Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Processo de gerenciamento de patches

Fase 1 - Avaliação

Atualizado em: 01 de junho de 2007

Nesta página

Neste módulo
Objetivos
Aplicação
Como usar este módulo
Visão geral
Fazer o inventário de equipamentos e ferramentas de computação existentes
Avaliar ameaças à segurança e as vulnerabilidades
Determinar a melhor fonte de informações sobre atualizações de software
Avaliar a infra-estrutura existente de distribuição de software
Avaliar a eficácia operacional
Resumo
Passar para a fase Identificação

Neste módulo

Este módulo descreve a primeira fase - Avaliação - das 4 fases do processo de gerenciamento de atualizações. A fase Avaliação trata da auditoria de software em seu ambiente de produção, da avaliação de ameaças à segurança e vulnerabilidades potenciais e da avaliação de sua infra-estrutura de gerenciamento de atualizações.

A finalidade deste módulo é descrever os princípios da fase Avaliação do processo de gerenciamento de atualizações e apresentar os tipos de tarefas que permitirão executar uma avaliação usando o Microsoft Windows Server Update Services (WSUS) e o Microsoft Systems Management Server (SMS).

Observação: A versão Beta 2 do próximo lançamento do SMS, chamada System Center Configuration Manager 2007, já está disponível para download em http://www.microsoft.com/technet/sms/2007/evaluate/download.mspx. Com grandes investimentos em simplicidade, configuração, implantação e segurança, o Configuration Manager 2007 simplifica bastante a implantação do sistema, a automação de tarefas, o gerenciamento de conformidade e o gerenciamento de segurança baseado em diretivas, o que permite maior agilidade comercial.

Após a leitura deste módulo, você poderá planejar as tarefas necessárias para determinar:

  • O que você possui em seu ambiente de produção.

  • Que ameaças à segurança e vulnerabilidades poderão ser enfrentadas.

  • Como e quando sua empresa estará preparada para responder a novas atualizações de software.

Sem um processo de avaliação em andamento, não é possível saber que equipamentos e ferramentas de computação você possui, como protegê-los nem como garantir que sua arquitetura de distribuição de software seja capaz de oferecer suporte ao gerenciamento de atualizações.

Objetivos

Use este módulo para:

  • Fazer o inventário de equipamentos e ferramentas de computação existentes.

  • Avaliar ameaças à segurança e vulnerabilidades.

  • Determinar a melhor fonte de informações sobre novas atualizações de software.

  • Avaliar a infra-estrutura de distribuição de software existente.

  • Avaliar a eficácia operacional.

Aplicação

Este módulo aplica-se aos seguintes produtos e tecnologias:

  • Todos os produtos e tecnologias Microsoft

Como usar este módulo

Este módulo descreve a fase Avaliação, que faz parte do processo de gerenciamento de atualizações de quatro fases. Ele descreve as tarefas básicas requeridas para executar a avaliação com o uso do WSUS (Microsoft Windows Server Update Services) e do SMS (Microsoft Systems Management Server).

Para aproveitar este módulo ao máximo:

  • Leia a seção Introdução do módulo "Processo de gerenciamento de atualizações". Essa seção fornece uma visão geral das quatro fases do processo de gerenciamento de atualizações, além de apresentá-lo às ferramentas disponíveis que oferecem suporte ao gerenciamento de atualizações em ambientes do sistema operacional Microsoft Windows.

  • Use as bibliotecas técnicas do WSUS e SMS para obter materiais de referência mais detalhados. Essas bibliotecas estão localizadas em:

Visão geral

A fase Avaliação é a primeira e maior fase do processo de gerenciamento de patches, como mostra a Figura 1.

Figura 1 O processo de gerenciamento de patches

Figura 1 O processo de gerenciamento de patches

Teoricamente, ele é um processo contínuo que deve ser seguido de modo que você sempre saiba que equipamentos e ferramentas de computação possui, como protegê-los e como garantir que sua arquitetura de distribuição de software ofereça suporte ao gerenciamento de atualizações.

O restante desta seção concentra-se nos requisitos fundamentais para a avaliação contínua. Estes são os requisitos:

  • Fazer o inventário de equipamentos e ferramentas de computação existentes.

  • Avaliar ameaças à segurança e as vulnerabilidades.

  • Determinar a melhor fonte de informações sobre novas atualizações de software.

  • Avaliar a infra-estrutura de distribuição de software existente.

  • Avaliar a eficácia operacional.

