffen ist. Anmerkung: Microsoft® Windows® Update bietet Ihnen einen Software-Update-Katalog der heruntergeladen werden kann. Hierzu klicken Sie auf Start, Alle Programme und Windows Update. Auf der Windows-Update-Webseite klicken Sie dann auf Windows Update anpassen und aktivieren das Kontrollkästchen Verknüpfung für UpdateKatalog unter Siehe auch anzeigen. Windows Update: http://www.windowsupdate.com (englischsprachig). Office Update und das Office Download Center für Office-Software-Updates: http://office.microsoft.com/downloads/ (englischsprachig). Angriffe durch starke Sicherheitskonfigurationen vermeiden Zusätzlich zur Verwaltung der Sicherheitspatches gibt es mehrere Verfahren, die Ihnen bei der Vermeidung von Angriffen helfen können. Sie können zum Beispiel die Standardkonten und gruppen umbenennen, da diese häufig angegriffen werden. Zur Sicherheit im Zusammenhang mit Microsoft Produkten gibt es eine Vielzahl von Ressourcen: Absichern von Windows 2000 Server: http://go.microsoft.com/fwlink/?LinkId=14837 (englischsprachig). Windows Server 2003 Security Guide: http://go.microsoft.com/fwlink/?LinkId=14845 (englischsprachig). Windows XP-Sicherheitshandbuch: http://go.microsoft.com/fwlink/?LinkId=14839 (englischsprachig). Bedrohungen und Gegenmaßnahmen: Sicherheitseinstellungen unter Windows Server 2003 und Windows XP: http://go.microsoft.com/fwlink/?LinkId=15159 (englischsprachig). Sicherheitsoperationen für Exchange 2000 Server: http://www.microsoft.com/technet/security/prodtech/mailexch/opsguide (englischsprachig). Absichern von Wireless LANs: http://go.microsoft.com/fwlink/?LinkId=14843 (englischsprachig). Der Microsoft Internet Security and Acceleration (ISA) Server, eine multilayer UnternehmensFirewall und ein Webcache können dazu beitragen, das Netzwerk vor Viren und Würmer zu schützen. Weitere Informationen zu präventiven Maßnahmen finden Sie unter http://www.microsoft.com/isaserver/techinfo/prevent (englischsprachig). Einbruchserkennung Einige Angriffe sind einfach zu erkennen – die E-Mail-Viren Melissa und Anna Kournikova zeigen ihr Vorhandensein zum Beispiel deutlich an, und Code Red zeigt sich auf dem Webserver. Andere Angriffe, wie zum Beispiel durch SQL-Slammer, zeigen keine deutlichen Anzeichen außer einem erhöhten Netzwerkverkehr. Es gibt im Internet eine Menge Quellen, die Ihnen bei der frühzeitigen Erkennung von ungewöhnlichen Aktivitäten helfen: CERT Current Activity (Bietet außerdem Checklisten und Anweisungen für Notfallverfahren): http://www.cert.org/current/ (englischsprachig). Internet Storm Center: http://isc.incidents.org (englischsprachig). Computer Incident Advisory Capability (CIAC): http://www.ciac.org/ciac/ (englischsprachig). Netzwerküberwachung Damit eine Einbruchserkennung möglich ist, benötigen Sie eine Kombination von Werkzeugen und Verfahren. Sie können zum Beispiel während der normalen Netzwerküberwachung auf die folgenden Aktivitäten achten: Plötzliche Steigerung des Gesamtverkehrs: Mehr Netzwerkverkehr kann durchaus normal sein. Zum Beispiel wenn Ihre Webseite auf einer populären Nachrichtenseite erwähnt wird. Er könnte jedoch auch ein Zeichen für ein Problem sein. Legen Sie einen Basiswert für den Verkehr der Firewall und der Router fest. Prüfen Sie dann regelmäßig, ob diese Basiswerte überschritten werden. Plötzliches gehäuftes Auftreten von fehlerhaften Paketen: Einige Router sammeln Statistiken über die gerouteten Pakete. Außerdem können Sie Netzwerkscanner zur Erkennung von solchen Pakten verwenden. Eine große Zahl von Paketen wird von der Firewall oder vom Router ausgefiltert: Firewalls filtern unter anderem gefälschte Pakete. Wenn eine große Zahl solcher Pakete auftritt, kann dies ein Zeichen dafür sein, dass ein Rechner im Netzwerk kompromittiert wurde. Anmerkung: Mit dem Microsoft Systems Management Server (SMS) wird ein Tool namens Netzwerkmonitor geliefert. Mit diesem können Sie den Netzwerkverkehr überwachen. Unter Windows 2000 steht Ihnen eine eingeschränkte Version zur Verfügung. Weitere Informationen zum Netzwerkmonitor finden Sie unter http://support.microsoft.com/?kbid=812953 (englischsprachig) und im Dokument Häufig gestellte Frage zum Netzwerkmonitor unter http://support.microsoft.com/?kbid=294818 (englischsprachig). Auch ein ISA Server bietet mehrere Möglichkeiten, die Ihnen bei der Erkennung von Einbrüchen und der Reaktion auf diese helfen. Weitere Informationen hierzu finden Sie unter http://www.microsoft.com/isaserver/techinfo/planning/firewallsecuritywp.asp (englischsprachig). Überwachungskonfiguration Es gibt mehrere Bereiche, die Sie auf Computern und in Domänen überwachen sollten: Nicht autorisierte Dienste: Prüfen Sie, welche Dienste auf Servern und Workstations ausgeführt werden. Stellen Sie sicher, dass nur notwendige Dienste ausgeführt werden. Legen Sie für die auf den Computern ausgeführten Dienste eine Basiskonfiguration fest. Prüfen Sie diese dann regelmäßig auf Veränderungen. Versteckte Dateien oder neue Verzeichnisse: Prüfen Sie die versteckten Dateien in den Ordnern C:\, C:\Winnt und C:\Winnt\System32. Neue und unbekannte Benutzerkonten: Wenn neue Benutzerkonten auftauchen, besonders wenn die Mitglieder in privilegierten Gruppen sind, kann dies auf einen erfolgreichen Angriff hinweisen. Anmerkung: Im TechNet Script-Center finden Sie einige Scripts, mit denen Sie die Dienste, Ordern und Benutzerkonten über das Netzwerk abfragen können: Dienste abfragen: http://www.microsoft.com/technet/scriptcenter/services/ScrSvc04.asp (englischsprachig). Ordner auflisten: http://www.microsoft.com/technet/scriptcenter/filefolder/ScrFF25.asp (englischsprachig). Benutzerkonten einer NT 4.0 Domäne auflisten: http://www.microsoft.com/technet/ScriptCenter/user/ScrUG120.asp (englischsprachig). Ereignisprotokolle überwachen Ereignisprotokolle sind ebenfalls eine wertvolle Informationsquelle. Prüfen Sie die Protokolle auf die folgenden Ereignisse: Ungeplante Neustarts von Servern: Dies kann bedeuten, dass diese kompromittiert wurden. Ungeplante Neustarts von Serveranwendungen Nicht erfolgreiche Dateizugriffe: Viele Angriffe versuchen auf das Dateisystem zuzugreifen. Wenn erfolglose Zugriffe überwacht werden, können Sie so einen Angriff erkennen. Anmerkung: Weitere Informationen zur Überwachung unter Windows finden Sie unter http://support.microsoft.com/?kbid=300549 (englischsprachig). Die besten Verfahren für eine Überwachung unter Windows 2000 finden Sie unter http://www.microsoft.com/windows2000/en/server/help/sag_SEconceptsImpAudBP.htm?i d=420 (englischsprachig). Sie sollten die Protokollierungsrichtlinien regelmäßig prüfen. Protokolldateien können möglicherweise zu klein sein. Sie sollten ein Verfahren einrichten, mit dem die Protokolldateien regelmäßig gesichert werden – und zwar bevor Daten verloren gehen. Es gibt diverse Tools, die Ihnen bei der Arbeit mit Protokolldateien helfen: Log Parser 2.0: Mit diesem Werkzeug können Sie über SQL-ähnliche Abfragen Informationen aus den unterschiedlichsten Dateiformation abfragen. Sie finden das Tool unter http://www.microsoft.com/windows2000/downloads/tools/logparser (englischsprachig). EventCombMT: Mit diesem Tool können Sie die Ereignisprotokolle auf mehren Servern gleichzeitig durchsuchen. Es ist im Windows Server 2003 Resource Kit enthalten. Sie finden das Windows Server 2003 Resource Kit unter http://go.microsoft.com/fwlink/?LinkId=4544 (englischsprachig). Kommandozeilen-Tools: Für Windows XP und Windows Server 2003 stehen Ihnen Tools wie EventQuery.vbs und EventTriggers.exe zur Verfügung. Diese helfen Ihnen bei der