TechNet Home > Soluzioni IT

Medium Business Solution for Patch Management

Pianificazione

Pubblicato: 21 gennaio 2005

In questa sezione sono incluse le linee guida per la pianificazione e la progettazione di una soluzione di gestione delle patch per l'ambiente IT di un'azienda di medie dimensioni. Vengono fornite indicazioni sulla definizione del processo di gestione delle patch, sulla progettazione della soluzione di gestione delle patch, sulla scelta dei componenti hardware e software dei server su cui ospitare la soluzione nonché sulla determinazione dei prerequisiti per la creazione della soluzione.

In questa pagina
Processo di gestione delle patchProcesso di gestione delle patch
Raccomandazioni per il softwareRaccomandazioni per il software
Progettazione della distribuzione della gestione delle patchProgettazione della distribuzione della gestione delle patch
Raccomandazioni per l'hardware Raccomandazioni per l'hardware
Distinta dei materialiDistinta dei materiali

Processo di gestione delle patch

Gli aggiornamenti del software per l'ambiente IT di un'azienda di medie dimensioni sono suddivisi nelle due soluzioni seguenti:

Aggiornamenti del software per i client.

Aggiornamenti del software per i server.

Il processo di installazione degli aggiornamenti del software sui computer client è automatizzato, così da ridurre il carico di lavoro dei professionisti IT. Il processo di installazione degli aggiornamenti del software sui server dell'ambiente IT di un'azienda di medie dimensioni richiede l'assistenza manuale da parte degli amministratori. L'applicazione delle patch ai server necessita dell'intervento degli amministratori per assicurare che i servizi IT erogati dal server non vengano interrotti durante il normale orario di lavoro.

Microsoft ha sviluppato un processo completo di testing degli aggiornamenti del software. Gli aggiornamenti del software che vengono pubblicati il secondo martedì del mese vengono considerati sicuri e pertanto applicabili automaticamente a tutti i computer client. Per ottenere un ambiente più protetto possibile e favorire quanto più possibile gli utenti, è consigliabile che le aziende di medie dimensioni installino tutti gli aggiornamenti del software nel momento in cui sono resi disponibili da Microsoft e, dopo aver eseguito il il test di compatibilità con l’ambiente IT aziendale.

In alternativa, in Medium Business Solution for Patch Management viene consigliato agli amministratori di configurare un numero ristretto di workstation (preferibilmente utilizzate solo da amministratori IT e utenti esperti) per l'installazione degli aggiornamenti del software direttamente da Windows Update e il testing degli aggiornamenti stessi prima che vengano distribuiti in tutta l'organizzazione.

Il processo Microsoft di gestione delle patch in quattro fasi può essere utilizzato nell'ambiente IT di un'azienda di medie dimensioni per implementare un'efficace metodologia di gestione delle patch:

Stima

Identificazione

Valutazione e pianificazione

Distribuzione

Fase di stima

Gli amministratori dell'ambiente IT di un'azienda di medie dimensioni devono conoscere bene le caratteristiche di tutti i client, i server e le applicazioni in esecuzione nell'ambiente IT dell'organizzazione. Ciò risulta estremamente importante in quanto i sistemi di cui non si hanno queste informazioni possono rappresentare considerevoli punti deboli in fatto di protezione.

Nella fase di stima occorre raccogliere e documentare i dati seguenti concernenti i sistemi dell'ambiente IT:

Tipi e versioni dell'hardware.

Tipi e versioni del sistema operativo.

Applicazioni e middleware.

Ruoli di tutti i computer.

Nota: è molto importante identificare i diversi tipi di sistema dell'ambiente. In questo modo sarà possibile utilizzare approcci diversi alla distribuzione delle patch a seconda che si tratti di computer client o di server. Un'attenzione speciale deve essere dedicata alla distribuzione degli aggiornamenti del software ai server.

Connettività per le filiali.

Aggiornamenti del software installati e mancanti.

