SYSTEM MANAGEMENT SERVER 2003 Juan Luis García Rambla Consultor de seguridad y sistemas jlrambla@informatica64.com

Agenda 9:30 - 9:45 Recepción. 9:45 - 10:00 Introducción a SMS. 10:00 - 10:15 Entorno de trabajo de SMS. 10:15 - 11:00 Agentes y clientes SMS. 11:00 – 11:30 Descanso. 11:30 - 12:00 Los sistemas de movilidad en la empresa. 12:00 - 12:30 Distribución de Software. 12:30 - 13:15 OS Deployment Feature Pack. 13:15 – 13:30 Preguntas, ruegos y despedida

SMS 2003 INTRODUCCIÓN

Evolución ¿Qué es SMS 2003? Revolución (establece nuevas fronteras) Fiabilidad: distribución de software con un nivel de precisión de hasta el 99% Escalabilidad: control desde cientos a cientos de miles de sistemas. Seguridad: en el diseño, instalación y operación. Evolución Construido sobre el éxito de SMS 2.0 Inversión continuada en distribución de software y descubrimiento de elementos de inventario. Ampliación y mejora de sus principales características.

Funcionalidades de SMS 2003 Gestión de parches de seguridad Gestión de inventario Distribución de aplicaciones Soporte para usuarios móviles Uso intensivo de Windows Management Services

Roles de los sistemas del Site Punto de ubicación del Servidor (Server Location Point) Punto de Administración SMS Site Database Servidor de Site Punto de distribución Punto de informes Punto de acceso de cliente

Jerarquías de Sites Site Primario (Central) (Parent Site) SQL Site Primario (Central) (Parent Site) SQL SQL Site Primario (Child y Parent Site) Site secundario (Child Site) SQL Site Primario o secundario (Child Site)

Infraestructura Diseño basado en infraestructuras de empresa: Estructuración de SITES según: Funciones administrativas. Diseños geográficos. Funcionalidades de SMS. Despliegue de roles como mejora de las funciones de red. Microsoft Solutions for Management: Management Architecture. Guías de diseño de arquitectura. www.microsoft.com/downloads

Escenario de implementación

Escenario interconexión WAN

Clientes Sistema de clientes. Clientes tradicionales. Clientes avanzados. Mejoras en la funcionalidad. Mejoras en seguridad. Clientes móviles. Diseño de la arquitectura en función de los clientes.

Agentes Controlan la interacción de los clientes con el subsistema de SMS. Hay agentes por cada una de las funcionalidades que aporta SMS. Se instalan como componentes independientes

Logs Tienen como objetivo referenciar el estado de funcionamiento de los componentes de SMS. La información es consultada por todo aquello que ha sido recogido en la base de datos por mediación del Site Server.

SMS Trace Es una herramienta avanzada para análisis y consulta de los componentes de SMS. Presenta un potente sistema de filtros y búsquedas.

CLIENTES, AGENTES Y FUNCIONES DE SMS 2003

Clientes SMS 2003 basa sus funcionalidades sobre los Clientes. El despliegue de agentes. Acciones. Procedimientos. Descubrimiento. Instalación.

Descubrimiento Procedimiento inicial para determinar que sistemas va a interactuar y ser gestionados mediante SMS. El descubrimiento se realiza mediante diferentes metodologías: Por directorio Activo. Por red. Mediante Script. Descubrimiento de usuarios. Descubrimiento de grupos. Descubrimiento manual.

Integración con las delimitaciones de Sites del Directorio Activo SMS 2003 permite la definición de los límites de site SMS a partir de los nombres de site del Directorio Activo. Las subredes IP solo se definen en un lugar y SMS aprovecha esa definición. Se pueden emplear subredes IP mezcladas y delimitaciones de sites del AD para definir sites SMS. Soporta migración progresiva – las delimitaciones existentes basadas en subredes IP todavía están soportadas.

Descubrimiento integrado en Active Directory El descubrimiento de sistemas integrado en Directorio Activo permite el descubrimiento de nuevos sistemas para su asignación a sites e instalación. Generalmente más eficiente que el Descubrimiento en la Red. Reúne información de contenedores del AD Descubrimiento de usuarios en AD. Descubrimiento de Grupos de Máquinas en AD. Obtiene nombres de Sites del Directorio Activo.