Verwaltung von Ereignissen. Sie finden die Tools unter http://www.microsoft.com/technet/prodtechnol/winxppro/proddocs/event_commandline.asp (englischsprachig). Microsoft Operations Manager: Stellt Ihnen eine umfassende Ereignisverwaltung, eine proaktive Überwachung und Trendanalysen zur Verfügung. Weitere Informationen finden Sie unter http://www.microsoft.com/mom (englischsprachig). Weitere Quellen: Detaillierte Erklärungen, Empfehlungen und Links zu Supportmöglichkeiten finden Sie unter http://www.microsoft.com/technet/support/eventserrors.asp Anmerkung: Weitere Informationen zur Überwachung und Einbruchserkennung, inklusive der zu überwachenden Ereignis-IDs, finden Sie unter http://www.microsoft.com/technet/security/prodtech/windows/secwin2k/09detect.asp (englischsprachig). Es gibt außerdem eine Vielzahl von kommerziellen Systemen zur Einbruchserkennung, die bekannte Muster von Angriffen verwenden, um diese zu erkennen. In Teil I, Anhang A, "Drittanbieter Tools und Ressourcen sind einige von Ihnen aufgelistet. Notfall-Reaktionsplan Wenn Sie es mit einem aktiven Angriff zu tun haben, gibt es Gegenmaßnahmen, mit denen Sie dessen Auswirkungen abschwächen können. Ein guter Reaktionsplan definiert die während eines Angriffs durchzuführenden Aktionen. Er stellt sicher, dass alle Verantwortungsbereiche und Rollen innerhalb der Organisation bekannt sind und dass es Auslösemechanismen für die Aktionen gibt. Anmerkung: Weitere Informationen zu Reaktionsplänen finden Sie unter http://www.microsoft.com/technet/security/prodtech/windows/secwin2k/10respnd.asp (englischsprachig). Das CERT hat ein Handbuch für Notfall-Reaktionsteams veröffentlicht: http://www.cert.org/archive/pdf/csirt-handbook.pdf (englischsprachig). Beispieldokumente zur Behandlung von Notfällen finden Sie unter http://www.sans.org/score/ (englischsprachig). Bewertung Der erste Schritt in einem Notfall-Reaktionsszenario ist die Identifizierung und die Definition des Notfalls. Wenn Sie sich in einer Notfallsituation befinden, erfordert der Angriff Ihre sofortige Aufmerksamkeit. Wie verwundbar sind Ihre Systeme? Damit Sie sich um die wertvollsten Ressourcen zuerst kümmern können, müssen diese schleunigst mit Prioritäten versehen werden. Wenn Sie feststellen, dass ein Angriff durchgeführt wird, sollen Sie folgende Aktionen vornehmen: Identifizieren Sie die Art des Angriffs: Handelt es sich um einen DdoS-(Distributed Denial of Service) Angriff oder einen Angriff, der sich nur auf Sie bezieht? Versucht jemand Ihr Netzwerk komplett zu schädigen oder nur in einzelne Computer einzubrechen? Finden Sie die Quelle des Angriffs: Verwenden Sie die Firewall- und Überwachungsprotokolle, um festzustellen, wo der Angriff herkommt. So finden Sie heraus, ob er von einem kompromittierten Host in Ihrem Netzwerk oder von einem externen Host gestartet wurde. Benachrichtigung und Eskalation Eine saubere Kommunikation ist eine kritische Komponente bei der Reaktion auf einen Angriff. Legen Sie exakt fest, wer über den Angriff informiert werden muss. Verbreiten Sie diese Informationen während eines Angriffs nicht einfach in der gesamten Organisation. Beschränken Sie die Informationen auf die Personen, die diese benötigen. Wenn es sich um einen Virus oder einen Wurm handelt, kann jedoch ausnahmsweise eine unternehmensweite Kommunikation erforderlich sein. Bedenken Sie jedoch, dass die zur Kommunikation verwendete Technologie ebenfalls vom Angriff betroffen sein könnte – für diesen Fall sollten Sie über einen Ausweichplan verfügen. Die Kommunikation sollte informativ und kurz gefasst sein, so dass Panikreaktionen vermieden werden. Das Notfall-Reaktionsteam sollte im Zentrum der Kommunikation stehen. Kontaktieren Sie die Hersteller Wenn ein Microsoft Produkt von einem Angriff betroffen