Queste informazioni consentono di ricavare un quadro di base dell'ambiente. Inoltre, tutti i computer dell'ambiente IT di un'azienda di medie dimensioni fanno parte del dominio Active Directory e possono essere gestiti attraverso Active Directory.

Nella tabella seguente viene illustrato l'elenco dei passaggi da compiere consigliato per questa fase.

Fase di stimaNote

Tutti i server e i computer client dell'ambiente IT di un'azienda di medie dimensioni devono poter essere gestiti.

Nell'ambiente IT di un'azienda di medie dimensioni tutti i client e i server sono membri del dominio Active Directory.

È necessario completare la stima dell'hardware e del software dell'ambiente IT nonché documentarne accuratamente la configurazione di base.

Si tratta di un'attività operativa da eseguire periodicamente nell'ambiente IT di un'azienda di medie dimensioni.

Tramite l'analisi continua degli aggiornamenti del software occorre individuare quelli mancanti.

È necessario eseguire periodicamente MBSA (Microsoft Baseline Security Analyzer) nell'ambiente IT di un'azienda di medie dimensioni per raccogliere tali informazioni.

Tabella 1. elenco dei passaggi da compiere per la fase di stima    

Microsoft Baseline Security Analyzer (MBSA)

È importante identificare gli aggiornamenti del software che sono o non sono stati installati sui computer. Per determinare quali aggiornamenti del software sono stati installati sui server e sulle workstation dell'organizzazione, gli amministratori possono utilizzare periodicamente MBSA, un'utilità che individua gli aggiornamenti della protezione mancanti e gli eventuali punti deboli della protezione. Inoltre, MBSA fornisce informazioni sul rispetto delle procedure consigliate per la protezione (ad esempio, l'utilizzo di password sicure) nei computer analizzati e identifica le opzioni di configurazione che espongono il computer a eventuali vulnerabilità a livello di protezione. Può altresì essere configurato per segnalare gli aggiornamenti già approvati sul server SUS ma non ancora installati. Per ulteriori informazioni su MBSA, vedere l'URL seguente:

http://www.microsoft.com/technet/security/tools/
mbsahome.mspx (informazioni in lingua inglese).

La casa editrice Lucerne ha deciso di utilizzare MBSA per analizzare continuamente l'ambiente, individuare i problemi della protezione e i livelli di aggiornamento del software in tutta l'organizzazione.

Systems Management Server (SMS)

In alternativa, per automatizzare la fase di stima è possibile utilizzare il software di gestione e configurazione SMS 2003, che rende disponibile una soluzione completa per la gestione delle modifiche e delle configurazioni per la piattaforma Microsoft.

Per ulteriori informazioni su SMS 2003, consultare il sito Web SMS all'indirizzo seguente (informazioni in lingua inglese):

http://www.microsoft.com/sms/

Fase di identificazione

Gli obiettivi della fase di identificazione sono:

Individuare in modo affidabile i nuovi aggiornamenti del software.

Stabilire se gli aggiornamenti del software sono pertinenti al proprio ambiente di produzione.

Ottenere i file degli aggiornamenti del software e verificare che siano sicuri e possano essere installati correttamente.

È opportuno che gli amministratori si abbonino al servizio di notifica sulla sicurezza Microsoft per ottenere informazioni sugli aggiornamenti della protezione pubblicati da Microsoft. Per abbonarsi, vedere l'URL seguente (informazioni in lingua inglese):

http://www.microsoft.com/technet/security/bulletin/notify.mspx

Dopo essersi abbonati al servizio di notifica sulla sicurezza Microsoft o a un altro servizio per posta elettronica valido e monitorato, gli amministratori iniziano a ricevere notifiche sui nuovi aggiornamenti del software.

Una volta ricevuta la notifica di un aggiornamento del software, occorre verificarne la pertinenza, ovvero che sia ideato per risolvere i problemi correlati a un sistema operativo o alle applicazioni in esecuzione nel proprio ambiente di produzione. Per facilitare questa operazione, è consigliabile leggere i bollettini sulla protezione e gli articoli della Knowledge Base relativi a ciascun aggiornamento. Per ulteriori informazioni sulla procedura di pubblicazione dei bollettini sulla protezione, vedere il white paper "Revamping the Security Bulletin Release Process" disponibile all'indirizzo seguente:

http://www.microsoft.com (informazioni in lingua inglese).

