| Några snabba tips på vägen till god patchhantering |
| 1. |
Arbeta fram en strategi för hur uppdateringar (hädanefter kallat patchar) skall hanteras och distribueras inom ditt företag. Se till att alla i ledande funktion förstår nödvändigheten med detta samt att de ställer sig bakom denna strategi.
|
| 2. |
Utse en ansvarig medarbetare som besitter nödvändig kompetens inom området. Denna person kan sedan vidarebefordra ansvar gällande specifika program eller applikationer till andra medarbetare om IT-miljön är omfattande. Allt styrs av de resurser som företaget förfogar över samt hur den specifika situationen ser ut.
|
| 3. |
Jobba standardiserat. Arbeta fram en fungerande rutin och följ denna. Tillåt inte okontrollerbara lokala lösningar på platskontoret långtbort i stan bara för att det för stunden är enkelt och innebär mindre konflikt. Den dagen en incident inträffar kommer inte det aktuella platskontoret att sträcka upp handen och ta på sig ansvaret utan det kommer du som utsedd ansvarig för detta område att få göra.
|
| 4. |
Se till att en aktuella IT-miljön är dokumenterad. Just patchhantering är en väldigt viktig del av varför en IT-miljö skall dokumenteras. Anledningen till detta är att den som ansvarar för patchhanteringen skall få en klar syn över vilka resurser, program och applikationer som används inom företaget. Olika program kan ha olika krav när det gäller patchhantering och då måste detta dokumenteras.
En annan mycket viktig faktor som också tidigare nämnts är om den ansvarige slutar på företaget. Om den ansvarige lämnar företaget med all information i sitt huvud blir det ingen bra situation. Vi skulle vilja gå så långt som att säga att all typ av dokumentation är en ren självbevarelsedrift för alla företag oavsett storlek.
|
| 5. |
Var insatt i vilka sårbarheter som är aktuella och vilka patchar som finns att tillgå.
|
| 6. |
Gör en riskanalys innan patcharna distribueras. Denna punkt gäller kanske främst på gemensamma resurser som till exempel servrar. Se till att vara insatt i den aktuella miljön och administrera patchharna manuellt i känsliga miljöer.
I servermiljö är det en rekommendation att lägga på patcharna manuellt en och en med utförd dokumentation kring varje patch. På så sätt får vi en snabb spårbarhet om systemet börjar agera instabilt. Vi kan som exempel nämna när en uppdatering av en UPS (en enhet för batteribackup) slog ut en server på grund av att uppdateringen utfördes med automatik utan eftertanke.
|
| 7. |
Distribution av patcharna. Arbeta så långt det går med automatiska uppdateringar på klientsidan. De flesta moderna operativsystem och program uppdateras automatiskt men ibland krävs det att vi som användare konfigurerar systemet att sköta detta med automatik. I ett mindre nätverk kan man sköta distributionen manuellt men detta kan av administrativa skäl vara svårt i ett större nätverk.
Servrar bör uppdateras manuellt med informationsinsamling om den aktuella patchen innan den installeras. Dokumentation om resultat och verkan bör föras kring varje patch för att eventuella problem snabbt skall kunna spåras och avhjälpas.
|
| 8. |
Övervaka konstant den aktuella IT-miljön med avsikt att finna ouppdaterade resurser. Det krävs ett aktivt arbete med patchhantering och det är av stor vikt att detta arbete utförs på ett riktigt sätt med en fastlagd strategi. En säkerhetslucka utnyttjas mycket snabbt av illasinnade element vilket innebär att man inte bör skjuta på detta arbete till morgondagen. |
| |
| MBSA - ett gratis hjälpmedel vid patchhantering |
| |
Ett bra hjälpmedel för att kontrollera patchstatus i IT-miljöer med Windowsbaserade system är MBSA (Microsoft Baseline Security Analyzer). MBSA hjälper dig att snabbt få en överblick över vilka uppdateringar som saknas i de Windowsbaserade systemen. Du kan ladda ner MBSA 2.1 genom att klicka på ikonen för download (Engelsk version).
|
| |
|
| 1. |
Ladda ner MBSA och spar filen lokalt på en dator som är ansluten till nätverket. Dubbelklicka på .msi filen och Klicka därefter på Kör.
|
| 2. |
Installationsguiden rekommenderar dig nu att stänga ner alla Windowsprogram därefter klickar du på knappen Next.
|
| 3. |
Acceptera licensavtalet och klicka på Next.
|
| 4. |
Välj installationsfolder (använd lämpligen den som programmet rekommenderar). Klicka därefter på Next.
|
| 5. |
Klicka därefter på Install.
|
| 6. |
När MBSA talar om att installationen är färdig klickar du på OK knappen. |
| |
| Hur använder man MBSA? |
| |
| 1. |
Gå till Start - Alla program - MBSA för att starta programmet.
|
| 2. |
Du kommer att mötas av detta fönster:
|
| 3. |
Om företaget använder en Domän kan du välja att skiva in domännamnet (foretaget-ab.se), om det inte finns en domän kan ett visst intervall med IP-adresser anges (till exempel 192.168.0.101 - 192.168.0.199).
|
| 4. |
I ett mindre nätverk kan du också installera MBSA på varje enskild resurs och göra en lokal skanning per enhet. Använd då Scan a computer.
|
| 5. |
När du har gjort önskade val klickar du på Scan now som du finner längre ner till höger på sidan.
|
| 6. |
När skanningen är klar genererar MBSA ett resultat som vi skall titta närmare på:
|
| 7. |
Vi beskär bilden lite och tittar på vad rapporten ger oss för information:
|
| |
Vi kan välja hur rapporten skall presenteras, antingen börjar man med varningar eller så börjar man visa åtgärdade punkter. Vi har valt att MBSA skall visa varningarna först. Vi har också valt att ta bort data angående domännamn, datornamn, IP-adress och namnet på rapporten.
