Condividi tramite


Processo di gestione delle patch

Fase 2 - Identificazione

Aggiornato: 1 giugno 2007

In questa pagina

Argomenti del modulo Obiettivi Ambito di applicazione Utilizzo del modulo Panoramica Individuazione di un nuovo aggiornamento software Controllo della pertinenza degli aggiornamenti software Reperimento e verifica dei file di origine degli aggiornamenti software Identificazione della natura dell'aggiornamento software e presentazione della RFC Riepilogo Passaggio alla fase di stima e pianificazione

Argomenti del modulo

Questo modulo descrive la seconda fase, l'identificazione, del processo di gestione degli aggiornamenti in quattro passaggi. La fase di identificazione riguarda l'individuazione affidabile dei nuovi aggiornamenti software, se sono pertinenti per il proprio ambiente di produzione e se un aggiornamento rappresenta una modifica normale o di emergenza.

Lo scopo di questo modulo consiste nella descrizione dei principi della fase di identificazione del processo di gestione degli aggiornamenti e nell'introduzione dei tipi di attività che consentono di eseguire l'identificazione con Microsoft Windows Server Update Service (WSUS) e Microsoft Systems Management Server (SMS).

**Nota:**la versione di valutazione del successivo rilascio di SMS, chiamata System Center Configuration Manager 2007, è ora disponibile per il download all'indirizzo http://technet.microsoft.com/configmgr/cc761485.aspx (in inglese). Grazie ai notevoli investimenti in semplificazione, configurazione, distribuzione e protezione, Configuration Manager 2007 rende radicalmente più facile la distribuzione dei sistemi, l'automazione delle attività, la gestione della conformità e la gestione della protezione basata su criteri, aumentando l'agilità dell'azienda.

Dopo aver letto questo modulo si sarà in grado di pianificare le attività necessarie per:

  • Individuare i nuovi aggiornamenti software.

  • Stabilire se nel proprio ambiente sono richiesti nuovi aggiornamenti.

  • Stabilire se un aggiornamento richiede una distribuzione standard o di emergenza.

Senza un processo di identificazione non si saprà quali sono gli aggiornamenti disponibili, quali sono quelli richiesti, come ottenere aggiornamenti controllati, testati ed esenti da virus e se un aggiornamento deve essere distribuito rapidamente o nel quadro della distribuzione pianificata.

Inizio pagina

Obiettivi

Il modulo consente di:

  • Individuare i nuovi aggiornamenti software.

  • Stabilire se gli aggiornamenti software sono pertinenti.

  • Ottenere file di origine degli aggiornamenti software sicuri e affidabili.

  • Classificare l'aggiornamento software come modifica normale o di emergenza.

Inizio pagina

Ambito di applicazione

Le informazioni contenute in questo modulo sono valide per i seguenti prodotti e tecnologie:

  • Tutti i prodotti e le tecnologie Microsoft

Inizio pagina

Utilizzo del modulo

In questo modulo viene descritta la fase di identificazione del processo di gestione in quattro fasi degli aggiornamenti. Vengono illustrate le attività di base richieste per portare a termine l'identificazione utilizzando Microsoft Windows Server Update Service (WSUS) e Microsoft Systems Management Server (SMS). Le istruzioni dettagliate sono fornite nelle Technical Library WSUS e SMS elencate di seguito.

Per trarre il massimo vantaggio dal modulo:

Inizio pagina

Panoramica

L'identificazione è la seconda fase del processo di gestione degli aggiornamenti illustrato nella Figura 1.

Figura 1. Il processo di gestione delle patch

Gli obiettivi della fase di identificazione sono:

  • Individuare in maniera affidabile i nuovi aggiornamenti software.

  • Stabilire se gli aggiornamenti software sono pertinenti per il proprio ambiente di produzione.

  • Ottenere i file di origine degli aggiornamenti software e controllare la loro sicurezza e che vengano installati correttamente.

  • Stabilire se l'aggiornamento software deve essere considerato una modifica normale o un'emergenza e presentare una richiesta di modifica (RFC, Request For Change) per distribuirlo. La presentazione di una RFC fa scattare la fase successiva di gestione degli aggiornamenti, la stima e la pianificazione.