Fazer o inventário de equipamentos e ferramentas de computação existentes

Do ponto de vista de automação do gerenciamento de atualizações, existem dois tipos de inventários pretendidos. Os sistemas gerenciados com o uso de uma ferramenta, tal como o WSUS ou o SMS, são categorizados como infra-estrutura gerenciada. Os que não possuem um agente SMS ou um cliente de atualizações automáticas em funcionamento (para ser usado com o WSUS) ou os que foram excluídos intencionalmente da automação de gerenciamento são considerados como infra-estrutura não-gerenciada. A infra-estrutura não-gerenciada pode incluir sistemas como:

  • Sistemas de segurança, hosts DMZ e externos e sistemas conhecidos em ambientes específicos, como teste e desenvolvimento.

  • Computadores autônomos.

Os equipamentos e ferramentas não-gerenciados ainda precisam ser tratados pelo gerenciamento de atualizações. É preciso verificar esses sistemas para garantir que as atualizações mais recentes foram instaladas. As verificações manuais ou o uso do Microsoft Update podem ser a maneira mais eficaz de implantar atualizações de software nesses sistemas.

A identificação dos requisitos de gerenciamento de atualizações dos computadores autônomos ou de computadores que não são membros de um domínio sob seu controle pode ser um desafio. Sem os direitos administrativos locais para esses clientes não-gerenciados, você poderá ter muita dificuldade para coletar as informações do sistema, além do nome do computador e do endereço IP. No entanto, essas informações básicas podem servir como ponto de partida para identificar os clientes não-gerenciados em seu ambiente.

Observação: nos sistemas baseados no Microsoft Windows, o MBSA (Microsoft Baseline Security Analyzer) relata os nomes e endereços IP dos computadores que ele não consegue verificar, pois a conta do usuário que inicia a verificação não possui direitos administrativos para os computadores de destino.

Que informações devem ser coletadas?

O gerenciamento de atualizações eficaz requer o conhecimento preciso e atualizado sobre que hardware e software foram implantados no ambiente de produção. Sem essas informações, não será possível determinar que computadores de seu ambiente precisam de uma atualização de software. Também é importante determinar de que maneira os computadores clientes estão conectados à rede. Se alguns computadores se conectam por meio de links lentos ou não confiáveis ou usam o acesso remoto, como recursos dial-up, o método de distribuição e instalação de uma atualização será diferente do método usado para os que estão conectados a uma rede rápida e confiável.

As seções a seguir descrevem as informações que devem ser buscadas nos computadores do ambiente de produção para executar o gerenciamento eficaz de atualizações.

Identificando tipos e versões de hardware

Saber se um computador é portátil (cliente móvel), desktop ou servidor ajudará os administradores a determinar como uma atualização de software específica precisa ser instalada. Se você estiver atualizando um servidor, por exemplo, talvez seja preciso observar as janelas de interrupção (horários específicos em que as alterações e reinicializações são permitidas) ou certificar-se de que o servidor possui backup antes de implantar a atualização de software.

O SMS permite criar coleções com servidores que podem ser atualizados em uma janela de interrupção específica, que garante que as atualizações de software não sejam instaladas durante as operações comerciais normais. Para obter mais informações sobre como usar o SMS na fase Avaliação, consulte a Biblioteca técnica do Systems Management Server 2003.

Identificando tipos e versões de sistemas operacionais

Os administradores devem estar cientes de todos os tipos e versões de sistemas operacionais que foram implantados no ambiente de produção. O MBSA alertará sobre atualizações de segurança e service packs ausentes e identificará vulnerabilidades das instalações dos sistemas operacionais Microsoft Windows Server™ 2003, Windows Vista, Windows XP, Windows 2000 e Windows NT 4.0. Ele também relata se a configuração do computador segue as recomendações comuns de segurança, como o uso de senhas de alta segurança.

Identificando aplicativos e middleware

Como no caso da versão do sistema operacional e do service pack, os administradores devem estar cientes de todos os aplicativos e versões implantadas.

Se você implantar o WSUS, será necessário usar o MBSA 2.0.1 para identificar as atualizações de segurança ausentes. O MBSA também identificará definições de segurança configuradas incorretamente em alguns aplicativos (por exemplo, o IIS (Serviços de Informações da Internet), o Internet Explorer e o Microsoft SQL Server™). Para obter informações mais detalhadas sobre como usar o WSUS na fase Avaliação, consulte a Biblioteca técnica do WSUS (Windows Server Update Services).

Se você usa o SMS 2003, o Hardware Inventory Client Agent pode ser utilizado para coletar informações sobre todos os aplicativos, service packs e atualizações de software instalados que foram registrados no programa do Windows Adicionar ou Remover Programas. O Software Inventory Client Agent do SMS 2003 pode ser usado para obter detalhes sobre cada arquivo executável (.exe) instalado, o que inclui todos os aplicativos, mesmo os que não são registrados em Adicionar ou remover programas. Para obter mais informações sobre como usar o SMS na fase Avaliação, consulte a Biblioteca técnica do Systems Management Server 2003.