ist, benachrichtigen Sie den Microsoft Product Support Services unter http://support.microsoft.com/default.aspx?LN=DE&x=10&y=13 (englischsprachig). Dort erhalten Sie Support zu Viren- und Sicherheitspatches. Wenn Sie einen Microsoft Premier Support-Vertrag abgeschlossen haben, sprechen Sie Ihren Betreuer bei Microsoft an. Bei Microsoft stehen Ihnen Sicherheitsexperten zur Verfügung, die Ihnen bei der Reaktion auf einen Sicherheits-Notfall helfen. Strafverfolgung Ein Einbruch kann eine Straftat darstellen. Berücksichtigen Sie mögliche externe Stellen (z. B. Regierungsorganisationen, Strafverfolgungsbehörden etc.), die benachrichtigt werden müssen. Rechtsbeistand einholen Möglicherweise kann es erforderlich sein, für eine spätere strafrechtliche Verfolgung einen Rechtsanwalt hinzuzuziehen. In diesem Fall sollten Sie alle geschäftlichen Auswirkungen (Schäden) festhalten und mögliche Beweise sichern. Solche Beweise sind zum Beispiel: Sicherheitskopien aller Protokolle auf einen Medium, von dem nur gelesen werden kann. Snapshots der aktuellen Systemstati (Dienste, offenen Ports, Benutzerkonten, Speicherbelegung usw.) und Images aller betroffenen Platten. Werkzeuge hierzu finden Sie in Teil I, Anhang A, Drittanbieter Tools und Ressourcen. Wenn die Beweissicherung schwierig ist, und Sie einen Ausweichcomputer zur Verfügung haben, versuchen Sie nicht den betroffenen Computer zu reparieren oder zu verändern. Nehmen Sie diesen außer Betrieb und verwenden Sie den Ausweichcomputer. Isolieren und Eingrenzen In vielen Umgebungen spielt eine hohe Verfügbarkeit eine wichtige Rolle. Wenn Computer während eines Angriffs jedoch weiterhin zugreifbar bleiben, kann dies zu weiteren Schäden führen. Wägen Sie die Auswirkungen des Angriffs genau gegen eine mögliche Gegenmaßnahme ab. Angriffe, die sensible Daten veröffentlichen, zerstören oder manipulieren, können es erforderlich machen, die entsprechenden Computer vom Netz zu nehmen. Weniger aggressive Angriffe, zum Beispiel einige DoS-Angriffe, erfordern keine solch schwerwiegenden Maßnahmen. In den meisten Fällen reicht es aus, die Quelle des Angriffs von Netzwerk zu trennen. Wenn Sie extreme Maßnahmen mit geschäftlichen Auswirkungen durchführen müssen, sollten Sie diese ausführlichst dokumentieren. So können sie nach dem Angriff wieder sauber entfernt werden. Die folgenden Aktionen können Sie zur Isolierung eines Angriffs durchführen: Zugangspunkte deaktivieren: Stellen Sie fest, welchen Zugang der Angreifer verwendet. Implementieren Sie Gegenmaßnahmen (zum Beispiel das Deaktivieren von Modems, VPNs und RAS-Server herunterfahren, die Firewall oder den Router neu konfigurieren oder Netzwerkgeräte physikalisch von Netzwerk trennen. Vertrauliche, sensible oder proprietäre Daten schützen: Als Teil der NotfallReaktionsplanung sollten Sie genau definieren, welche Ressourcen sensible Informationen enthalten. Abhängig von der Art des Angriffs könnte es sinnvoll sein, diese Ressourcen herunterzufahren. Software vor dem Angriff schützen: Schützen Sie Ihr System vor einer Veränderung oder Beschädigung der Systemdateien, da dies zu kostenintensiven Ausfallzeiten führen könnte. Den Angriff blockieren: Wenn der Angriff oder der Angriffsversuch von außen kommt, blockieren Sie den Zugriff auf Ihr Netzwerk von dieser IP-Adresse oder über spezielle Ports. Bedenken Sie, dass ein Angriff nicht zwingend über nur eine IP-Adresse oder einen Port stattfinden muss. Wenn Sie Opfer eines DDoS-Angriffs werden, könnten Sie Ihre Gegenmaßnahmen mit Ihrem ISP koordinieren. Außerdem gibt es einige Komponenten, die Sie während eines Angriffs deaktivieren oder ausschalten können: Quellcomputer des Angriffs entfernen: Wenn Sie feststellen, dass Computer kompromittiert wurden und für einen Angriff verwendet werden, dann sollten