Definición de sistemas-objetivo usando el Directorio Activo Recoge información de los siguientes contenedores Pertenencia a Organizational Unit Pertenencia a grupos Universal, global, dominio, local, seguridad y distribución Soporte para anidamiento de grupos Incluye usuarios y máquinas incorporados (“Built-in” Definición de objetivos de distribución de software a partir de OUs y grupos Incluye los grupos de distribución

Instalación de clientes Tras descubrir los posibles sistemas clientes hay que proceder a su intalación. SMS 2003 cuenta con dos tipos de clientes: Tradicionales. Avanzados.

Metodologías de instalación de clientes Por procedimiento programado. Instalación por mandato. Instalación mediante script. Instalación manual.

Interacción del Cliente SMS 2003 Servidor de Site Primario Base de Datos del Site Punto de Administración Cliente Avanzado SMS 2003 Punto de Distribución Cliente tradicional CAP Compatibilidad con SMS 2.0

Cliente avanzado: movilidad global Site primario Active Directory Site para usuario móvil Site asignado Ubicación del punto de Administración Política Ubicación de contenidos Contenido Site primario Site primario Site primario

¿Sigue siendo necesario NetBios con SMS 2003? …usando Active Directory …y Seguridad Avanzada …con Clientes Avanzados No se usa Network Browser de NT! No se usa WINS para resolución de nombres !!

Descarga y ejecución del Cliente Avanzado Punto de Distribución Punto de Administración Site Primario SMS 2003 Site primario SMS 2003 Punto de Distribución Cache local del cliente Instalación del nuevo programa Cliente Avanzado SMS 2003

Matriz de clientes SMS2003 Funcionalidad Cliente antiguo Cliente Avanzado   Inventario (HW/SW) Inventario de dispositivos móviles    Distribución básica de SW No requiere permisos de Administrador del Dominio  Distribución de SW para dispositivos móviles   *  * Control remoto   Métrica Windows 98, Windows NT 4.0, Windows 2000, Windows XP Windows 2000 y Windows XP Plataformas de cliente Métodos de instalación Descubrimiento, script, manual, pre-instalación Descubrimiento, script, manual, GP, pre-instalación * El Control Remoto se integrará con la Asistencia Remota de los Clientes XP. Control remoto SMS 2.0 disponible para todas las plataformas.

Integración con Windows Management Services Necesidades Rentabilizar las inversiones en TI Aprovecha las inversiones en Directorio Activo Usa lógica de negocio incorporada en el directorio corporativo para ayuda a la toma de decisiones de gestión de sistemas Reducción de costes operativos Aprovechamiento de la infraestructura existente Distribución de aplicaciones optimizada Reduce el tiempo necesario desde la creación de aplicaciones a su distribución Proporciona información de inventario fiable Soporta entornos de Windows bloqueados Asistencia remota a los usuarios

Nuevas funcionalidades a su disposición Distribución de aplicaciones Soporte para el ciclo de vida completo: planificación, distribución, instalación, comprobación, informes, actualización y desinstalación. Uso intensivo de las funcionalidades de Windows Installer V2. Gestión de Inventario mejorada. Informes integrados. Inventario más granular y nueva solución de métrica de utilización. Gestión de Parches de Seguridad. Soporte integrado para actualizaciones de seguridad de Windows y para Office. Ayuda al usuario mediante asistentes. Movilidad. Nuevo Cliente Avanzado pensado para usuarios móviles. Control del consumo de ancho de banda, puntos de restauración, escalable y basado en HTTP. Integración completa con Windows. Integración con Active Directory. Experiencia de cliente nativo Windows.

Herramienta de planificación La Gestión de Inventarios ayuda a la planificación. Inventario de Hardware. ¿Qué hardware necesitan las nuevas aplicaciones? ¿Cuántas máquinas necesitan actualizaciones de hardware para poder correr las nuevas versiones de aplicaciones de negocio críticas? Inventario de Software. Cuántas copias de MS Office Profesional y Office Premium necesito, y cuántas tengo que comprar? Pruebas de compatibilidad de aplicaciones. Posiblemente supone el mayor concepto de gasto dentro de la distribución de aplicaciones de línea de negocio. ¿Cómo montar un entorno de pruebas? Métrica. Seguimiento del uso de las aplicaciones. ¿Quién usa qué y durante cuánto tiempo? Eliminar aplicaciones no utilizadas.