Determinando funções

É essencial determinar a função de um computador, pois os administradores precisam dessa informação para avaliar o impacto da reinicialização do computador logo que a atualização for implantada. Por exemplo:

  • Se o computador for um servidor que esteja executando um aplicativo vital para a empresa, talvez seja preciso reagendar a instalação de uma atualização de software para ocorrer durante os períodos em que ela tiver um impacto mínimo em sua empresa. Também poderá ser necessário tomar medidas para a não-interrupção das atividades na empresa, por exemplo, para que os usuários possam continuar a usar o aplicativo enquanto o servidor estiver sendo reiniciado.

  • Se o computador for um controlador de domínio que tem uma ou mais funções de mestre de operações também conhecidas como FSMOs (Flexible Single Master Operations), será necessário mover essas funções para outros controladores de domínio enquanto o computador estiver sendo atualizado. Você deverá restaurar as funções no computador original quando ele for reiniciado com êxito.

Se você usar o SMS 2003, o Hardware Inventory Client Agent poderá relatar os serviços que estão sendo executados em um determinado computador. Para obter mais informações sobre como usar o SMS na fase Avaliação, consulte a Biblioteca técnica do Systems Management Server 2003.

Observação: Como mencionado anteriormente no módulo Introdução, a versão Beta 2 do próximo lançamento do SMS, chamada System Center Configuration Manager 2007, já está disponível para download em http://www.microsoft.com/technet/sms/2007/evaluate/download.mspx.

Compreendendo a conectividade

Para efeturar uma atualização eficaz é importante entender o layout de sua infra-estrutura de rede, seus recursos, nível de segurança, velocidade e disponibilidade do link. As atualizações de software podem variar de tamanho e o conhecimento das restrições de sua infra-estrutura de rede pode reduzir muito os atrasos na distribuição dessas atualizações. Isso poderá determinar de que maneira a atualização de software será implantada em computadores clientes específicos.

O Network Discovery do SMS contém informações sobre a topologia de rede e os dispositivos conectados à rede. Para obter mais informações sobre como usar o SMS na fase Avaliação, consulte a Biblioteca técnica do Systems Management Server 2003.

Identificando atualizações instaladas e ausentes

É essencial identificar quais atualizações de software foram ou não instaladas nos computadores. Se você usa o WSUS, o MBSA deverá ser utilizado para determinar que atualização é necessária nos servidores e nas estações de trabalho de sua empresa, já que o WSUS não inclui ferramentas de auditoria específicas. No entanto, o MBSA não pode detectar a presença ou ausência de atualizações de software em todos os sistemas operacionais e aplicativos. Para obter uma lista completa dos produtos que ele consegue detectar, consulte o artigo 895660 da Microsoft Knowledge Base chamado “Microsoft Baseline Security Analyzer (MBSA) 2.0 está disponível”, em http://support.microsoft.com/kb/895660 (pode estar em inglês). Se a sua organização requer auditoria de hardware e software abrangente, a capacidade de atualizar aplicativos instalados como o SQL Server 2000 e a capacidade de implantar atualizações de software não relacionadas a segurança, você deve considerar a implantação do SMS para oferecer suporte ao gerenciamento de atualizações. Para obter informações mais detalhadas sobre como usar o WSUS na fase Avaliação, consulte a Biblioteca técnica do WSUS (Windows Server Update Services).

Se você usar o SMS 2003, poderá usar o Security Updates Inventory Tool e o Inventory Tool para atualizações da Microsoft (parte do Software Update Management) para estender o inventário de hardware do SMS, de modo que ele relate as atualizações do software que deverão ser instaladas em um conjunto de clientes. Os clientes SMS 2003 comparam o que foi instalado com a lista de atualizações de software disponíveis no catálogo de atualização mais recente (Mssecure.cab) baixado do site da Microsoft. Embora essa ferramenta não relate os service packs ausentes, os agentes de clientes de inventário de hardware e software do SMS poderão ser usados para descobrir o service pack atualmente instalado. O SMS 2003 também contém o Microsoft Office Inventory Tool for Updates, parte do Software Update Management. Isso estende o inventário de hardware do SMS de modo que ele relate as atualizações de software necessárias no Microsoft Office. Para obter mais informações sobre como usar o SMS na fase Avaliação, consulte a Biblioteca técnica do Systems Management Server 2003.

Conduzindo o inventário ou a auditoria

Uma auditoria ajuda uma empresa a compreender e obter um registro preciso de seu ambiente de produção antes de determinar as linhas de base usando as ferramentas identificadas anteriormente. Também será preciso adicionar os resultados da auditoria até esse ponto no repositório central de sua empresa para rastrear informações sobre seu ambiente de produção. Isso servirá como duplo ponto de referência, garantindo não apenas que a auditoria esteja correta, mas também que você possua um repositório atualizado. Será preciso observar as diferenças entre o resultado da auditoria e o registro do repositório e passar essas informações, de modo que sua equipe de gerenciamento de problemas efetue uma investigação. Os membros da equipe de gerenciamento de problemas deverão tentar determinar o ponto da falha no registro de informações e desenvolver uma solução alternativa, se for necessário, para evitar ocorrências similares no futuro.