Som första del kan vi se att det saknas 13 säkerhetsuppdateringar för Microsoft Office. Det saknas också bland annat två service packs och en säkerhetsuppdatering för Windows. I det här fallet Windows XPPro.
|
| |
Vi kan också se att några användarkonton på just denna dator har för svaga lösenord. Här kan en följdfråga uppkomma. Hur kan det finnas 6 konton en dator som man tror bara skall ha ett administratörskonto och ett användarkonto? Detta kan bero på att vissa applikationer lägger till ett konto för sina tjänster.
Till exempel finns det ett konto som heter ASPNET, det är ett konto som skapas för att ASP-tjänster skall kunna köras på ett riktigt sätt. Det finns också ett aktivt Gästkonto vilket bör inaktiveras och i det här fallet fann vi också ett konto som heter SUPPORT_388945a0.
Det är ett konto som skapas av Microsoft Help and Support Center. Detta konto är inaktivt så länge inte denna service används. Utöver detta hittar vi Administratörskontot, Hjälpassistentkontot och användarkontot.
Se bild längre ner på denna sida.
Dessa 6 konton fann MBSA under den skanning som genomfördes. Gästkontot är aktivt och har ett svagt lösenord. Botemedlet mot detta är att inaktivera Gästkontot helt och hållet.
|
| |
Forts.
Vi kan även se att alla resurser som är kopplade till just denna datorn inte använder filsystemet NTFS. I det här fallet rör det sig om två stycken portabla USB-diskar där den ena använder filsystemet FAT32.
|
| |
Vi ser också att det inte finns några ofullständiga uppdateringar.
|
| |
Den personliga brandväggen som levereras med WXP är i det här fallet inaktiverad. Anledningen i det här specifika fallet är att man använder en annan personlig brandvägg (mjukvarubrandvägg).
|
| |
Den här enheten är konfigurerad att hämta uppdateringar automatiskt från Windows. Följdfrågan blir nu hur det kan saknas uppdateringar till Officeinstallationen?
I det här fallet var det en ogiltig företagslicens som var orsaken, för att hämta uppdateringar till Officerelaterade produkter krävs det att man validerar sitt system. Ogiltiga licenser stänger dig ute från viktiga uppdateringar så se till att sköta dina licenser på ett riktigt sätt.
|
| |
Vi vet också se att Gästkontot är aktivt vilket det inte bör vara.
|
| |
Vi kan också utläsa att systemet begränsar "anonym inloggning" på ett riktigt sätt.
|
| |
Det finns två stycken konton men administrativa rättigheter vilket är ett för mycket om man skall titta ur ett säkerhetsperspektiv. Det bör endast finnas ett administratörskonto men det medför administrativt merarbete att begränsa det lokala användarkontot vilket ibland kan skapa mer problem än nytta.
|
| |
Autologon och Password Expiration kontrollerades inte eftersom den här enheten inte finns med i en domän. |
| |
|
| |
|
| |
Kontroll av Auditing genomfördes inte eftersom den aktuella enheten inte finns med i en domän. Auditing är en service som spårar och loggar speciella händelser i ett system. Detta kan vara till exempel lyckade och misslyckade inloggningsförsök.
|
| |
Vi kan också se att några tjänster som upplevs onödiga är installerade och körs på vårt system. I det här fallet var det Telnet som var installerat men stoppad från aktivitet.
|
| |
Åtta stycken resurser delas ut från systemet och i det här fallet var det 2 stycken portabla diskar, 3 stycken skrivare (inkluderat en PDF-skrivare), två lokalt utdelade resurser från C:, samt även resursen Delade dokument från C: (hårddisken).
Man bör vara restriktiv med vad man delar ut och bara dela ut vad som är absolut nödvändigt och bara under den tid som krävs. Vissa resurser kräver kanske att de förblir statiskt utdelade (exempelvis skrivare).
|
| |
MBSA redovisar också WXP som den aktuella Windows versionen på vårt system. |
| |
|
| |
 |
| |
|
| |
Vi använder inte IIS (Internet Information Server) som är en tjänst för webbaserade resurser. |
| |
|
| |
 |
| |
|
| |
SQL Server är inte installerat. SQL är en databastjänst från Microsoft. |
| |
|
| |
 |
| |
|
| |
Vi kan också se att Internet Explorer (IE) har fullgod säkerhet för alla användare.
|
| |
Fyra stycken Office produkter har också makroskyddet aktiverat vilket rekommenderas för att skydda systemet mot makrovirus. |
| |
|
| |
Under samtliga kategorier kan vi se vad som har skannats, resultat av skanningen och hur man kan rätta till eventuella problem. I vårt tycke är detta ett utmärkt hjälpmedel för att snabbt kartlägga och rätta till brister i Windowsbaserade system. |