Herramienta de distribución El Directorio Activo permite asignar objetivos basados en roles de negocio. Variedad de estados en la distribución de paquetes. Facilidad para distribuir aplicaciones grandes. Arquitectura de envíos site-to-site. Control avanzado de consumo de ancho de banda. Reinicio desde punto de revisión (checkpoint). Chequeo de errores. Replicación de Deltas. Reduce el consumo de ancho de banda al enviar únicamente los archivos que han sido modificados.

Replicación de cambios (Deltas) Punto de Distribución Site Central SMS 2003 Punto de Distribución Punto de Distribución Site secundario SMS 2003 Site Primario SMS 2003

Gestión de inventario Inventario fiable y escalable. Mejor control. Menor tráfico de red. Granularidad en la asignación de sistemas-objetivo. Métrica de software integrada. Seguimiento de la utilización. Recogida y envío de datos (roll-up). Sistema de informes potente. Seguimiento de cumplimiento de licencias. Entornos de informes personalizables.

Capacidades de inventario Aumento de escala 100.000+ sistemas en un site primario único 5-7x más que con SMS 2.0 Más control sobre el inventario de software Mejores criterios de selección Comodines, directorios y variables de entorno Resaltar diferentes permutaciones de inventario, como *.exe, ^*.exe, etc. Exclusión de volúmenes comprimidos y cifrados (crítico en servidores) Capacidad de obtener propiedades de archivos, mejorando el rendimiento del sistema Mejores informes de aplicaciones instaladas Proveedor WMI para inventariar los programas añadidos / quitados Información sacada del registro y la interfaz de usuario Mejor seguimiento de suites de aplicaciones Informe válido para Enterprise Agreement Proveedor WMI para inventariar el estado de Windows Installer Reducción del tráfico de red debido al inventario Deltas generados en clientes. Clientes Avanzados utilizan archivos XML

Informes Informes en formato Web Exportación de informes Basados en vistas SQL de alto rendimiento y actualizadas de forma automática Esquema basado en SMS Provider Documentado y soportado Mejoras sobre la versión Web original 120 informes preconfigurados Funcionalidad de escritorio personalizable que facilita el manejo de informes Múltiples informes en una vista única Soporte para seguridad integrado Versiones internacionales Exportación de informes Se pueden importar/exportar propiedades de los informes hacia otros entornos SMS

Seguridad SMS 2003 ofrece un nuevo modo de Seguridad Avanzada. Menor número de cuentas de servicio. Menos carga de trabajo administrativo. Aprovecha la cuenta Local System. No necesita derechos de Administrador de Dominio. Se recomienda la plataforma de Cliente Avanzado. No utiliza cuentas administrativas, a diferencia del cliente tradicional. SMS 2003 permite la delegación de derechos de seguridad.

MSI y Windows Installer Utiliza el servicio Windows Installer. - Los paquetes de software se pueden crear a partir de un archivo de Windows Installer (.MSI). - Soporta entornos bloqueados por configuraciones de seguridad mediante el uso de derechos ampliados para la distribución automática de software. Distribución de aplicaciones optimizada mediante importación de MSI. Aplicaciones MSI autocontenidas en todo momento y lugar.

Control Remoto Asistencia remota integrada Solución estratégica de Microsoft en este área Incorporada en Windows XP y Windows Server 2003 Servicios de Terminal integrados Windows 2000 Server Herramientas de control remoto existentes para todas las plataformas Mejora la disponibilidad y rendimiento La misma funcionalidad para plataformas de cliente tradicionales y avanzadas

Inventario basado en WMI Mejor rendimiento en el lado del cliente durante los análisis de inventario Proporciona un conjunto amplio de datos de inventario, incluyendo información de BIOS y cierres de chasis (control de intrusión) Basado en el modelo estándar CIM (Common Information Model) Puede operar con información desde múltiples orígenes

Software Metering Conocer el uso de las Aplicaciones Quién, cuándo, dónde… Acuerdos de Licencia Aplicaciones No Autorizadas Generación de informes Aplicaciones instaladas vs. en uso ¿Tenemos bastantes licencias? ¿Tenemos demasiadas licencias?