Questi obiettivi vengono descritti più dettagliatamente nella parte restante di questo modulo. Inoltre, viene spiegato come raggiungerli più rapidamente nel caso in cui ci si trovi a dover affrontare un'emergenza.

Inizio pagina

Individuazione di un nuovo aggiornamento software

L'identificazione di un aggiornamento software parte da un'individuazione in maniera sicura e affidabile. L'individuazione consta di due componenti principali:

  • In che modo si riceve la notifica di un nuovo aggiornamento software

  • In che modo si può essere certi dell'affidabilità della fonte e della notifica

In che modo si riceve la notifica di un nuovo aggiornamento software

L'individuazione di un nuovo aggiornamento software ha inizio con la notifica. La notifica deve essere fornita tramite l'iscrizione a una fonte affidabile che fornisce attività di analisi e di reporting oppure tramite un altro meccanismo altrettanto affidabile. I meccanismi di notifica più comuni sono:

  • Notifiche tramite posta elettronica.

  • Strumenti di analisi delle vulnerabilità.

  • La pagina relativa all'amministrazione server di WSUS.

  • La funzionalità di gestione degli aggiornamenti software di SMS.

Notifiche tramite posta elettronica

La notifica tramite posta elettronica è la forma più comune di notifica degli aggiornamenti. Un'opzione per la notifica tramite posta elettronica consiste nell'abbonamento al servizio Microsoft Security Notification Service all'indirizzo http://www.microsoft.com/technet/security/bulletin/notify.mspx (in inglese). Per i rilasci temporanei dei prodotti o gli aggiornamenti software, in genere si riceve un messaggio di posta elettronica con cui si viene informati che sul sito Web Microsoft sono disponibili nuovi aggiornamenti software.

Un esempio di messaggio di posta elettronica che notifica agli amministratori la disponibilità dei nuovi aggiornamenti della protezione è riportato nella Figura 2.

Figura 2. Esempio di messaggio di posta elettronica che notifica agli amministratori la disponibilità di nuovi aggiornamenti software

In che modo si può essere certi dell'affidabilità della fonte e della notifica

È importante trattare con attenzione le notifiche tramite posta elettronica. Qui di seguito sono riportate alcune indicazioni utili per convalidare ogni notifica ed essere certi che contenga le ultime informazioni disponibili nel bollettino sulla sicurezza:

  • Eliminare immediatamente qualsiasi notifica tramite posta elettronica di asserita provenienza Microsoft che contiene in allegato file software. Non eseguire mai né installare alcun eseguibile allegato a una notifica tramite posta elettronica.

    Nota: la politica Microsoft è di non distribuire mai software tramite allegati di posta elettronica. Esaminare Microsoft Policies on Software Distribution all'indirizzo http://www.microsoft.com/technet/security/bulletin/info/swdist.mspx (in inglese).

  • Non fare clic su alcun collegamento direttamente all'interno di una notifica tramite posta elettronica. Incollare gli URL in una finestra del browser per controllare che portino direttamente a un sito Web Microsoft.

  • Visitare regolarmente il sito Web Microsoft TechNet Security Center all'indirizzo http://www.microsoft.com/technet/security/default.mspx (in inglese) per leggere i dettagli autorevoli di un bollettino sulla sicurezza. In alternativa, se non si prevede di avere l'accesso Internet quando si ricevono i bollettini, prendere conoscenza degli strumenti di crittografia Pretty Good Privacy (PGP) e utilizzarne uno per verificare l'autenticità della firma PGP inclusa in ogni bollettino sulla sicurezza.

  • È possibile scaricare la chiave del bollettino sulla sicurezza di Microsoft Security Response Center (MSRC) da: http://www.microsoft.com/technet/security/bulletin/pgp.mspx

  • Microsoft firma digitalmente tutte le notifiche tramite posta elettronica relative agli aggiornamenti della protezione quando le invia ai clienti. Ulteriori informazioni su come verificare la firma digitale sono disponibili all'indirizzo http://www.microsoft.com/technet/security/bulletin/notify.mspx (in inglese).

Nota: esistono diversi messaggi hoax di posta elettronica che asseriscono di essere notifiche provenienti da Microsoft. Quando si riceve un bollettino sulla sicurezza Microsoft, controllarlo e verificare tutti i collegamenti ipertestuali agli aggiornamenti software visitando il sito Web Security Bulletin Search Tool all'indirizzo http://www.microsoft.com/technet/security/current.aspx (in inglese). Per ulteriori informazioni su questi tipi di hoax, vedere "Come verificare l'autenticità di un messaggio Microsoft sulla protezione" all'indirizzo http://www.microsoft.com/technet/security/bulletin/info/patch_hoax.mspx

Se si utilizza WSUS, è possibile iscriversi al servizio di avviso degli aggiornamenti, che informa sui nuovi aggiornamenti tramite messaggi di posta elettronica. Per identificare questi aggiornamenti, è necessario forzare una sincronizzazione tra il server WSUS e il server pubblico di Windows Update ogni volta che si riceve il messaggio di notifica dell'aggiornamento. A tal fine, utilizzare l'opzione Synchronize Now nella pagina relativa all'amministrazione server di WSUS. Per informazioni dettagliate sull'utilizzo di WSUS nella fase di identificazione, vedere Windows Server Update Services (WSUS) Technical Library (in inglese).

Se si utilizza SMS, ogni volta che si riceve una notifica tramite posta elettronica è necessario stabilire se SMS 2003 sarà in grado di rilevare se l'aggiornamento è applicabile ai sistemi nel proprio ambiente di produzione:

  • Se l'aggiornamento interessa un software che non è supportato o rilevabile da Microsoft Baseline Security Analyzer (MBSA), sarà necessario utilizzare gli agenti client per l'inventario dell'hardware e del software di SMS 2003 al fine di stabilire quali sono i computer che richiedono l'aggiornamento software.

  • Se MBSA è in grado di rilevare l'aggiornamento, è possibile utilizzare gli strumenti di gestione degli aggiornamenti software in SMS 2003 per identificare i computer che richiedono l'aggiornamento.

  • Se l'aggiornamento interessa un'applicazione Microsoft Office e si trova nell'elenco degli aggiornamenti forniti da Microsoft Office Inventory Tool for Updates, è possibile utilizzare gli strumenti di gestione degli aggiornamenti software per identificare i computer che richiedono l'aggiornamento.

Per ulteriori informazioni sull'uso di SMS nella fase di identificazione, vedere Technical Library for Systems Management Server 2003 (in inglese).

Strumenti di analisi delle vulnerabilità

Come menzionato in precedenza in questo modulo, gli amministratori possono utilizzare MBSA con WSUS per analizzare gli aggiornamenti della protezione mancanti e quelli installati nei computer locali e remoti e per stabilire se il computer è esposto alle comuni vulnerabilità a livello di protezione, ad esempio una password amministratore vuota. Per informazioni dettagliate sull'utilizzo di WSUS nella fase di identificazione, vedere Windows Server Update Services (WSUS) Technical Library (in inglese).

È anche possibile utilizzare componenti della funzionalità di gestione degli aggiornamenti software in SMS 2003 per analizzare e redigere un report sugli aggiornamenti software mancanti e su quelli applicati nell'ambiente. Per ulteriori informazioni su SMS, vedere Technical Library for Systems Management Server 2003 (in inglese).

Inizio pagina

Controllo della pertinenza degli aggiornamenti software

Molti aggiornamenti software vengono regolarmente rilasciati nella comunità IT. Provengono da numerose fonti e sono stati creati per diverse ragioni, tra cui risolvere i problemi che potrebbero portare a violazioni della protezione. Tutti gli aggiornamenti software devono essere controllati attentamente per stabilire se sono pertinenti per l'infrastruttura IT dell'organizzazione. Il processo di controllo delineato in questa sezione dovrebbe aiutare a rimuovere la maggior parte degli aggiornamenti software irrilevanti, ma probabilmente il loro numero può essere ulteriormente ridotto.

Controllare la pertinenza di ogni aggiornamento software ricevuto. Quando una notifica contiene informazioni su più di un aggiornamento software, è necessario controllare la pertinenza di ognuno di essi per la propria organizzazione.

Stabilire innanzitutto se l'aggiornamento software interessa il sistema operativo o le applicazioni dell'ambiente di produzione.

Una volta stabilita la pertinenza per un elemento dell'ambiente di produzione, verificare se l'applicazione o il sistema interessato presenta la vulnerabilità identificata nell'aggiornamento software. Un aggiornamento software potrebbe, ad esempio, riguardare tutti i sistemi operativi Windows Server™ con Microsoft Internet Information Services (IIS) con attivato Active Server Pages (ASP).

