Você está na página 1de 143

Guia de atualizao de segurana da Microsoft

Segunda edio
Ajudando profissionais de TI a entender melhor e maximizar as informaes, os processos, a comunicao e as ferramentas de publicaes de atualizao de segurana da Microsoft

Guia de atualizao de segurana da Microsoft, segunda edio

Guia de atualizao de segurana da Microsoft, segunda edio


2011 Microsoft Corporation. Todos os direitos reservados. Este documento fornecido

no estado em que se encontra. Informaes e pontos de vista descritos nesse documento, incluindo todas as URLs e outras referncias a sites, podem ser alterados sem aviso prvio. Voc assume o risco de us-lo. Este documento no concede a voc quaisquer direitos legais sobre qualquer forma de propriedade intelectual relacionada a qualquer produto da Microsoft. Voc pode copiar e usar este documento para fins de referncia interna.

Guia de atualizao de segurana da Microsoft, segunda edio

Contedo
Bem-vindo .................................................................................................................. 1 Como usar o Guia de atualizao de segurana da Microsoft ........................... 2 Introduo .................................................................................................................. 3 Gerenciamento de vulnerabilidades ...................................................................... 6 Finalidade deste guia ................................................................................................................ 7 Gerenciamento de vulnerabilidades na Microsoft ........................................................ 8 Gerenciamento de atualizaes de segurana usando Microsoft Solutions ... 9 Trs Abordagens para atualizaes de segurana ..................................................... 11 O processo de publicao de atualizao de segurana da Microsoft ........... 17 Como a Microsoft testa as atualizaes de segurana ............................................ 18 Testes de compatibilidade de aplicativos ................................................................... 19 Deteco de rootkit ............................................................................................................. 20 Passo de Teste de Segurana .......................................................................................... 20 Programa de Validao de Atualizao de Segurana .......................................... 22 Comunicaes de publicao de segurana da Microsoft ..................................... 22 Notificao Prvia do Boletim de Segurana ............................................................ 22 Resumo do boletim de segurana ................................................................................. 23 Boletim de segurana ......................................................................................................... 23 Atualizao de segurana ................................................................................................. 24 Artigos da Base de Dados de Conhecimento (KB) .................................................. 24 Alerta de segurana ............................................................................................................. 25 Processo previsvel de publicao de atualizao de segurana ...................... 25

ii

Guia de atualizao de segurana da Microsoft, segunda edio

Notificaes fraudulentas direcionadas a atualizaes de segurana da Microsoft ..................................................................................................................................... 26 Estrutura de gerenciamento de riscos do cliente ....................................................... 27 Etapa 1: recebimento de comunicaes de publicao de segurana da Microsoft ..................................................................................................................29 Comunicaes de publicao de segurana Microsoft ............................................ 30 Recebimento de comunicaes de publicaes de segurana da Microsoft .. 31 Etapa 2: avaliao do risco .....................................................................................32 Determinaes na estrutura de gerenciamento de risco do cliente ................... 35 A sua organizao carece de um processo de gerenciamento de risco existente? .................................................................................................................................... 36 Identifique se a vulnerabilidade aplicvel .................................................................. 37 Coleta de informaes de vulnerabilidade de segurana .................................... 37 Determinao do risco de vulnerabilidade ................................................................... 40 O sistema de classificao de severidade da Microsoft ........................................ 41 Recursos da avaliao de risco ........................................................................................ 44 Exemplo: Aplicao da orientao da Microsoft para a avaliao de risco ...... 53 Exemplo: Aplicao das informaes para determinar a classificao de risco ........................................................................................................ 53 Consideraes sobre a implantao de atualizaes de segurana ................... 56 Etapa 3: avaliao de atenuao ...........................................................................62 Um controle de segurana a curto prazo vivel .......................................................... 64 Etapa 4: implantar atualizaes ............................................................................69 O guia Implantado o Microsoft Windows Server Update Services.......................... 72 Implantaes padro e urgentes ....................................................................................... 72 Processo de aplicativos de pacote padro .................................................................... 72

iii

Guia de atualizao de segurana da Microsoft, segunda edio

Planejando a implantao .................................................................................................... 74 Exemplo: Planejando a implantao da atualizao de segurana .................. 75 H uma atualizao de segurana disponvel para download? ............................ 78 Obtendo os arquivos de atualizao de segurana necessrios de uma fonte confivel ...................................................................................................................................... 78 Criando pacotes de atualizaes....................................................................................... 80 Testando pacotes de atualizaes .................................................................................... 82 Ambiente de teste ................................................................................................................ 83 Implantao piloto ............................................................................................................... 85 Testar etapas de processo ................................................................................................ 85 Implantando pacotes de atualizaes............................................................................. 97 Envio de solicitao de alterao ................................................................................. 101 Comunicao da programao de implantao para a organizao ............ 101 Instalao da atualizao ................................................................................................. 102 Acelerao da implementao da atualizao de segurana .............................. 104 Criando pacotes de atualizaes .................................................................................. 104 Teste de pacotes ................................................................................................................. 104 Implantao de pacotes ................................................................................................... 105 Etapa 5: monitoramento dos sistemas .............................................................. 105 Implantao bem-sucedida da atualizao ................................................................ 107 Confirmao da instalao da atualizao ............................................................... 107 Desinstalao de atualizaes de segurana. ......................................................... 110 Anlise ps-implementao ........................................................................................... 113 Remoo de atenuao no curto prazo .................................................................... 113

iv

Guia de atualizao de segurana da Microsoft, segunda edio

Etapa 6: uso de recursos da Microsoft para acompanhar os desenvolvimentos de segurana. ....................................................................... 114 Anlises principais e de menos importncia de alertas e de boletins de segurana ................................................................................................................................. 116 A ameaa constante de software mal-intencionado .............................................. 117 Outros recursos de segurana ......................................................................................... 119 Resumo .................................................................................................................. 119 Comentrios............................................................................................................................ 120 Apndice ................................................................................................................ 122 O diagrama do processo de implantao e publicao de segurana da Microsoft .................................................................................................................................. 122 Terminologia de atualizaes de segurana da Microsoft................................... 124 Atualizaes de segurana da Microsoft .................................................................. 125 Windows Update ou Microsoft Update? ..................................................................... 128 Poltica de atualizaes de segurana para software no genuno ............... 128 Glossrio e termos comumente usados ...................................................................... 129

Guia de atualizao de segurana da Microsoft, segunda edio

Bem-vindo
Uma mensagem do Diretor geral da Trustworthy Computing Security, Matt Thomlinson
Bem-vindo ao Guia de atualizao de segurana da Microsoft, segunda edio. Nosso objetivo com o Guia ajudar voc a gerenciar o processo de implantao das atualizaes de segurana da Microsoft no seu ambiente. A Microsoft produz muitas informaes e orientaes sobre as atualizaes de segurana e o Guia descreve como usar esses recursos de maneira eficaz para ajudar a tornar seguro o ambiente de TI da sua organizao. Na Microsoft, ns sabemos que a implantao de atualizaes pode ser uma atividade demorada, e os testes de pr-implantao so uma parte crtica do processo. Para ajudar voc nessa tarefa, vital que ns testemos nossas atualizaes exaustivamente antes que sejam publicadas. Ns criamos atualizaes para mais de um bilho de sistemas em todo o mundo, por isso desenvolvemos processos extensivos para testar as atualizaes: Testes em todas as verses com suporte e service packs do software afetado, em todos os idiomas com suporte Extensos testes de compatibilidade de aplicativos, incluindo mais de 3.000 dos aplicativos de terceiros mais amplamente implantados O Programa de Validao de Atualizao de Segurana (SUVP), que permite aos clientes e parceiros selecionados testar a funcionalidade de uma atualizao antes da publicao Testes internos da Microsoft, incluindo a implantao ao vivo em mais de 24.000 dispositivos em toda a empresa Somente depois que uma atualizao passou por todos esses testes ela aprovada para publicao. Voc encontrar mais detalhes sobre esses processos de teste e orientaes atualizadas sobre como executar testes em seu prprio ambiente neste Guia. Eu espero que o Guia seja um recurso valioso de informaes detalhadas e ferramentas que ajudaro voc a proteger sua infraestrutura e criar um ambiente de computao e Internet mais seguro. Matt Thomlinson Diretor geral, Trustworthy Computing Security Trustworthy Computing Group

Guia de atualizao de segurana da Microsoft, segunda edio

Como usar o Guia de atualizao de segurana da Microsoft


Bem-vindo ao Guia de atualizao de segurana da Microsoft. Esse guia foi projetado para ajudar os profissionais de TI a compreender melhor e a usar as informaes, os processos, as comunicaes e as ferramentas de publicaes de segurana da Microsoft. Nosso objetivo ajudar os profissionais de TI a entender como as atualizaes de segurana da Microsoft so desenvolvidas e testadas, gerenciar riscos organizacionais e desenvolver um mecanismo de implantao eficiente e repetitivo para testes e publicao de atualizaes de segurana. Neste guia, voc encontrar um conveniente glossrio de termos, uma viso geral do processo de Boletim de Segurana da Microsoft e uma reviso etapa por etapa das atualizaes de segurana da Microsoft. O guia est organizado de acordo com as seguintes etapas do processo de atualizao de segurana: Etapa 1: recebimento de comunicaes de publicao de segurana da Microsoft Etapa 2: avaliao do risco Etapa 3: avaliao de atenuao Etapa 4: implantao de atualizaes padro ou urgentes Etapa 5: monitoramento dos sistemas Etapa 6: uso de recursos da Microsoft para acompanhar os desenvolvimentos de segurana. Cada uma dessas sees define a finalidade e objetivo de cada etapa, bem como os resultados esperados aps a concluso de cada etapa. Esperamos que este guia sirva como um valioso recurso para ajudar a proteger sua infraestrutura de TI. Alm disso, esperamos que o guia represente mais um passo na nossa colaborao mais ampla, medida que procuramos criar uma estrutura de computao mais segura no sculo 21.

Guia de atualizao de segurana da Microsoft, segunda edio

Introduo
As vulnerabilidades so pontos fracos de um software que podem permitir que um invasor comprometa a integridade, a disponibilidade ou a confidencialidade desse software. Algumas das piores vulnerabilidades permitem que invasores executem um cdigo arbitrrio no sistema comprometido. Uma divulgao de vulnerabilidades a revelao da existncia de uma vulnerabilidade para o pblico em geral. As divulgaes podem ter vrias origens, incluindo fornecedores de software, fornecedores de software de segurana, pesquisadores independentes de segurana e at mesmo criadores de softwares malintencionados (malware). Pesquisas no Security Intelligence Report (SIR)1 mostram que milhares de divulgaes de vulnerabilidades de gravidades variadas em todo o setor de software divulgadas a cada semestre a partir do segundo semestre de 2006 ao primeiro semestre de 2010.
Figura 1. divulgaes de vulnerabilidades em todo o setor por semestre, 2H06-1H10 4,000 3,500 3,000 2,500 2,000 1,500 1,000 500

2H06

1H07

2H07

1H08

2H08

1H09

2H09

1H10

www.microsoft.com/sir

Guia de atualizao de segurana da Microsoft, segunda edio

Dessas divulgaes de vulnerabilidades, a maioria classificada como vulnerabilidades de alta ou mdia gravidade, de acordo com o padro do setor Common Vulnerability Scoring System (CVSS),2 embora somente uma minoria seja classificada com gravidade baixa, conforme indicado em Figura 2.
Figura 2. divulgaes de vulnerabilidades em todo o setor por severidade, 2H06-1H10

O CVSS tambm classifica vulnerabilidades pela complexidade de acesso, que mede o quo difcil para os invasores explorar a vulnerabilidade em questo. Assim como no caso da gravidade da vulnerabilidade, o quadro que emerge conforme indicado em Figura 3 no positivo. Na maioria dos perodos, a maioria das vulnerabilidades de baixa complexidade, o que significa que podem ser exploradas com relativa facilidade, sem a necessidade de condies de acesso especializadas.

Consulte www.first.org/cvss/cvss-guide.html para obter informaes sobre o CVSS e seus critrios para classificar a gravidade e a complexidade da vulnerabilidade.

Guia de atualizao de segurana da Microsoft, segunda edio

Figura 3. divulgaes de vulnerabilidades em todo o setor por complexidade de acesso, 2H06-1H10

As vulnerabilidades so um problema de todo o setor. H milhares de divulgaes de vulnerabilidades em todo o setor a cada ano, afetando softwares da Microsoft e de muitos outros fornecedores. Figura 4 mostra as vulnerabilidades de produtos da Microsoft e de outros fornecedores desde 2006.
Figura 4. divulgaes de vulnerabilidades de produtos Microsoft e de outros fornecedores, 2H061H10

Guia de atualizao de segurana da Microsoft, segunda edio

Gerenciar Atualizaes de segurana vital. Uma explorao um cdigo mal-intencionado que se aproveita de vulnerabilidades de software. A pesquisa no SIR mostra que exploraes permanecem ativas por muito tempo depois que a atualizao de segurana para a vulnerabilidade disponibilizada porque alguns usurios instalam as atualizaes de forma espordica ou simplesmente no as instalam. Ainda hoje, existem exploraes para vulnerabilidades que foram resolvidas em 2003. Isso mostra que, quando os invasores entendem como explorar uma determinada vulnerabilidade, apesar da existncia de uma atualizao de segurana para ela, normalmente tentaro usar a explorao para comprometer sistemas que no receberam patches usando vrios mtodos de ataque nos anos seguintes. Alm disso, em um volume recente do SIR, a Microsoft analisou uma amostra de vrias centenas de arquivos em um determinado perodo que foram usados em ataques bem-sucedidos. A pesquisa mostrou que havia um nmero finito de exploraes para vulnerabilidades especficas e que havia atualizaes de segurana disponveis para todas as vulnerabilidades no momento do ataque. Os usurios afetados foram expostos por no terem aplicado as atualizaes. Aplicar novas atualizaes de segurana de maneira rpida e consistente teria evitado que todos esses ataques fossem bem-sucedidos em qualquer verso com suporte do aplicativo de software. Esse o cenrio no qual os administradores de TI e profissionais de segurana das empresas se encontram hoje. O processo de manuteno dos computadores desktop, servidores, mquinas virtuais e dispositivos mveis de uma organizao com as ltimas atualizaes de segurana do sistema operacional e dos aplicativos tornou-se uma parte central da metodologia de gerenciamento de risco de qualquer ambiente conectado Internet.

Gerenciamento de vulnerabilidades
Esta seo aborda:
A finalidade deste guia. Como a Microsoft gerencia vulnerabilidades em seus produtos.

No final desta seo, os profissionais de TI devero:


Compreender a finalidade deste guia, que ajudar os profissionais de TI a maximizar todas as comunicaes, orientao, programas e servios de atendedor que a Microsoft publica para ajudar a gerenciar as vulnerabilidades de segurana no ambiente de TI de uma organizao.

Guia de atualizao de segurana da Microsoft, segunda edio

Finalidade deste guia


Em um esforo para atenuar as ameaas que a atividade criminosa online representa para as empresas, os profissionais de TI precisam entender o processo de publicao de atualizao de segurana da Microsoft e todos os recursos de suporte da Microsoft. Alm de oferecer suporte e manter a vitalidade do ambiente de TI, os profissionais de TI devem compreender como funciona a comunicao de segurana e o processo de publicao de atualizao de segurana de cada fornecedor de software. Este guia ajuda os profissionais de TI a planejar e gerenciar os dois tipos de publicao de segurana da Microsoft - (1) atualizaes de segurana e (2) alertas de segurana - e todas as comunicaes, a orientao, os programas e os servios da Microsoft relacionados a eles. Entender todos os componentes e comunicaes que uma publicao de segurana da Microsoft contm ajuda os profissionais de TI a aprimorar a orientao de segurana e se manterem informados. Se os profissionais de TI no puderem determinar e manter um nvel de confiana nos sistemas operacionais e softwares de aplicativo da organizao, ela poder arriscar criar ou no abordar uma variedade de vulnerabilidades de segurana. Alm disso, a falta de superviso pode causar uma brecha de segurana que poderia levar a uma perda de receita, custos associados com a limpeza e reconstruo do ambiente de TI, perda de propriedade intelectual, litgios ou algo pior. Minimizar essa ameaa exige que as organizaes configurarem sistemas corretamente, usem o software mais recente e instalem as atualizaes de segurana recomendadas. Criar e comunicar uma poltica de publicao e atualizao de segurana documentada para qualquer organizao uma parte vital do processo de gerenciamento de risco de qualquer empresa. Esse guia foi projetado para ajudar os profissionais de TI a compreender melhor e a usar as informaes, os processos, as comunicaes e as ferramentas de publicaes de segurana da Microsoft. Nosso objetivo ajudar os profissionais de TI a gerenciar os riscos organizacionais e desenvolver um mecanismo de implantao efetivo e repetitivo para as atualizaes de segurana. A estrutura de gerenciamento de riscos como um pano de fundo. Para ajudar os profissionais de TI a entender como vrias comunicaes, orientao, programas e servios de publicao de atualizao de segurana da Microsoft podem ajudar no gerenciamento de riscos das organizaes, este guia segue uma estrutura de gerenciamento de riscos geral de clientes. A estrutura mostrada em Figura 5 e debatida em mais detalhes em seguida. A estrutura propositalmente geral e serve como base para que os profissionais de TI a sigam, mas especfica o suficiente para ser relevante e ajudar a transmitir onde certos recursos da Microsoft se encaixam em toda uma estrutura de gerenciamento de riscos.

Guia de atualizao de segurana da Microsoft, segunda edio

Figura 5. a estrutura de gerenciamento de riscos do cliente

Gerenciamento de vulnerabilidades na Microsoft


Vulnerabilidades de software so um fato da vida. Durante todo o ciclo de vida do produto de software, da concepo at a publicao e implantao e depois, impossvel evitar todas as vulnerabilidades. O Microsoft Security Development Lifecycle (SDL)3 destina-se a reduzir o nmero de vulnerabilidades em softwares da Microsoft, alm de reduzir a gravidade e o impacto dos que restarem. Como os softwares so desenvolvidos por seres humanos, algumas vulnerabilidades permanecem no cdigo de software. Para ajudar a proteger mais os clientes, o grupo Microsoft Trustworthy Computing (TwC) inclui o Microsoft Security Response Center (MSRC)4 o centro que investiga as vulnerabilidades potenciais e existentes em softwares Microsoft. A Microsoft entende que as vulnerabilidades de segurana em produtos Microsoft tm o potencial de perturbar as experincias dos usurios. Para ajudar a proteger os clientes do potencial comportamento perturbador de criminosos que procuram obter acesso aos sistemas e informaes por meio de um ataque ciberntico, a Microsoft desenvolveu um processo de publicao de atualizao de segurana que visa oferecer aos clientes um alto nvel de consistncia, previsibilidade, qualidade e transparncia ao mesmo tempo que minimiza os riscos. O objetivo tornar mais fcil para os clientes o entendimento dos riscos associados ao ambiente de TI, permitindo planejar, obter recursos, programar e orar a manuteno do sistema associado. Esse processo de publicao de atualizao de segurana evoluiu ao longo da ltima dcada com base em pesquisas de comentrios diretos dos clientes para a Microsoft e para manter o ritmo com o cenrio de ameaas em constante mudana que os clientes enfrentam.