Como as informações atualizadas e precisas sobre o que existe atualmente no ambiente são essenciais para o gerenciamento de atualizações, os administradores precisam verificar se uma auditoria foi feita antes de eles começarem a usar o WSUS ou o SMS para implantar atualizações de software no ambiente de produção.

Se você usa o WSUS, o MBSA deverá ser utilizado para identificar os aplicativos instalados, bem como as atualizações de segurança ausentes para tornar esses aplicativos seguros. Para obter informações mais detalhadas sobre como usar o WSUS na fase Avaliação, consulte a Biblioteca técnica do WSUS (Windows Server Update Services).

Se você usa o SMS 2003, a primeira etapa de verificação para efetuar uma auditoria bem-sucedida é confirmar se o Microsoft Office Inventory Tool for Updates e o Security Updates Inventory Tool foram executados com êxito. Isso é feito por meio da verificação das mensagens de status para saber se ocorreram falhas. Em seguida, você deverá verificar o status do inventário de hardware e software em cada cliente SMS criando um relatório da Web que faça uma lista dos computadores clientes de SMS em que os agentes de clientes de inventário de hardware e software não conseguiram ser instalados ou executados durante um período de tempo especificado. Para obter mais informações sobre como usar o SMS na fase Avaliação, consulte a Biblioteca técnica do Systems Management Server 2003.

Analisando a integridade de dados de inventário

Quando a auditoria tiver sido efetuada, os administradores precisarão verificar a integridade dos resultados e certificar-se de que todos os computadores gerenciados tenham relatado as informações atualizadas. Deverão ser efetuadas as seguintes atividades:

  • Os resultados da auditoria devem ser comparados aos de uma auditoria anterior, observando-se um aumento ou diminuição nos computadores. Uma mudança significativa nos números, quando comparada a auditorias anteriores, indica quebra da integridade.

  • Os resultados da auditoria também devem ser comparados aos objetos de computador (contas de computador) nos domínios de serviço de diretório do Microsoft Active Directory. À medida que as contas desatualizadas forem limpas, isso será tão útil quanto a comparação aos serviços de resolução de nome.

  • Os sistemas em uso ativo registrarão e utilizarão os serviços de resolução de nome, o WINS (Serviço de Cadastramento na Internet do Windows) e o DNS (Sistema de Nome de Domínio), em seu ambiente. Os scripts que fazem referência cruzada com a infra-estrutura ativa, como esses serviços, podem oferecer uma visão abrangente sobre como está a integridade do inventário de gerenciamento de atualizações. Lembre-se de verificar se a eliminação ou a limpeza dos registros desatualizados está habilitada em seus servidores de resolução de nome para obter resultados mais precisos.

Se a análise descobrir uma discrepância nas informações obtidas, você deverá investigar posteriormente para determinar a causa e efetuar ações para garantir que os sistemas não encontrados pela auditoria sejam incluídos na execução da próxima auditoria.

Obtendo linhas de base de seu ambiente

Uma linha de base é um conjunto de configurações documentadas de um produto ou sistema estabelecido em um determinado período de tempo. As linhas de base estabelecem um padrão ao qual os sistemas da mesma classe e categoria devem corresponder. As operações efetivas de TI utilizam linhas de base como um ponto confiável a partir do qual os sistemas são criados e implantados. Geralmente, a configuração definida por uma linha de base é extensivamente testada e recebe certificado de fornecedor.

Um aplicativo ou linha de base de software contém as informações necessárias para recriar um sistema para um estado desejado. Pode ser necessário estabelecer linhas de base para diferentes aplicativos, fornecedores de hardware ou tipos de computadores.

A obtenção de linhas de base exige que você faça e mantenha um inventário apurado dos computadores e serviços de seu ambiente. Lembre-se dos pontos a seguir ao estabelecer linhas de base para seu ambiente.

  • A infra-estrutura subjacente à linha de base deve ser tratada por meio do gerenciamento de problemas. Será preciso fazer com que todos os computadores, identificados como abaixo da linha de base, atendam às exigências. Esses computadores podem ter tido problemas com distribuição, programações ou permissões ou podem exigir cuidados especiais feitos por meio de manipulação excepcional.

