Microsoft SMS 2003/WSUS et PatchLink Update

L’outil SMS (Systems Management Server) est utilisé depuis plusieurs années par de nombreuses entreprises, notamment pour déployer des nouveaux logiciels ou pour réaliser la gestion de parc. Cortina publie une note de synthèse, qui traite de l’opportunité pour les Risk Manager et les Responsables de la Sécurité du Système d’Information d’y associer un véritable outil conçu spécifiquement pour la gestion des correctifs de sécurité, tel que PatchLink Update.

(Une version complète de cette note – avec un comparatif SMS / WSUS / PatchLink Update - est disponible sur le site www.cortina.fr

)

Systems Management Server 2003 est l’outil de référence proposé par Microsoft pour gérer les configurations et leurs modifications dans un environnement Windows.

Ses fonctions de base sont la distribution de logiciels, l’inventaire de parc, la surveillance du respect des contrats de licence, la gestion des terminaux mobiles, la gestion des correctifs de sécurité. La première chose à faire est de comparer chacune de ces fonctions de base avec les objectifs que s’est fixé votre entreprise dans chacun de ses segments. Il convient de réaliser que SMS a été conçu à l’origine pour adresser les trois premières fonctions, et c’est sans surprise que cet outil est le plus pertinent, dans un environnement Microsoft.

À l’inverse, pour la mission critique « Patch Management », SMS repose presque intégralement sur les composants et la technologie présents dans Windows Update Services (WSUS). En conséquence, bien que disposant d’améliorations (notamment sur le reporting et les options de déploiement), SMS souffre encore d’un certain nombre de limitations. Parmi celles-ci, on relève la couverture limitée en terme de périmètre protégé et l’incapacité à apporter l’assurance que les patches déployés sont réellement opérationnels.

Ce sont là – entre autres – des domaines dans lesquels au contraire excelle PatchLink Update, et qui explique que de nombreuses entreprises aient fait appel à cette solution, comme la Nasa (80.000 postes protégés), le gouvernement de l’Ontario (70.000 équipements gérés) ou Kraft Jacob Foods (35.000 ordinateurs).

Compléter SMS ou WSUS par PatchLink Update en ce qui concerne la gestion des patches de sécurité fait particulièrement sens dans les cas suivants :

- L’organisme s’est donné pour objectif de réduire son exposition aux risques, en éliminant réellement les vulnérabilités sur les serveurs et postes de travail,

- L’organisme souhaite étendre sa protection au delà des seuls OS Windows et de quelques applications Microsoft,

- L’organisme souhaite déployer les correctifs de sécurité en moins de temps et en mobilisant moins de personnel,

- L’organisme souhaite avoir l’assurance que les patches déployés sont opérationnels,

- L’organisme doit apporter à des tiers (auditeurs Sarbanes Oxley ou PCI, experts de la CNIL, membres de la direction, etc.) la preuve de la réduction de l’exposition aux risques concernant les failles de sécurité.

Support d’environnements hétérogènes

La librairie de correctifs de sécurité PatchLink Update est la plus complète du marché : elle comprend, par exemple, tous les patches de sécurité pour les environnements Windows 95, Me, 98 et NT, avec les pré-requis et les interdépendances, dont certains ne figurent pas dans Update Services.

Même dans un environnement Microsoft, il existe de nombreuses applications qui ont besoin d’être sécurisées : Java (Sun), Quicktime (Apple), Acrobat (Adobe), Citrix, SharePoint, RealPlayer, mais aussi les anti-virus McAfee, Sophos, Trend, etc. Il suffit qu’une seule de ces applications soit infectée pour compromettre la sécurité du poste.

De plus, toute organisation comprend des ordinateurs et des applications qui ne sont pas d’origine Microsoft : Linux, Red Hat, Solaris, AIX, HP-UX, Mac OS, Novell Netware, Sendmail, NetScape, MacroMedia, Snort, et bien d’autres. PatchLink Update permet – sous une solution unique – de gérer les patches de sécurité d’un tel parc, même très hétérogène. Dans un proche futur, ce périmètre va s’étendre à d’autres applications tierces.

Un autre point important à noter est la capacité pour PatchLink Update de prendre en compte des ordinateurs qui ne sont pas répertoriés dans Active Directory – et qui sont donc hors périmètre SMS.