Sie diese von Netzwerk trennen. Dateifreigaben: Setzen Sie die Berechtigungen für die Dateifreigaben auf Nur-Lesen. VPNs und RAS: Schützen Sie die Remotebenutzer vor dem Angriff, indem Sie diese daran hindern, sich mit dem Netzwerk zu verbinden. Internetverbindung: Trennen Sie die Verbindungen nach außen. Interne Verbindungen: Trennen Sie die Verbindungen zu anderen Zweigstellen oder Niederlassungen. Dienste und Anwendungen anhalten: Sicherheitslücken sind oft von Diensten abhängig. Ports blockieren: Angriffe sind meist von bestimmten Ports abhängig. Passwörter von Konten mit umfangreichen Rechten ändern: Viele Angriffe versuchen die Passwörter von bestimmen Konten zu erraten. Dies können zum Beispiel das Administratoroder das Gastkonto sein. Anmerkung: Weitere Informationen zur Blockierung von Ports über IPSec und zur Absicherung von Servern finden Sie unter http://www.microsoft.com/technet/itsolutions/network/maintain/security/ipsecld.asp (englischsprachig). Scripts, über die Sie Dienste über das Netzwerk anhalten und starten können finden Sie unter http://www.microsoft.com/technet/scriptcenter/services (englischsprachig). Scripts, über die Sie Passwörter über das Netzwerk ändern können finden Sie unter http://www.microsoft.com/technet/scriptcenter/user (englischsprachig). Analyse und Reaktion Damit Sie nach einem Angriff in der Lage sind alle Systeme wiederherzustellen, müssen Sie feststellen, wie stark Ihre Umgebung kompromittiert wurde: Stellen Sie die Art des Angriffs fest. Sie kann von Ihren ursprünglichen Annahmen abweichen. Stellen Sie den Ausgangspunkt des Angriffs fest. Versuchen Sie eine Signatur des Angriffs zu erstellen. Mit ihr können Sie feststellen, ob weitere Computer angegriffen wurden. Stellen Sie das Ziel des Angriffs fest. War er speziell gegen Ihre Organisation gerichtet? Ging es um bestimmte Informationen oder war es ein zufälliger Angriff. Stellen Sie fest, welche Computer kompromittiert wurden. Stellen Sie fest, auf welche Dateien zugegriffen wurde. Wiederherstellung Wenn Sie einen Computer nach einem Angriff wiederherstellen müssen, sollten Sie diesen komplett neu installieren. Berücksichtigen Sie hierbei Ihre Basiskonfiguration. Stellen Sie sicher, dass Sie alle lokalen Passwörter ändern. Außerdem sollten Sie alle administrativen Passwörter und die der Dienstkonten der gesamten Umgebung ändern. Anmerkung: Das CERT stellt eine Liste der erforderlichen Schritte zur Wiederherstellung kompromittierter Systeme zur Verfügung. Sie finden diese Liste unter http://www.cert.org/tech_tips/root_compromise.html (englischsprachig). Beschleunigte Veröffentlichungsverwaltung Wenn Sie als Reaktion auf einen Angriff Probleme in Ihrer Umgebung beheben, verwenden Sie Ihre aktuellen Prozesse zur Veröffentlichungsverwaltung. Führen Sie jedoch nur die Schritte aus, die für eine schnelle und effektive Reaktion auf den Angriff notwendig sind. Berücksichtigen sie alle Ressourcen des Unternehmens. Während des Angriffs waren möglicherweise nicht alle Ressourcen mit dem Netzwerk verbunden – hierbei kann es sich zum Beispiel um Remotebenutzer handeln. Wenn Sie eine beschleunigte Bereitstellung von Sicherheitspatches durchführen, müssen Sie diese möglicherweise neu durchführen, wenn diese Ressourcen wieder mit dem Netzwerk verbunden sind. Werkzeuge und Technologien zur Bereitstellung von Sicherheits-Updates werden in Teil II, Kapitel 4, Sicherheitsveröffentlichungen besprochen. Berücksichtigen Sie als letzte Lösung, wenn sich ein Angriff zum Beispiel auf Netzwerkdienste auswirkt, eine manuelle Verteilung der Software-Updates. Überwachung und Deeskalation Nachdem Sie ein Update in der Produktivumgebung installiert haben, überwachen Sie die Computer und das Netzwerk. Eine Deeskalation bedeutet die Rückkehr zum normalen