  • As infra-estruturas que excederem a linha de base não terão necessariamente uma vantagem. Os computadores que excederem a linha de base de sua classe devem ser verificados para determinar se foram feitas alterações não-autorizadas. Em alguns casos, pode ser necessário retornar o sistema a um nível confiável ou pode ser apropriado controlá-lo por meio de um congelamento para alteração. Os sistemas que excedem uma linha de base aprovada contêm versões de aplicativos ou atualizações de software que ainda não foram testadas na capacidade de operação interna e aprovadas formalmente pelas operações de TI e segurança de TI.

  • Alguns sistemas podem ter circunstâncias especiais que os isentam da linha de base de sua classe. Por exemplo, uma estação de trabalho que executa um aplicativo de folha de pagamento herdado que se conecta a uma agência de processamento por meio de um modem certamente exige um sistema operacional bem abaixo da linha de base estabelecida. Pode não ser apropriado atualizar esse sistema para a mais recente linha de base, visto que isto pode impedir que o aplicativo herdado seja executado.

Avaliar ameaças à segurança e as vulnerabilidades

Ao entender que sistemas e que dados foram implantados em seu ambiente de produção, você deve executar uma avaliação de segurança contínua para determinar as etapas que devem ser conduzidas para proteger a disponibilidade, integridade e confidencialidade dos sistemas e dados do computador. Pelo menos, a avaliação de segurança deve abranger o seguinte:

  • Identificar os padrões e diretivas de segurança.

  • Determinar como os padrões e diretivas de segurança devem ser efetivados.

  • Analisar as vulnerabilidades do sistema.

Para obter informações mais detalhadas sobre como efetuar uma avaliação de segurança, consulte o "Guia de Gerenciamento de Riscos de Segurança" em http://www.microsoft.com/technet/security/topics/complianceandpolicies/secrisk/srsgch01.mspx.

Identificando os padrões e diretivas de segurança

Uma diretiva de segurança eficaz deverá identificar os padrões mínimos de segurança para computadores e ajudar a minimizar a exposição a vulnerabilidades de segurança potenciais. Para ser eficaz, a diretiva de segurança de uma empresa deve ser examinada sempre que forem feitas alterações nos sistemas e softwares de TI no ambiente de produção e incluir no mínimo os seguintes itens:

  • Padrões de instalação que descrevem os locais e métodos da instalação que contam com suporte.

  • Os padrões de domínio de rede, indicando como as informações sobre nomes e TCP/IP são atribuídas e a que domínios os computadores devem estar ligados.

  • Opções de segurança de sistema operacional e definições de diretivas, incluindo as de redução de portas abertas com base nos serviços requeridos.

  • Qualquer padrão que descreva o uso de sistemas de arquivos criptografados.

  • O service pack mínimo ou a conformidade da atualização do software com cada versão de segurança.

  • Conformidade de software antivírus.

  • Definições de configuração de segurança de aplicativo, como a proteção de arquivos de macro e das zonas de segurança.

  • Os padrões de conta administrativa, como renomear ou desabilitar contas e criar contas atraentes.

  • Padrões rígidos de senha.

Uma violação de diretiva de segurança sugere uma vulnerabilidade que deve ser eliminada do ambiente. A vulnerabilidade pode ser um computador que não possui atualizações de diversos softwares ou que não está configurado corretamente ou um usuário que não utiliza senhas de alta segurança.

A diretiva de segurança pode oferecer diretrizes para cada tipo de violação de conformidade com a diretiva; isso pode ser usado para determinar a severidade da incidência de uma vulnerabilidade específica.

Observação: o MBSA verifica as atualizações de segurança e configurações erradas da segurança. Ele não verifica a conformidade com todos os elementos da diretiva de segurança de uma empresa.

Após ter estabelecido e ativado uma diretiva de segurança que define os padrões de segurança, você deverá aplicar as estratégias apresentadas na seção a seguir para corrigir qualquer violação ou vulnerabilidade descoberta por meio de uma série de processos em escala.

Determinando como os padrões e diretivas de segurança devem ser efetivados

O cumprimento da diretiva de segurança pode ser complicado devido à administração distribuída e aos equipamentos e ferramentas vulneráveis que não são gerenciados de forma centralizada. Os responsáveis pela administração do ativo e pela solução da vulnerabilidade pode ser desconhecido ou difícil de encontrar, pode estar em outro departamento da empresa ou não ter a habilidade necessária para solucionar a vulnerabilidade.

Da mesma forma, existem diversas práticas que se tornam necessárias e úteis quando se trata de fazer cumprir a diretiva de segurança.

  • As diretivas de segurança, os prazos de cumprimento e as abordagens devem ter o suporte da administração em toda a empresa.

  • As técnicas e ferramentas para determinar a propriedade e as informações administrativas sobre um computador não-gerenciado devem estar disponíveis para os técnicos específicos de service desk.

  • Os técnicos de help desk devem ser treinados para saber como minimizar as vulnerabilidades que violam a diretiva de segurança.