Dopo che l'amministratore è venuto a conoscenza di un aggiornamento e lo ha ritenuto pertinente per l'ambiente, è necessario ottenerne i file da una fonte affidabile. Microsoft rende disponibili gli aggiornamenti del software in Internet. È possibile accedere ai file mediante uno degli URL seguenti:

Sito Web Microsoft

http://www.microsoft.com/homepage/ms.htm

Sul seguente sito FTP:

ftp://ftp.microsoft.com

Sul sito Web Windows Update:

http://windowsupdate.microsoft.com

I file degli aggiornamenti del software possono inoltre essere ottenuti su supporto fisico, ad esempio CD-ROM e dischi floppy.

Microsoft utilizza sempre Authenticode per apporre la firma digitale ai propri prodotti in modo da garantire agli amministratori l'integrità dei file.

Dopo aver ottenuto l'aggiornamento, gli amministratori devono verificare il processo di installazione dell'aggiornamento del software nonché la procedura di disinstallazione. Attenersi alle istruzioni fornite negli articoli della Knowledge Base e nel bollettino sulla protezione che accompagna l'aggiornamento del software per verificare che l'aggiornamento del software possa essere installato correttamente. Leggere l'eventuale documentazione di supporto per ottenere ulteriori informazioni sull'installazione dell'aggiornamento del software e valutare i pro e i contro dell'installazione.

Fase di valutazione e pianificazione

Dopo la pubblicazione degli aggiornamenti e la ricezione della relativa notifica, è necessario identificare gli aggiornamenti del software che occorre applicare al proprio ambiente. In questa fase viene presa la decisione di distribuire o meno gli aggiornamenti del software e, in caso affermativo, vengono stabiliti i requisiti per la distribuzione degli aggiornamenti.

Nella tabella seguente viene illustrato un semplice elenco dei passaggi da compiere relativo a questa fase.

Fase di valutazione e pianificazioneNote

Determinare il livello dell'aggiornamento della protezione.

Leggere la documentazione di supporto dell'aggiornamento.

Esaminare l'articolo della Knowledge Base relativo all'aggiornamento del software.

Leggere la documentazione di supporto dell'aggiornamento.

Verificare che l'aggiornamento del software sia pertinente al proprio ambiente.

L'aggiornamento del software riguarda un sistema operativo in esecuzione nell'ambiente di produzione?

Determinare se l'aggiornamento del software richiede un riavvio.

Leggere la documentazione di supporto dell'aggiornamento.

Determinare la priorità e sviluppare la pianificazione della distribuzione.

L'aggiornamento del software è un "aggiornamento critico" o un "aggiornamento della protezione", e qual è la probabilità che il difetto possa incidere sui computer dell'ambiente IT utilizzati per la produzione?

Tabella 2. elenco dei passaggi da compiere relativo alla fase di valutazione e pianificazione

La tempistica della distribuzione degli aggiornamenti del software dipende dalla gravità del difetto e dal potenziale effetto su un qualsiasi sistema di produzione che impedisca ai dipendenti di lavorare. Nella tabella seguente sono inclusi suggerimenti per la distribuzione degli aggiornamenti.

PrioritàTempistica consigliataTempistica minima consigliata

Emergenza

Entro 24 ore

Entro 2 settimane

Elevata

Entro 1 mese

Entro 2 mesi

Media

A seconda della disponibilità, distribuire entro 4 mesi un nuovo service pack o un rollup dell'aggiornamento che include la soluzione della vulnerabilità.

Distribuire entro 6 mesi l'aggiornamento del software

Bassa

A seconda della disponibilità, distribuire entro 1 anno un nuovo service pack o un rollup dell'aggiornamento che include la soluzione della vulnerabilità.