Software Metering (2003) Componente rediseñado. Sólo Auditorías “offline”. Informe de uso junto con Inventario. Resúmen periodico de los datos. Integrado. Tareas estándar y componentes comunes.

Software Metering (2003) Monitorización específica. Definiendo productos. Sin reglas definidas. Sesiones Terminal Server.

Software Metering (2003)

Software Metering Processor Crea y Mantiene estructura de carpetas. Convierte las reglas en ficheros XML. Replicadas en los CAP’s para el cliente básico. Convertidas en políticas para el cliente avanzado. Procesa los datos recibidos desde los clientes.

Software Metering Processor Escribe en la Base de Datos. Datos detallados de los clientes. Datos resumidos en uso periódico y uso de Aplicación. Borra los datos antiguos. Uso Periódico basado en usuarios. Cuantas veces ejecuta un usuario un programa determinado en un intervalo de tiempo. Uso de Aplicación basado en programas. Cuantos usuarios (totales y concurrentes) ejecutaron un programa en un intervalo dado. Utiliza tareas separadas.

DEMO AGENTES Y FUNCIONES

Dispositivos móviles

Introducción Los dispositivos móviles están teniendo un profusión importante en la empresa. Su uso se encuentra cada vez más extendido. La empresa proporciona los medios y debe proveer un mecanismo de control para los mismos.

Necesidades Control de hardware. Gestión de la seguridad. Despliegue corporativo de aplicaciones. Actualizaciones controladas.

Device management feature Pack (DMFP) SMS 2003 incorpora una nueva implementación para gestión de dispositivos que utilicen Pocket PC y Windows CE. Requiere SMS Service Pack 1 para sus funcionalidades. Los dispositivos clientes deben poseer Windows CE™3.0 o posterior WindowsMobile™2002 and Windows Mobile™2003 para Pocket PC

Funcionalidades SMS 2003 proporciona las siguientes funcionalidades a los clientes móviles. Inventario Hardware. Inventario Software. Distribución de software. Gestión de propiedades de dispositivos. Aplicación de políticas de Password.

Despliegue SMS 2003 utiliza las mismas arquitecturas y roles de infraestructura utilizadas con las estaciones clientes que con los clientes de dispositivos móviles. Management Point. Distribution Point

Configuración del SMS Site Server Activación del rol de Management Point para gestión de dispositivos. Configuración de los agentes de cliente. Modificación del fichero SMS_def_mof. Extensión del inventario hardware en las estaciones clientes.

Configuración

Modificación de SMS_Def.Mof Permite que se inventaríe en estaciones clientes los dispositivos móviles. Se modifica en el servidor para desencadenar el procedimiento de difusión hacia los clientes. La definición de las clases se encuentran en la siguiente ruta: <SMS InstallationFolder>\DeviceClientDeployment

Extensión del inventario Hardware en cliente Permite realizar informes del estado de los dispositivos. El despliegue se realiza mediante distribución de paquetes de los siguientes archivos: Device management common installer program (DmCommonInstaller.exe) Device management settings file (DmCommonInstaller.ini) Device management inventory extension tool (DmInvExtension.exe) Tras su instalación se iniciará en el siguiente procedimiento de syncronización con los dispositivos el inicio de instalación de los agentes. Los programas instaladores se depositan en la siguiente carpeta SmsDm en el perfil de todos los usuarios.

El cliente de dispositivos móviles DMPF proporciona dos mecanismos para instalar el cliente SMS en los dispositivos móviles: Distribución de software a las estaciones clientes que soportan dispositivos móviles. Copia y ejecución manual directamente en los dispositivos.

DEMO GESTION DISPOSITIVOS

DISTRIBUCIÓN DE SOFTWARE

Distribución de Aplicaciones El entorno de TI es complejo Se necesita ayuda para planificar y comprobar Se necesita una distribución segura y verificable Panorama de TI muy variopinto Necesidad de una distribución controlada El momento adecuado A los usuarios precisos Necesidad de trabajar con clientes dispersos geográficamente

Distribución de aplicaciones Distribuciones con SMS Servidor de Distribución Hace fácil la distribución de aplicaciones corporativas Programas de Office System SAP, Siebel, etc. Herramienta de planificación Inventario y métricas mejoradas y ampliadas Herramienta de distribución Destino basado en necesidades de negocio Aplicaciones adecuadas a los usuarios adecuados a su debido tiempo Mejor experiencia de usuario Paquete Programa Colección Cliente Cliente Cliente