  • As ferramentas automatizadas e as técnicas, como as Diretivas de Grupo, devem ser usadas para assegurar que os sistemas estejam sempre em conformidade com os padrões e a diretiva de segurança.

A natureza de uma vulnerabilidade de segurança, como o risco de exploração e o custo de recuperação, deve ajudar a determinar o quanto a reação deverá ser agressiva para um sistema que não está em conformidade. Se as tentativas para solucionar a vulnerabilidade no prazo requerido forem mal-sucedidas, você poderá optar por empregar táticas mais agressivas, incluindo:

  • Escalar o problema dentro da organização do violador.

  • Desabilitar a conta principal usada para acessar o computador.

  • Retirar o computador da rede, desconectando-o fisicamente ou configurando o hardware de rede para remover automaticamente o dispositivo da rede, desabilitando portas, por exemplo.

Essas duas últimas táticas costumam resultar em uma chamada ao service desk, onde a vulnerabilidade não solucionada poderá ser discutida e uma solução aceitável determinada. Lembre-se de ter suporte executivo para a diretiva de segurança antes de escalar as violações de segurança e tentar empregar essas técnicas.

Analisando as vulnerabilidades do sistema

A verificação constante e geração de relatórios sobre questões de segurança é essencial para garantir que as vulnerabilidades potenciais de segurança sejam identificadas e corrigidas.

Pelo menos, as organizações deverão executar as seguintes ações:

  • Efetuar verificações em computadores implantados no ambiente de produção e verificar o sistema operacional e outros componentes instalados, como o Microsoft IIS e o Microsoft SQL Server™, para verificar as configurações que possam comprometer o sistema. Você poderá usar o MBSA para identificar muitas configurações de segurança incorretas, mas também deverá consultar o site Central de Segurança da Microsoft para obter mais informações sobre proteção e segurança de computadores. Este site está localizado em http://www.microsoft.com/security.

  • Verificar e identificar regularmente os computadores que possam estar infectados por vírus. Você poderá criar esses relatórios usando as ferramentas antivírus que sua empresa selecionou.

  • Examinar as informações obtidas pelas ferramentas de monitoração de rede, registros de eventos e outras ferramentas de monitoração e pelos resultados dos sistemas de detecção de invasão para determinar se ataques estão sendo feitos contra o sistema de computador no ambiente de produção.

  • Criar e manter imagens do sistema operacional (linhas de base) que possam ser aplicadas a uma determinada plataforma de hardware para reverter rapidamente um sistema comprometido para um bom sistema operacional conhecido.

  • Verificar se todos os usuários e administradores estão cientes das etapas que eles precisam conduzir no caso de um ataque em sistemas do ambiente de produção.

  • Manter uma lista priorizada de todas as principais informações e equipamentos e ferramentas que precisam ser protegidos inicialmente caso ocorra um ataque.

  • Verificar os registros de seu roteadores e firewall e as configurações para se assegurar de que estão compatíveis com os padrões de sua empresa para esses dispositivos.

  • Examinar as diretivas de segurança do controlador de domínio.

A varredura dos sistemas para verificar as vulnerabilidades potenciais de segurança deve ser automatizada o quanto for possível e efetuada regularmente, diariamente para a maioria dos sistemas. A freqüência dependerá do nível de automação disponível para cada uma destas áreas, da disponibilidade e das capacidades do pessoal de segurança de TI na empresa e do nível de comprometimento com um ambiente seguro.

Se você descobrir que uma vulnerabilidade de segurança foi explorada, você deverá então executar um processo de reação de emergência para minimizar o impacto.

Determinar a melhor fonte de informações sobre atualizações de software

Depois de saber o que tem implantado em seu ambiente de produção e de ter avaliado as ameaças à segurança e vulnerabilidades, você deverá determinar a melhor fonte de informações sobre as novas atualizações de software. Estas informações serão usadas na fase seguinte quando você identificar novas atualizações de software. Fontes de informações sobre atualizações de software podem ser:

  • Notificações por email.

  • Sites.

  • Representantes técnicos da Microsoft.

A inscrição nos métodos apropriados de notificação é fundamental para a manutenção e atualização de suas linhas de base estabelecidas e para a implementação de um processo de gerenciamento de atualizações eficiente.

O Microsoft Security Response Center (MSRC) investiga as questões que são informadas diretamente para a Microsoft, como também as questões discutidas em determinados grupos populares de notícias de segurança. Os boletins de segurança que a Microsoft lança contêm informações resumidas que descrevem as vulnerabilidades e os produtos que elas afetam. Os boletins também incluem informações técnicas detalhadas que descrevem as vulnerabilidades, atualizações e soluções alternativas, como também as considerações sobre implementação e instruções sobre downloads para qualquer atualização disponível.