3 4

www.microsoft.com/sdl Para obter mais informaes sobre o MSRC, consulte www.microsoft.com/msrc

Guia de atualizao de segurana da Microsoft, segunda edio

Ainda assim, alguns observadores do setor de segurana e pesquisadores de segurana perguntam porque algumas atualizaes de segurana da Microsoft algumas vezes levam longos perodos de tempo para serem publicadas. As opinies no setor sobre o tpico de tempo para corrigir variam, mas a prioridade das atualizaes de segurana na Microsoft minimizar os inconvenientes para os clientes e para ajudar a proteger contra ataques criminosos online. A Microsoft usa uma abordagem mltipla para ajudar os clientes a gerenciar seus riscos. Essa abordagem inclui trs elementos principais: Atualizaes de segurana de alta qualidade Usar prticas de engenharia de classe internacional produz atualizaes de segurana de alta qualidade que os clientes podem implementar com segurana em centenas de milhes de sistemas diversos no ecossistema de computao e que ajudam os clientes a minimizar as perturbaes dos seus negcios. Defesa baseada em comunidade Os parceiros Microsoft com muitas outras partes ao investigar vulnerabilidades em potencial em softwares Microsoft. A Microsoft busca atenuar a explorao de vulnerabilidades por meio da fora colaborativa do setor e de parceiros, organizaes pblicas, clientes e pesquisadores de segurana. Essa abordagem ajuda a minimizar as perturbaes potenciais nos negcios dos nossos clientes. Processo de resposta de segurana abrangente Usar um processo de resposta de segurana abrangente ajuda a Microsoft a gerenciar de maneira eficiente os incidentes de segurana, proporcionando a previsibilidade e transparncia que os clientes precisam para minimizar as perturbaes dos seus negcios. Para obter mais informaes sobre essa abordagem, consulte Gerenciamento de vulnerabilidades de software na Microsoft em www.microsoft.com/downloads/details.aspx?FamilyID=3c87d741-8427456d-9bb3-2bdb2d0272e5 para obter uma explorao mais detalhada desses trs elementos.

Gerenciamento de atualizaes de segurana usando Microsoft Solutions


Esta seo aborda:
Trs abordagens para o gerenciamento de atualizaes de segurana usando produtos Microsoft. Cada uma das seguintes abordagens tem suas vantagens e consideraes: 1. 2. Um processo de atualizao baseado no Microsoft Update e nas Atualizaes Automticas. Um processo de atualizao baseado no Windows Server Update Services (WSUS).

Guia de atualizao de segurana da Microsoft, segunda edio

3.

Um processo de atualizao baseado no Microsoft System Center Configuration Manager 2007.

No final desta seo, os profissionais de TI devero:


Compreender as necessidades e consideraes do uso do Microsoft Update e Atualizaes Automticas para gerenciar atualizaes de segurana: Observao: Profissionais de TI e organizaes que exigem apenas um processo de atualizao de segurana gerenciado usando o Microsoft Update e Atualizaes Automticas devem ler somente esta seo. Compreender as necessidades e consideraes do uso do WSUS para gerenciar atualizaes de segurana. Observao: O WSUS no oferece suporte implantao de atualizaes que no so da Microsoft. Compreender as necessidades e consideraes do uso do Gerenciador de Configuraes no Microsoft System Center para gerenciar atualizaes de segurana. Observao: Entre muitos outros recursos, o Gerenciador de Configuraes 2007 oferece suporte implementao de atualizaes da Microsoft e atualizaes que no so da Microsoft.

Recursos da Microsoft referenciados nesta seo:


Microsoft Update. Esse um servio gratuito interno includo no Windows. Ele oferece um nico local para obter atualizaes e programar atualizaes automticas. Alm disso, os profissionais de TI podem obter atualizaes de segurana e que no so de segurana para software Microsoft, como o sistema Microsoft Office e o Windows Live. Consulte update.microsoft.com/microsoftupdate. Windows Server Update Services. Use esta opo para gerenciar totalmente as configuraes de atualizao e controlar a distribuio de atualizaes para computadores em redes de clientes. Consulte technet.microsoft.com/ en-us/wsus/default. Microsoft System Center Configuration Manager 2007. Use essa opo em infraestruturas de TI grandes, complexas e heterogneas para uma avaliar, implantar e atualizar de maneira abrangente servidores, clientes e dispositivos em ambientes fsicos, virtuais, distribudos e mveis. Consulte microsoft.com/systemcenter/configurationmanager. Observao: Para personalizar a atualizao de avaliao de conformidade, consulte technet.microsoft.com/library/bb633119.aspx.

10

Guia de atualizao de segurana da Microsoft, segunda edio

Trs Abordagens para atualizaes de segurana


A Microsoft desenvolveu um conjunto abrangente de ferramentas de atualizao de software que pode atualizar automaticamente os computadores para ajud-los a se manterem protegidos contra ataques de software mal-intencionado. No entanto, por vrias razes, alguns indivduos ou organizaes podem considerar outros mtodos para atualizar seu software Microsoft. Com isso em mente, a Microsoft desenvolveu vrias solues para ajudar os profissionais de TI com diferentes necessidades a se manterem o mais atualizados possvel dentro de seus prprios ambientes especficos. H diversas abordagens para gerenciar atualizaes de segurana, mas esta seo apresenta as seguintes trs abordagens que usam solues de atualizao de software Microsoft para abordar as necessidades de atualizao de segurana dos clientes Windows: 1. Usar um processo de atualizao baseado no Microsoft Update e nas Atualizaes Automticas. 2. Usar um processo de atualizao baseado no Windows Server Update Services (WSUS). 3. Usar um processo de atualizao baseado no Microsoft System Center Configuration Manager 2007.
Processo de atualizao baseado no Microsoft Update e nas Atualizaes Automticas Cliente-alvo Consumidores e empresas de pequeno porte (geralmente com menos de 50 computadores). Garantir que todos os sistemas estejam sempre atualizados com as ltimas atualizaes de segurana da Microsoft. A atualizao de segurana pode ser instalada com pouca ou nenhuma interao do usurio e no h necessidade de entender os detalhes tcnicos da atualizao de segurana. Garantir que sua organizao no tenha aplicativos de linha de negcios (LOB) ou outros aplicativos personalizados que possam ser afetados pelas atualizaes de segurana da Microsoft. Preo Disponvel para todos os profissionais de TI sem custo.

Necessidade

Vantagens e consideraes

11

Guia de atualizao de segurana da Microsoft, segunda edio

Por meio do recurso de Atualizaes Automticas e quando os clientes aceitam o Microsoft Update, o Windows pode manter automaticamente o computador atualizado com as atualizaes de segurana mais recentes para todos os produtos Microsoft. Os usurios no precisam procurar por atualizaes e informaes, o Windows as envia diretamente ao computador. O Windows reconhece quando um sistema est online e usa a conexo com a Internet para procurar por downloads no site Microsoft Update.

Os usurios podem especificar como e quando o Windows deve atualizar o computador. Por exemplo, os usurios podem configurar o Windows para fazer download e instalar atualizaes automaticamente em um horrio especificado pelo usurio, conforme mostrado em Figura 6.
Figura 6. Configuraes de atualizao automtica no Windows 7

Essa abordagem recomendada para usurios individuais ou para usurios em ambientes de empresas de pequeno porte que no tm uma funo de suporte de

12

Guia de atualizao de segurana da Microsoft, segunda edio

TI dedicado. Usando essa abordagem, os computadores podem se manter atualizados com o mnimo de know-how e com um nmero mnimo de interrupes no uso do computador. Se esse processo gerenciado automaticamente tudo o que sua organizao necessita, trate as informaes fornecidas no resto deste guia como para fins informativos. A maioria das fases no so aplicveis a essa abordagem de atualizao de segurana. Para verificar as configuraes atuais e as atualizaes mais recentes, consulte update.microsoft.com/microsoftupdate.

Processo de atualizao baseado no Windows Server Update Services (WSUS) Cliente-alvo Empresas de mdio ou grande porte (geralmente com 50 computadores ou mais). Gerenciar totalmente as configuraes de atualizao e controlar a distribuio de atualizaes para computadores em redes de clientes. O WSUS no oferece suporte implantao de atualizaes que no so da Microsoft. Opes configurveis permitem que os profissionais de TI coletem relatrios de inventrio de dispositivos gerenciados, determinem quais atualizaes se aplicam a um computador ou a um grupo de computadores, especifiquem a ao de atualizao necessria e instalem as atualizaes com base em uma programao flexvel, com pouca ou nenhuma interveno do usurio. O processo reduz o impacto perceptvel sobre a produtividade dos funcionrios e a funcionalidade da rede. Criar relatrios personalizados, como atualizaes de segurana exigidas por computadores especficos, fornecer notificaes e programar a distribuio automtica de atualizaes de segurana. Atingir ns especficos com uma atualizao de segurana. Gerenciar vrios servidores de um nico console para redes mais complexas com hierarquias de servidor. Preo Disponvel gratuitamente para usurios licenciados de verses com suporte do Windows Server.

Necessidade

Vantagens e consideraes

13

Guia de atualizao de segurana da Microsoft, segunda edio

Para as organizaes que tm uma funo de suporte de TI dedicado e desejam um maior grau de controle sobre quando e como as atualizaes de segurana so distribudas aos clientes do Windows e servidores Windows da organizao, o WSUS (consulte technet.microsoft.com/ en-us/wsus/default) est disponvel gratuitamente para usurios que tenham uma licena vlida do Windows Server. O WSUS permite aos administradores controlar a implantao de atualizaes de segurana da Microsoft em produtos Microsoft que executam uma verso com suporte do servidor Windows ou produtos do cliente. Usando o WSUS, os administradores podem gerenciar melhor a distribuio de atualizaes publicadas por meio do Microsoft Update para os computadores em sua rede. Alguns recursos notveis do uso da abordagem de atualizao de segurana do WSUS incluem o seguinte: WSUS oferece suporte somente implantao de atualizaes da Microsoft. Especificar atualizaes por:
Produto ou famlia de produtos (por exemplo, Windows Server 2008 ou Microsoft Office).

Classificao da atualizao (por exemplo, atualizaes crticas e drivers). Idioma (por exemplo, somente ingls e japons). Programa a sincronizao para iniciar automaticamente, imponha um prazo e defina uma data e uma hora especficas para instalar ou desinstalar as atualizaes. O administrador pode impor um download imediato, definindo um prazo para uma hora no passado. Configure notificaes por email para novas atualizaes e funcionalidade de relatrio com base no status da atualizao, status do computador, status de conformidade do computador e status de conformidade de atualizao. Os administradores podem realizar tarefas de direcionamento, como: Implantar novas atualizaes para um grupo de computadores de teste e avaliar as atualizaes antes de distribu-las no ambiente de produo. Proteger computadores que executam aplicativos especficos. Por exemplo, se uma atualizao crtica incompatvel com um aplicativo usado em alguns computadores, um administrador pode garantir que a atualizao no seja distribuda para esses computadores. Atingir um melhor desempenho e otimizao da largura de banda.
Processo de atualizao baseado no System Center Configuration Manager 2007

14

Guia de atualizao de segurana da Microsoft, segunda edio

Processo de atualizao baseado no System Center Configuration Manager 2007 Cliente-alvo Organizaes avanadas ou de grande porte (geralmente, as organizaes em vrios locais ou que apresentam requisitos de gerenciamento ou conformidade especficos). Avaliar, implantar e atualizar de maneira abrangente servidores, clientes e dispositivos em ambientes fsicos, virtuais, distribudos e mveis. Otimizado para o Windows e extensvel para alm, essa a melhor opo para aumentar o conhecimento e controle sobre os sistemas de TI de uma organizao que apresente uma infraestrutura de TI grande, complexa e heterognea. O processo oferece suporte ao gerenciamento e distribuio de atualizaes e aplicativos de software da Microsoft e que no so da Microsoft. O processo garante que os sistemas de TI da organizao estejam em conformidade com os estados de configurao desejados para melhorar a disponibilidade, a segurana e o desempenho dos sistemas em toda a rede. O processo oferece controle de administrador avanado e reconhecimento que o WSUS no inclui, como oferecer atualizaes para produtos Microsoft, outros aplicativos, aplicativos LOB internos personalizados, drivers de hardware e assim por diante. Implantar alteraes no sistema em servidores e computadores clientes em horrios e datas predeterminados usando janelas de manuteno. Gerenciar melhor a experincia do usurio, exibindo uma interface de usurio personalizvel e mantendo um controle sofisticado sobre as configuraes de imposio, como o reincio e a instalao. Preo Consulte www.microsoft.com/systemcenter/configurationmanager/en/us/ pricing-licensing.aspx ou, se voc estiver fora dos Estados Unidos, contate o seu representante ou parceiro Microsoft local.

Necessidade

Vantagens e consideraes

Para as organizaes que desejam adicionar outro nvel de funcionalidade e controle ao processo de atualizao de segurana, essa abordagem usa o Gerenciador de Configuraes 2007 para gerenciar o ambiente WSUS e permitir mtodos adicionais de controle e implantao de atualizao.

15

Guia de atualizao de segurana da Microsoft, segunda edio

Se o WSUS gratuito, porque pagar por essa abordagem? Essa soluo oferece diversos recursos nas reas de controle avanado de administrador e reconhecimento que o WSUS no inclui. Em especial, os profissionais de TI podem oferecer atualizaes para produtos Microsoft, outros aplicativos, aplicativos LOB internos personalizados, drivers de hardware e sistemas BIOS para diversos dispositivos, incluindo computadores desktop, computadores portteis, servidores e dispositivos mveis. Os profissionais de TI podem habilitar o suporte a quarentena usando a Proteo de Acesso Rede (NAP) e criar colees com base em caractersticas de inventrio dos computadores. Isso permite que os administradores direcionem melhor suas atualizaes, alm de executar funes como: Gerenciar atualizaes da Microsoft e que no so da Microsoft. Os administradores podem usar um produto para todas as tarefas de gerenciamento em vez de uma ferramenta separada para gerenciamento de atualizaes. Implantar atualizaes com base em perodo de servio (anncio). Gerenciar melhor a experincia do usurio, exibindo uma interface de usurio personalizvel e mantendo um controle sofisticado sobre as configuraes de imposio, como o reincio e a instalao. Entender plenamente o estado de conformidade do ambiente por meio de informaes de inventrio e status detalhados sobre o estado do sistema dos computadores que gerenciam em relao implantao de atualizaes. Os profissionais de TI tambm podem estender os recursos do Gerenciador de Configuraes 2007 por meio de contribuies de Desired Configuration Management (DCM), seu software development kit (SDK) nativo e parceiro fornecedor independente de software (ISV). Usando o DCM, os profissionais de TI podem usar os conhecimentos de configurao da Microsoft e de outras prticas recomendadas para melhorar a definio e a manuteno de configurao. Para obter mais informaes sobre o Gerenciador de Configuraes 2007, consulte www.microsoft.com/systemcenter/configurationmanager/. Para obter mais informaes sobre como usar o Gerenciador de Configuraes 2007 para oferecer esses recursos aprimorados de atualizao, consulte Configurao de atualizaes de software em technet.microsoft.com/library/bb633119.aspx. No restante deste guia, o processo de atualizao baseado no WSUS debatido, pois esta abordagem apresenta uma prtica de base slida para uma estrutura de gerenciamento de riscos configurvel e porttil para as publicaes de atualizao de segurana da Microsoft.

16

Guia de atualizao de segurana da Microsoft, segunda edio

O processo de publicao de atualizao de segurana da Microsoft


Esta seo aborda:
O processo da Microsoft para testar e publicar atualizaes de segurana. Como iniciar o processo de publicao de atualizao de segurana da Microsoft, que comea com uma notificao da Microsoft. As diversas notificaes de publicao de segurana e atualizaes de segurana da Microsoft: O Servio de Notificao Prvia do Boletim de Segurana da Microsoft Resumos de boletins de segurana Boletins de segurana Atualizaes de segurana Artigos da Base de Dados de Conhecimento Alertas de segurana

Mensagens de email fraudulentas direcionadas a atualizaes de segurana. Uma estrutura de gerenciamento de riscos do cliente a ser iniciada aps o recebimento de uma publicao de segurana da Microsoft que envolve as seguintes etapas: Etapa 1: recebimento de comunicaes de publicao de segurana da Microsoft Etapa 2: avaliao do risco Etapa 3: avaliao de atenuao Etapa 4: usar a Linha do Tempo Padro de Implantao Etapa 5: monitoramento dos sistemas Etapa 6: uso de recursos da Microsoft para acompanhar os desenvolvimentos de segurana

No final desta seo, os profissionais de TI devero:


Entender a orientao e os vrios recursos que acompanham as atualizaes de segurana da Microsoft. Ter uma referncia de uma estrutura de gerenciamento de riscos do cliente que pode mapear os recursos e as orientaes da Microsoft sobre as atualizaes de segurana.

17

Guia de atualizao de segurana da Microsoft, segunda edio

Entender que a Microsoft no distribui atualizaes de segurana por anexos de email. Consulte support.microsoft.com/kb/959318 para obter mais informaes sobre isso. A Microsoft incentiva os profissionais de TI a obter as atualizaes de segurana da Microsoft usando os links neste guia, os boletins de segurana ou as ferramentas de implantao, como o Microsoft Update, Windows Update, WSUS ou Gerenciador de Configuraes 2007. Servio de Notificao Prvia do Boletim de Segurana da Microsoft. Consulte www.microsoft.com/technet/security/bulletin/advance.mspx. Resumos e webcasts de boletins de segurana. Consulte www.microsoft.com/technet/security/bulletin/summary.mspx. Boletins de segurana. Consulte www.microsoft.com/technet/security/current.aspx. Alertas de segurana. Consulte www.microsoft.com/technet/security/advisory/. Notificaes de segurana. Consulte technet.microsoft.com/security/dd252948.aspx. Artigos da Base de Dados de Conhecimento. Pesquise por nmero do artigo. Consulte www.microsoft.com/technet/security/current.aspx. Ferramentas de Remoo de Software Mal-Intencionado (MSRT). Consulte www.microsoft.com/security/malwareremove.

Recursos da Microsoft referenciados nesta seo:


Como a Microsoft testa as atualizaes de segurana


As atualizaes de segurana da Microsoft so fornecidas a centenas de milhes de computadores em todo o mundo que executam diferentes combinaes de verses do sistema operacional, pacotes de idiomas, drivers de dispositivo, software comercial e programas desenvolvidos de maneira personalizada.

18

Guia de atualizao de segurana da Microsoft, segunda edio

As atualizaes que no so devidamente testadas antes da publicao poderiam causar problemas para um grande nmero de computadores envolvidos em atividades de misso crtica. Para minimizar as chances de ocorrncia dessa situao, a Microsoft sujeita as atualizaes de segurana a um rigoroso processo de testes antes de liber-las ao pblico. Os esforos descritos a seguir tm ajudado a aumentar significativamente a qualidade das atualizaes de segurana da Microsoft nos ltimos cinco anos. Essas melhorias de qualidade permitiram que alguns clientes reduzam a quantidade de testes que realizam nas atualizaes de segurana da Microsoft, reduzindo os recursos e os custos associados ao trabalho nos seus ambientes de TI, e retornando oramento para financiar outros projetos ou reduzir as despesas operacionais para as suas empresas.

Testes de compatibilidade de aplicativos


A compatibilidade de aplicativos um requisito subjacente fundamental para usurios de qualquer sistema operacional, pacote de produtividade ou navegador. Alteraes sutis de comportamento podem ocorrer quando um sistema operacional atualizado, resultando potencialmente em um comportamento imprevisvel dos aplicativos. Quando aplicativos de misso crtica e/ou linha de negcios deixam de funcionar como esperado, os negcios so interrompidos. Portanto, os testes de compatibilidade de aplicativos so um componente principal para a abordagem da Microsoft para desenvolver e publicar atualizaes de segurana para seus produtos. Minimizar os problemas de compatibilidade de aplicativos por meio de atualizaes de segurana envolve profundidade e amplitude de teste. Quando uma atualizao de segurana afeta vrias verses do Windows ou vrias verses do Windows Internet Explorer, por exemplo, a matriz de teste cresce rapidamente, bem como os planos de teste necessrios para garantir um nvel muito elevado de confiana na qualidade da atualizao. As atualizaes de segurana que afetam o Windows so testados em todas as verses do sistema operacional, incluindo Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Para clientes empresariais que aproveitam o Microsoft Custom Support Program, Windows 2000 e/ou Windows NT 4.0 tambm podem ser adicionados matriz de teste (embora essa opo de suporte para o Windows NT 4.0 tenha sido encerrada em julho de 2010). SKUs diferentes de verses afetadas do Windows tambm podem ser testados (por exemplo, Home Basic, Home Premium, Business e Ultimate).