Distribución/Migración de aplicaciones Preparación Foco en la recogida de información, planificación y prueba de laboratorio Comprobación de integridad de la jerarquía actual Comprobación de requerimientos de SMS 2003 Distribución Definición de la estrategia de Distribución / Migración Planificación de la distribución top-down Optimización Migración a Cliente Avanzado Cambio de delimitación de Sites SMS a Sites del AD Cambio a Seguridad Avanzada

Integración con Añadir/Quitar programas Muestra anuncios en Añadir/Quitar Programas Configurable a nivel de programa Apariencia idéntica a los anuncios por Group Policy Soporte para categorías Soportado en clientes Windows 2000 y XP

Gestión de Parches de Seguridad Mantener la integridad del entorno de TI Identificar los parches críticos Determinar los sistemas vulnerables Distribuir parches de forma rápida y fiable Información precisa sobre el estado de la distribución Proceso sistemático Necesidad de controlar el proceso de actualización Reducción de los costes de distribución y mantenimiento de parches. Necesidad de aumentar la disponibilidad y efectividad del sistema de mantenimiento de parches

Gestión de Parches de Seguridad Mantenimiento de la integridad del entorno de TI Análisis de vulnerabilidad Informes de estado y comprobación Infraestructura, proceso y control SMS 2.0 SUS Feature Pack integrado en SMS 2003 Mejor aprovechamiento de la infraestructura Atención al uso eficiente del ancho de banda y la prioridad mayor control del administrador Definición flexible de los sistemas objetivo Experiencia del usuario mejorada.

Mantenimiento de la Integridad Análisis de vulnerabilidad Aprovecha herramientas existentes, como MS Baseline Security Analyzer Recoge los resultados de MBSA para su almacenamiento en un repositorio centralizado Un variado conjunto de informes ofrece un análisis detallado de vulnerabilidad y permite diseñar planes de mitigación Informes de Estado y nivel de actualización Estado de las distribuciones desde que se inicia el proceso Informes predefinidos, mensajes de estado y resúmenes. Definición de las líneas de base actuales en el entorno antes de comenzar los cambios Plantillas de sistemas de referencia para determinar las líneas de base y grado de cumplimiento de políticas de seguridad

Soporte para clientes móviles Cliente avanzado diseñado específicamente para usuarios remotos Desarrollo completamente nuevo Basado en la tecnología Windowsupdate.com Comunicación mediante HTTP Esquema basado en XML Opera conjuntamente con los Puntos de Administración de SMS La solución avanzada de cliente utiliza la misma experiencia de administración que el cliente tradicional

Soporte para clientes móviles Soporte para BITS (Drizzle) para análisis de actividad de red Control del ancho de banda Puntos de restauración Modo descarga y ejecución (opcional) Métodos de instalación optimizados: Precarga Instalación manual Políticas de Grupo Actualización del cliente existente Nuevo modelo de seguridad No se crean cuentas de usuario locales Los clientes pueden utilizar servidores DFS como puntos de distribución Únicamente para Windows 2000, Windows XP y posteriores

Procedimientos El proceso de distribución lo constituyen los siguientes elementos. Creación del paquete. Creación del programa que ejecutará la acción. Asignación del Punto de distribución. Creación del anuncio.

Paquete Designa una carpeta con contenido que será distribuido a los clientes. Hay que tener en cuenta que todo el contenido viajará por la red. Se determinan los derechos con los que se ejecutarán las aplicaciones. Del paquete podrán designarse diferentes programas que ejecutarán las acciones en el cliente. Se definirán también los puntos de distribución.

Anuncio Determina a que clientes se asignarán los paquetes. Designa como se realizará la instalación, pudiendo asignar mandatos imperativos. Aplica límites de tiempo para la publicación en los clientes.

Herramienta de escaneo de seguridad Microsoft despliega una serie de herramientas para determinar quien necesita actualizaciones. El despliegue se realiza mediante herramientas y scripts automatizados que generan paquetes preparados para ser distribuidos.