Os boletins de segurança e as atualizações de segurança relacionadas são emitidos mensalmente na segunda terça-feira do mês entre 10h e 11h, horário da Califórnia, salvo se a Microsoft determinar que os clientes serão mais bem servidos lançando um boletim de segurança em um horário diferente. Esta política foi estabelecida em resposta ao feedback internacional de clientes, com a finalidade de permitir que os clientes agendem planos de gerenciamento de atualizações.

Você pode rever todos os boletins de segurança e outras informações sobre a segurança dos produtos Microsoft no site http://www.microsoft.com/technet/security/default.mspx. Todas as atualizações de segurança dos dois últimos pacotes de serviços para todos os produtos suportados atualmente estão disponíveis para download nesse site.

Você poderá saber sobre novas atualizações de software Microsoft por meio de mensagens de email. O nível de detalhe que você precisa dependerá do tamanho de sua empresa e do nível de informações técnicas que você desejar, conforme segue:

  • Para os clientes que possuem um conhecimento mais abrangente ou mais interesse na tecnologia por trás das atualizações de segurança, a Microsoft TechNet oferece o Microsoft Security Notification Service. Esse é o serviço de notificação gratuito por email para profissionais de TI. As mensagens de email contém informações técnicas mais profundas. Para obter mais informações, ou para se inscrever no Microsoft Security Notification Service, consulte http://www.microsoft.com/technet/security/bulletin/notify.mspx.

  • A Microsoft oferece atualmente o Microsoft Security Update, um serviço de alerta de email gratuito que facilita para os pequenos negócios ficar informados sobre as mais recentes atualizações de segurança. Sempre que a Microsoft lança uma atualização, os assinantes recebem um email que explica em linguagem não técnica por que a Microsoft lançou a atualização. A mensagem também lista que produtos foram afetados e oferece um link para obter o anúncio completo no site Central de Segurança. Você pode se inscrever para receber as notificações de segurança técnicas da Microsoft no site https://profile.microsoft.com/RegSysProfileCenter/subscriptionwizard.aspx?wizid=5a2a311b-5189-4c9b-9f1a-d5e913a26c2e&lcid=1033.

  • Você também pode ser notificado sobre novos artigos da Knowledge Base através do “Register for the Free TechNet Flash Newsletter” no site http://www.microsoft.com/technet/abouttn/subscriptions/flash_register.mspx. Esses artigos freqüentemente conterão informações sobre atualizações de software que você deve implantar para solucionar problemas do seu ambiente de produção.

Avaliar a infra-estrutura existente de distribuição de software

Avaliar a infra-estrutura de distribuição do software é outra parte importante em um processo de gerenciamento de atualizações eficaz. A avaliação deverá corrigir questões como:

  • A infra-estrutura de distribuição de software é feita no local?

  • Ela pode ser usada para distribuir atualizações?

  • Ela atende todos os computadores de seu ambiente? Ela é projetada para controlar a atualização dos computadores críticos para os negócios?

  • A sua infra-estrutura de WSUS ou SMS, o Active Directory e a implementação de Diretiva de Grupo são mantidas adequadamente?

Se você utiliza o WSUS, você deverá configurar um único servidor pai de WSUS para baixar automaticamente as atualizações de software dos servidores públicos Windows Update da Microsoft. Estas atualizações deverão ocorrer diariamente com o uso de uma programação de sincronização pré-configurada. Quando as atualizações forem aprovadas, elas ficarão disponíveis imediatamente para todos os clientes WSUS. O download deve ser configurado para ocorrer em momentos de inatividade da rede. Informações mais detalhadas sobre como usar o WSUS na fase Avaliação são fornecidas na Biblioteca técnica do WSUS (Windows Server Update Services).

Se você utiliza o SMS, observe que os servidores do site deverão estar localizados onde há uma grande população de clientes ou onde há uma necessidade de gerenciar ou controlar a largura de banda da rede. Em alguns locais, você poderá precisar de dois servidores de site SMS; um para dar suporte às estação de trabalho clientes e outro para dar suporte aos computadores críticos para os negócios.

Mais informações

Para obter informações mais detalhadas sobre o WSUS na fase Avaliação, consulte a Biblioteca técnica do WSUS (Windows Server Update Services).

Para obter informações mais detalhadas sobre como usar o SMS e o SMS 2003 na fase Avaliação, consulte a Biblioteca técnica do Systems Management Server 2003.