Distribuire l'aggiornamento del software entro 1 anno oppure non distribuirlo affatto.

Tabella 3. Tempistica della distribuzione degli aggiornamenti

Fase di distribuzione

La fase finale del processo di gestione delle patch è la distribuzione. In questa fase gli aggiornamenti del software approvati, nonché le eventuali contromisure, vengono distribuiti nell'ambiente di produzione. Sono possibili tre metodi di distribuzione. Nella tabella seguente sono incluse indicazioni generali utili per la scelta del metodo di distribuzione più adatto.

Tipo di clienteOpzioni adatte

Organizzazioni di grandi dimensioni

SMS

SUS

Organizzazioni di medie dimensioni

SUS

Funzionalità Aggiornamenti automatici di Windows

Organizzazioni di piccole dimensioni

Funzionalità Aggiornamenti automatici di Windows

SUS

Utenti singoli

Funzionalità Aggiornamenti automatici di Windows

Tabella 4. Opzioni di distribuzione nella gestione delle patch per diversi tipi di utenti

In base alle procedure consigliate Microsoft, in Medium Business Solution for Patch Management è suggerito l'utilizzo per i server e i computer client dell'ambiente IT almeno della funzionalità Aggiornamenti automatici di Windows, mentre l'opzione vivamente consigliata è rappresentata da SUS.

Nella sezione "Creazione" della presente soluzione sono incluse indicazioni sulla configurazione di Aggiornamenti automatici e SUS per la gestione delle patch nell'ambiente IT di un'azienda di medie dimensioni.

Raccomandazioni per il software

Software Update Services (SUS) è una soluzione Microsoft per la gestione delle patch. In Medium Business Solution for Patch Management viene consigliato l'utilizzo di SUS per fornire un punto di distribuzione centralizzato degli aggiornamenti del software da applicare a server e computer client. L'implementazione di SUS riduce l'utilizzo della larghezza di banda della rete WAN necessaria per l'installazione degli aggiornamenti sui computer client con Windows Update. Questo è possibile in quanto gli aggiornamenti del software vengono scaricati sulla rete WAN una sola volta e quindi distribuiti a tutti i computer client tramite la rete LAN. Inoltre, gli amministratori hanno la possibilità di scegliere gli aggiornamenti da installare sui computer client. Ciò permette di controllare un aggiornamento prima che venga distribuito ai computer client. I server e i computer client possono essere configurati mediante voci del Registro di sistema o automaticamente tramite i Criteri di gruppo di Active Directory, in modo che l'installazione degli aggiornamenti del software avvenga dal server SUS.

In Medium Business Solution for Patch Management viene consigliato di installare SUS sul sito Web predefinito del server dell'infrastruttura primaria. È consigliabile distribuire le impostazioni lato client di SUS mediante i Criteri di gruppo di Active Directory. Nella tabella seguente vengono indicati gli oggetti Criteri di gruppo (GPO, Group Policy Object) utilizzati per configurare SUS nell'ambiente IT di un'azienda di medie dimensioni.

Oggetto Criteri di gruppo (GPO)Unità organizzativa interessataNote

Criterio SUS client

Tutte le unità organizzative client

Questo criterio consente di installare automaticamente gli aggiornamenti presenti sul server SUS e di riavviare i computer client se necessario.

Criterio SUS server

Tutte le unità organizzative server

Questo criterio consente di copiare gli aggiornamenti localmente su ciascun server dal server SUS. Successivamente l'amministratore IT deve installare manualmente gli aggiornamenti del software e riavviare il server se necessario.

Criterio client di prova facoltativo

Unità organizzativa client di prova

Questo criterio consente di istruire i computer client affinché utilizzino Windows Update per scaricare e installare gli aggiornamenti del software ed eseguire l'eventuale riavvio.

Tabella 5. Impostazioni dei Criteri di gruppo di Active Directory per SUS

SUS deve essere installato sulla porta 80 di un server Web. Prima di installare SUS su un server Web, è necessario considerare l'impatto che tale operazione può avere sul sito Web predefinito in Internet Information Services (IIS). Prima di installare SUS, è opportuno che gli amministratori eseguano il backup della configurazione di IIS.

Inoltre, è importante progettare una strategia di gestione delle patch che sia adatta alle esigenze dell'organizzazione. Sebbene il riavvio automatico dei computer client dopo l'installazione di un aggiornamento critico sia accettabile nella maggior parte degli ambienti IT di aziende di medie dimensioni, il riavvio automatico dei server non lo è affatto.

SUS non è in grado di applicare immediatamente gli aggiornamenti del software a un computer. Ogni computer client configurato per Aggiornamenti automatici ricerca sul server SUS gli aggiornamenti approvati ogni 22 ore, a cui va sottratto uno scarto temporale determinato casualmente. Per ulteriori informazioni, vedere il white paper "Deploying Microsoft Software Update Services" disponibile all'indirizzo seguente: http://www.microsoft.com/windowsserversystem/sus/
susdeployment.mspx (informazioni in lingua inglese)

Progettazione della distribuzione della gestione delle patch

Nell'ambiente IT di un'azienda di medie dimensioni è necessario che la soluzione di gestione delle patch sia quanto più possibile semplice e automatizzata. Il processo delineato precedentemente richiede due approcci diversi alla gestione degli aggiornamenti del software, a seconda che si tratti di server o di computer client. Nelle sezioni seguenti viene descritta la progettazione della gestione delle patch per i server e per i computer client.

Architettura generale di SUS per l'ambiente IT di un'azienda di medie dimensioni

Di seguito vengono riportati alcuni consigli sull'architettura di SUS da adottare per l'ambiente IT di un'azienda di medie dimensioni:

È necessario distribuire un server SUS con Service Pack 1 (SP1).

Il servizio SUS deve essere installato su un server che risponde ai requisiti hardware per SUS.

Il server SUS deve essere configurato in modo da sincronizzare gli aggiornamenti dal server Microsoft Windows Update e distribuire tali aggiornamenti ai client e ai server dell'ambiente.

Microsoft pubblica nuovi aggiornamenti ogni secondo martedì del mese. In rari casi Microsoft pubblica aggiornamenti del software critici fuori banda. Il server SUS scarica automaticamente questi aggiornamenti del software.

Configurare i valori del Registro di sistema dei computer client o gli oggetti GPO dei computer client e collegarli alle unità organizzative client per scaricare e applicare automaticamente gli aggiornamenti del software.

Configurare i valori del Registro di sistema dei server o gli oggetti GPO dei server e collegarli all'unità organizzativa server per scaricare automaticamente gli aggiornamenti, consentendo però solo a un amministratore la possibilità di applicare gli aggiornamenti.

Gli amministratori devono abbonarsi per ricevere i bollettini sulla protezione da Microsoft.

Per ulteriori informazioni, vedere l'URL seguente:

http://www.microsoft.com/technet/security/bulletin/
notify.mspx (informazioni in lingua inglese)

Inoltre, l'amministratore deve abbonarsi anche al servizio di notifica SUS.

Per ulteriori informazioni, vedere gli indirizzi seguenti (le informazioni potrebbero essere in lingua inglese):

http://go.microsoft.com/fwlink/?LinkId=35255&clcid=0x409

http://localhost/susadmin/

Considerazioni

Microsoft ha sviluppato un processo completo di testing degli aggiornamenti pubblicati da Microsoft, che sono considerati sicuri e possono pertanto essere applicati automaticamente ai computer. Tuttavia, in alcuni casi molto rari l'installazione degli aggiornamenti del software può provocare il blocco o il malfunzionamento di client o server oppure può causare conflitti con le applicazioni line-of-business (LOB) Microsoft e di altri produttori. Pertanto occorre un processo collaudato per la disinstallazione degli aggiornamenti del software. Inoltre, è necessario disporre di un processo di ripristino dei computer client o server. Prima di applicare gli aggiornamenti del software, è consigliabile eseguire sempre il backup dei dati dei server e dei client.

Per ulteriori informazioni sulla modalità di backup dei dati dei client e dei server, vedere Medium Business Solution for Backup and Recovery.

Realizzazione e configurazione dell'infrastruttura di gestione delle patch

È necessario scaricare e installare SUS nel server dell'infrastruttura primaria. L'installazione di SUS comporta la disabilitazione della funzionalità Stato sessione di IIS. Quando la funzionalità Stato sessione è disabilitata, ASP (Active Server Page) non è in grado di creare una sessione per ciascun utente che acceda ad un programma ASP, e gli script ASP non possono memorizzare le informazioni nell'oggetto Sessione né utilizzare gli eventi Session_OnStart o Session_OnEnd. Nell'ambiente IT di un'azienda di medie dimensioni, un medesimo server IIS eroga più servizi Web (servizi certificati), pertanto la funzionalità Stato sessione deve essere riabilitata, come indicato nella sottosezione "Installazione e configurazione del server SUS" della sezione "Creazione" più avanti nella presente soluzione. Per ulteriori informazioni, vedere l'articolo (in lingua inglese) "Server requirements and recommendations for installing Microsoft Software Update Services" della Knowledge Base disponibile all'indirizzo seguente:

http://support.microsoft.com/?id=322365

Dopo aver installato il servizio, è possibile accedere al sito Web di amministrazione di SUS sul server SUS all'indirizzo http://<nomeserver>/SUSAdmin. Assicurarsi che sia possibile accedere al server Microsoft Windows Update per scaricare gli aggiornamenti del software per i sistemi operativi supportati e le impostazioni internazionali necessarie nell'ambiente. Notare che, se il server SUS supporta più piattaforme Windows e più impostazioni internazionali, occorre liberare spazio su disco per scaricare tutti gli aggiornamenti del software. Assicurarsi di installare SUS in una partizione con spazio sufficiente (si consigliano 6 GB di spazio libero) affinché SUS possa memorizzare tutti gli aggiornamenti del software necessari. È consigliabile stilare una pianificazione della sincronizzazione per mantenere il server SUS al passo con i più recenti aggiornamenti del software resi disponibili da Microsoft. La sincronizzazione deve essere pianificata in modo da avvenire durante l'orario non lavorativo (di solito una volta al giorno può bastare).

L'ultima parte del processo di aggiornamento del software consiste nell'approvazione degli aggiornamenti per l'ambiente. Gli aggiornamenti devono essere approvati dopo averne stabilito la pertinenza per l'ambiente e averne eseguito il testing. Nell'ambiente IT di un'azienda di medie dimensioni tutti i server devono eseguire Windows Server 2003, mentre per i computer client è consigliato Windows XP con Service Pack 2 (SP2). Pertanto, gli aggiornamenti devono essere approvati in riferimento a entrambe le piattaforme. Un altro fattore da considerare è il testing degli aggiornamenti prima della loro distribuzione nell'organizzazione. Nella strategia di gestione delle patch elaborata da Microsoft viene consigliato di testare ogni aggiornamento del software prima della relativa distribuzione. Tuttavia, ciò non è fattibile nell'ambiente IT di un'azienda di medie dimensioni in quanto l'intera infrastruttura è in genere gestita da uno o due professionisti IT. Essi possono scegliere di implementare la gestione immediata delle patch, che prevede l'approvazione di tutti gli aggiornamenti non appena vengono pubblicati da Microsoft, oppure possono scegliere di predisporre un gruppo pilota di utenti che installano gli aggiornamenti per garantire che non esistano conflitti con le applicazioni LOB. L'ultima considerazione riguarda la tempistica di approvazione degli aggiornamenti del software sul server SUS. È consigliabile che gli aggiornamenti del software vengano distribuiti non appena siano state completate sufficienti attività di testing. Tuttavia, gli aggiornamenti critici dovrebbero essere distribuiti quanto prima possibile.

