Microsoft System Management Server R2

Por: Ricardo Gómez Rey

 

Dos meses y medio atrás estábamos hablando acerca de System management Server (SMS) y el lanzamiento del Service Pack 2. Ahora es tiempo de hablar acerca de la nueva versión o “minor realease” de SMS, R2. Esta nueva versión R2 esta desarrollada sobre SMS SP2 y aun si usted la quiere instalar, es necesario tener SMS 2003 SP2 instalado y funcionando.

 

Lo mejor es que en este momento se esta corriendo un programa para participar en el beta de esta nueva versión y este programa es totalmente público, lo que significa que pueden bajar la versión beta de esta nueva versión  e instalarla en un ambiente de pruebas y participar y probar las nuevas características de la versión. Para esto pueden bajar y tener más información en:

http://www.microsoft.com/smserver/evaluation/2003/r2.mspx

 

 

Hay 3 grandes características incluidas en SMS 2003 R2. La herramienta de inventario para actualizaciones personalizadas (Inventory Tool fro Custom Updates – ITCU) la cual tiene una herramienta para escanear y publicar sus propios CABs usados para cualquier programa. Y la tercera es la herramienta de evaluación de Vulnerabilidades (Vulnerability Assessment Tool - VAT), esencialmente usa MBSA 2.0 para reportar las vulnerabilidades de seguridad diferentes de parches como por ejemplo contraseñas débiles, etc.

 

Si tienen tiempo de ir a la pagina web y bajar la documentación a continuación les hare un breve resumen de las características principales y lo ultimo que encontraran en la versión que se encuentra publica.

 

 

Herramienta para actualizaciones personalizadas

 

La herramienta para actualizaciones personalizadas es una extensión, bienvenida, de las capacidades de manejo de parches que ha estado embebida en SMS por largo tiempo. Históricamente el manejo de parches ha sido limitado a empresas específicas – como Microsoft, Dell e IBM. La herramienta para actualizaciones adiciona la habilidad para que cualquier empresa pueda manejar parches de software a través de SMS – Incluyendo cualquier aplicación propietaria que corra en el ambiente.

 

La herramienta de actualizaciones es soportada sobre Windows XP SP2 o superior y Windows 2003 SP1 o clientes que puedan ser manejados por la nueva consola MMC y el snap que permite a los administradores importas actualizaciones del tercero o crear actualizaciones especificas para el ambiente y publicarlos en el servidor de SMS y que los clientes de SMS pueden utilizar el escaneo y posteriormente poder recibir una actualización del producto.

 

 

 

Herramienta de Evaluación de Vulnerabilidades

 

SMS ha tenido la habilidad de detectar y  desplegar actualizaciones de software faltante desde hace ya algún tiempo. Pero hay algunas vulnerabilidades que exponen riesgos de seguridad a las organizaciones que están más allá del simple hecho de actualización de software. Estas vulnerabilidades caen dentro de la categoría los sistemas que pueden estar configurados en una forma que sean más susceptible a una brecha de seguridad. La herramienta de evaluación de vulnerabilidades fue diseñada para detectar estas maquinas.

 

 

La herramienta de evaluación de vulnerabilidades está basada sobre la tecnología de MBSA pero no está diseñada para usar ninguna de la las habilidades para detectar parches. En vez de eso, MBSA es usado para detectar vulnerabilidades comunes del sistema que pueden surgir como resultado de una configuración del sistema que no esté apropiadamente segura. El análisis se enfoca en diferentes áreas:

 

Vulnerabilidades administrativas de Windows
Chequeo de contraseñas débiles

Vulnerabilidades administrativas de IIS

Vulnerabilidades administrativas de SQL Server

 

Los administradores de SMS que estén familiarizados con nuestras herramientas de escaneo van a poder usar la herramienta de evaluación de vulnerabilidades muy fácil. La instalación es muy similar a la de las otras herramientas de escaneo en las colecciones, paquetes y anuncios que pueden creados por ustedes automáticamente y pueden ser usados inmediatamente. Existen dos paquetes que son creados:

 

Vulnerability Assessment

MBSA 2.0

 

 

El paquete de evaluación de vulnerabilidades corre la herramienta la cual escanea las maquinas que escojamos y nos reporta de regreso el estado de las vulnerabilidades. Este es el único paquete que por el cual el anuncio es creado en la instalación. El paquete MBSA 2.0 es creado para permitir a los administradores distribuir MBSA a los computadores que no tienen instalada esta herramienta. Los administradores, o sea ustedes, necesitan crear sus propios anuncios para la herramienta de MBSA si es necesario para sus ambientes. Cuando la herramienta correr regresa la información al SMS detectando las vulnerabilidades como un Inventario de Hardware – nuevamente como cualquier otra herramienta de escaneo.

 

 

 

Acá una lista de las nuevas características de la versión que encontraran en el web:

 

- Exportando catálogos de actualizaciones de software para pruebas – la nueva característica de exportación para pruebas provee la habilidad de probar el catalogo creado en la herramienta de publicación de catálogos personalizados sin sincronizar el catalogo con el servidor de SMS 2003. La herramienta crea un folder con la herramienta de escaneo, archivos de esquema, catalogo de prueba, y un script con los comandos apropiados y parámetros. Cuando el archivo RunScan.cmd es corrido, el cliente es escaneado por la actualización que se creó y los resultados son colocados en el archivo TestResults.xml. Los clientes locales y remotos pueden correr el escaneo para determinar si la definición de la actualización creada provee los resultados esperados. Los resultados del test son ordenados y formativos en un reporte informativo. Esta es una gran característica para la prueba de los catálogos creados antes de publicarlos.

 

- (NOT) puede ser aplicable a cualquier regla – Una de las nuevas características de la versión de SMS 2003 R2 es la habilidad para aplicar el operador lógico NOT a cualquier regla para actualización. Las reglas con NOT son útiles cuando se están buscando archivos o llaves del registry que no existen. Esto provee flexibilidad en la aplicabilidad y creación de reglas de instalación.

 

- Mejora del soporte a bases de datos multi-usuario – un buen número de cambios y arreglos se hicieron para mejorar el manejo en el escenario que múltiples usuarios estén conectados a la misma base de datos central de publicación.

 

 

 

- Mejoras en el soporte a usuarios con bajos permisos -   archivos específicos a usuarios así como archivos de log tienen que ser muy fáciles de crear para los usuarios de bajos permisos para que la herramienta de publicación trabaje. Una nueva base de datos con los roles de los usuarios se creó así como también que pudieran ser aplicados a cuentas e usuarios en la base de datos de publicación también.

 

- Valores por defecto de llaves del registro pueden ser usadas en todas las reglas del registro -  el esquema publico de  XML fue actualizado para habilitar la detección de valores del registry guardados como valores por defecto de una sub llave.

 

- El ayudante de creación y actualización soporta reglas autorizando updates de MSI – en la versión Beta, las actualizaciones de MSI estaban limitadas a simples reglas auto-generadas por el usuario. Ahora, en adición a la auto-generación de reglas, el ayudante puede ser usado por el autor para adicionar reglas diferentes al chequeo de MSI.

 

- Mejora en la seguridad de certificados con el chequeo de revocación de certificados -  un nuevo tab de configuración se adiciono en las opciones para la herramienta que habilita la revocación avanzada de certificados cuando se evalúan firmas digitales de los archivos de los catálogos.

 

 

- Actualización de la documentación – la documentación para R2, especialmente en el área de la herramienta de publicación, ha sido completamente actualizada y contiene abundante información del producto. Secciones como How to, troubleshooting, mejores prácticas, seguridad y más han sido actualizadas también. Asegúrense de revisar la nueva y mejorada documentación.

 

 

Bueno mis queridos lectores, esto es todo por esta vez, como les decía en el principio vayan a la pagina y bajen y prueben el producto; aprovechen la oportunidad de trabajar con él antes que salga la versión final.