Pré-validation des packages

Le pré-test des correctifs proposés par les éditeurs est l’une des taches les plus ingrates et exigeantes qui soit. Les laboratoires PatchLink procèdent à la validation des patches en amont, par une batterie de tests sur plus de 300 environnements. Chaque correctif est alors signalé aux serveurs PLUS (PatchLink Update Server) installés chez nos clients, sous forme d’un package qui comprend les interdépendances, les pré-requis et toutes informations utiles au bon déploiement. Ainsi, en mai 2006, c’est PatchLink qui a révélé qu’un patch de sécurité Microsoft pouvait gêner certains utilisateurs de Blackberry en les empêchant d’émettre des messages via Exchange.

Afin d’accélérer la phase de test concernant la bonne cohabitation avec vos propres applications, de nombreux clients PatchLink réalisent les validations en environnement VMWare avant de laisser la solution PatchLink Update effectuer le déploiement.

Accélération du déploiement des patches

Les patches les plus critiques sont postés automatiquement dans le serveur PLUS. Cette facilité vous met à l’abri d’une situation de crise, qui verrait le site Update Server ralenti quand tous les clients Microsoft voudront récupérer en urgence le dernier patch critique.

L’interface Web intuitive donne toute information sur les packages proposés, ainsi que sur les ordinateurs concernés (en tenant compte des pré-requis et des interdépendances). Dans la plupart des cas, il vous suffit de se laisser guider.

Un large choix d’options de déploiement (regroupement, cadencement, ordre et priorités, plages horaires, maîtrise des reboot, etc.) couplé à une visibilité totale et en temps réel (déploiements en cours, patches installés, patches opérationnels, ordinateurs actuellement inaccessibles, etc.) vous donne la maîtrise totale des opérations.

La solution PatchLink Update comprend également des fonctionnalités qui vous permettent de gérer en toute sérénité les incidents (Rollback capabilities – avec quelle facilité et rapidité un retour arrière peut-il être effectué ?) ; la plupart des autres solutions bouclent sans fin en cas de problèmes ou vous avertissent uniquement à l’issue du processus !

La finalité n’est pas de déployer des patches, mais bien d’éliminer les vulnérabilités

A l’inverse de la totalité des solutions de déploiement de logiciels, la solution PatchLink Update est la seule à apporter l’assurance que les correctifs déployés sont pleinement opérationnels ! Grâce à une technologie brevetée (fingerprint), on a ainsi la certitude que votre parc est bel est bien protégé.

Plusieurs de ces points différentiateurs seront démontrés lors du séminaire qu’organise Cortina, le 25 octobre 2006. A cette occasion, la nouvelle version 6.3 de PatchLink Update.

« MS tools check the registry to see if you ran the patch. They don't check the files to make sure they were updated. We've proven this many times by comparing scan results to our PatchLink databases. PatchLink also checks the files themselves » Carlton A. Foster - NASA

« While SMS provides relatively robust patch and update support, there are some drawbacks. SMS doesn't support non-Windows systems. Enterprises with mixed systems, such as *NIX and MacOS still need to find a way to manage patching and updates on those systems. Many large organizations invest time and effort into configuring vulnerability management components that are managed and overseen by network or desktop operations teams… Microsoft has a number of offerings for patch and update management, but patching is only part of the vulnerability management story. For some enterprises, SMS 2003 may fit business needs, but for many, the best fit is found in the more robust and feature-rich offerings of third-party vulnerability management vendors ». Diana Kelley, Senior Analyst, Burton Group

À propos de PatchLink
Fondée en 1991, la société PatchLink a proposé le premier outil commercial de gestion automatisée des patches de sécurité, ce qui explique en partie la richesse de sa librairie de correctifs, réputée comme étant la plus grande au monde. Distinguée à de nombreuses reprises (dernièrement, en avril 2006, le Best Patch Management Award du SC Magazine), la solution PatchLink Update – qui en est à sa version 6.3 – protège actuellement plus de deux millions de serveurs et d’ordinateurs, dans des organisations telles que la NASA, Motorola, Sybase, Yahoo !, Virgin Airlines, Wells Fargo, Ogivly, Bristol Meyers Squibb, Canon, Shell, KPMG… La solution PatchLink Update a notamment été distinguée par le Government Computer News (GCN), à l’issue d’un comparatif rigoureux : « In the end, we liked PatchLink Update best, regardless of network size. The company rigorously tests all patches before pushing them to network administrators and uses a unique “fingerprint” system to ensure patches haven’t been tampered with…From start to finish, PatchLink makes it nearly effortless for administrators to secure their networks ».

À propos de Cortina
Cortina a introduit en France courant 2003 les solutions PatchLink. Cortina est une société dédiée à la protection de l'information stratégique des entreprises. Les services et les solutions soigneusement sélectionnés aident les entreprises à mieux protéger leurs données confidentielles, leur propriété intellectuelle, leurs communications stratégiques et l'intégrité de leur marque. www.cortina.fr