Gestione delle patch per i client

Dopo che nell'ambiente IT di un'azienda di medie dimensioni è stata realizzata l'infrastruttura di gestione delle patch, i professionisti IT possono configurare i client utilizzando gli oggetti Criteri di gruppo di Active Directory oppure i valori del Registro di sistema, così da consentire l'installazione automatica degli aggiornamenti del software mediante il server SUS.

In alternativa, i professionisti IT possono configurare un numero ristretto di workstation affinché installino gli aggiornamenti del software direttamente da Windows Update e li testino prima di distribuirli sui computer client, nell'ambiente di produzione, dal server SUS.

Come illustrato nella figura seguente, gli aggiornamenti del software vengono scaricati dal server Microsoft Windows Update e memorizzati sul server SUS locale. L'amministratore può connettere un computer client di prova al sito Windows Update su Internet e applicarvi gli aggiornamenti che necessitano di testing. Prima di installare l'aggiornamento, è consigliabile creare un punto di ripristino della configurazione del sistema, in modo che possa essere ripristinato uno stato noto del computer client qualora necessario. Dopo l'installazione degli aggiornamenti, occorre svolgere le attività tipiche dal computer client di prova, ad esempio l'esecuzione delle applicazioni LOB, la stampa, l'esplorazione di Internet tramite browser, il salvataggio di file in una condivisione, per verificare che gli aggiornamenti non interferiscano con le operazioni quotidiane. Qualora sorgano dei problemi, l'amministratore può utilizzare il processo di rollback per ripristinare uno stato noto del computer client di prova. Dopo il completamento del testing, l'amministratore approva gli aggiornamenti utilizzando il sito Web di amministrazione di SUS, e i computer client scaricano e installano gli aggiornamenti approvati (se questa funzionalità è stata configurata) in occasione della successiva sincronizzazione pianificata. Mediante MBSA il professionista IT verifica che tutti i computer client abbiano scaricato e installato gli aggiornamenti.

MBSA versione 1.2 e successive fornisce il supporto necessario per analizzare gli aggiornamenti della protezione a fronte di un server SUS 1.0 locale. Gli amministratori possono scegliere questa opzione nell'interfaccia utente di MBSA o nell'interfaccia della riga di comando di MBSA. Questa analisi viene quindi eseguita a fronte di un elenco di aggiornamenti della protezione approvati sul server SUS locale anziché a fronte dell'elenco completo di aggiornamenti della protezione disponibili presente nel file mssecure.xml che viene scaricato dallo strumento al momento della sua esecuzione.

Figure 1. Client Patch Management

Figura 1. Gestione delle patch per i client
Ingrandisci immagine

Processo di rollback per i client

Se un aggiornamento presenta problemi di compatibilità con le applicazioni, può essere rimosso manualmente mediante Installazione applicazioni nel Pannello di controllo. Se l'aggiornamento non può essere rimosso, occorre ripristinare lo stato noto mediante il punto di ripristino della configurazione di sistema creato prima dell'installazione dell'aggiornamento. Se non si riesce a eseguire un'attività aziendale tipica, attenersi alla procedura di risoluzione dei problemi e supporto definita dal produttore dell'applicazione per risolvere i problemi di compatibilità dell'applicazione stessa. Se un aggiornamento causa un problema, non approvare tale aggiornamento per l'installazione automatica sul server SUS.

Gestione delle patch per i server

L'applicazione degli aggiornamenti del software ai server richiede un approccio più prudente. È consigliabile utilizzare Aggiornamenti automatici per i server, ma la configurazione deve essere tale che gli amministratori possano controllare quando gli aggiornamenti del software verranno installati e quando i server verranno riavviati, se necessario. L'applicazione delle patch deve essere pianificata per le ore non lavorative, preferibilmente di venerdì o nei fine settimana.

Occorre creare in Active Directory un oggetto GPO distinto con impostazioni diverse per gli aggiornamenti e applicarlo alle unità organizzative che contengono i server.