Avaliar a eficácia operacional

Processos operacionais eficazes de TI talvez sejam a dependência mais importante para o gerenciamento de atualizações eficaz. O MOF (Microsoft Operations Framework, baseado na ITIL (IT Infrastructure Library), detalha 20 SMFs (Funções de gerenciamento de serviços). Para obter mais informações sobre essas SMFs que têm um impacto direto sobre o gerenciamento de atualizações, incluindo Gerenciamento de alterações, Gerenciamento de configurações e Gerenciamento de versões, consulte a orientação do TechNet "Soluções Microsoft para gerenciamento no TechNet" em http://www.microsoft.com/technet/itsolutions/cits/mo/default.mspx (pode estar em inglês)

Existem diversas perguntas a fazer quando você avalia sua eficácia operacional no contexto dessas SMFs:

  • Existem pessoas capacitadas o suficiente para efetuar o gerenciamento de atualizações?

  • Existem pessoas cientes de que o gerenciamento de atualizações é necessário?

  • Essas pessoas responsáveis compreendem as definições de segurança, as vulnerabilidades do computador, técnicas de distribuição de software, administração remota e o processo de gerenciamento de atualizações?

  • Existem processos operacionais padronizados no local ou as operações diárias são pouco explícitas e imprecisas?

  • Existem processos para o gerenciamento de alterações e gerenciamento de versões, mesmo sendo informais? A segurança de um ambiente contra um ataque não deve ser deixada ao acaso ou conforme as operações forem requeridas.

  • Existe um processo de emergência para implantar atualizações?

  • Os processos são avaliados e testados continuamente?

O gerenciamento de atualizações é uma das muitas áreas de operações de TI. As organizações gastam uma porcentagem considerável de seus orçamentos de TI nas operações porque atingir a excelência operacional reduz os gastos ao mesmo tempo que melhora a confiabilidade, disponibilidade, a capacidade de dar suporte e de gerenciar dos serviços críticos.

Uma avaliação de operações permite que um pessoal de operações perceba os benefícios existentes das operações existentes ou propostas, independentemente do tamanho da empresa ou de seu nível de maturidade.

Para obter uma auto-avaliação rápida da excelência operacional de sua empresa, consulte a ferramenta de auto-avaliação do MOF em http://www.microsoft.com/technet/itsolutions/cits/mo/mof/moftool.mspx.

Modelo de administração

Uma empresa também deve examinar o modelo de administração atual de seu ambiente de TI e determinar o quanto ele dá suporte ao gerenciamento de atualizações. Aqui estão algumas questões que devem ser consideradas:

  • Qual é o tamanho da infra-estrutura comparado com a quantidade de pessoal? Qual é a proporção entre administradores e sistemas?

  • Qual é o modelo atual de suporte: centralizado, descentralizado ou compartilhado?

  • Quais são as horas de operação para o pessoal de suporte? Existem janelas de mudança suficientes distribuídas para a manutenção e administração?

  • As funções são definidas claramente e comunicadas aos membros da equipe?

  • Os processos de gerenciamento de serviços foram formalizados e estão sendo seguidos?

  • Existem ferramentas suficientes para os indivíduos executarem com eficiência suas funções?

Conjuntos de habilidades

As perguntas a seguir podem ajudar a determinar os conjuntos apropriados de habilidades necessárias para a execução do gerenciamento de atualizações eficaz.

  • As pessoas têm experiência suficiente no controle do tamanho e complexidade da infra-estrutura?

  • O pessoal foi treinado corretamente e com tecnologias relevantes?

  • As pessoas estão trabalhando juntas em sinergia como uma equipe?

  • Elas têm a experiência ou treinamento apropriado para compreender as principais disciplinas e metodologias operacionais?

  • Elas possuem qualificações em script?

  • Elas compreendem as permissões do sistema e do usuário e os contextos?

  • Elas compreendem as estruturas de atualização de software e as dependências?

Resumo

Estes são os principais pontos da fase Avaliação do processo de gerenciamento de atualizações que devem ser lembrados:

  • Você deverá determinar as ameaças a seu ambiente de produção e suas vulnerabilidades.

  • Deverá compreender quais são seus equipamentos e ferramentas críticos para o negócio.

  • Deverá compreender o que você desenvolveu em seu ambiente de produção e o que é classificado como gerenciado (pelas ferramentas de gerenciamento) e o que não é.

  • Deverá se assegurar de que suas ferramentas de distribuição de software estão configuradas, mantidas e capacitadas para oferecer suporte ao gerenciamento de atualizações normal e de emergência.

  • Deverá se assegurar de que seu pessoal tem funções e responsabilidades atribuídas e que eles sabem como reagir em uma emergência, isto é, como lidar com a atualização do software e como minimizar seu impacto.

Passar para a fase Identificação

O ponto de partida para passar para a fase Identificação do processo de gerenciamento de atualizações é a notificação de que uma nova atualização de software existe. Para obter mais informações sobre a fase Identificação, consulte o módulo "Gerenciamento de atualizações Fase 2 - Identificação".


Neste artigo

Baixe a solução completa

Gerenciamento de Patches com o SMS 2003


Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft