Политика управления обновлениям

Виды исправлений ПО Microsoft Hot Fixes (оперативные обновления) Security Patches (обновления безопасности) Service Packs

Политика управления обновлениями 1. Инвентаризация программных продуктов 2. Категорирование программных продуктов 3. Закрепление лиц, ответственных за обновление ПО 5. Выбор технических средств 4. Закрепление лиц ответственных за контроль установки обновлений ПО

Политика управления обновлениями Анализ состояния систем Необходима установка обновлений? Планирование развертывания обновления и процесса отката Тестирование обновления Развёртывание обновления Отслеживание работы Проблема решена? Системы функционируют нормально? Поиск необходимых обновлений Сообщить производителю Процесс отката Да Нет

Информация об уязвимостях и обновлениях Microsoft Product Security Notification Service Рассылка производится по мере выхода обновлений и содержит общее описание проблемы и ссылку на статью базы знаний Microsoft, содержащую подробную информации об обновлении. NT BugTraq Модерируемый публичный список рассылки содержащий информацию об уязвимостях операционных систем Windows и продуктов Microsoft, а так же рекомендации по их устранению. SecurityFocus Содержит наиболее полный и оперативно обновляемый список уязвимостей для различных операционных систем. Зачастую в данном списке публикуются информация о не закрытых уязвимостях.

Утилита Hfnetchk Проверяемые продукты Утилита командной строки ОС Windows NT, Windows 2000 и Windows XP Стандартные сервиса (включая IIS) Windows Media Player Internet Explorer MDAC MS SQL Server MS Exchange Проверяет версии файлов Постоянно обновляемый список требуемых обновлений Поддерживает удаленную и локальную проверку установленных обновлений ПО

Microsoft Baseline Security Analyzer Не проверяет установленные обновления для MDAC Поддерживает GUI и CLI интерфейс (mbsacli.exe) Проверка основных ошибок в настройке операционной системы Использует технологию hfnetchk Не работает на Windows NT 4.0 Имеет возможность получения списка необходимых обновлений с сервера Microsoft Software Update Services

Microsoft Baseline Security Analyzer

Установка обновлений (Service Packs) Комбинированная установка Установка обновлением Традиционный метод обновления операционных систем Windows NT и Windows 2000 Интегрированная установка Интеграция файлов пакета обновлений в исходный дистрибутив Windows 2000

Установка обновлений безопасности q294391_w2k_sp3_ x86_en.exe Номер статьи Microsoft KB Описание устраняемой уязвимости. Условия применения и т.д. Операционная система Пакет обновлений, в которые данное обновление будет включено Аппаратная платформа и язык

Установка обновлений безопасности Установка цепочек обновлений Одновременная установка нескольких обновлений при помощи одного файла сценария Установка через групповые политики Централизованная установка обновлений через GPO в среде Active Directory Software Update Services и Update Client Полностью автоматизированная система централизованного управления обновлениями

Установка обновлений (Service Packs) Software Update Services Автоматическое получение обновлений с сервера Windows Update Автоматическая установка обновления на клиентские места Своевременное информирование администратора о выходе обновлений Поддержка параллельной (Load Balancing) и последовательной схемы распределения нагрузки Работа в сетях не подключенных к Internet Отсутствует возможность указать список используемых продуктов Не поддерживает обновления для MS OFFICE, серверных приложений

Практическая работа 7 Работа с утилитой MBSA

Настройка компонентов Exchange

Взаимосвязь компонентов сервера

Службы сервера Exchange

Разрешения файловой системы %systemdrive%\Inetpub\mailroot Domain Admins: Full Control Local System: Full Controll %systemdrive%\Inetpub\nntpfile Domain Admins: Full Control Local System: Full Controll %systemdrive%\Inetpub\nntpfile\root Everyone: Full Control

Security Configuration Tool Set Extension snap-ins for Attachment Snap-in Service attachment Engines MMC - Configuration - Analysis Security Configuration Templates Security Configuration and Analysis Database

Шаблоны безопасности Политика учетных записей Локальная политика Журнал событий Группы пользователей Службы Реестр Файловая система Политика паролей Политика блокировки Политика Kerberos Политика Аудита Назначение прав пользователей Настройка безопасности

Использование Secedit может использоваться для пяти основных операций Анализ Системы безопасности Настройка Системы безопасности Экспорт Параметров безопасности Обновление Параметров безопасности Проверка Файла конфигурации безопасности

Применение шаблонов безопасности

Делегирование полномочий

Роли администраторов Exchange Exchange View Only Exchange Administrator Exchange Full Administrator просмотр значений свойств объектов просмотр и изменение значений свойств объектов становиться владельцем, изменять разрешения, открывать почтовые ящики все разрешения, включая и изменение разрешений открывать почтовые ящики

Делегирование полномочий Применение прав Exchange Administration Delegation Wizard Вкладка Security для контейнеров Address Lists Global Address Lists Databases (Mailbox Stores и Public Folder stores) На верхнем уровне иерархи общих папок HKEY_CURRENT_USER\Software\Microsoft\Exchange\ExAdmin\ ShowSecurityPage=1

Делегирование полномочий Делегирование задач на уровне OU Exchange View Only + Мастер делегирования AD

Системная политика Позволяет централизованно настраивать параметры групп серверов Перекрывает настройки, сделанные вручную Позволяет подчинять действия администраторов серверов политике предприятия

Системная политика Server Policy Public Store Policy Шаблоны политики Mailbox Store Policy

Системная политика Server Policy General Enable subject logging and display Enable message tracking Remove log files

Системная политика Mailbox Store Policy General Default public store for users Offline Address List for users Archive all messages Database Run maintenance during this time Limits Delete after (days) Don't permanently delete items until back up Issue warning at (KB) Prohibit send at (KB) Prohibit send and receive at (KB) Send over-limit messages

Системная политика Public Store Policy General Clients support S/MIME signatures Display inbound Internet messages in fixed font Database Run maintenance during this time Replication Replicate public folder changes Replication interval for always (minutes) Replication message size limit (KB) Limits Delete after (days) Don't permanently delete items until backed up Issue warning at (KB) Send over-limit messages Age limit for all folders in this store (days)

edslock.vbs Члены группы Exchange Domain Servers имеют доступ ко всем объектам серверов Exchange Члены группы Account Administrators имеют возможность добавить учетные записи в группу Exchange Domain Servers Таким образом, получают право «Receive As», т.е. возможность работы с почтовыми ящиками всех пользователей в домене!

edslock.vbs Утилита edslock.vbs (MS KB Q313807) устанавливает разрешение Deny Receive As на объектах сервера Необходимо применять: После установки нового сервера Exchange 5.5 После добавления нового хранилища Public Folders После добавления нового хранилища Mailbox После добавления в лес нового домена cscript edslock.vbs "CN=Mail1,CN=Servers,CN=America AG,CN=Administrative Groups,CN=Microsoft, CN=Microsoft Exchange,CN=Services,CN=Configuration, DC=America,DC=microsoft,DC=com

Практическая работа 9 Делегирование полномочий

Вопросы ?