19

Guia de atualizao de segurana da Microsoft, segunda edio

Diferentes service packs para Windows e hotfixes (QFEs) fazem parte da matriz de teste para atualizaes de segurana. As verses afetadas do Windows tambm so testadas em diversos idiomas (rabe, chins, alemo, japons, russo e outros). Como o Windows est disponvel para uma ampla variedade de arquiteturas de computao, todos os testes so concludos nas vrias arquiteturas (isto , x86, x64 e Itanium). Milhares dos aplicativos Windows mais usados do mundo so testados nessas arquiteturas, verses do Windows, nveis de service pack e idiomas. Essa forma de realizar grandes testes para abordar vrias arquiteturas, produtos e verses uma maneira fundamental pela qual a Microsoft minimiza as interrupes de clientes empresariais.

Deteco de rootkit
Em fevereiro de 2010, uma srie de computadores experimentaram repetidos erros de interrupo de tela azul aps a instalao do Boletim de Segurana da Microsoft MS10-015 . Esses problemas foram causados pela famlia de malware Win32/Alureon, da qual algumas variantes incluem um componente de rootkit que faz modificaes no autorizadas ao kernel de um computador infectado. Essas modificaes entraram em conflito com as alteraes do kernel introduzidas pela verso inicial da atualizao de segurana MS10-015, causando o erro de interrupo. O Microsoft Security Response Center (MSRC) abordou posteriormente o problema com uma verso revisada da atualizao. Para evitar que problemas como este voltem a acontecer, cada atualizao de segurana que modifica o kernel do Windows inclui agora um componente de deteco de rootkit, que verifica o estado do kernel antes da instalao da atualizao, para determinar se o kernel foi adulterado por malware. Se for detectada uma irregularidade, a instalao interrompida e o instalador exibe uma caixa de dilogo que direciona o usurio para um artigo da Base de dados de conhecimento da Microsoft com informaes sobre o problema e como resolvlo.

Passo de Teste de Segurana


A Microsoft IT (MSIT) fornece servios de tecnologia da informao internamente para os funcionrios e recursos da Microsoft. A MSIT gerencia 900.000 dispositivos de 180.000 usurios em mais de 100 pases e regies do mundo. Os computadores gerenciados pelo MSIT executam diferentes combinaes de verses do sistema operacional, pacotes de idioma, drivers de dispositivo, software comercial e programas desenvolvidos de maneira personalizada. A amplitude e diversidade desse ambiente o tornam uma base de teste ideal para verificar a estabilidade e a qualidade das atualizaes de segurana em condies reais, por meio de um processo chamado de Passo de Teste de Segurana.

20

Guia de atualizao de segurana da Microsoft, segunda edio

O Passo de Teste de Segurana envolve um grupo de cerca de 24.000 computadores usados pelos funcionrios da Microsoft em vrias capacidades. Esses computadores so selecionados para refletir a diversidade de cenrios de usurios que no podem ser fornecidos em um ambiente controlado em laboratrio. Cada atualizao dever ser testada em um nmero mnimo definido de computadores clientes e servidores de data center, e ser instalada junto com um nmero mnimo de aplicativos de linha de negcios. (Na prtica, isso significa implantar a atualizao de teste em um nmero muito maior de computadores do que o mnimo, j que nem todos os computadores precisaro da atualizao oferecida.) O processo do Passo de Teste de Segurana normalmente comea cerca de trs semanas antes da programao de liberao de uma atualizao de segurana, embora esse processo possa ser acelerado em caso de publicaes extraordinrias urgentes. A atualizao implantada silenciosamente nos computadores de teste de um grupo de servidores de atualizao interno. As implantaes muitas vezes caem em rodadas, de modo que a verso mais recente da atualizao pode ser implantada a qualquer momento. Cada atualizao submetida ao Passo do Teste de Segurana somente quando o desenvolvimento concludo e a equipe de produto acredita que a atualizao atingiu um nvel de qualidade adequado para a liberao ao pblico em geral. Portanto, de maneira ideal, os testadores no devem sofrer qualquer interrupo ao instalar atualizaes do passo do Teste de Segurana. A MSIT coleta de telemetria de instalaes do Passo do Teste de Segurana para descobrir problemas, conflitos ou problemas de interoperabilidade que possam surgir. Alm disso, os testadores so instrudos a relatar qualquer problema que encontram MSIT, que tem uma estrutura de suporte dedicado para usurios do Passo do Teste de Segurana. Se uma atualizao de segurana provocar problemas, a equipe de desenvolvimento do grupo de produto trabalhar diretamente com o cliente para determinar a causa raiz e desenvolver uma soluo imediata. A MSIT compila um relatrio dirio de progresso e problemas e o distribui aos participantes do Passo do Teste de Segurana.

21

Guia de atualizao de segurana da Microsoft, segunda edio

Programa de Validao de Atualizao de Segurana


Para minimizar ainda mais o potencial de interrupo, a Microsoft iniciou em 2005 o Programa de Validao de Atualizao de Segurana (SUVP) (www.microsoft.com/technet/security/bulletin/info/suvp.mspx). O SUVP visa garantir a qualidade das atualizaes de segurana, testando-as nos ambientes, nas configuraes, e em aplicativos, como aplicativos de LOB que a Microsoft no pode duplicar facilmente. Como parte desse programa de controle de qualidade, a Microsoft disponibiliza as atualizaes de segurana a um grupo limitado de clientes, sob acordos de confidencialidade (NDA) rgidos, oferecendo uma maneira para que os clientes testem as atualizaes em uma ampla gama de configuraes e ambientes antes que as atualizaes sejam publicadas para disponibilidade geral. Os participantes so obrigados a fornecer comentrios com base em sua experincia de implantao para ajudar a identificar possveis problemas de compatibilidade antes do MSRC libere as atualizaes para o pblico. O programa fornece as atualizaes de segurana somente para os participantes do SUVP. No so oferecidas aos participantes informaes sobre as vulnerabilidades existentes, a rea do cdigo que est sendo atualizado ou informaes sobre como explorar as vulnerabilidades. O programa reduziu os problemas de compatibilidade e ajuda a melhorar a qualidade das atualizaes de segurana de maneira significativa, tornando mais fcil para os clientes implantar atualizaes mais rapidamente. Se voc tiver dvidas sobre o programa SUVP, envie-as para suvprog@microsoft.com.

Comunicaes de publicao de segurana da Microsoft


Quando h informaes relevantes sobre uma vulnerabilidade que ameaa a segurana de seus produtos, a Microsoft envia notificaes e alertas para os clientes. Isso inclui:

Notificao Prvia do Boletim de Segurana


Uma notificao prvia de boletim de segurana contm informaes sobre o nmero de novos boletins de segurana em publicao, os produtos afetados, a gravidade mxima agregada e informaes sobre ferramentas de deteco relevantes para a atualizao. O nvel de detalhe includo equilibrado em relao necessidade de proteger as organizaes at a publicao das atualizaes de segurana por meio da no divulgao de qualquer informao que possa facilitar ataques. Para ajudar a garantir contra surpresas e minimizar possveis confuses, a notificao prvia de boletim de segurana tambm fornece informaes sobre outras atualizaes que sero publicadas no mesmo dia e que no esto associadas com os boletins de segurana. Especificamente, ela detalha como muitas atualizaes que no so de segurana sero divulgadas por meio do Microsoft Update e do Windows Update, alm das atualizaes para o MSRT.

22

Guia de atualizao de segurana da Microsoft, segunda edio

Sempre que possvel, a Microsoft disponibiliza essa notificao trs dias teis antes da publicao de um boletim de segurana. A notificao prvia ajuda os profissionais de TI a planejar os recursos adequados para a iminente publicao da atualizao de segurana. Para obter mais informaes, consulte a pgina da Notificao Prvia do Boletim de Segurana da Microsoft em www.microsoft.com/technet/security/bulletin/advance.mspx. Ocasionalmente, alguns boletins de segurana so listados na notificao prvia do boletim de segurana, mas no so publicados quando o resumo do boletim de segurana substitui a notificao prvia do boletim de segurana. Isso ocorre porque a Microsoft testa a qualidade de suas atualizaes de segurana at que sejam publicadas. Se a Microsoft localiza um problema de qualidade entre o momento em que a notificao prvia do boletim de segurana publicado e o momento em que a Microsoft publica um boletim de segurana e a atualizao de segurana correspondente, a Microsoft pode atrasar a publicao do boletim de segurana e da atualizao de segurana. s vezes, dependendo do impacto do planejamento de atualizao de segurana de uma organizao, a Microsoft pode relanar a notificao prvia do boletim de segurana para refletir isso.

Resumo do boletim de segurana


Quando os boletins de segurana e atualizaes de segurana so publicados, a notificao prvia do boletim de segurana substituda pelo resumo do boletim de segurana, que o recurso definitivo para obter informaes sobre os boletins de segurana includo na publicao. Alm das informaes contidas na notificao prvia, os resumos boletim de segurana contm uma avaliao do potencial de explorao de cada vulnerabilidade. (Isso conhecido como o ndice de explorao e explicado posteriormente.) Para obter mais informaes sobre os resumos e webcasts dos boletins de segurana da Microsoft, consulte www.microsoft.com/technet/security/bulletin/summary.mspx.

Boletim de segurana
O resumo do boletim de segurana inclui links para cada boletim de segurana includo na publicao, alm de qualquer artigo relacionado da Base de Dados de Conhecimento que fornea informaes tcnicas adicionais para ajudar os profissionais de TI na avaliao de riscos. Cada boletim de segurana contm orientaes e informaes detalhadas sobre a atualizao de segurana e a vulnerabilidade. Os boletins de segurana esto localizados em 19 idiomas e contm perguntas frequentes, informaes sobre vulnerabilidades, atenuaes e solues, alm de outras informaes de atualizao de segurana pertinentes. Para obter mais informaes, consulte a pgina de Pesquisa de Boletim de Segurana da Microsoft em www.microsoft.com/technet/security/current.aspx.

23

Guia de atualizao de segurana da Microsoft, segunda edio

Atualizao de segurana
A atualizao de segurana o download que contm os arquivos que abordam as vulnerabilidades de segurana descritas pelo boletim de segurana. Esses arquivos so necessrios para aplicar a atualizao e podem ser testados e implantados nos computadores necessrios na organizao. H informaes posteriormente neste guia sobre como obter, testar e implantar as atualizaes de segurana. Uma nica atualizao de segurana muitas vezes resolve vrias vulnerabilidades do banco de dados Common Vulnerabilities and Exposures (CVE)5; cada uma delas est listada em um boletim de segurana da Microsoft correspondente, juntamente com outros problemas relevantes. Sempre que possvel, o MSRC consolida vrias vulnerabilidades que afetam um nico binrio ou componente e as aborda por meio de uma nica atualizao de segurana. Ao fazer isso, o MSRC pode maximizar a eficcia de cada atualizao, alm de minimizar a interrupo potencial que os profissionais de TI enfrentam com testes e integrao de atualizaes de segurana individuais em seus ambientes de computao.

Artigos da Base de Dados de Conhecimento (KB)


Microsoft Customer Service and Support (CSS) escreve artigos da Base de Dados de Conhecimento (KB) que so vinculados ao boletim de segurana correspondente, sem a duplicao de todas as informaes no boletim de segurana. Os artigos da Base de Dados de Conhecimento tambm so publicados para destacar advertncias ou problemas conhecidos de atualizaes de segurana e continuaro a ser relacionados no boletim de segurana que fornece as atualizaes de segurana.

cve.mitre.org/

24

Guia de atualizao de segurana da Microsoft, segunda edio

Alerta de segurana
Os alertas de segurana da Microsoft, localizados em 19 idiomas, so comunicaes da Microsoft sobre as vulnerabilidades potenciais e outras informaes de segurana reais para a segurana geral dos profissionais de TI. Essas notificaes podem no exigir um boletim de segurana ou uma atualizao de segurana, mas ainda podem afetar a segurana geral dos clientes. Alguns alertas de segurana podem resultar na publicao de uma atualizao de segurana ou incluir orientaes para ajudar os profissionais de TI a reduzir a ameaa existente. Cada alerta de segurana acompanhado de um nico nmero de artigo da Base de Dados de Conhecimento que faz referncia a informaes adicionais. Alguns exemplos de tpicos que os alertas de segurana podem abordar incluem: Orientao e atenuaes que possam ser aplicveis s vulnerabilidades divulgadas publicamente. Informaes esclarecedoras sobre ameaas potenciais que so publicamente divulgadas.

Processo previsvel de publicao de atualizao de segurana


Para tornar possvel uma melhor previso de publicao de atualizaes de segurana e ajudar os profissionais de TI e as organizaes no planejamento de recursos, a Microsoft tem um processo padro de publicao de atualizao de segurana. Esse processo sempre comea com uma notificao prvia do boletim de segurana que informa aos profissionais de TI sobre uma iminente publicao de atualizao de segurana. Quando publicado, o boletim de segurana fornece os detalhes tcnicos da atualizao de segurana correspondente e a alterao necessria. Embora os alertas de segurana no sejam to previsveis, so outra forma de publicao de segurana da Microsoft. De maneira semelhante notificao prvia do boletim de segurana, a Microsoft avisa aos profissionais de TI quando os alertas de segurana so publicados. (H informaes sobre as notificaes posteriormente.) Independentemente de se a publicao de segurana da Microsoft uma notificao prvia de um boletim de segurana e a atualizao de segurana correspondente ou um alerta de segurana, importante que os profissionais de TI ajam e iniciem um processo de gerenciamento de riscos aps o recebimento da notificao. Uma publicao de segurana da Microsoft. Para fins deste guia, Publicao de segurana da Microsoft se refere notificao de segurana da Microsoft que exige que o cliente aja e gerencie o risco de segurana. Novamente, essa notificao especfica sempre comea com uma notificao prvia do boletim de segurana ou um alerta de segurana, e os profissionais de TI devem iniciar seu prprio processo de gerenciamento de riscos. Normalmente, uma srie de outros recursos que a Microsoft disponibiliza so combinados com qualquer publicao de segurana da Microsoft. Este guia detalha esses recursos, conforme aplicveis a uma estrutura de gerenciamento de riscos do cliente. Recursos e orientaes expansivas. As publicaes de segurana da Microsoft

25

Guia de atualizao de segurana da Microsoft, segunda edio

geralmente incluem uma srie de outros recursos de suporte, orientao, ferramentas e assim por diante. Este guia examina os diversos recursos da Microsoft que esto disponveis durante todo o processo de gerenciamento de riscos. Figura 7 detalha as publicaes de segurana da Microsoft e a orientao certificada correspondente. As informaes includas posteriormente neste guia discutem os vrios outros recursos disponveis com as publicaes de segurana da Microsoft.
Figura 7. Publicaes de segurana da Microsoft e orientao e arquivos certificados correspondentes

Publicao de segurana da Microsoft

Orientao correspondente

Arquivos correspondentes

Notificao Prvia do Boletim de Segurana

Resumo do boletim de segurana

Boletim(ns) de segurana

Artigo(s) da Base de Dados de Conhecimento

Atualizao(es) de segurana

outros recursos e orientao so discutidos posteriormente

Alerta de segurana

Artigo da Base de Dadosde Conhecimento

Verifique o alerta adequado

Notificaes fraudulentas direcionadas a atualizaes de segurana da Microsoft


Mensagens de email que afirmam ser mensagens de email de segurana da Microsoft e contm um arquivo anexado executvel nunca so legtimas. Tais mensagens so falsas e os anexos podem conter software mal-intencionado. Profissionais de TI que recebem emails que afirmam distribuir uma atualizao de segurana da Microsoft so incentivados a excluir a mensagem e no abrir o anexo.

26

Guia de atualizao de segurana da Microsoft, segunda edio

A Microsoft no distribui atualizaes de segurana usando anexos de email. Mensagens de email sobre notificaes de segurana da Microsoft sempre incentivam os profissionais de TI a obter as atualizaes de segurana da Microsoft usando os links neste documento, os boletins de segurana ou as ferramentas de implantao, como o Microsoft Update, Windows Update, WSUS ou Gerenciador de Configuraes 2007. (Esto includas posteriormente neste guia informaes adicionais sobre como obter atualizaes de segurana.) Se um anexo for aberto em uma dessas mensagens de email de boato, a Microsoft recomenda que os profissionais de TI executem uma verificao de antivrus completa no computador em que o arquivo foi aberto o mais rapidamente possvel para ajudar a garantir que nenhum software mal-intencionado tenha sido instalado. Alm disso, os profissionais de TI podem executar uma verificao de segurana do computador online gratuitamente. Para fazer isso, consulte safety.live.com. Para obter mais informaes sobre como reconhecer e evitar emails fraudulentos para clientes Microsoft, consulte www.microsoft.com/protect/yourself/phishing/msemail.mspx.

Estrutura de gerenciamento de riscos do cliente


Para ajudar a ilustrar a orientao, os recursos e as ferramentas disponveis na Microsoft com cada atualizao de segurana, este guia utiliza uma estrutura geral de gerenciamento de riscos do cliente para servir de pano de fundo. Neste guia, a estrutura de gerenciamento de riscos do cliente se refere estrutura ou linha do tempo geral de gerenciamento de riscos que os profissionais de TI podem seguir para compreender e utilizar os recursos de publicao de segurana que a Microsoft disponibiliza. Figura 8 identifica as principais etapas da estrutura de gerenciamento de riscos do cliente (uma verso mais detalhada est disponvel no Apndice). A estrutura melhor organizada e apresentada como uma linha do tempo. A estrutura de gerenciamento de riscos do cliente neste guia inclui cinco etapas principais. Cada etapa detalha os vrios recursos e dicas teis da Microsoft para que os profissionais de TI estejam mais bem informados para gerenciar riscos. As cinco etapas principais da estrutura de riscos usada neste guia incluem: 1. Recebimento da comunicao de publicao de segurana da Microsoft 2. Avaliao dos riscos 3. Avaliao de atenuaes ou solues

27

Guia de atualizao de segurana da Microsoft, segunda edio

4. Criao, teste e implantao da atualizao de segurana em uma linha do tempo padro ou mais urgente 5. Monitoramento de sistemas
Figura 8. a estrutura de gerenciamento de riscos do cliente

Embora as etapas identificadas em Figura 8 paream simples, na prtica, as organizaes tm infraestruturas complexas com diferentes nveis de risco de segurana e diferentes nveis de gerenciamento e suporte. Por exemplo, algumas organizaes podem seguir uma linha do tempo de atualizao padro que pode ser reduzida ou acelerada no caso de uma atualizao de segurana urgente. O principal objetivo dessa estrutura articular onde os recursos de segurana e a orientao da Microsoft se encaixam em toda uma estrutura de gerenciamento de riscos para informar melhor os profissionais de TI em um documento de referncia inclusivo. Em relao ao exposto, importante que os profissionais de TI entendam vrios pontos principais: 1. O processo de atualizao de segurana pode ser complexo. Isso especialmente verdadeiro nas organizaes que oferecem suporte a muitos aplicativos de negcios e aplicativos LOB. No entanto, existem vrias solues que tornam acessvel um processo de atualizao de segurana bem sucedido. 2. Compreender as abordagens atualizao de segurana vital. Os profissionais de TI devem selecionar a abordagem mais adequada necessria para oferecer suporte a todos os aplicativos da organizao (incluindo atualizaes de terceiros e aplicativos LOB). 3. Os profissionais de TI precisam equilibrar o custo de implementao e o risco dos negcios. Esse um processo difcil. A inteno deste guia ajudar os profissionais de TI a entender as ferramentas, os servios e as informaes que a Microsoft disponibiliza para ajudar a oferecer suporte a esse processo de gerenciamento de riscos. 4. Voc deve personalizar qualquer estrutura e processo para se ajustar sua organizao. Os requisitos para cada organizao so diferentes, portanto, planeje para esses requisitos e personalize-os adequadamente.

28

Guia de atualizao de segurana da Microsoft, segunda edio

Conforme este guia examina mais profundamente as etapas na estrutura de Publicao de segurana da Microsoft, os profissionais de TI devem observar como podem usar as informaes fornecidas pela Microsoft para tomar as melhores decises para suas organizaes. Se a sua organizao no apresentar nenhuma abordagem de gerenciamento de riscos atualmente, a seo Etapa 2: avaliao do risco neste guia oferece algumas opes.

Etapa 1: recebimento de comunicaes de publicao de segurana da Microsoft


Esta seo aborda:
Como os profissionais de TI podem garantir o recebimento de todas as notificaes de segurana da Microsoft relevantes.

No final desta seo, os profissionais de TI devero:


Receber todas as notificaes de Publicao de segurana da Microsoft.

Recursos da Microsoft referenciados nesta seo:


Notificaes de segurana. Consulte technet.microsoft.com/security/dd252948.aspx. blog do MSRC. Consulte blogs.technet.com/msrc/. Servio de Notificao Prvia do Boletim de Segurana. Consulte www.microsoft.com/technet/security/bulletin/advance.mspx. Resumos e webcasts de boletins de segurana. Consulte www.microsoft.com/technet/security/bulletin/summary.mspx. Boletins de segurana. Consulte www.microsoft.com/technet/security/current.aspx. Alertas de segurana. Consulte www.microsoft.com/technet/security/advisory/. Blogs sobre segurana e privacidade do TwC. Consulte www.microsoft.com/twc/blogs.

29

Guia de atualizao de segurana da Microsoft, segunda edio

Comunicaes de publicao de segurana Microsoft


A Microsoft envia uma notificao se houver informaes reais que afetem a segurana dos clientes. Se as alteraes de segurana forem necessrias, a Microsoft publica uma atualizao de segurana, que inclui todas as referncias de suporte, como o boletim de segurana, o artigo da Base de Dados de Conhecimento e assim por diante. Caso contrrio, a Microsoft se comunica por vrios mtodos (por exemplo, um alerta de segurana ou uma postagem de blog) sobre o assunto que afeta a segurana de clientes e oferece orientao ao longo do caminho. A Microsoft programa a publicao da atualizao de segurana e do boletim de segurana na segunda tera-feira do ms, s 10h00 no fuso horrio da Hora do Pacfico6. (A notificao prvia do boletim de segurana ocorre trs dias teis antes disso.) Dependendo do fuso horrio ou dos fusos horrios no qual a organizao opera, os profissionais de TI devem planejar suas programaes de implantao de acordo. Se um problema de segurana for to grave que os computadores baseados em Windows estejam em srio risco e a Microsoft tiver determinado que uma alterao de segurana necessria imediatamente fora do ciclo mensal normal, a Microsoft emitir uma publicao de segurana extraordinria. Se a publicao de segurana for um alerta de segurana, parte da publicao de atualizao de segurana mensal padro ou uma publicao extraordinria, a Microsoft usar notificaes especficas. Depois que uma equipe de segurana da organizao tiver recebido as notificaes de segurana da Microsoft, poder determinar melhor quais problemas e atualizaes de segurana podem ser relevantes para a organizao e planejar as etapas que a organizao deve seguir.

Dependendo da poca do ano, o Tempo Universal Coordenado (UTC) -8 ou UTC -7.

30

Guia de atualizao de segurana da Microsoft, segunda edio

Recebimento de comunicaes de publicaes de segurana da Microsoft


Para ajudar a garantir que os profissionais de TI recebam os comunicados ou as notificaes de segurana da Microsoft em tempo hbil, a Microsoft recomenda que o pessoal de suporte de TI apropriado inscrevam, pelo menos, os alertas que estejam identificados na Figura 9.
Figura 9. Inscrio de alerta de segurana

Notificao Alertas de segurana abrangentes

Detalhes Os alertas abrangentes gratuitos fornecem notificao prvia de boletins de segurana futuros (e dessa forma, as atualizaes de segurana), alertas de segurana e notificao oportuna de qualquer alterao nos boletins e alertas de segurana da Microsoft que tenham sido liberados anteriormente. Essas notificaes so escritas para profissionais de TI, contm informaes tcnicas aprofundadas e as mensagens de email so assinadas digitalmente com Pretty Good Privacy (PGP): Email: edio abrangente do Servio de notificao de segurana RSS: alertas abrangentes Site: Security Bulletin Search em www.microsoft.com/technet/security/current.aspx

Voc pode acessar os recursos mencionados acima a partir de technet.microsoft.com/security/dd252948.aspx. Alertas do blog do Microsoft Security Response Center (MSRC) O blog do MSRC proporciona uma maneira em tempo real para que o MSRC se comunique com os profissionais de TI. O MSRC usa esse blog para difundir comunicados de segurana importantes e essenciais para auxiliar os profissionais de TI a compreender os esforos de resposta segurana da Microsoft, as atualizaes durante os estgios iniciais de incidentes de segurana e as publicaes regulares para o ciclo de lanamento do boletim: Twitter feed do MSRC RSS: blog do MSRC Alerta do Windows Live: blog do MSRC Site: blogs.technet.com/msrc

O MSRC usa uma conta do Twitter verificada em twitter.com/msftsecresponse para postar notificaes sucintas sobre boletins e alertas de segurana e outros problemas de segurana. Siga @msftsecresponse atravs da Web, RSS ou mensagens de texto SMS para ter um acesso rpido s informaes mais recentes.

31

Guia de atualizao de segurana da Microsoft, segunda edio

Notificao Blogs sobre segurana e privacidade do Trustworthy Computing

Detalhes Essa pgina consolida e apresenta de forma dinmica os blogs do grupo Microsoft Trustworthy Computing (TwC): a equipe encarregada de trabalhar para fornecer experincias de computao mais seguras, confidenciais e confiveis. Leia sobre a viso e a estratgia a longo prazo da Microsoft para a privacidade e segurana da computao. Voc pode acessar o agregador de blogs sobre segurana e privacidade do Trustworthy Computing em www.microsoft.com/twc/blogs.

Quando a Microsoft disponibiliza uma nova publicao sobre segurana, vital que os profissionais de TI possam determinar rapidamente o risco que suas organizaes enfrentam em termos de segurana ou de vulnerabilidades relatadas pela publicao. Este guia fornece detalhes sobre alguns processos e decises que os profissionais de TI precisam adotar aplicados estrutura de gerenciamento de risco do cliente. As etapas deste guia enfocam somente as atualizaes e alertas de segurana da Microsoft. Existe a possibilidade das organizaes incorporarem algumas recomendaes nos processos de atualizao de manuteno para outros tipos de atualizao como service packs, atualizaes de drivers e outros.

Etapa 2: avaliao do risco


Esta seo aborda:
Como aplicar os recursos da Microsoft a uma estrutura de gerenciamento de risco do cliente que determine: Se a vulnerabilidade referenciada na publicao de segurana se aplica organizao. Qual o risco, se houver, a vulnerabilidade referenciada na publicao de segurana representa para a organizao.

Os recursos que a Microsoft disponibiliza para determinar o aplicativo e o risco da vulnerabilidade. Um exemplo de avaliao de risco que utilize recursos da Microsoft. Consideraes adicionais antes da implantao da atualizao de segurana.

No final desta seo, os profissionais de TI devero:

32

Guia de atualizao de segurana da Microsoft, segunda edio

Compreender os principais recursos da Microsoft para ajudar a determinar a aplicabilidade da vulnerabilidade em suas organizaes. Os recursos da Microsoft usados para reunir informaes incluem: O ciclo de vida de suporte do produto Microsoft. Os boletins de segurana, os alertas de segurana, o blog do MSRC, o blog do Microsoft Security Research & Defense e o webcast do boletim de segurana do TechNet.

Compreender os principais recursos da Microsoft para ajudar a determinar o nvel de risco na organizao. Isso inclui: Os boletins e os alertas de segurana. Os boletins de segurana e o sistema de classificao de severidade da Microsoft, e outras informaes de impacto da vulnerabilidade. O ndice de Explorabilidade, que revela o risco de vulnerabilidade se a atualizao de segurana no for aplicada.

Compreender outras consideraes importantes que sejam relevantes neste ponto da estrutura de gerenciamento de risco de uma organizao, como: Reviso de artigos da Base de Dados de Conhecimento. Avaliao da facilidade de desinstalao de uma atualizao de segurana e se necessria uma reinicializao forada.

33

Guia de atualizao de segurana da Microsoft, segunda edio

Recursos da Microsoft referenciados nesta seo:


Guia de gerenciamento de risco segurana da Microsoft7. Uma soluo de tecnologia agnstica que fornece uma abordagem em quatro etapas ao gerenciamento do risco. O guia faz referncia a muitos padres aceitos pelo setor de gerenciamento de risco segurana e incorpora experincias do mundo real da rea de TI da Microsoft e inclui tambm opinies de clientes e parceiros da Microsoft. Consulte technet.microsoft.com/library/cc163143.aspx. Pgina Microsoft Security Bulletin Search. Essa pgina o portal central relacionado aos boletins de segurana. Fornece informaes como os boletins e alertas de segurana da Microsoft mais recentes, os boletins de segurana anteriores, um recurso para pesquisar boletins de segurana e artigos da Base de Dados de Conhecimento, e muito mais. Consulte www.microsoft.com/technet/security/current.aspx. Pgina Microsoft Product Lifecycle Search. A Microsoft fornece suporte ao service pack atual e, em alguns casos, ao service pack imediatamente anterior, para os produtos que voc possa consultar nessa pgina. Consulte support.microsoft.com/lifecycle/search/. blog do MSRC. O blog de resposta segurana corporativa oficial publicado pelo Microsoft Security Response Center. Consulte blogs.technet.com/msrc/. O blog do Microsoft Security Research & Defense. Informaes da Microsoft sobre vulnerabilidades, atenuaes e solues alternativas, ataques ativos, pesquisa de segurana, ferramentas e orientaes. Consulte blogs.technet.com/srd/. ndice de Explorabilidade Microsoft. Esse ndice ajuda os profissionais de TI a priorizar a implantao de atualizaes de segurana. O ndice de Explorabilidade fornece detalhes sobre at que ponto uma vulnerabilidade pode ser explorada e sobre a possibilidade de um cdigo de explorao ser publicado no ms seguinte a liberao de um boletim de segurana. (consulte technet.microsoft.com/security/cc998259.aspx). O ndice de Explorabilidade est contido em cada resumo e webcast de boletim de segurana. Consulte www.microsoft.com/technet/security/bulletin/summary.mspx.

Para obter outros recursos para formular ou modificar uma metodologia de gerenciamento de risco, consulte CERT OCTAVE: www.cert.org/octave/; National Institute of Standards and Technology (NIST - US): www.nist.gov/index.html; ISO27001 Security: www.iso27001security.com/; e muito mais.

34

Guia de atualizao de segurana da Microsoft, segunda edio

Artigos da Base de Dados de Conhecimento. Pesquise isso em www.microsoft.com/technet/security/current.aspx ou support.microsoft.com/.

Determinaes na estrutura de gerenciamento de risco do cliente


Sem dvida, uma das decises mais srias que os profissionais de TI tomam em suas estruturas de gerenciamento de risco que risco uma vulnerabilidade recm identificada representa para a organizao. A implantao de uma atualizao de segurana tem um custo inerente tanto em termos de custos de teste e de implantao quanto de suporte a qualquer problema que possa resultar. A deciso que os profissionais de TI precisam tomar se esse custo excede o risco que a organizao enfrenta de um possvel ataque proveniente de um sistema que no recebeu o patch. A Figura 10 detalha as entradas e as decises subsequentes apropriadas para a fase de avaliao de risco.
Figura 10. Etapa de avaliao de risco

35

Guia de atualizao de segurana da Microsoft, segunda edio

A sua organizao carece de um processo de gerenciamento de risco existente?


As organizaes que precisam de orientao sobre abordagens em gerenciamento de risco podem consultar o Guia de gerenciamento de risco segurana da Microsoft, que uma soluo de tecnologia agnstica que fornece uma abordagem em quatro etapas para o gerenciamento de risco. Este guia ajuda as organizaes de todos os tipos a planejar, criar e manter um programa de gerenciamento de risco segurana bem sucedido. O Guia de gerenciamento de risco segurana explica como conduzir cada fase de um programa de gerenciamento de risco e como criar um processo contnuo para mensurar e direcionar os riscos segurana para um nvel aceitvel. Ele foi desenvolvido, revisado e aprovado por equipes de especialistas certificadas em segurana. O Guia de gerenciamento de risco segurana em combinao com este guia pode ajudar os profissionais de TI a compreender melhor os muitos recursos oferecidos pela Microsoft para gerenciar melhor o risco segurana.

Visite technet.microsoft.com/library/cc163143.aspx para baixar o Guia de gerenciamento de risco segurana da Microsoft.

Determinaes nessa etapa. Como a Figura 10 ilustra, os profissionais de TI precisam identificar duas questes nessa etapa:

1. A vulnerabilidade se aplica organizao? Ou perguntado de outra forma, a vulnerabilidade referenciada na publicao de segurana da Microsoft aplicvel organizao? 2. A vulnerabilidade representa um risco alto para a organizao? Ou perguntado de outra forma, que o risco a vulnerabilidade tratada na publicao de segurana da Microsoft representa para a organizao. As sees restantes desta etapa do guia incluem detalhes sobre consideraes importantes para ajudar os profissionais de TI a produzir respostas bem embasadas para essas perguntas que sejam apropriadas antes da implantao das atualizaes de segurana.

36

Guia de atualizao de segurana da Microsoft, segunda edio

Identifique se a vulnerabilidade aplicvel


Aps a notificao de publicao de segurana da Microsoft ser recebida, a primeira determinao a ser feita durante a etapa de avaliao de risco de uma estrutura de gerenciamento de risco de cliente se a vulnerabilidade em questo aplicvel organizao. Para tomar uma deciso bem embasada, esta seo explora os recursos da Microsoft para a coleta das informaes de segurana necessrias para tomar uma deciso mais abalizada.

Coleta de informaes de vulnerabilidade de segurana


Os profissionais de TI precisam coletar e avaliar vrias peas vitais de informaes para determinar exatamente a que nvel de risco a organizao pode ser exposta antes de um controle ou atualizao de segurana ser estabelecido. A Microsoft usa algumas comunicaes importantes para assegurar que as organizaes compreendam o risco que uma vulnerabilidade representa para a infraestrutura de TI e para a segurana da organizao como um todo. A Figura 11 destaca os recursos da Microsoft que recomendamos serem utilizados para coletar as informaes de segurana necessrias para identificar de forma apropriada se a vulnerabilidade se aplica sua organizao.
Figura 11. Fontes de informaes de publicaes de segurana da Microsoft

Determinao Verifique se o produto est afetado.

Detalhes A Microsoft notifica os profissionais de TI sobre os produtos que esto afetados pelas vulnerabilidade das seguintes formas: Os resumos dos boletins de segurana informam aos profissionais de TI sobre o produto ou a famlia de softwares afetada na seo Resumo executivo. Por exemplo, se o Windows estiver listado na seo Software afetado, isso pode significar que qualquer um dos sistemas operacionais Windows com suporte atualmente est afetado. Os resumos dos boletins de segurana permitem aos profissionais de TI avaliarem rapidamente se um boletim de segurana, e assim uma atualizao de segurana, aplicvel organizao deles. Outro exemplo, se os profissionais de TI no utilizam o Internet Explorer e vm um resumo de boletim de segurana que liste o Internet Explorer como software afetado, eles podem simplesmente descartar o boletim ou a atualizao de segurana relacionada. Os boletins e os alertas de segurana id entificam o produto ou software afetado de forma mais especfica do que o resumo de boletins de segurana (usando e exemplo do

37

Guia de atualizao de segurana da Microsoft, segunda edio

Determinao

Detalhes Windows acima, entre outras verses do Windows, o Windows XP Service Pack 3 (SP3) poderia estar listado em Software afetado). Fontes para verificar os produtos afetados: Resumos de boletins de segurana, consulte www.microsoft.com/technet/security/bulletin/summary.ms px. Para rever os boletins de segurana, consulte www.microsoft.com/technet/security/current.aspx. Para rever os alertas de segurana, consulte www.microsoft.com/technet/security/advisory.

Outras organizaes tambm oferecem suas prprias anlises de atualizaes de segurana da Microsoft. Essas anlises devem ser tratadas com cuidado, j que a Microsoft a especialista definitiva sobre suas prprias atualizaes. Como localizar os produtos e os componentes afetados. No boletim ou no alerta de segurana, consulte a seo Software afetado para obter informaes mais especficas sobre o produto afetado. Cada novo boletim de segurana detalha o software afetado incluindo o software afetado e o no afetado (por exemplo, sistemas operacionais afetados: Windows XP SP3; software no afetado: Windows Vista SP1). Os alertas de segurana detalham o software afetado e o no afetado na seo Viso geral, como ilustra o exemplo de alerta de segurana a seguir.

Outra fonte til no boletim de segurana que identifica os fatores de atenuao a seo Informaes de vulnerabilidade. V para a seo Informaes de vulnerabilidade, expanda o identificador CVE tratado pelo boletim de segurana e, finalmente, expanda Fatores de atenuao para acessar outras informaes. Se o produto no estiver listado na seo Software afetado

38

Guia de atualizao de segurana da Microsoft, segunda edio

Determinao

Detalhes ou na seo Viso geral, a vulnerabilidade no ser aplicvel e a atualizao de segurana ou uma contramedida adicional no necessria.

Reveja o ciclo de vida de suporte Microsoft de seus aplicativos ou sistemas operacionais.

As organizaes podem estar executando verses de softwares que a Microsoft no d mais suporte. Como parte do processo de gerenciamento de risco de uma organizao, os profissionais de TI devem saber se os produtos no ambiente de TI no recebem mais suporte porque esses produtos podem ter vulnerabilidades que precisam ser atenuadas para reduzir o risco da organizao. Deve ser prioridade das organizaes que possuam verses mais antigas do software migrarem para verses com suporte para evitar possveis exposies s vulnerabilidades. Para obter mais informaes sobre o perodo de suporte de atualizao de segurana para essas verses ou edies de softwares, consulte support.microsoft.com/lifecycle/search/ e verifique se a Microsoft ainda d suporte ao produto. O software afetado que listado nos boletins de segurana da Microsoft foi testado com a atualizao de segurana para ajudar a assegurar a compatibilidade. Porm, as verses mais antigas de softwares cujos ciclos de vida de suporte j tenham expirado, no foram testadas. Para obter outras informaes, consulte Perguntas mais frequentes sobre o ciclo de vida do suporte ao produto do sistema operacional Windows em support.microsoft.com/gp/LifeWinFAQ. Se for necessrio um suporte personalizado s verses mais antigas de produtos Microsoft, entre em contato com o escritrio local da Microsoft. Por outro lado, se a organizao for uma proprietria Alliance, Premier ou Authorized Contract, entre em contato com o respectivo representante de equipe de contas Microsoft, com o gerente tcnico de contas ou com o representante parceiro Microsoft para obter opes de suporte personalizado. Para localizar o escritrio local da Microsoft:

1. Visite Microsoft Worldwide em


2. www.microsoft.com/worldwide/. Na lista Informaes de contato, clique no escritrio mais prximo ao local principal da sua empresa e, em seguida, clique em Ir. O site, os endereos dos escritrios e os telefones sero exibidos. Ao ligar, pea para falar com o gerente de vendas de suporte Premier.

3.

39

Guia de atualizao de segurana da Microsoft, segunda edio

Determinao Reveja o blog do MSRC.

Detalhes Revise o blog do MSRC em blogs.technet.com/msrc/. Entre outras coisas, o blog do MSRC fornece: Recursos e orientaes adicionais no includos no boletim de segurana. Informaes importantes relativas a qualquer publicao de segurana. Informaes sobre qualquer problema com um publicao de segurana (por exemplo, problemas de compatibilidade). Informaes sobre incidentes ou vulnerabilidades de segurana que afetem os produtos Microsoft.

Aps os profissionais de TI terem coletado e revisado essas informaes, eles podero determinar se a vulnerabilidade de segurana aplicvel organizao.

Determinao do risco de vulnerabilidade


Aps os profissionais de TI terem confirmado se a vulnerabilidade aplicvel organizao, como mostrado no diagrama abaixo, o prximo passo na etapa de avaliao de risco deve ser identificar quais os riscos as vulnerabilidades representam para a organizao.

Quando uma notificao de segurana da Microsoft contiver informaes sobre mais de um problema de segurana, os profissionais de TI devem verificar cada problema individualmente para avaliar os possveis riscos para a organizao.

40

Guia de atualizao de segurana da Microsoft, segunda edio

O que um risco alto? Invariavelmente, os riscos da vulnerabilidade diferem de acordo com a organizao; e as organizaes normalmente tm limites diferentes para o que considerado risco alto e risco baixo e muitas outras classificaes de risco intermedirias. Como anteriormente mencionado, o Guia de gerenciamento de risco de segurana da Microsoft pode ajudar os profissionais de TI a determinar quais so os nveis de risco apropriados em uma organizao. Para se adequar a esse guia, a estrutura de gerenciamento de risco do cliente usa dois nveis de risco: alto e baixo. Como a sua organizao classifica isso depende de vrias informaes, das quais muitas esto descritas abaixo. O ponto importante que os profissionais de TI primeiro devem se concentrar em atenuar as vulnerabilidades mais severas, que esse guia define como de alto risco.

O sistema de classificao de severidade da Microsoft


Uma das primeiras informaes consideradas na avaliao de risco origina-se da classificao da severidade da vulnerabilidade. A Microsoft difunde a severidade da vulnerabilidade usando o sistema de classificao de severidade da Microsoft (consulte www.microsoft.com/technet/security/bulletin/rating.mspx). O sistema de classificao de severidade da Microsoft explicado. A Microsoft tem conhecimento de vrios sistemas de classificao de severidade variveis. Por exemplo, a verso 2 do Common Vulnerability Scoring System (CVSS)8 classifica as vulnerabilidades entre todos os produtos do setor. A avaliao da severidade um processo complexo que pode variar de acordo com o segmento do cliente. Portanto, difcil para uma nica classificao representar o verdadeiro risco de uma vulnerabilidade para todos os clientes em todos os cenrios. Como resultado, um sistema de classificao de vulnerabilidade eficiente deve ser aquele que no subestime nem superestime as vulnerabilidades. A meta melhorar a ajudar para que a maioria dos clientes possa mensurar o risco com preciso e a prestar melhores informaes aos clientes que os permita fazer suas prprias avaliaes de risco bem embasadas.

A Microsoft um membro ativo do CVSS-SIG e participa dos debates relacionados verso atual do CVSS.

41

Guia de atualizao de segurana da Microsoft, segunda edio

A Microsoft acredita que a principal fonte de informaes de severidade de vulnerabilidade deve originar da necessidade do cliente e ser suprida pelo fornecedor do produto, especialmente pelo fato dos fornecedores conhecerem melhor seus prprios produtos e poder oferecer a orientao mais abalizada. Microsoft oferece aos clientes uma orientao confivel como atenuaes, solues alternativas e descries dos possveis vetores de ataque para ajudar os clientes a realizar suas prprias anlises e gerenciamentos de risco. Os clientes tm informado ao Microsoft Security Response Center que o sistema de classificao de severidade valioso para ajud-los a avaliar seus nveis de risco. Os clientes tambm informam Microsoft que os boletins e alertas de segurana, e o sistema de avaliao de severidade da Microsoft so valiosos para ajud-lo a avaliar seus nveis de risco. A Microsoft ainda adverte sobre o pior cenrio possvel ao classificar as vulnerabilidades que tenham uma severidade mxima de crtica, importante, moderada ou baixa. E quando lidamos com uma situao limtrofe de classificao, a nossa experincia tem demonstrado que prudente ter cautela de acordo com o pior caso do cenrio. O que significam as classificaes de severidade. As classificaes de severidade da Microsoft simplesmente exprimem o impacto potencial mximo do ataque. A Microsoft avalia cada problema e quantifica o impacto de um problema de forma objetiva em um nvel tcnico para as configuraes padro. Baseada nessa anlise e no impacto de segurana mximo, a Microsoft disponibiliza uma classificao no boletim de segurana. A Figura 12 define as quatro classificaes de severidade da Microsoft e seus impactos correspondentes.
Figura 12. Sistema de classificao de severidade da Microsoft

Classificao Crtica

Definio Uma vulnerabilidade cuja explorao pode permitir a propagao de um worm de Internet com pouca ou nenhuma ao do usurio. Uma vulnerabilidade cuja explorao pode resultar no comprometimento da confidencialidade, da integridade ou da disponibilidade dos dados do usurio, ou ainda, da integridade ou disponibilidade dos recursos de processamento. Uma vulnerabilidade cuja explorao atenuada em um grau significativo por fatores como configurao padro, auditoria ou dificuldade de explorao. Uma vulnerabilidade cuja explorao extremamente difcil ou cujo impacto mnimo.

Importante

Moderada

Baixa

Para obter informaes adicionais sobre esses critrios, consulte www.microsoft.com/technet/security/bulletin/rating.mspx.

42

Guia de atualizao de segurana da Microsoft, segunda edio

Classificaes de severidade mxima e agregada. interessante notar que um resumo do boletim de segurana lista a classificao de segurana mxima para a famlia de produtos afetados, enquanto os boletins de segurana fornecer detalhes adicionais. Por exemplo, suponha que o Windows esteja listado como software afetado, o Windows XP SP3 esteja listado como crtico e o Windows Vista como importante. O resumo do boletim de segurana especificar que a classificao de severidade mxima para o respectivo boletim crtica; novamente aplicando a classificao de severidade mxima para o Windows. O boletim de segurana adicional detalha o impacto de segurana mximo e a classificao de severidade agregada para cada verso com suporte do software afetado. Consulte a Figura 13 e a Figura 14 para ver exemplos. Como mostrada na Figura 13 abaixo, a seo Informaes gerais de cada boletim de segurana da Microsoft contm uma tabela que lista cada produto e cada componente dos quais o boletim trata, o impacto de segurana mximo, a classificao de severidade agregada e os boletins de segurana que a atualizao substitui.
Figura 13. Classificaes de severidade agregada em um boletim de segurana da Microsoft

As classificaes de severidade, junto com outros recursos listados na Figura 15 (veja abaixo), ajudam a dar informaes materiais aos profissionais de TI que podem ser usadas para melhorar o gerenciamento do risco. Visto que alguns profissionais de TI podem precisar de detalhes tcnicos mais aprofundados sobre a vulnerabilidade de que trata uma atualizao de segurana, cada boletim de segurana contm mais informaes sobre a vulnerabilidade na seo intitulada Informaes da vulnerabilidade, como a Figura 14 ilustra. Entre outros detalhes, essa seo detalha a vulnerabilidade (como identificada pelo seu identificador CVE), as classificaes de severidade de vulnerabilidade individuais e o impacto de segurana mximo sobre o software afetado.

43

Guia de atualizao de segurana da Microsoft, segunda edio

Figura 14. Informaes de vulnerabilidade em um boletim de segurana da Microsoft

Variao de riscos de acordo com cada organizao. Antes de passar para a prxima etapa na estrutura de gerenciamento de risco, importante documentar o risco de uma forma que identifique claramente como ele se relaciona sua organizao. A seo a seguir fornece fontes e informaes que os profissionais de TI usam para gerar uma classificao de risco que seja personalizada para identificar o risco como ele se aplica sua organizao.

Recursos da avaliao de risco


ndice de explorabilidade da Microsoft: Por meio de vrios canais de comunicao, a Microsoft sempre forneceu aos clientes informaes sobre a disponibilidade de cdigos de explorao viveis ou de ataques ativos relacionados s vulnerabilidades tratadas pelas atualizaes de segurana da Microsoft. O ndice de explorabilidade da Microsoft foi desenvolvido em resposta s solicitaes do cliente em busca de outras informaes para melhorar a avaliao de risco; ele fornece novos dados sobre a probabilidade do cdigo de explorao funcional estar sendo desenvolvido, assim os clientes tem outras orientaes que lhes permite priorizar melhor a implantao de atualizaes de segurana da Microsoft. As informaes fornecidas pela Microsoft se destinam a ajudar os clientes a compreenderem os riscos do mundo real (e a possibilidade real) do cdigo de explorao funcional publicado estar sendo desenvolvido para as vulnerabilidades que so abordadas pelas atualizaes de segurana da Microsoft. Essas informaes permitem que os clientes identifiquem melhor as atualizaes de segurana que sejam mais importantes para eles de uma forma oportuna. O ndice de explorabilidade foi includo em todos os boletins de segurana da Microsoft a partir de outubro de 2008 e utiliza um sistema de classificao de trs nveis para avaliar a probabilidade do cdigo de explorao funcional estar sendo desenvolvido para cada vulnerabilidade publicada nos boletins de segurana.

44

Guia de atualizao de segurana da Microsoft, segunda edio

A principal mtrica para a avaliao do ndice de explorabilidade a confiabilidade do ndice como um prognosticador do possvel risco do cdigo de explorao funcional estar sendo desenvolvido; tambm, quando as previses provam posteriormente serem imprecisas, se elas falham com segurana e quando no induzem o cliente a no dar a devida prioridade a uma atualizao de segurana. Com o compartilhamento das classificaes de explorabilidade publicadas para as vulnerabilidades da Microsoft, juntamente com a identificao das vulnerabilidades da Microsoft com o cdigo de explorao publicado, os clientes obtm informaes valiosas sobre os riscos provveis e os nveis atuais de ameaa ao software Microsoft. Confiabilidade importante: Nenhum ndice de explorabilidade pode ser 100 por cento preciso, mas a Microsoft est comprometida com um engajamento contnuo com clientes, parceiros e a comunidade do setor de segurana para melhorar, validar e verificar a preciso do cdigo de explorabilidade. Embora a atividade de previso no ecossistema de segurana seja arriscada, esse ndice possivelmente tem um alto grau de confiabilidade pelas seguintes razes: 1. Metodologia comum. A metodologia usada pela Microsoft para fornecer informaes do ndice de explorabilidade para uma atualizao semelhante quela usada por muitos pesquisadores de segurana para criar e avaliar protees e para criar cdigos de explorao para testar essas protees. Essa metodologia envolve pesquisadores que analisam os boletins de segurana da Microsoft quando eles so publicados da mesma forma que os desenvolvedores da Microsoft analisam os boletins para determinar a natureza da vulnerabilidade e as condies que devem ser atendidas para uma explorao seja executada com xito. 2. Anlise da vulnerabilidade. A Microsoft analisa cuidadosamente cada vulnerabilidade resolvida por uma atualizao de segurana da Microsoft, que tenha fornecido importantes descobertas para dificultar a criao do cdigo de explorao que funcionar de forma consistente. Por exemplo, nem todas as vulnerabilidades resultam em um cdigo de explorao publicado; o Microsoft Security Intelligence Report (SIR)12 mostrou no passado que aproximadamente 30 por cento das vulnerabilidades que foram resolvidas nos boletins de segurana da Microsoft resultaram na publicao de um cdigo de explorao funcional. Embora haja muitos fatores sociais que possam determinar a publicao do cdigo de explorao, as diferenas tcnicas nas vulnerabilidades tornam a explorao ainda mais desafiadora. Por exemplo, a combinao de ASLR13 e DEP14 no Windows Vista e no Windows 7 torna algumas vulnerabilidades mais difceis de serem exploradas. Outras vulnerabilidades requerem sistemas com memria em um estado predeterminado para que um cdigo de explorao bem sucedido funcione.

45

Guia de atualizao de segurana da Microsoft, segunda edio

3. Validaes de parceiros. A Microsoft est em parceria com fornecedores de software de segurana atravs do MAPP para ajudar a validar as previses de cada ms; a Microsoft acredita que esse tipo de aproximao com a comunidade e o compartilhamento de informaes garantir uma melhor preciso. A Figura 15 identifica etapas e os recursos da Microsoft que um profissional de TI deve considerar como parte de uma estrutura de gerenciamento de risco para ajudar a determinar o nvel de risco para a organizao.
Figura 15. Etapas da avaliao de risco

Etapas da avaliao de risco Determine se o software afetado listado na publicao de segurana da Microsoft est identificado como em risco e exiba a vulnerabilidade para a qual a atualizao est projetada.

Detalhes

Nem todas as vulnerabilidades representam o mesmo risco para todos os ambientes de TI; algumas vulnerabilidades dependem da configurao e dos cenrios de uso. Essa etapa requer que os profissionais de TI determinem se as instncias do produto ou do servio na organizao esto suscetveis a exibirem a vulnerabilidade medida que ele for implantado. Por exemplo, uma atualizao de segurana pode ser projetada para todos os sistemas operacionais Windows Server executando o Internet Information Services (IIS) com a opo Active Server Pages (ASP) ativada. Embora uma organizao possa conter vrios sistemas operacionais Windows Server, a atualizao de segurana provavelmente no ser relevante se a organizao no tiver a opo ASP ativada em algum servidor IIS. Os profissionais de TI devem verificar as sees Software afetado e Software no afetado no boletim de segurana. Em seguida, ler a entrada do identificador CVE na seo Informaes de vulnerabilidade do boletim de segurana, que inclui fatores de atenuao que podem reduzir a severidade da explorao de uma vulnerabilidade e do contedo associado.

46

Guia de atualizao de segurana da Microsoft, segunda edio

Etapas da avaliao de risco Revise os blogs de segurana da Microsoft para obter informaes tcnicas adicionais sobre os boletins de segurana conforme aplicvel.

Detalhes

O blog do Microsoft Security Research & Defense (blogs.technet.com/srd) contm informaes sobre boletins, atualizaes e alertas de segurana especficos. Isso pode incluir informaes tcnicas adicionais sobre vulnerabilidades ou ataques ativos, atenuaes e solues alternativas adicionais e outras observaes para ajudar na avaliao de risco de um profissional de TI, que no esto includos nos boletins ou alertas de segurana. Os blogueiros no blog Security Research & Defense so pessoas da Microsoft que realizam anlises tcnicas aprofundadas de relatrios de vulnerabilidade, investigam e realizam pesquisas sobre novas vulnerabilidades, fornecem orientao tcnica para os boletins de segurana e asseguram que as atualizaes de segurana sejam eficientes na eliminao de vulnerabilidades de softwares.

O blog do MSRC (blogs.technet.com/msrc) fornece um resumo dos novos boletins e alertas de segurana medida que so publicados, com novas descobertas dos engenheiros de reposta segurana da Microsoft na forma de webcasts, anlises aprofundadas de vulnerabilidades individuais e indicadores para outras informaes. O MSRC tambm posta notificaes rpidas sobre novas entradas do blog e as ltimas informaes sobre o servio de mensagens do Twitter em twitter.com/msftsecresponse. O blog do Microsoft Malware Protection Center (MMPC) (blogs.technet.com/mmpc) fornece um mtodo em tempo real para o MMPC se comunicar com os clientes. Os tpicos incluem informaes do dia-a-dia e de bastidores sobre novas, emergentes e interessantes ameaas de malware, assim como outros tpicos de pesquisa no campo da segurana de informtica.

47

Guia de atualizao de segurana da Microsoft, segunda edio

Etapas da avaliao de risco Participe ou assista aos webcasts dos boletins de segurana interativos da TechNet.

Detalhes

Registre-se para as prximos exibies de webcasts de boletins de segurana da TechNet ou para uma exibio anterior em www.microsoft.com/technet/security/bulletin/summary.mspx. Com cada publicao de boletim de segurana, a Microsoft hospeda um webcast de uma hora do boletim de segurana que normalmente comea 25 horas depois do lanamento das atualizaes de segurana. A sesso, organizada pelos especialistas em assuntos de segurana da Microsoft, comeam com uma breve viso geral tcnica dos ltimos boletins de segurana. A maior parte do tempo gasto tratando de questes e preocupaes de clientes em um frum online interativo de perguntas e respostas. Para o profissionais de TI que no possam participar desses webcasts ao vivo ou que desejem rever o material posteriormente, aps o webcast a Microsoft posta regularmente o roteiro de perguntas e respostas do webcast do boletim de segurana no blog do MSRC em blogs.technet.com/msrc/archive/tags/Security+Update+Webcast+ Q_2600_amp_3B00_A/default.aspx.

48

Guia de atualizao de segurana da Microsoft, segunda edio

Etapas da avaliao de risco Antes de aplicar a atualizao aos sistemas, determine qual custo a vulnerabilidade representaria para a organizao caso ela fosse explorada.

Detalhes

importante compreender que h um risco associado no aplicao de uma atualizao. Se uma vulnerabilidade identificada levar a uma brecha de segurana ou instabilidade do sistema antes que os profissionais de TI instalem a atualizao de segurana (como parte do processo de atualizao padro), eles devero saber o que o possvel impacto acarretaria empresa. Os profissionais de TI devem priorizar a solicitaes de alterao baseadas no impacto potencial de um ataque em sistema que no recebeu o patch. Verifique a seo Informaes de vulnerabilidade do boletim de segurana, que detalha o impacto de segurana mximo da vulnerabilidade.

Depois, na seo Informaes de vulnerabilidade, leia as perguntas mais frequentes da respectiva vulnerabilidade que est detalhada no boletim. Normalmente, o MSRC aborda o impacto de segurana mximo com sua primeira pergunta frequente: Qual o escopo dessa vulnerabilidade?

49

Guia de atualizao de segurana da Microsoft, segunda edio

Etapas da avaliao de risco Considere a probabilidade do cdigo de explorao funcional ser desenvolvido para a vulnerabilidade.

Detalhes

O cdigo de explorao um programa de software ou cdigo de amostra que, quando executado contra um sistema vulnervel, usa a vulnerabilidade para falsificar a identidade do invasor, manipular informaes do usurio ou do sistema, no reconhecer a ao do invasor, divulgar informaes do usurio ou do sistema, ou negar servio a usurios vlidos, ou elevar privilgios para o invasor. O cdigo de explorao funcional pode fazer com que ocorra o impacto de segurana mximo de uma vulnerabilidade. Por exemplo, se uma vulnerabilidade tivesse um impacto de segurana de execuo de cdigo remoto, o cdigo de explorao funcional poderia fazer com que a execuo do cdigo remoto ocorresse quando ele fosse executado em um sistema de destino. O ndice de explorabilidade da Microsoft fornece informaes adicionais para ajudar os profissionais de TI a melhor priorizar a implantao de atualizaes de segurana da Microsoft. Esse ndice oferece orientao aos profissionais de TI sobre a probabilidade do cdigo de explorao funcional estar sendo desenvolvido para as vulnerabilidades tratadas pela Microsoft para cada atualizao de segurana dentro dos primeiros 30 dias de seu lanamento. As vulnerabilidades para as quais haja uma probabilidade maior do cdigo de explorao funcional ser desenvolvido devem ter preferncia na implantao. Na seo Observaes importantes, a Microsoft detalha se a vulnerabilidade no boletim de segurana est sendo explorada atualmente na Internet. O ndice de explorabilidade est localizado no resumo do boletim de segurana na seo ndice de explorabilidade. Para obter mais informaes sobre o ndice de explorabilidade, consulte technet.microsoft.com/security/cc998259.aspx.

50

Guia de atualizao de segurana da Microsoft, segunda edio

Etapas da avaliao de risco Essa uma atualizao de segurana extraordinria?

Detalhes

Em algumas situaes crticas, quando os clientes acreditarem estar em srio risco e uma atualizao de alta qualidade puder ser desenvolvida e lanada rapidamente, a Microsoft publica uma atualizao de segurana extraordinria (isto , uma publicao de atualizao de segurana que no obedece ao ciclo padro de publicao de atualizao de segurana da Microsoft). As atualizaes de segurana extraordinrias no so usuais e nem programadas, portanto, elas devem receber uma considerao e ateno extra como um alto risco potencial. Para assegurar que os profissionais de TI recebam notificaes sobre as atualizao de segurana extraordinrias da Microsoft, consulte a seo anterior, Etapa 1: Recebimento de publicaes de segurana da Microsoft. Alm disso, se os profissionais de TI no estiverem certos se uma atualizao de segurana da Microsoft extraordinria ou distribuda regularmente por meio do processo de atualizao de segurana mensal, eles podero verificar o blog do MSRC para obter informaes em tempo real em blogs.technet.com/msrc/.

Revise a seo Aes sugeridas.

Isso est relacionado principalmente aos alertas de segurana porque geralmente no contm binrios que forcem uma alterao de segurana em um produto. Como resultado, quando os profissionais de TI recebem um alerta de segurana da Microsoft, a Microsoft recomenda que eles leiam a seo Aes sugeridas e tomem as medidas conforme apropriado.

A combinao de todas as informaes de segurana da tabela acima ajuda os profissionais de TI a reunir um instantneo do risco que a vulnerabilidade apresenta, o que pode se parecer com o que apresentamos abaixo.
Figura 16. Exemplo de avaliao de risco

Identificador CVE

Classificao de severidade da Microsoft Crtica

Avaliao do ndice de explorabilidade

Comentrio

Observao

CVE-20YY-XXXX

Cdigo de explorao consistente possvel. Potencial execuo de cdigo remoto (ECR)

Exploraes atuais em estado selvagem

51

Guia de atualizao de segurana da Microsoft, segunda edio

Identificador CVE

Classificao de severidade da Microsoft Crtica

Avaliao do ndice de explorabilidade

Comentrio

Observao

CVE-20YY-XXXX

Cdigo de explorao consistente possvel. Potencial ECR. Cdigo de explorao consistente possvel. Potencial ECR.

Divulgado de forma responsvel

CVE-20YY-XXXX

Crtica

Divulgado de forma responsvel

Produtos afetados Componentes afetados Possveis vetores de ataque

Windows XP SP3, Windows Server 2003 SP2 DirectX 7, DirectX 8.1, DirectX 9.0/9.0a/9.0b/9.0c Abrir um arquivo QuickTime com habilidades especiais ou receber contedo por fluxo contnuo com habilidades especiais de um site ou de qualquer aplicativo que distribua contedo da Web. O contedo pode ser enviado atravs de email ou hospedado em um site. Contedo hospedado em um compartilhamento de rede. O simples fato de passar o mouse sobre o arquivo pode causar danos.

Impacto do ataque

O invasor pode obter os mesmos direitos como se estivesse conectado como o usurio. Assim, um invasor pode instalar programas, visualizar, alterar ou excluir dados, ou criar novas contas com todos os direitos do usurio. Um invasor no tem nenhuma forma de forar os usurios a visitar um site especialmente criado ou a abrir um arquivo com habilidades especiais. Todas as verses com suporte do Windows Vista, Windows 7 e Windows Server 2008 no esto afetadas.

Fatores de atenuao

Informaes adicionais

Essa atualizao de segurana trata o problema do Alerta de segurana XXXXXX da Microsoft.

Outras abordagens? claro que h muitas abordagens para avaliar o risco apresentado por uma vulnerabilidade de segurana. Como exemplo, algumas organizaes sentem que o nvel de anlise mencionado acima necessrio para determina o risco da vulnerabilidade muito trabalhoso e contraproducente. Portanto, essas organizaes sentem que vale mais a pena omitir todas essas etapas e tratar todas as atualizaes de segurana de forma igual. Elas podem simplesmente passar para a prxima etapa ou partir para a criao, teste e implantao do pacote de atualizaes de segurana.

52

Guia de atualizao de segurana da Microsoft, segunda edio

Exemplo: Aplicao da orientao da Microsoft para a avaliao de risco


A seo a seguir se aplica somente s atualizaes de segurana da Microsoft (isto , no aos alertas de segurana da Microsoft, que no contm essas informaes). As etapas a seguir podem ajudar os profissionais de TI a determinar fatores que possam afetar o risco que a organizao pode enfrentar antes que uma contramedida ou atualizao de segurana seja implantada. Para este exemplo, suponha que em um ms, o MSRC publique cinco novos boletins de segurana que tenham as classificaes de segurana descritas pela Figura 17.
Figura 17. Exemplo do sistema de classificao de severidade

Boletim de segurana

Identificador de vulnerabilidade.

Classificao de severidade da Microsoft Crtica Crtica Importante Moderada Crtica

Classificao de risco

MSYY-001 MSYY-002 MSYY-003 MSYY-004 MSYY-005

CVE-20YY-AAAA CVE-20YY-BBBB CVE-20YY-CCCC CVE-20YY-DDDD CVE-20YY-EEEE

As classificaes de severidade dos boletins da Microsoft presumem o pior cenrio de ataque possvel. Baseado nessas informaes, os profissionais de TI podem decidir expedir as atualizaes MSYY-001, MSYY-002 e MSYY-005, e usar a linha do tempo padro de atualizao para implantar as atualizaes MSYY-003 e MSYY-004.

Exemplo: Aplicao das informaes para determinar a classificao de risco


A Figura 18 ilustra o resultado da aplicao das classificaes do ndice de explorabilidade.
Figura 18. Exemplo do ndice de explorabilidade

Boletim de segurana

Identificador de vulnerabilidade.

Avaliao do ndice de explorabilidade

Classificao de severidade da Microsoft

Classificao de risco

53

Guia de atualizao de segurana da Microsoft, segunda edio

Boletim de segurana

Identificador de vulnerabilidade.

Avaliao do ndice de explorabilidade

Classificao de severidade da Microsoft Crtica

Classificao de risco

MSYY-001

CVE-20YY-AAAA

1 - Cdigo de explorao possivelmente consistente 1 - Cdigo de explorao possivelmente consistente 1 - Cdigo de explorao possivelmente consistente 2 - Cdigo de explorao possivelmente inconsistente 3 - Cdigo de explorao funcional improvvel

MSYY-002

CVE-20YY-BBBB

Crtica

MSYY-003

CVE-20YY-CCCC

Importante

MSYY-004

CVE-20YY-DDDD

Moderada

MSYY-005

CVE-20YY-EEEE

Crtica

54

Guia de atualizao de segurana da Microsoft, segunda edio

Alm disso, outras consideraes que foram mencionadas na Figura 15 acima podem ser aplicadas aqui. Por exemplo, suponha que a atualizao MSYY-001 seja referente a uma execuo de cdigo remoto para o Microsoft Visio (2003 SP3, 2007 SP2 e 2010 RTM) e essa organizao s possua o Microsoft Office Visio Viewer, que o boletim de segurana lista como software no afetado. Nesse caso, os profissionais de TI devem determinar que a atualizao MSYY-001 no se aplica e cancelar a sua implantao (como mostrado na Figura 19). Portanto, quando os profissionais de TI levam em conta essas informaes adicionais para a avaliao de risco, eles podem optar por uma priorizao diferente para suas avaliaes.
Figura 19. Exemplo do sistema de classificao de risco

Boletim de segurana

Identificador de vulnerabilidade.

Avaliao do ndice de explorabilidade

Classificao de severidade da Microsoft Crtica

Classificao de risco

MSYY-001

CVE-20YY-AAAA

1 - Cdigo de explorao possivelmente consistente 1 - Cdigo de explorao possivelmente consistente 1 - Cdigo de explorao possivelmente consistente 2 - Cdigo de explorao possivelmente inconsistente 3 - Cdigo de explorao funcional improvvel

Alta

MSYY-002

CVE-20YY-BBBB

Crtica

Alta

MSYY-003

CVE-20YY-CCCC

Importante

Alta

MSYY-004

CVE-20YY-DDDD

Moderada

Baixa

MSYY-005

CVE-20YY-EEEE

Crtica

Baixa

55

Guia de atualizao de segurana da Microsoft, segunda edio

O que mudou que a atualizao MSYY-001 foi eliminada completamente da classificao porque o cliente no possui o software afetado. Alm disso, MSYY-005 foi avaliada inicialmente como de alta prioridade porque ela foi classificada como Crtica, mas agora teve a prioridade rebaixada. Inversamente, a MSYY-003 tinha recebido uma baixa prioridade anteriormente, mas agora teve a prioridade elevada. Nesses casos, as alteraes refletem as informaes adicionais fornecidas nas etapas da Figura 15. O ndice de explorabilidade ajuda aqui porque, embora a MSYY-003 seja de severidade mais baixa do MSYY-005 (Importante x Crtica), o fato de MSYY-003 ser suscetvel a ter um cdigo de explorao consistente aumenta a sua prioridade global. Inversamente, o fato de MSYY-005 no ser suscetvel a ter um cdigo de explorao consistente diminui sua prioridade global. Se o resultado dessa reviso determinar que a publicao de segurana de baixo risco para a organizao, a atualizao poder ser passada para o processo da atualizao padro e implantada o teste necessrio e o processo de solicitao de alterao tive sido concludo. Este guia discutir detalhes dessas etapas mais tarde.

Consideraes sobre a implantao de atualizaes de segurana


H algumas consideraes finais na etapa de avaliao de risco da estrutura de gerenciamento de risco de um profissional de TI. Antes das atualizaes de segurana terem a aprovao final para a implantao, pode haver outras consideraes para assegurar que uma atualizao de segurana no tenha a possibilidade de introduzir problema em uma infraestrutura existente. Esses fatores no afetam a classificao de risco atribuda da atualizaes de segurana. Porm, importante que os profissionais de TI considerem esses fatores quando revisarem o impacto potencial em sistemas e servios no ambiente de produo. Para estabelecer a categoria da solicitao de alterao, os profissionais de TI devem revisar vrias consideraes adicionais, que esto includas na Figura 20.

56

Guia de atualizao de segurana da Microsoft, segunda edio

Figura 20. Consideraes sobre a implantao de atualizaes de segurana

Considerao sobre a implantao de atualizaes de segurana Determine se h algum problema conhecido ou efeito colateral com a atualizao que possa retardar ou complicar a implantao.

Detalhes

A Microsoft submete todas as atualizaes de segurana a processos de pesquisa, desenvolvimento e de teste extensivos. As atualizaes de segurana s so liberadas quando atendem um nvel de qualidade apropriado. Porm, como parte do processo de avaliao de risco, os administradores geralmente desejam identificar algum problema conhecido. Revise a seo Problemas conhecidos do boletim de segurana, que est na seo Informaes gerais na parte superior da cada boletim de segurana. Normalmente, se houver um problema, ele indicar um artigo da Base de Dados de Conhecimento do boletim de segurana em support.microsoft.com. Os profissionais de TI tambm podem pesquisar artigos da Base de Dados de Conhecimento usando a guia Search By KB Article Number em www.microsoft.com/technet/security/current.aspx. Os artigos da Base de Dados de Conhecimento acompanham todos os boletins e alertas de segurana. Esses artigos incluem advertncias ou problemas com as atualizaes e, alm disso, os engenheiros de suporte documentam preocupaes comuns dos clientes. Os clientes tambm podem entrar em contato com o Atendimento Microsoft caso tenham dvidas sobre qualquer problema conhecido com atualizaes de segurana especficas.

Determine quantos sistemas precisam da atualizao de segurana e que funo esses computadores desempenham (isto , qual o nvel de importncia de cada um para a empresa).

O elemento significativo aqui no quantos computadores esto afetados, mas a importncia que cada um deles tem para a empresa. Os ativos principais devem ter prioridade no recebimento das atualizaes de segurana. Entre outras consideraes, responder a essa questo tambm ajuda a reduzir o impacto perceptvel para os usurios de certos sistemas empresariais crticos e a determinar o possvel impacto sobre a largura de banda da rede alm do potencial de carga sobre os servidores de atualizao.

57

Guia de atualizao de segurana da Microsoft, segunda edio

Considerao sobre a implantao de atualizaes de segurana Determine se o tamanho da atualizao pode impactar a infraestrutura de rede.

Detalhes

A implantao de uma atualizao de software grande simultaneamente em muitos computadores pode degradar o desempenho da rede e afetar negativamente o funcionamento adequado dela. Os profissionais de TI devem revisar em detalhes toda a documentao da atualizao de segurana e estar cientes do tamanho da atualizao de segurana e do nmero de computadores que a receber. Essas informaes tambm podem auxiliar no agendamento apropriado da publicao. Os profissionais de TI podem encontrar o tamanho do arquivo das atualizaes de segurana usando o servio do catlogo do Microsoft Update em catalog.update.microsoft.com e executar uma consulta sobre o nmero do boletim de segurana.

58

Guia de atualizao de segurana da Microsoft, segunda edio

Considerao sobre a implantao de atualizaes de segurana Verifique se h feriados da empresa ou eventos que possam dificultar a implantao da atualizao.

Detalhes

A pesquisa tem mostrado que alguns desenvolvedores de softwares mal intencionados tm iniciado os ataques um pouco antes dos principais feriados para aumentar a possibilidade de uma atualizao no ter sido instalada antes de poder ser explorada. Por essa razo, os profissionais de TI devem estar aptos a escalonar as implantaes de alto risco, mesmo que abranja perodos de feriados. Os profissionais de TI devem verificar o status atual da equipe de implantao e certificarem-se de que as pessoas necessrias possam ser reunidas para garantir que a atualizao seja concluda dentro das linhas de tempo exigidas.

Assegure que recursos suficientes estejam disponveis para a implantao da atualizao ou para lidar com qualquer problema que os usurios possam experimentar durante a implantao. Determine quais mecanismos de implantao sero necessrios para fazer a implantao em todos os destinos da atualizao.

Dependendo do escopo da atualizao, os profissionais de TI podem precisar usar vrios mecanismos para implantar a atualizao em todos os sistemas da organizao. Por exemplo, alguns profissionais de TI podem decidir que alguns servidores de funo crtica devem ser atualizados por alguma forma de processo manual que minimize ao mximo a interrupo do servio. Outros profissionais de TI podem determinar que os computadores clientes podem ser atualizados por um processo de implantao usando o WSUS. importante que todos os mecanismos necessrios sejam determinados nessa fase para assegurar que o impacto real do processo de atualizao seja avaliado. Observao: A abordagem de atualizao de segurana da organizao abrangendo vrias informaes j deve ter abordado a maior parte desta determinao. Porm, ainda til levar essa etapa novamente em considerao antes da implantao.

59

Guia de atualizao de segurana da Microsoft, segunda edio

Considerao sobre a implantao de atualizaes de segurana As alteraes adicionais sero necessrias para dar suporte implantao da atualizao?

Detalhes

Se, por exemplo, a atualizao de segurana for aplicvel somente ao service pack atual e esse service pack no estiver instalado em certos sistemas de produo, pode no ser possvel proteger esses sistemas contra uma determinada vulnerabilidade de segurana. Nesse caso, o impacto e a categoria da solicitao de alterao seriam maiores porque o service pack e a atualizao de software precisariam ser implantadas.

60

Guia de atualizao de segurana da Microsoft, segunda edio

Considerao sobre a implantao de atualizaes de segurana possvel desinstalar a atualizao aps ela ter sido instalada?

Detalhes

Isso ser discutido de forma mais detalhada posteriormente neste guia. Porm, ao avaliar uma atualizao, determine se ela pode ser desinstalada com facilidade caso cause problemas que no sejam identificados durante o teste. A funcionalidade para a desinstalao de atualizaes pode variar do suporte para desinstalao totalmente automatizada e de procedimento de desinstalao manual a nenhuma desinstalao. Se uma atualizao no puder ser desinstalada, a nica opo pode ser restaurar o computador a partir de um backup recente. Independentemente do mtodo de instalao que seja necessrio para uma atualizao, os profissionais de TI devem assegurar que haja um plano de reverso definido no caso da implantao no corresponder ao que foi obtido no ambiente de teste. Os profissionais de TI tambm podem querer verificar se h backups recentes de todos os computadores que sero atualizados e se esses sistemas podero ser restaurados se a atualizao no for removida com xito. pouco provvel que uma atualizao provoque falhas nos sistemas a ponto de precisarem ser completamente restaurados a partir de um backup, mas uma circunstncia para a qual os profissionais de TI devem estar preparados. A Microsoft fornece informaes sobre a remoo de atualizaes de segurana em cada boletim de segurana. V para a seo Implantao de atualizao de segurana do boletim de segurana e analise a linha Informaes de remoo na tabela relacionada ao software em questo. Consulte www.microsoft.com/technet/security/current.aspx.

61

Guia de atualizao de segurana da Microsoft, segunda edio

Considerao sobre a implantao de atualizaes de segurana Qual ser o impacto no sistema ou na disponibilidade de servio?

Detalhes

Certos servios precisaro ser interrompidos, pausados ou fechados durante a instalao da atualizao? O sistema precisar ser reinicializado aps a atualizao? Caso positivo, isso pode afetar os servios crticos de uma organizao ou impedir que um usurio trabalhe no computador durante a instalao da atualizao.

Tambm importante que os profissionais de TI definam claramente os detalhes tcnicos da vulnerabilidade. Especificamente, o profissionais de TI precisam esclarecer quais sistemas operacionais, funes, recursos, servios e aplicativos do servidor sero afetados. Assim, a equipe de gerenciamento de sistema pode usar essas informaes para determinar o plano de implantao exato para toda a organizao. Aps terem considerado com xito todas essas etapas, os profissionais de TI devem estar em posio de determinar se a verso da atualizao precisa ser implantada. Caso precise, eles devem estar aptos a decidir se seguem a linha do tempo de atualizao padro para todos os sistemas ou se a situao suficientemente urgente para requerer uma linha do tempo acelerada (consulte Etapa 4: , comeando na pgina 69, para obter detalhes). A fase de implantao pode levar algum tempo, portanto, recomendamos que os profissionais de TI levem em considerao as opes para uma atenuao a curto prazo, que so discutidas na prxima etapa da estrutura de gerenciamento de risco do cliente.

Etapa 3: avaliao de atenuao


Esta seo aborda:
As atenuaes e solues alternativas como uma defesa adequada a curto prazo. O Microsoft Active Protections Program (MAPP), que fornece defesas aprimoradas ao implantar as atualizaes de segurana.