Geschäftsbetrieb. Aktivitäten nach dem Vorfall und Nachbetrachtung Nachdem der Sicherheitsvorfall behoben wurde, gibt es einige Aktivitäten, die Sie durchführen müssen: Erstellen Sie eine Änderungsanforderung nach den Prozessen Ihrer Organisation. Stellen Sie sicher, dass die ausgenutzten Sicherheitslücken mit in die Sicherheitsscans und Sicherheitsrichtlinien aufgenommen werden. Stellen Sie den Gesamtschaden und die Kosten fest – und zwar sowohl die Kosten durch Ausfallzeiten als auch die Wiederherstellungskosten. Prüfen Sie die Handhabung des Sicherheitsvorfalls durch Ihre Organisation. So können Sie Ihren Notfall-Reaktionsplan verbessern. 7 Ergebnisoptimierung Messverfahren und Verbesserungen Nachdem Sie den Prozess der Sicherheitspatch-Verwaltung etabliert haben, verbessern Sie deren Effektivität. Auch mit einer genauen Planung kann es durchaus noch Verbesserungen des Prozesses geben. Es gibt drei primäre Bereiche in der Sicherheitspatch-Verwaltung die Sie verbessern können: Verbessung der Sicherheitsveröffentlichungen Verbesserung der Durchsetzung von Sicherheitsrichtlinien Verbesserung der Notfall-Reaktionspläne Verbesserung der Reaktionszeiten bei Sicherheitsveröffentlichungen Im Bereitstellungsprozess von Sicherheitsveröffentlichungen gibt es mehrere Punkte, die Sie beobachten können. Anmerkung: Zusätzlich zu den Verbesserungen in den Zeitabläufen sollten Sie auch Qualitätsverbesserungen berücksichtigen. Die folgende Liste zeigt mehrere Zeitpunkte im Prozess einer Sicherheitsverwaltung, die Sie beobachten sollten: Ta = Entdeckung einer Sicherheitslücke. Erstes öffentliches Auftreten einer Sicherheitslücke. Tb = Bulletin zu einem neuen sicherheitsbezogenen Software-Update und entsprechenden Gegenmaßnahmen. Tc = Änderungsanfrage freigegeben. Td = Bereitstellung von Software-Update bestätigt. Te = Angriffsmöglichkeit für die Sicherheitslücke entwickelt (ein tatsächlicher oder potentieller Angriff). Anmerkung: Normalerweise gilt Ta = Tb, die Entdeckung einer Sicherheitslücke passiert zum gleichen Zeitpunkt an dem ein Software-Update zur Verfügung steht. Abbildung 7.1 Beispiel Zeitplan Die Zeitplanungen die Sie in den folgenden Abschnitten finden geben Ihnen einen Einblick in das, was in der Sicherheitspatch-Verwaltung möglich ist und was nicht. Kalkulieren Sie den Zeitplan für jedes Sicherheitsloch, und ermitteln Sie für die einzelnen Zeitabschnitt einen Durchschnitt. Zusätzliche zu zeitlichen Verbesserungen, sollten Sie auch Qualitätsverbesserungen in der Sicherheitspatch-Verwaltung berücksichtigen. Verfügbarkeit von Software-Update vor dem Angriff, Te-Tb Dieser Zeitraum stellt den typischen Ablauf eines Bulletins, Software Update und den entsprechenden Gegenmaßnahmen die Verfügbar sind (T b) bevor die Sicherheitslücke ausgenutzt wird(Te). Es ist wichtig festzustellen, wie schnell Sicherheitslücken von Viren und anderen Angriff ausgenutzt werden. Dieser Zeitraum unterliegt nicht der Kontrolle Ihrer Organisation. Er kann sich jedoch auf die internen Zeitabläufe auswirken. Anmerkung: Beispiele für diesen Zeitraum finden Sie in Tabelle 1.7 in Teil I, Kapitel 1. "Sicherer" Zeitraum vor einem Angriff, Te-Td Bei diesem Zeitraum geht von der Verfügbarkeit des Updates (T d) bis zur Ausnutzung der Sicherheitslücke (Te). Sie sollten versuchen, diesen Zeitraum auf lange Sicht zu vergrößern. Wenn der Wert negativ ist, haben Sie Probleme mit Ihrer Patchverwaltung – Sie arbeiten entweder reaktiv, oder warten darauf das Probleme auftreten. Anmerkung: Sicherheitslücken können aus vielen Gründen wieder auftreten. Im folgenden Abschnitt finden Sie Informationen zu einer Verbesserung der Durchsetzung von Sicherheitsrichtlinien. Zeitraum mit offener Sicherheitslücke, Td-Ta Dieser Zeitraum liegt zwischen Erkennung einer Sicherheitslücke (T a) und der Bereitstellung eines Software-Updates (Td). Diesen Zeitraum sollten Sie langfristig verringern. Zeitraum der Veröffentlichungsverwaltung: Td-Tc Diese Auflistung zeigt Ihnen, wie lange eine Organisation für die verschiedenen Aktivitäten bei einer Veröffentlichungsverwaltung benötigt. Um die Veröffentlichungsverwaltung zu verbessern, berücksichtigen Sie die folgenden Bereiche: Veröffentlichungsplanung: Soll das Formular zur Änderungsanforderung weitere Informationen umfassen die bei der Planung hilfreich sein könnten? Veröffentlichungsentwicklung: Gibt es Tools oder Fähigkeiten in Ihrer Organisation die hierbei hilfreich wären? Akzeptanztest: Gibt es Werkzeuge die den Testzeitraum verkürzen könnten? Ist die Testumgebung korrekt eingerichtet und verwaltet? Rollout-Planung und Vorbereitung: Haben Sie genügend Informationen über Ihre Organisation um eine effiziente Patchverwaltung durchzuführen? Gibt es weitere Informationen die Sie regelmäßig überprüfen können? Bereitstellung: Verwenden Sie Tools die Ihnen bei der Bereitstellung helfen, oder handelt es sich weitgehend um einen manuellen Prozess? Änderungsüberprüfung: Gibt es ausreichend Berichte und Informationen über den Erfolg oder den Fehlschlag eines Updates? Änderungseinleitung und Verwaltungszeitraum, Tc-Tb Dieser Zeitraum zeigt, wie viele Zeit Ihre Organisation für die Änderungseinleitung und den Verwaltungsprozess aufwendet. Um die Änderungsverwaltung zu verbessern sollten Sie die folgenden Bereiche berücksichtigen: Änderungseinleitung: Wie lange dauert es von der Entdeckung einer Sicherheitslücke bis zu Verfügbarkeit eines entsprechenden Sicherheitspatches? Änderungsklassifizierung: Ist es einfach die Priorität einer Sicherheitsveröffentlichung festzulegen? Stehen die benötigten Inventar- und Konfigurationsinformationen zur Verfügung? Änderungsfreigabe: Wie schnell werden Änderungen freigegeben? Trifft sich das Freigabeteam häufig genug? Verbessung der Durchsetzung von Sicherheitsrichtlinien Auch wenn Sicherheitslücken beseitigt wurden, können diese wieder auftreten. Die Installation von neuen Computenr und eine verteilte Administration können zum erneuten Auftreten führen. Berücksichtigen Sie die Sicherheits-Scanberichte und erstellen Sie bei jedem erneuten Auftreten einer Sicherheitslücke einen Sicherheitsvorfall. Wenn Sicherheitslücken erneut auftreten, ist dies normalerweise ein Hinweis auf ein administratives Problem oder ein Problem mit der Sicherheitsrichtlinie. Um solche Probleme zu beheben, berücksichtigen Sie die folgenden Punkte: Basis-Images der Computer erstellen: Werden die Images bei der Installation von neuen Computern verwendet? Werden die Images mit den neusten Sicherheitspatches aktualisiert? Dezentrale Administration: Wie viele Gruppen installieren in Ihrer Organisation Computer? Gehen diese alle nach den gleichen Sicherheitsrichtlinien und Vorgaben vor? Administrativer Zugriff: Wie viele Personen Ihrer Organisation haben die administrativen Rechte zur Installation von Software? Gib es Endbenutzer mit administrativen Rechten? Häufige Quellen für Sicherheitsprobleme: Werden Sicherheitsprobleme von einer bestimmten Abteilung oder einem bestimmten Typ von Computern verursacht? Sie können die Zahl von wiederholt auftretenden Sicherheitslücken möglicherweise deutlich durch eine Änderung der Richtlinien und Verfahren im Bezug auf die Computeradministration verringern. Notfall-Reaktionspläne verbessern Im Idealfall müssen die Notfall-Reaktionspläne einer Organisation nie in einer tatsächlichen Angriffsituation umgesetzt werden. Sollte es dennoch notwendig werden auf einen Angriff zu reagieren, bedenken Sie, dass es sich um eine hervorragende Möglichkeit handelt aus dieser Erfahrung zu lernen. Nach einem solchen Vorfall