DEMO DISTRIBUCIÓN DE SOFTWARE

OS DEPLOYMENT

Introducción El despliegue de sistemas puede ocasionar: Elevación de costes. Descentralización de las acciones y de los procedimientos. Perdidas de productividad.

Necesidades Herramienta de integración y de centralización. Conocer en todo momento como se está desarrollando el despliegue y las fases en las que se encuentra. Herramientas para realizar diferentes tipos de despliegue según las posibilidades.

Aportación OSD_FP OS deployment feature pack facilita al administrador herramientas para la creación de imágenes. Estas imágenes podrán ser distribuidas mediante las siguientes metodologías. Equipos administrador por SMS 2003 mediante la distribución de paquetes. Equipos no administrados, mediante RIS o por CD. Permite generar informes de despliegue. Migración de estados de usuario utilizando USMT 6.2.

Arquitectura de despliegue El sistema de despliegue presenta los siguientes elementos: Servidor SMS 2003. Equipo de referencia. Equipo de destino.

Equipo de referencia Debe ejecutar windows 2000 o superior. No tiene porque estar asignado a un sitio SMS pero si así lo fuera sería necesario que estuviera unido al mismo de los equipos destino. Debe ser miembro de un grupo de trabajo. Debe estar configurado para obtener una dirección IP mediante DHCP. La versión de SYSPREP adecuada debe estar instalada en la carpeta c:\sysprep. El sistema operativo debe estar instado en C:, formateado en NTFS y no tener particiones ocultas.

Equipo destino En caso de realizar la instalación con un sistema operativo ya instado, este debe estar en C:, formateado en NTFS y sin particiones ocultas. Debe ejecutar Cliente SMS 2003 sp1. Si el despliegue se realiza desde CD o RIS no se necesita S.O. instalado o cliente SMS.

Operaciones Feature Pack Las distintas operaciones que se pueden realizar son: Capturar una imagen. Crear un paquete y un programa para el despliegue de un S.O. Configuración del despliegue de un S.O.

Capturar una imagen Se inicia el procedimiento creando un CD arrancable que contiene el asistente para la creación de imágenes. La imagen para este CD se crea desde la consola de administración de SMS mediante un asistente. Tras la finalización del asistente se genera una iso.

Preparar el equipo de referencia Instalar SMS 2003 SP1 Advanced Client. Instalar componentes y actualizaciones que correspondan. Retirar la máquina del dominio. Copiar la herramienta sysprep en la carpeta c:\sysprep. Ejecutar el asistente para la captura de imágenes.

Creación de imagen

Implementación de imágenes Distribución para nuevos equipos: Mediante instalación manual con CD. Integración con RIS. Reinstalar equipo: Mediante instalación con SMS a partir del Cliente SP1. Reemplazar equipos: Consistente en migrar un usuario a una nueva máquina, SMS no proporciona una metodología directa aunque hay un escenario de implementación para ello: The Solution Accelerator for Business Desktop Deployment descargable desde technet o http://www.microsoft.com/downloads.

Creación del paquete de despliegue Una vez creada la imagen esta podrá ser distribuida a través de SMS. Para ello SMS proporciona un asistente para la realización del despliegue de la imagen.

DEMO CREACIÓN Y DESPLIEGE DE IMÁGENES

¿ Preguntas ?

Próximas acciones Para poder plantear medidas para la securización de sistemas es necesario conocer cuales son los funcionamientos de los expedientes sobre vulnerabilidades, el ciclo de vida de un exploit, y lo que es más importante, las herramientas y técnicas utilizadas en la comunidad Hacker. Juega a ser un Hacker para que los Hackers no jueguen contigo.

TechNews Suscripción gratuita enviando un mail: mailto:technews@informatica64.com

Contacto Juan Luis García Rambla Informatica64 jlrambla@informatica64.com Informatica64 www.informatica64.com i64@informatica64.com +34 91 665 99 98

Referencias SMS 2003: Web Cast SMS: SMS SP1: http://www.microsoft.com/spain/servidores/smserver/default.asp Web Cast SMS: http://www.microsoft.com/smserver/support /webcastseriessummer.asp SMS SP1: http://www.microsoft.com/smserver/downloads/2003/sp1.asp Guia de conceptos, planificación y despliegue. http://www.microsoft.com/resources/documentation/sms/2003/all/dpdg/en-us/default.mspx