No final desta seo, os profissionais de TI devero:


Compreender as diferenas entre uma atenuao e uma soluo alternativa: Para fins deste guia, uma atenuao uma etapa que executada

62

Guia de atualizao de segurana da Microsoft, segunda edio

ao nvel de rede ou de sistema para diminuir o risco que resulta de uma vulnerabilidade. Uma soluo alternativa uma modificao no comportamento ao nvel de usurio. Os boletins e os alertas de segurana da Microsoft referem-se s atenuaes como uma configurao, configurao comum ou prtica recomendada geral, que existe em um estado padro, que pode reduzir a severidade de explorao de uma vulnerabilidade. Os boletins e os alertas de segurana da Microsoft referem-se s solues alternativas como uma alterao de definio ou de configurao que no corrige a vulnerabilidade subjacente, mas ajuda a bloquear os vetores de ataques conhecidos antes da aplicao da atualizao.

Localizar os recursos da Microsoft que ajudam a determinar se implementa uma atenuao a curto prazo. Compreender que as atenuaes e as solues alternativas so defesas a curto prazo e que elas nunca se destinaram a substituir a implantao de atualizaes de segurana. Verifique a pgina de parceiro do MAPP para determinar se um membro do MAPP forneceu uma proteo atualizada durante a implantao das atualizaes de segurana da Microsoft. Lembre-se de que eles podem precisar remover a atenuao a curto prazo aps a implantao da atualizao de segurana da Microsoft.

Recursos da Microsoft referenciados nesta seo:


Boletins de segurana da Microsoft (atenuaes e solues alternativas). Pesquise os boletins de segurana para obter informaes sobre atenuaes e solues alternativas em www.microsoft.com/technet/security/current.aspx. As informaes sobre atenuao e soluo alternativa esto contidas na seo Informaes de vulnerabilidade em cada boletim de segurana. Alertas de segurana da Microsoft. Pesquise os alertas de segurana para obter informaes sobre atenuaes e solues alternativas em www.microsoft.com/technet/security/advisory/default.mspx. Pgina do parceiro do Microsoft Active Protections Program (MAPP). Determine se as protees ativas esto disponveis nos fornecedores de softwares de segurana em www.microsoft.com/security/msrc/collaboration/mapppartners.aspx. O blog do Microsoft Security Research & Defense. Esse blog s vezes contm outras informaes sobre atenuaes e solues alternativas. Consulte blogs.technet.com/srd/.

63

Guia de atualizao de segurana da Microsoft, segunda edio

Um controle de segurana a curto prazo vivel


Implementao de uma defesa a curto prazo. Aps os profissionais de TI terem recebido as notificaes de segurana da Microsoft e durante a execuo da anlise de risco, muitas opes para a implementao de uma defesa podem ajudar a impedir contra-ataques. Dependendo da classificao e da urgncia do risco, algumas organizaes podem implementar a atualizao de segurana nos sistemas afetados atravs de um processo de atualizao urgente (isso ser discutido posteriormente neste guia). Porm, em muitos casos, possvel implementar solues a curto prazo viveis. Isso d aos profissionais de TI mais tempo para executar anlises de risco detalhadas e implantar a atualizao de segurana atravs de um processo de atualizao padro. Por exemplo, se uma vulnerabilidade for encontrada em um servio que utiliza um determinado nmero de porta, que no seja importante para o funcionamento dos sistemas da organizao, pode ser fcil instigar uma alterao nas polticas de firewall dos sistemas para o curto prazo. Essa atenuao pode oferecer uma soluo que proteger os profissionais de TI no curto prazo e propiciar-lhes mais tempo para executar uma anlise de risco mais completa antes de implantarem totalmente a atualizao de segurana. Em outros casos, como em um alerta de segurana da Microsoft, uma atualizao de segurana nem sempre est disponvel. Portanto, uma defesa a curto prazo adequada seguir a ao da soluo alternativa sugerida no alerta de segurana da Microsoft. A Microsoft fornece atenuaes e solues alternativas. Como parte do processo de investigao dos relatrios de vulnerabilidade, a Microsoft identifica as atenuaes e as solues alternativas que ajudam a proteger contra tentativas de explorao de vulnerabilidades que a atualizao de segurana trata. Quando a Microsoft identifica atenuaes e solues alternativas viveis para uma vulnerabilidade especfica, essas informaes so disponibilizadas na seo Detalhes da vulnerabilidade do boletim de segurana. Se a Microsoft no puder identificar uma atenuao ou soluo alternativa vivel, isso ser mencionado. Semelhantemente, as informaes sobre a soluo alternativa esto contidas na seo Ao sugerida do alerta de segurana. Uma atenuao ou um fator de atenuao uma definio padro, configurao comum ou prtica recomendada geral que pode reduzir a severidade da explorao de uma vulnerabilidade, geralmente sem requerer uma ao adicional. Por exemplo, para uma vulnerabilidade que s possa ser explorada se uma obscura porta TCP estiver aberta para a Internet, seguir as prticas recomendadas normalmente aceitas para firewalls de empresas seria um fator de atenuao, porque os firewalls normalmente fecham essas portas por padro. Embora uma atenuao no elimine ou trate uma vulnerabilidade, ela introduz barreiras explorao bem sucedida. Quanto mais atenuaes um cliente for capaz de tirar proveito, mais obstculos um invasor ter de superar para usar a vulnerabilidade com xito em um ataque. Uma soluo alternativa se refere a uma alterao de definio ou de configurao que seja implementada para bloquear vetores de ataque conhecidos

64

Guia de atualizao de segurana da Microsoft, segunda edio

antes que a atualizao de segurana associada seja aplicada. O mesmo fator ou definio pode ser um fator de atenuao para um cliente e requerer uma soluo alternativa para outro. Por exemplo, se a porta TCP mencionada no pargrafo anterior estiver aberta, o seu fechamento seria uma soluo alternativa. As solues alternativas podem no ser viveis para todo o mundo. Elas devem ser ponderadas e avaliadas em relao s funcionalidades e s consideraes operacionais que possam ser identificadas como no relevantes ou necessrias em um determinado ambiente informatizado. Alm de oferecer aos clientes informaes adicionais que podem ser usadas para avaliar o risco e priorizar a implantao da atualizao, as atenuaes e as solues alternativas tambm permitem que os clientes explorem alternativas temporrias para a implantao das atualizaes de segurana ou para fornecer proteo adicional enquanto o processo de atualizao e de implantao estiver em andamento. Quando mais atualizaes e solues alternativas os clientes tiverem disposio, mais opes e informaes eles podero aproveitar para atenuar o risco global. Em muitos casos, a Microsoft fornece uma soluo Fix-it automatizada que implementa automaticamente a atenuao ou a soluo alternativa. Essas Fix-its podem ser implantveis atravs de mecanismos como Diretiva de Grupo, permitindo que os administradores implantem as atenuaes de forma ampla em toda a empresa. Para obter mais informaes sobre os Fix-its, consulte support.microsoft.com/fixit. As atenuaes e as solues alternativas nunca substituem as atualizaes de segurana. O objetivo em fornecer informaes sobre atenuaes e solues alternativas para vulnerabilidades especficas nos boletins de segurana oferecer aos profissionais de TI uma opo para que possa ser usada para proteger o ambiente imediatamente; isto , enquanto a atualizao de segurana estiver passando pelos testes apropriados antes de ser amplamente implantada. Da mesma forma que as informaes sobre atenuaes nunca se destinam a justificar a no aplicao das atualizaes de segurana, as informaes sobre solues alternativas so fornecidas como uma medida temporria at que as atualizaes de segurana relevantes sejam aplicadas. Portanto, as atenuaes devem ser vistas como estando estritamente ligadas avaliao de risco e aos processos e procedimentos de implantao.

65

Guia de atualizao de segurana da Microsoft, segunda edio

Os profissionais de TI devem cogitar a imediata implementao de atenuaes e solues alternativas para problemas identificados como de alto risco para o ambiente de forma que possam oferecer uma melhor proteo enquanto as atualizaes de segurana so aplicadas. Os problemas para os quais nenhuma atenuao ou soluo alternativa esteja disponvel, podem merecer uma priorizao maior para a implantao. A Figura 21 mostra um resumo das etapas que podem ser usadas para avaliar e implantar uma atenuao (ou soluo alternativa) a curto prazo em uma organizao.
Figura 21. Etapa de avaliao de atenuao

A etapa de avaliao de atenuao s tem uma considerao, que se possvel implementar uma atenuao a curto prazo eficiente mais rpido do que possvel implementar a atualizao de segurana. Caso haja uma atenuao a curto prazo que possa ser utilizada, isso dever ser documentado e implementado o mais rpido possvel. Para ajudar na determinao da possibilidade de usar uma atenuao, os profissionais de TI podem usar vrios recursos que esto documentados na Figura 22.

66

Guia de atualizao de segurana da Microsoft, segunda edio

Figura 22. Recursos de avaliao de atenuao

Recursos de avaliao de atenuao Revise o boletim ou alerta de segurana para determinar se h alguma atenuao ou soluo em sua organizao que possa aliviar o risco de curto prazo.

Detalhes

Em boletins de segurana, detalhes de atenuao e solues so fornecidos para cada vulnerabilidade especfica na seo Informaes sobre vulnerabilidade do boletim. Os profissionais de TI devem fazer referncia a duas reas em particular: Os fatores de atenuao referem-se a uma definio, configurao comum ou prtica recomendada geral, que existe em um estado padro e poderia reduzir a severidade da explorao de uma vulnerabilidade. Solues se referem a uma alterao de definio ou configurao que no corrige a vulnerabilidade subjacente, mas ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualizao. A Microsoft testou as solues listadas e tipicamente declara na discusso se uma soluo reduz a funcionalidade. Em alertas de segurana, a maioria contm uma seo Aes sugeridas, que, por sua vez, contm uma seo chamada Solues. Novamente, essas so solues que a Microsoft testou. Embora essas solues no corrijam a vulnerabilidade subjacente, elas ajudaro a bloquear vetores de ataque conhecidos. Quando uma soluo reduz a funcionalidade, ela identificada nessa seo.

67

Guia de atualizao de segurana da Microsoft, segunda edio

Recursos de avaliao de atenuao Determine se h protees de segurana de software ativas que possam ser usadas para ajudar a reduzir a vulnerabilidade.

Detalhes

Microsoft Active Protections Program (MAPP) um programa de fornecedores de software de segurana. Os membros do MAPP recebem informaes de vulnerabilidade previamente para que possam fornecer protees atualizadas a profissionais de TI por meio de software e dispositivos de segurana, como software antivrus, sistemas de deteco de invaso com base na rede ou sistemas de preveno de invaso com base no host. No recebimento do resumo do boletim de segurana da Microsoft, ou quando estiverem realizando a anlise de risco, os profissionais de TI so incentivados a verificar a pgina de parceiro MAPP quanto a protees ativas atualizadas no endereo www.microsoft.com/security/msrc/mapp/partners.mspx. O programa MAPP inclui muitas organizaes globais cujos negcios englobam vrios segmentos de segurana (por exemplo, deteco de invaso, preveno de invaso, software antivrus, etc.). A pgina de parceiro MAPP inclui links para as protees ativas que devem ser aplicadas durante o processo de gerenciamento de risco. O resultado para profissionais de TI e organizaes so protees avanadas enquanto implantam atualizaes de segurana da Microsoft. Para obter mais informaes sobre protees de segurana de segurana de software, consulte www.microsoft.com/security/msrc/collaboration/mappfaq.aspx ou o Apndice.

Verifique o blog Microsoft Security Research & Defense para determinar se alguma informao adicional est disponvel para ajudar a reduzir a vulnerabilidade.

Conforme mencionado acima na seo Estgio 2: Avaliar risco deste guia, o blog Security Research & Defense contm informaes tcnicas especficas sobre atenuaes e solues adicionais que no esto contidas em boletins ou alertas de segurana. Esse blog est disponvel no endereo blogs.technet.com/srd/. Embora o blog MSRC seja um recurso de segurana da Microsoft valioso, ele no se concentra em fornecer aos profissionais de TI atenuaes ou solues. Em contaste, os blogueiros no blog Security Research & Defense so indivduos da Microsoft que realizam anlises tcnicas aprofundadas de relatrios de vulnerabilidade. Esses indivduos investigam e realizam pesquisas sobre novas vulnerabilidades e fornecem orientao tcnica para boletins de segurana, incluindo informaes sobre atenuaes e solues que so mencionados nos boletins. Eles tambm garantem que as atualizaes so eficazes na eliminao de vulnerabilidades de software.

Alto risco, mas nenhuma atenuao. Se a atualizao de segurana for

68

Guia de atualizao de segurana da Microsoft, segunda edio

determinada como alto risco, mas nenhuma atenuao eficaz for encontrada, a melhor medida ser iniciar uma atualizao urgente para todos os sistemas afetados na organizao. Remova a atenuao ou soluo de curto prazo. Quando a atenuao de curto prazo est completamente em vigor, os profissionais de TI podem usar o processo de atualizao padro para implantar a atualizao. Quando a implantao foi confirmada como parte do processo de monitoramento, a atenuao de curto prazo pode ser removida se for desejvel para ajudar a restaurar as operaes normais da organizao (a menos, claro, que essa seja uma proteo ativa do MAPP).

Etapa 4: implantar atualizaes


Esta seo aborda:
O guia Implantao do Microsoft Windows Server Update Services. Uso da linha de tempo da implantao de atualizao de segurana com prioridade padro e atualizaes de alta prioridade. As seis etapas para implantao como atualizao de segurana: 1. 2. 3. 4. 5. 6. Planeje a implantao. Determine se a atualizao de segurana est disponvel para download. Obtenha os arquivos de atualizaes necessrios. Crie o pacote de atualizao. Teste o pacote. Implante o pacote para sistemas que necessitam dele.

No final desta seo, os profissionais de TI devero:


Ler o guia Implantao do Microsoft Windows Server Update Services para compreender as opes para configurao de WSUS para a topologia de rede da organizao. Isso muito importante. Entender as seis etapas e os vrios recursos para implantao de uma atualizao de segurana. Entender as consideraes para equilibrar a necessidade de implantar uma atualizao de segurana rapidamente com a conduo de testes mais completos. Entender onde e como obter os arquivos de atualizao de segurana. Entender a necessidade de realizar um nvel mnimo de testes para mostrar que: Quando a instalao for concluda, o computador ser reiniciado conforme planejado. A atualizao de segurana, se ela for direcionada a computadores

69

Guia de atualizao de segurana da Microsoft, segunda edio

ligados por conexes de rede lentas ou no confiveis, pode ser baixada por esses links. Quando o download for concludo, a atualizao de segurana deve ser instalada com xito. A atualizao de segurana fornecida com uma rotina de desinstalao, que pode ser usada para remover com xito a atualizao, se necessrio. Sistemas e servios crticos para os negcios continuam sendo executados depois que a instalao de segurana foi instalada.

Recursos da Microsoft referenciados nesta seo:


Windows Server Update Services (WSUS) e atualizaes. Essa pgina ajuda a explicar como o WSUS armazena e gerencia atualizaes da Microsoft. Consulte technet.microsoft.com/updatemanagement/bb245780.aspx. Windows Update Update Services (WSUS). Consulte technet.microsoft.com/ /windowsserver/bb332157.aspx. O guia Implantao do Microsoft Windows Server Update Services. Consulte go.microsoft.com/fwlink/?LinkId=161140. A API (interface de programao de aplicativo) do WUA (Windows Update Agent). Consulte Searching, Downloading, and Installing Updates e Searching, Downloading, and Installing Specific Updates (em ingls) no site da MSDN para obter scripts que podem ser usados para personalizar adicionalmente a atualizao de segurana. Crie e altere janelas, planeje fluxos de trabalho de atualizao complexos em farms de servidores ou atualize automaticamente mquinas recmconfiguradas: API do WUA. Consulte msdn.microsoft.com/library/aa387099(VS.85).aspx. Searching, Downloading, and Installing Updates. Consulte msdn.microsoft.com/library/aa387102(VS.85).aspx. Searching, Downloading, and Installing Specific Updates. Consulte msdn.microsoft.com/library/aa387101(VS.85).aspx.

Publicao local. A API do WSUS permite que profissionais de TI criem e publiquem atualizaes, aplicativos e drivers de dispositivos personalizados para suas organizaes por meio de um processo chamado publicao local. A publicao local mais bem realizada por organizaes que tenham recursos de desenvolvimento e testes dedicados, porque planejamento, implementao, testes e implantao de atualizaes personalizadas so processos complexos e demorados. Observao: As APIs do WSUS so muito complexas para serem usadas por qualquer pessoa que no seja desenvolvedor profissional. Alm disso, importante compreender que o WSUS no d suporte a atualizaes que no sejam da Microsoft e para essa necessidade, a

70

Guia de atualizao de segurana da Microsoft, segunda edio

Microsoft recomenda que profissionais de TI usem o Microsoft System Center Configuration Manager ou tenham desenvolvedores profissionais atualizados com as APIs pblicas do WSUS. O processo de publicao local dividido em sete etapas separadas na seguinte pgina da Web: msdn.microsoft.com/library/bb902470(VS.85).aspx.

Microsoft Download Center. Consulte www.microsoft.com/download/. Servio Catlogo Microsoft Update. Consulte catalog.update.microsoft.com/v7/site/Home.aspx. Microsoft Baseline Security Analyzer (MBSA)9. Essa ferramenta ajuda empresas pequenas e mdias a determinar o estado da segurana, de acordo com as recomendaes de segurana da Microsoft, e oferece orientaes especficas de correo. Use MBSA para detectar vulnerabilidades administrativas comuns e atualizaes de segurana ausentes em sistemas de computador. O MBSA no executa a instalao de atualizaes. Ele apenas varre em busca de atualizaes e tem a capacidade de configurar o computador para usar o Microsoft Update para gerenciamento de atualizaes. Consulte technet.microsoft.com/security/cc184924.aspx. Microsoft System Center Configuration Manager. Outra soluo da Microsoft que oferece recursos adicionais que o MBSA, WSUS e outros no fornecem. Consulte www.microsoft.com/systemcenter/configurationmanager/. Suporte e Atendimento ao Cliente Microsoft. Entre em contato com o Suporte e Atendimento ao Cliente Microsoft por meio dos contatos de suporte Microsoft existente na organizao ou ligando para (1) (866) PCSAFETY [(1) (866) 727-2338 nos Estados Unidos e no Canad.] Internacionalmente, os profissionais de TI devero entrar em contato com a subsidiria local da Microsoft. Consulte support.microsoft.com/common/international.aspx.

O MBSA foi localizado para quatro idiomas: ingls, alemo, francs e japons, mas a deteco subjacente varre, precisamente, computadores de destino em qualquer idioma a que o Microsoft Update e o WSUS ofeream suporte.

71

Guia de atualizao de segurana da Microsoft, segunda edio

O guia Implantado o Microsoft Windows Server Update Services


A primeira etapa nesta etapa ler e compreender completamente o guia Implantando o Microsoft Windows Server Update Services. Esse guia descreve como implantar o WSUS e inclui uma descrio abrangente de como o WSUS funciona. Ele tambm inclui descries da escalabilidade do WUS e recursos de gerenciamento de largura de banda. Alm disso, esse guia oferece aos profissionais de TI procedimentos passo a passo para instalar e configurar o servidor WSUS. As sees contm como atualizar e configurar as Atualizaes Automticas em estaes de trabalho cliente e servidores que o WSUS atualizar. Para obter mais informaes, consulte technet.microsoft.com/library/cc720507(WS.10).aspx.