sollten Sie mit den Verantwortlichen eine Nachbetrachtung durchführen. Alternativ können Sie Ihre Notfall-Reaktionspläne intern oder durch einen Drittanbieter überprüfen lassen. Außerdem können Sie Einbruchstest zur Erkennung von Schwachstellen durchführen. Überprüfung der Notfall-Reaktion Wenn Sie die Leistung Ihrer Organisation bei der Handhabung von Angriffen beurteilen, versuchen eine Testumgebung zu erstellen, in der Sie Sich darauf konzentrieren können die Leistung der Prozesse und Verfahren zu verbessern. Hierbei sollten Sie die folgenden Bereiche berücksichtigen: Zeitplan des Sicherheitsvorfalls: Was passierte wann? Ohne eine genaue Übersicht darüber, was passiert ist, ist es schwierig ein Ereignis zu betrachten. Erfolgsfaktoren: Was hat funktioniert? Welche Aspekte des Verfahrens funktionieren? Bereiche, die Verbessert werden müssen: Was hat nicht funktioniert? Was hat nicht wie erwartet funktioniert? Änderungsvorschläge: Was soll geändert werden? Wie sind Sie auf einen zukünftigen Angriff besser vorbereitet? Wer ist für die Änderung verantwortlich? Im Idealfall sollte die Überprüfung zwischen vier Stunden und zwei Tagen dauern. Führen Sie die Überprüfung nicht sofort nach einem Angriff durch – warten Sie stattdessen ein paar Tage. Berücksichtigen Sie bei der Überprüfung der Notfall-Reaktion die folgenden Elemente: Was muss zur Verhinderung von Zukünftigen Angriffen unternommen werden? Wie wird ein Angriff erkannt? Wie wird der Rest der Organisation über die Situation informiert? Wie erhält jede Gruppe die von ihr benötigten Informationen? Welche zusätzlichen Ausweichpläne sollten für zukünftige Angriffe vorbereitet werden? Ist jeder Gruppe die eigene Rolle und die eigene Verantwortung während eines Angriffs klar? Wie sollen die einzelnen Gruppen zusammenarbeiten? Wie können Sie effektiv und umfassend kommunizieren? Berücksichtigen Sie, dass einige Kommunikationskanäle betroffen sein könnten. Wie werden die Endbenutzer bei einem Ereignis informiert? Wie werden sie vor einem Ereignis vorbereitet? Könnte Sich jemand durch die Verwirrung während eines Angriffs zunutze machen und sich erweiterte Rechte verschaffen? Wie könnte dies vermieden werden? Teilen Sie den Ergebnissen der Überprüfung Prioritäten zu. Stellen Sie sicher, dass jeweils Verantwortliche und Fristen zugeordnet sind. Tätigkeitsbeurteilung Eine schnelle Selbstbeurteilung für Ihre Organisation finden Sie unter http://www.microsoft.com/technet/itsolutions/tandp/opex/moftool.asp (englischsprachig). Consultingdienste für diesen Bereich und weitere Informationen hierzu finden Sie unter http://www.microsoft.com/solutions/msm/evaluation/overview/opsassessment.asp (englischsprachig). Sicherheitsbeurteilung Eine Sicherheitsbeurteilung soll Sicherheitsfachleuten bei der Entwicklung einer Sicherheitsstrategie unterstützen. Diese soll die Verfügbarkeit, Integrität und Vertraulichkeit der Daten eine Organisation sichern. Eine typische Sicherheitsbeurteilung umfasst eine Organisationsbeurteilung, eine Ressourcenbewertung, eine Bedrohungsidentifizierung, eine Beurteilung der Sicherheitsprobleme und eine Sicherheits-Risikobestimmung. Eine Sicherheitsbeurteilung kann auf Organisationsebene oder für einen Teil der Umgebung durchgeführt werden. Weitere Informationen die Ihnen bei einer Sicherheitsbewertung helfen finden Sie unter http://www.microsoft.com/technet/security/prodtech/windows/secwin2k/03secrsk.asp (englischsprachig). Über das Microsoft Gold Certified Partner Program for Security Solutions finden Sie Firmen die über Erfahrungen mit Sicherheitstechnologien und Sicherheitsbewertungen verfügen. Weitere Informationen zu diesem Programm finden Sie unter http://members.microsoft.com/partner/partnering/programs/securitysolutions/default.aspx (englischsprachig).