Microsoft System Management Server R2

Por: Ricardo Gomez Rey

Traduzido por: Yuri Diógenes

 

Dois meses e meio atrás estavamos falando sobre o SMS 2003 e o lançamento do Service Pack 2. Agora é a hora de falar sobre a nova versão “minor release” do SMS, chamado de R2. Esta nova versão R2 está desenvolvida com base no SMS SP2 e se você deseja instalar esta versão, é necessário que tenha o SMS 2003 SP2 instalado e funcional.

 

O melhor é que agora está havendo um programa para participação da versão Beta do  R2 e está pública. Com isso você só precisa se registrar para participar do programa e com isso baixar esta versão Beta, instalar em um ambiente de teste e validar as novas características do produto. Mais informações no link abaixo:

http://www.microsoft.com/smserver/evaluation/2003/r2.mspx  

 

Exitem três grandes características incluídas no SMS 2003 R2. A ferramenta de inventário para atualizações personalizadas (Inventory Tool for Custom Updates – ITCU), que por sua vez tem uma ferramenta para scanear e publicar seus próprios CABs usado para qualquer programa. A outra característica é a ferramenta de avaliação de vulnerabilidades (Vulnerability Assessment Tool - VAT), que essencialmente usa o MBSA 2.0 para reportar as vulnerabilidades de segurança que não sejam “patches”, um exemplo seria a detecção de senhas fáceis, entre outras coisas.

 

Quando tiver um tempinho, vá na página web do SMS 2003 R2 e baixe a documentação, você verá que há um breve resumo das principais características e por fim verá que existe a última versão pública do R2.

 

Ferramenta para Atualizações Personalizadas

 

A ferramenta para atualizações personalizadas é uma extensão, bem vinda, das capacidades de gerenciamento de “patches” que está incluso no SMS já por um bom tempo. Historicamente o gerenciamento de “patches” tem se limitado a grandes empresas, como Microsoft, Dell e IBM. A ferramenta de atualizações a adiciona a habilidade para qualquer empresa poder gerenciar “patches” de software através do SMS – incluindo qualquer aplicação proprietária que esteja instalada no ambiente.

 

A ferramenta de atualizações é suportada para clientes Windows XP SP2 ou superior assim como para Windows 2003 SP1 ou clientes que possam ser gerenciados pela nova console MMC com o “snap in” que permite aos administradores: importar atualizações de terceiros, importar atualizações específicas para o ambiente e publicá-los no servidor SMS. De forma que os clientes SMS possam fazer uso da característica de “scan” e com isso posteriormente receber uma atualização do produto.

 

 

Ferramenta de Avaliação de Vulnerabilidades

 

O SMS como é sabido de todos tem a capacidade de detectar e disseminar pela rede atualizações de software já a um bom tempo. Porém, existem algumas vulnerabilidades que expõe riscos de segurança para as organizações que estão além de simples atualizações de software. Estas vulnerabilidades caem dentro da categoria dos sistemas que podem ser configurados de uma forma que sejam mais susceptíveis a uma brecha de segurança. A ferramenta de avaliação de vulnerabilidades foi criada para este tipo de máquinas.

 

A ferramenta de avaliação de vulnerabilidades é baseada na tecnologia usada pelo MBSA, mas não foi criada para usar nenhuma das funcionalidades de detecção de “patches”. Ao invés disso, o MBSA é usado para detectar vulnerabilidades comuns do sistema que podem surgir como resultado de uma configuração não propriamente segura. A análise foca em diferente áreas, são elas:

 

·         Vulnerabilidades administrativas do Windows

·         Verificação de senhas fracas

·         Vulnerabilidades administrativas do IIS

·         Vulnerabilidades administrativas do SQL Server

 

Os administradores do SMS que já estão familiarizados com as ferramentas da Microsoft para fazer “scan” irão ter certa facilidade com esta ferramenta. A instalação é muito similar a das outras ferramentas de “scan” no que diz respeito à coleta de pacotes e anúncios que podem ser criados por você automaticamente e podem ser imediatamente usados. Existem dois pacotes que são criados:

 

·         Vulnerability Assessment

·         MBSA 2.0

 

 

 

O pacote de avaliação de vulnerabilidades executa a ferramenta pela qual faz o “scan” das máquinas que foram escolhidas e nos reporta o estado das vulnerabilidades encontradas. Este é o único pacote pelo qual o anúncio é criado na instalação. O pacote MBSA 2.0 é criado para permitir os administradores distribuir MBSA aos computadores que não tem essa ferramenta instalada. Os administradores precisam criar seus próprios anúncios para a ferramenta MBSA de acordo com a necessidade do ambiente. Quando a ferramenta for executar ela mostrará a informação novamente como qualquer outra ferramenta de “scan”.

 

 

 

Aquí temos uma lista de novas características desta versão que será possível encontrar na Web

 

- Exportando catálogos de atualizações de software para testes – a nova característica de exportação para teste fornece a capacidade de testar o catálogo criado na ferramenta de publicação de catálogos personalizados sem sincronizar o catálogo com o servidor de SMS 2003. É criada uma pasta com a ferramenta de “scan”, arquivos de esquema, catálogos de testes e um script com os comandos e parâmetros apropriados. Quando o arquivo RunScan.cmd é executado, é feito um “scan” no cliente com base na atualização que foi criada e os resultados são colocados em um arquivo chamado TestResults.xml. Os clientes locais e remotos podem executar o “scan” para determinar se a definição das atualizações criadas fornece os resultados esperados. Os resultados do teste são ordenados e organizados em um relatório informativo. Esta é uma grande característica para o teste dos catálogos criados antes da publicação.

 

- (NOT) pode ser aplicado a qualquer regraUma das novas características da versão SMS 2003 R2 é a capacidade para aplicar o operador lógico NOT a qualquer regra para atualização. As regras com NOT são úteis quando estamos buscando arquivos ou chaves de registro que não existem. Isto fornece flexibilidade e aplicabilidade na criação de regras de instalação.

 

- Melhor suporte a base de dados multi-usuário – um bom número de mudanças e ajustes foram realizados para melhorar o gerenciamento e “scan” em cenários com múltiplos usuários conectados a mesma base de dados central de publicação.

 

- Melhorias no suporte a usuários com poucas permissões – arquivos específicos a usuários assim como arquivos de log tem que ser facilmente criados para os usuários de poucas permissões, de forma que a ferramenta de publicação funcione adequadamente. Uma nova base de dados com as regras dos usuários foi criada assim como também puderam ser aplicados a contas e usuários na base de dados de publicação.

 

- Por padrão valores de chaves de registro podem ser usadas para todas as regras de registro - o esquema público de XML foi atualizado para habilitar a detecção de valores do registro guardados como valores padrões de uma sub chave.

 

- O assistente de criação e atualização suporta regras autorizando atualizações do MSI – na versão Beta, as atualizações do MSI estavam limitadas a simples regras geradas automaticamente por usuário. Agora, em adição as auto geração de regras, o assistente pode ser usado para adicionar regras diferentes a verificação do MSI.

 

- Melhora em segurança de certificados com a verificação de certificados revogados – uma nova tab de configuração foi adicionada às opções da ferramenta que habilita a revogação avançada de certificados quando se avaliam assinaturas digitais dos arquivos dos catálogos.

 

 

- Ataualização da documentação – a documentação para R2, especificamente na área de ferramenta de publicação está atualizada e contem bastante informação do produto. Seções como “How To”, “Troubleshooting”, “Best Practices”, “Security” entre outras foram atualizadas. Tire um tempo para revisar esta nova documentação.

 

Bem queridos leitores, isto é tudo para o momento, como disse no princípio vá até a página e baixe o produto para testar; aproveitem esta oportunidade de trabalhar com ele antes que saia a versão final.