Come illustrato nella figura seguente, le patch vengono scaricate dal server Microsoft Windows Update sul server SUS locale. Gli amministratori hanno il compito di determinare se gli aggiornamenti del software devono essere applicati ai server dell'ambiente IT, verificare se occorre eseguire un riavvio e conseguentemente approvare gli aggiornamenti del software dei server nel programma di amministrazione di SUS. I server dell'ambiente IT devono scaricare gli aggiornamenti approvati dal server SUS ma non installarli automaticamente. L'orario di installazione deve essere pianificato per il venerdì sera o per il fine settimana, a meno che non si tratti di un aggiornamento critico che necessita di essere installato immediatamente. Se l'aggiornamento è un aggiornamento della protezione di emergenza, è opportuno installarlo entro 24 ore (preferibile) o al massimo entro due settimane. Prima di installare l'aggiornamento del software, eseguire il backup della configurazione e dei dati degli utenti su ciascun server. Utilizzare il processo di backup specificato in Medium Business Solution for Backup and Recovery per poter ripristinare uno stato noto del server. Assicurarsi di aver testato il processo di rollback e di ripristino dei server. Il rollback può essere necessario in caso di guasto o di erroneo funzionamento di un server dopo l'applicazione dell'aggiornamento del software. Al momento pianificato, installare l'aggiornamento su ciascun server e riavviarlo, se necessario. Esaminare il server per verificare che tutte le applicazioni siano in esecuzione e accessibili non solo sul server ma anche da un computer client. Ad esempio, da un computer client verificare che i servizi quali file, stampanti e siti Web siano accessibili sul server. L'ultimo server su cui installare l'aggiornamento deve essere il server dell'infrastruttura primaria.

Figure 2. Server Patch Management

Figura 2. Gestione delle patch per i server
Ingrandisci immagine

Processo di rollback per i server

Se gli aggiornamenti presentano problemi di compatibilità con le applicazioni, è possibile ripristinare il server disinstallandoli. Se non è possibile rimuovere l'aggiornamento, ripristinare il server e i dati degli utenti presenti nel backup eseguito prima dell'applicazione dell'aggiornamento del software. Utilizzare il processo di ripristino specificato in Medium Business Solution for Backup and Recovery per ripristinare un precedente stato noto del server. Assicurarsi che nei registri eventi non siano registrati errori e che tutti i servizi ad avvio automatico siano in esecuzione. Verificare da un computer client che i servizi, ad esempio file, stampanti e siti Web, siano accessibili sul server. Se non si riesce a eseguire un'attività aziendale tipica, attenersi alla procedura di risoluzione dei problemi e supporto definita dal produttore dell'applicazione per risolvere i problemi di compatibilità dell'applicazione stessa.

Raccomandazioni per l'hardware

La configurazione hardware minima per un server che esegue SUS è la seguente:

Processore Intel® Pentium® III a 700 MHz o superiore.

512 MB di RAM.

6 GB di spazio libero su disco rigido per i pacchetti di installazione e protezione.

In Medium Business Solution for Patch Management viene consigliato di installare SUS sul server dell'infrastruttura primaria, che dispone di risorse sufficienti (processore, rete, memoria e spazio di archiviazione) per rispondere ai requisiti di SUS.

La casa editrice Lucerne ha deciso di implementare Microsoft SUS per la soluzione di gestione delle patch, in quanto fornisce un ambiente più gestito e coerente. L'amministratore non dovrà installare gli aggiornamenti del software singolarmente su ciascun computer. Inoltre, implementando la configurazione client SUS mediante gli oggetti GPO di Active Directory, la casa editrice Lucerne sarà in grado di configurare e distribuire centralmente tali impostazioni. La casa editrice Lucerne non ha ritenuto che fosse una pratica opportuna distribuire immediatamente tutti gli aggiornamenti Microsoft, pertanto ha deciso che i professionisti IT divengano "utenti pilota" per tutti i nuovi aggiornamenti del software e li testino prima di approvarli sul server SUS in quanto hanno accesso a più computer.

Distinta dei materiali

L'implementazione delle linee guida incluse nella presente soluzione non richiede alcun ulteriore acquisto di hardware o software.


**
**