Anche se l'ambiente potrebbe contenere diversi sistemi operativi Windows Server, l'aggiornamento non sarà pertinente se l'organizzazione non ha ASP attivato nei server IIS.

Non tutti gli aggiornamenti della protezione che si applicano a un elemento dell'ambiente saranno pertinenti. Anche se è importante essere a conoscenza e capire adeguatamente gli aggiornamenti della protezione esistenti, è opportuno distribuire solo quelli pertinenti per il proprio ambiente. Si ridurrà così l'impegno necessario per mantenere l'ambiente aggiornato e protetto.

Anche se le informazioni contenute in un aggiornamento software potrebbero essere classificate come irrilevanti, è importante tenere presente che esistono e trasmetterle al personale addetto alla gestione dei problemi. Se, in futuro, saranno richieste perché pertinenti, l'organizzazione potrà accedervi dalla fonte originale.

Esistono diversi metodi per stabilire l'applicabilità di un aggiornamento software per l'infrastruttura IT:

  • Leggere i bollettini sulla sicurezza e gli articoli della Microsoft Knowledge Base (KB).

  • Esaminare i singoli aggiornamenti software.

  • Utilizzare la console di amministrazione di SMS.

  • Utilizzare i report incorporati in SMS.

Lettura dei bollettini sulla sicurezza e degli articoli della Knowledge Base (KB)

Le informazioni contenute nei bollettini sulla sicurezza nel sito Web Microsoft sono organizzate in sezioni che aiutano a stabilire la criticità, per il proprio ambiente, delle vulnerabilità descritte. Anche se è opportuno leggere tutte le informazioni contenute in un bollettino sulla sicurezza, al primo esame prestare particolare attenzione alle sezioni riportate nella Tabella 1.

Tabella 1: Bollettini sulla sicurezza - Informazioni chiave

Sezione Descrizione
Riepilogo Esaminare immediatamente la sezione Riepilogo di un bollettino sulla sicurezza. Le voci Livello di gravità massimo, Effetti della vulnerabilità, Software interessato e Raccomandazione contengono informazioni che aiutano a stabilire il livello di esposizione dell'ambiente alla vulnerabilità.
Dettagli della vulnerabilità La sezione Dettagli della vulnerabilità contiene una descrizione tecnica approfondita delle vulnerabilità. In essa vengono inoltre illustrati i fattori attenuanti e la gravità della vulnerabilità di tutti i prodotti colpiti.
Soluzioni alternative La sezione Soluzioni alternative include le informazioni su soluzioni testate da Microsoft per contribuire ad attenuare il pericolo fino all'aggiornamento dell'ambiente. Leggere questa sezione come parte della valutazione del rischio.
Domande frequenti La sezione Domande frequenti contiene le risposte alle domande frequenti specifiche per la vulnerabilità o la correzione. È consigliabile leggere questa sezione dopo aver preso visione della sezione Riepilogo.
Informazioni sull'aggiornamento per la protezione In questa sezione sono elencate voci quali i prerequisiti, informazioni di installazione specifiche per la piattaforma, informazioni di distribuzione, informazioni sul riavvio, informazioni sulla disinstallazione, informazioni sui file (compresi i nomi, le dimensioni, le versioni, la cartella di destinazione) e i passaggi di verifica dell'installazione degli aggiornamenti.
Articolo della Knowledge Base Fare riferimento all'articolo della Knowledge Base (KB) identificato nel titolo di un bollettino sulla sicurezza. Ulteriori informazioni sulle vulnerabilità e gli aggiornamenti prescritti dal bollettino sulla sicurezza sono contenute nell'articolo della Knowledge Base. Il numero tra parentesi a destra del titolo di un bollettino sulla sicurezza indica l'articolo della Knowledge Base corrispondente del bollettino. Utilizzarlo per cercare l'articolo nel sito Web del Supporto tecnico Microsoft all'indirizzo http://www.support.microsoft.com/ (in inglese).
Per ulteriori informazioni sul processo di rilascio dei bollettini sulla sicurezza, vedere il white paper "Revamping the Security Bulletin Release" all'indirizzo