Implantaes padro e urgentes


Como esse guia discutiu anteriormente, uma organizao geralmente pode seguir um ou mais processos de implantao, dependendo da infraestrutura da instalao e da urgncia da atualizao. Para vulnerabilidades de baixo risco, os profissionais de TI podem seguir a linha de tempo de atualizao padro documentada neste guia para garantir que a atualizao seja implantada de uma maneira que minimize o custo e a interrupo da organizao. Para vulnerabilidades que representam um risco particularmente alto para a organizao, os profissionais de TI devem considerar o uso de uma verso abreviada dessa linha de tempo que se concentre em uma implantao rpida acima de outras consideraes. Fases dessa etapa. As etapas e a durao das linhas de tempo mencionadas dependem da equipe e dos SLAs (contrato de nvel de servio) de vrias classes de sistemas e dos processos de implantao que so usados. Porm, as trs fases bsicas desses processos de implantao geralmente permanecem as mesmas: Criao. O processo que necessrio para obter os binrios de atualizao de segurana e empacot-los para que fiquem prontos para implantao nos computadores de destino da organizao. Teste. O processo de testar o impacto do pacote de atualizao de segurana em sistemas de teste que emulam o intervalo de servidor ou sistemas clientes na organizao. Implantao. O processo de instalar pacotes de atualizao de segurana nos sistemas de computador necessrios. Essa etapa tambm deve incluir uma fase de relatrios ou monitoramento para garantir que o status dos sistemas podem ser controlados medida que a implantao distribuda.

Processo de aplicativos de pacote padro


Linha de tempo do processo de ponta a ponta mxima de um ms. O objetivo do processo de aplicativo de pacote padro fornecer a atualizao de segurana

72

Guia de atualizao de segurana da Microsoft, segunda edio

em um ambiente de produo de uma forma que minimize interrupes para usurios e servios da organizao. Ao mesmo tempo, ele deve garantir que as atualizaes de segurana de prioridade mais baixa so implantadas antes de a prxima rodada de atualizaes de segurana ser publicada. Isso geralmente define uma linha de tempo de processo de ponta a ponta mximo de um ms (a durao tpica do ciclo de lanamento de atualizao de segurana padro da Microsoft). Figura 23 mostra um resumo das etapas envolvidas na Linha de Tempo de Atualizao Padro.
Figura 23. Linha do tempo de atualizao padro

Seis etapas para implantar uma atualizao. Os profissionais de TI devem tomar seis medidas ao planejar a implantao de uma nova atualizao de segurana: 1. Planeje a implantao. 2. Determine se a atualizao de segurana est disponvel para download. 3. Obtenha os arquivos de atualizaes necessrios. 4. Crie o pacote de atualizao. 5. Teste o pacote. 6. Implante o pacote para sistemas que necessitam dele.

73

Guia de atualizao de segurana da Microsoft, segunda edio

Planejando a implantao
A implantao o processo de implementao da proteo fornecida pela atualizao de segurana. A implantao o objetivo final do processo; portanto, entender os mtodos de implantao que esto disponveis e contabiliz-los em suas avaliaes to importante quanto a avaliao de risco de segurana. Nessa etapa, os profissionais de TI devem compreender os mtodos de implantao possveis e, assim, criar um plano para implantao das atualizaes de segurana. importante compreender como os mtodos de implantao possveis podem impactar uma programao e fazer quaisquer alteraes necessrias. Por exemplo, se o WSUS no der suporte a uma atualizao de segurana, e esse for um mtodo de implantao principal, pode ser determinado que ele levar dois dias a mais para implantar a atualizao do que originalmente planejado. Por outro lado, os profissionais de TI podem decidir implementar solues para fornecer as protees necessrias durante essa janela de implantao. Verifique o boletim de segurana. Informaes adicionais sobre os mtodos de implantao esto contidas no boletim de segurana na seo: Informaes de Segurana Ferramentas e Orientao de Deteco e Implantao. Durante essa etapa, til usar o recurso de relatrios incorporado no WSUS para verificar se os sistemas exigem alguma atualizao de segurana. Planeje a implantao em paralelo com as outras etapas. Durante a etapa de implantao do planejamento, algumas progresses so intricadamente relacionadas e no necessariamente lineares. Em algumas organizaes, as etapas ocorrem simultaneamente, enquanto em outras, elas so sequenciais. Os profissionais de TI devem decidir sobre a implementao dessas etapas com base nas polticas, necessidades e recursos de suas organizaes. A coisa mais importante para essas etapas no a estrutura e a ordem especficas, mas que essas etapas diferentes podem informar e responder uma outra. A chave para qualquer implementao permanecer flexvel e adaptvel, e determinar um plano de implantao atingvel (um exemplo mostrado em Figura 24 abaixo) que leva em considerao os requisitos das atualizaes e as limitaes da infraestrutura de TI. Usando as informaes que foram fornecidas na etapa de avaliao de risco, a equipe de implantao precisa determinar rapidamente qual sistema precisa ser atualizado e em que ordem. Implantao rpida versus teste completo. Os profissionais de TI podem tem um entendimento claro de quais atualizaes precisam ser realizadas rapidamente e quais podem ficar sujeitas a um processo de teste mais completo ou a distino pode ser menos clara. Os profissionais de TI precisam determinar exatamente quantos sistemas so afetados pelas atualizaes de segurana e definir uma linha de tempo para as atualizaes que atenda aos SLAs de organizao para cada sistema. recomendado que as organizaes tenham uma poltica que ajude a tratar esse problema. Para enfrentar esse desafio, os profissionais de TI devem realizar as atualizaes

74

Guia de atualizao de segurana da Microsoft, segunda edio

de segurana com base na poltica da organizao referente necessidade de obter as atualizaes de segurana implantadas rapidamente com relao necessidade de test-las no ambiente, o que discutido adiante neste guia. Algumas organizaes dividem sistemas em grupos de destino baseados em como os profissionais de TI desejam implantar as atualizaes de segurana. Muitas organizaes usam grupos separados para computadores desktop e servidores. Muitos tambm criam um grupo de mquinas de teste para realizar testes de implantao iniciais de novas atualizaes de segurana. Em WSUS, a estrutura de agrupamento bastante flexvel, uma vez que os computadores podem pertencer a vrios grupos, como desktop e teste. Isso conclui a etapa de planejamento. A esta altura, os profissionais de TI devem ter uma agenda que reflete todos os elementos de avaliaes e planejamento referente ao risco de segurana, incluindo a classificao de risco das atualizaes de segurana, atenuaes e solues, bem como testes e implantao.

Exemplo: Planejando a implantao da atualizao de segurana


O planejamento da implantao pode ser um processo complexo porque o escopo da atualizao pode variar de um nico sistema a cada sistema da organizao. Os profissionais de TI provavelmente no tero um sistema de atualizao que possa tratar uma atualizao simultnea de todos os sistemas da organizao; portanto, a equipe de implantao precisa determinar quantos sistemas podem ter suporte e em que horrios. Por exemplo, se uma organizao tem um sistema de atualizao que pode suportar 500 sistemas de cada vez e uma atualizao de alto risco designado exigido para 5.000 sistemas, a organizao ter que espaar a implantao para evitar a sobrecarga dos servidores de atualizao. A maioria das organizaes deve ter prioridades identificadas para sistemas na organizao. Tipicamente, h pelo menos dois nveis de prioridade; s vezes, eles so chamados de sistemas Padro, Geral ou de Alto valor (HV). Essas prioridades so aplicadas ao servidor e a computadores cliente, oferecendo um total de quatro categorias de sistema. Voc pode em seguida usar essas definies para ajudar a programar a implantao selecionando sistemas de um ou mais desses agrupamentos at o limite do sistema de implantao. Em nosso exemplo, a equipe de implantao determinou que os sistemas devem ser categorizados conforme mostrados em Figura 24.

75

Guia de atualizao de segurana da Microsoft, segunda edio

Figura 24. Exemplo de um plano de implantao de atualizao de segurana

Categoria de sistema

Sistemas totais

Total em risco

Descrio Os computadores servidores que fornecem organizao servios crticos incluindo produo ou sistemas de arrecadao de receita. Computadores servidores que fornecem servios de infraestrutura e funes de suporte. Embora esses dispositivos sejam importantes, eles no contribuem diretamente para os fluxos de receita da organizao. Sistemas usados para funes na organizao que so determinados para ter uma importncia aumentada para a organizao. Isso pode se dever ao papel do usurio do computador ou ao sigilo dos dados e aplicativos armazenados nos sistemas. Sistemas que fornecem vrios servios organizao, mas no armazenam informaes sigilosas.

Servidores HV

50

20

Servidores gerais

200

180

2.000 Clientes HV (1.500 remotos*)

1.000 (800 remotos*)

4.500 Clientes gerais (2.000 remotos*)

1.400 (600 remotos*)

*Nesse contexto, remoto se refere aos computadores portteis remotos.

Em Figura 24, observe que os sistemas clientes so tambm identificados pelo nmero de computadores portteis remotos includos. Essas informaes podem ser importantes para algumas vulnerabilidades porque os sistemas remotos pode ser expostos a ataques fora das protees (e possveis atenuaes) da extremidade da rede da organizao (por exemplo, um firewall de rede). Em casos como esse, pode ser necessrio para o plano de implantao priorizar os clientes gerais remotos acima dos sistemas fixos, se essa exposio adicional aumentar significativamente o risco de ataque.

76

Guia de atualizao de segurana da Microsoft, segunda edio

Usando essas informaes, possvel criar um plano de implantao de exemplo que leva em considerao os recursos do mundo real da infraestrutura de implantao. Nessa organizao de exemplo, o SLA para uma atualizao urgente em todos os sistemas que a atualizao fornecida dentro de 24 horas, conforme mostrado em Figura 25.
Figura 25. Fases de implantao

Fase

Tempo

Categorias de sistema

Total

Descrio 20 servidores HV

08:0012:00

Servidores HV, servidores gerais e clientes HV (primeira fase) Clientes HV Clientes HV e clientes gerais (primeira fase)

500

180 servidores gerais 300 clientes remotos HV

2 3

12:0016:00 16:0020:00

500 500

500 clientes remotos HV 200 clientes HV restantes 300 clientes remotos gerais 300 clientes remotos gerais

4 5 6

20:0000:00 00:0004:00 04:0008:00

Clientes gerais Clientes gerais Clientes gerais

500 200 clientes gerais restantes 500 100 500 clientes gerais 100 clientes gerais

Neste exemplo, o processo de implantao est em execuo muito prximo do seu mximo para esse nmero de sistemas com suporte. Se 500 sistemas adicionais precisaram de atualizaes de segurana, a organizao no seria capaz de atender ao SLA urgente para todos esses sistemas. Como parte do processo de gerenciamento de sistemas contnuo, importante que a equipe de implantao avalie os recursos de atualizao mximos de seu sistema de implantao e garanta que, na pior das hipteses, os SLAs da organizao sero atendidos para cada categoria de sistema.

77

Guia de atualizao de segurana da Microsoft, segunda edio

H uma atualizao de segurana disponvel para download?


A prxima etapa na Linha de tempo de atualizao padro obter os arquivos de atualizao de segurana necessrios. Para a maioria dos ciclos de lanamento de atualizao de segurana mensais da Microsoft, os arquivos de atualizao de segurana esto disponveis no mesmo tempo do lanamento do resumo do boletim de segurana. Em algumas situaes, os arquivos de atualizao de segurana levam um breve perodo de tempo para se propagar pelos servios da Microsoft. Se os profissionais de TI no conseguirem acessar a atualizao de segurana da Microsoft depois que ela for lanada, eles devem entrar em contato com o Suporte e Atendimento ao Cliente Microsoft, por meio dos contatos de suporte da Microsoft existentes da organizao ou ligando para (1) (866) PCSAFETY [(1) (866) 727-2338 nos Estados Unidos e no Canad.] Internacionalmente, os profissionais de TI devero entrar em contato com a subsidiria local da Microsoft. Consulte support.microsoft.com/common/international.aspx. No caso de alertas de segurana, uma atualizao de segurana s includa se o alerta exigir. Portanto, os profissionais de TI devem fazer referncia ao prprio alerta para determinar se h uma atualizao de segurana anexa que precisar ser baixada e implantada. Se no houver um arquivo anexo para o alerta, na concluso da investigao aplicvel, a Microsoft aconselha as aes apropriadas que os profissionais de TI devem tomar para proteger os sistemas de computadores da organizao.

Obtendo os arquivos de atualizao de segurana necessrios de uma fonte confivel


No importa quando os arquivos foram lanados, os profissionais de TI podem obter os arquivos de atualizao de segurana de vrias fontes, entre elas: Boletim de segurana da Microsoft. Ferramentas de implantao da Microsoft, como Microsoft Update, Windows Update, WSUS ou System Center Configuration Manager. Observao: Frequentemente, os profissionais de TI usam as ferramentas de deteco e implantao da Microsoft para obter atualizaes de segurana e, apesar disso, no conseguem encontrar as atualizaes de segurana. possvel que um novo software tenha sido adicionado recentemente e a ferramenta respectiva no tenha sido atualizada para refletir o novo software. O Microsoft Download Center. Consulte www.microsoft.com/download/. O servio Catlogo Microsoft Update. Consulte catalog.update.microsoft.com. Para essa seo, o guia usar o servio Catlogo do Microsoft Update. Esse um servio da Microsoft que fornece uma listagem de atualizaes que pode ser

78

Guia de atualizao de segurana da Microsoft, segunda edio

distribuda por uma rede corporativa. O Microsoft Update d suporte a atualizaes como MSIs (MSPs ou MSUs includos), executveis update.exe e outros formatos de arquivo. A maioria das atualizaes de segurana incorporada em um arquivo .cab. Os profissionais de TI tambm usam o servio Catlogo do Microsoft Update como um local nico para encontrar atualizaes de software, drivers e correes da Microsoft. Para baixar atualizaes usando o servio Catlogo do Microsoft Update, siga estas etapas: Etapa 1: Acesse o servio Catlogo do Microsoft Update em catalog.update.microsoft.com. Para visualizar uma lista de perguntas frequentes sobre o Catlogo do Microsoft Update, consulte catalog.update.microsoft.com/v7/site/Faq.aspx. Etapa 2: Pesquise atualizaes no Catlogo do Microsoft Update: Na caixa Pesquisar, digite seus termos de pesquisa. Por exemplo, voc pode digitar Segurana do Windows 7 Clique em Pesquisar ou pressione Enter. Navegue na lista exibida para selecionar as atualizaes para baixar. Clique em Adicionar para cada seleo para adicion-la cesta de downloads. Para pesquisar atualizaes adicionais para baixar, repita as etapas acima. Etapa 3: Baixar atualizaes do Catlogo do Microsoft Update: Na caixa Pesquisar, clique em exibir cesta para exibir a cesta de download. Verifique sua lista de atualizaes e clique em Download. Observao: Se for solicitado, revise o contrato de licena e clique em Aceitar para aceitar. Na janela Opes de Download, na caixa Pasta, selecione o local onde deseja salvar as atualizaes. Digite o caminho completo da pasta ou clique em Procurar para localizar a pasta. Clique em Continuar para iniciar o download. Quando o download for concludo, clique em Fechar para fechar a janela Resultados de Download. Feche a janela do Catlogo do Microsoft Update. Localize o local da pasta que foi especificado anteriormente nesta etapa. Clique duas vezes em cada atualizao e siga as instrues para instalar a atualizao.

79

Guia de atualizao de segurana da Microsoft, segunda edio

Observao: Se as atualizaes se destinarem a outro computador, copie as atualizaes para esse computador e clique duas vezes nas atualizaes para instal-las. Se todos os itens que foram adicionados cesta de download forem instalados com xito, essa etapa estar concluda. Usando esse site, os profissionais de TI podem pesquisar atualizaes e criar uma lista de atualizaes necessrias para cada sistema operacional ao qual precisem dar suporte. Os profissionais de TI podem em seguida baixar os arquivos necessrios e us-los para criar os pacotes de implantao para o processo de implantao.

Criando pacotes de atualizaes


H vrias abordagens a serem escolhidas para criar o pacote de atualizao de sua organizao. Dependendo da infraestrutura de gerenciamento da organizao, do tipo de pacote de atualizao e dos sistemas operacionais e aplicativos que precisam da atualizao, vrios pacotes de atualizao podem precisar ser criados. API do WUA. A API do WUA um conjunto de interfaces do Component Object Model (COM) que permitem que administradores de sistema e programadores acessem o Windows Update e o WSUS. possvel escrever scripts e programas para examinar quais atualizaes esto atualmente disponveis para um computador e depois instalar ou desinstalar atualizaes. Os administradores de sistema podem usar WUA para determinar programaticamente quais atualizaes sero aplicadas a um computador, baixar essas atualizaes e instal-las com pouca ou nenhuma interveno. ISVs e desenvolvedores podem integrar recursos de WUA em gerenciamento de computador ou software de gerenciamento de atualizao para fornecer um ambiente de operao contnuo. Para obter mais informaes sobre como usar o API do WUA, consulte msdn.microsoft.com/library/aa387287(VS.85).aspx. Publicao local. A API do WSUS permite que profissionais de TI criem e publiquem atualizaes, aplicativos e drivers de dispositivos personalizados para suas organizaes por um processo chamado publicao local. A publicao local mais bem realizada por organizaes que tenham recursos de desenvolvimento e testes dedicados, porque planejamento, implementao, testes e implantao de atualizaes personalizadas so processos complexos e demorados.

80

Guia de atualizao de segurana da Microsoft, segunda edio

Observao: A API do WSUS complexa para ser usada por qualquer pessoa que no seja um desenvolvedor profissional e no d suporte a atualizaes que no sejam da Microsoft. Para esse requisito, a Microsoft recomenda que profissionais de TI usem o System Center Configuration Manager ou contratem desenvolvedores profissionais para criar a funcionalidade equivalente com a API pblica do WSUS. Para obter mais informaes sobre publicao local, consulte msdn.microsoft.com/library/bb902470(VS.85).aspx. The local publishing process consists of seven steps: 1. Configure o servidor de atualizao e os clientes para confiar em atualizaes publicadas localmente. 2. Crie o binrio de atualizao (um pacote MSI ou MSP ou um arquivo executvel). 3. Crie o metadados de atualizao, especificando quando e como a atualizao deve ser instalada. 4. Publique a atualizao no servidor de atualizao. 5. Teste a atualizao implantando-a em um conjunto de clientes de teste. 6. Implante a atualizao em todos os clientes. 7. Revise a verso da atualizao. Para obter mais informaes sobre esse processo, consulte os seguintes tpicos: Setting Up the Trust Relationship (em ingls) em msdn.microsoft.com/library/bb902479(VS.85).aspx. Authoring Updates (em ingls) em msdn.microsoft.com/library/bb902477(VS.85).aspx. Publishing Updates (em ingls) em msdn.microsoft.com/library/bb902478(VS.85).aspx. Testing Updates (em ingls) em msdn.microsoft.com/library/bb902483(VS.85).aspx. Revising and Versioning Updates (em ingls) em msdn.microsoft.com/library/bb902492(VS.85).aspx. Scripts de amostra. A Microsoft tambm fornece scripts de amostra de WSUS. Para ver o repositrio de script de amostra do WSUS, consulte www.microsoft.com/technet/scriptcenter/scripts/sus/default.mspx?mfr=true.

81

Guia de atualizao de segurana da Microsoft, segunda edio

Anncios usando o System Center Configuration Manager. Depois que profissionais de TI definiram programas para um pacote e os dados do pacote foram enviados para um ou mais pontos de distribuio, os profissionais de TI que estiverem usando o Configuration Manager para gerenciar o processo de implantao podero criar anncios que tornaro esses programas disponveis aos clientes da coleo especificada. Para obter mais informaes sobre anncios, consulte About Advertisements (em ingls) em technet.microsoft.com/library/bb694110.aspx.

Testando pacotes de atualizaes


Conforme explicado em Como a Microsoft testa as atualizaes de segurana na pgina 18, a Microsoft sujeita as atualizaes de segurana a testes detalhados em condies do mundo real antes de liber-los ao pblico, de forma que atualizaes de segurana que causam interrupo a ambientes de produo normais so incomuns. Entretanto, todo ambiente de TI diferente, por isso profissionais de TI devem executar pacotes de atualizao por meio de alguns testes de aceitao para garantir que os sistemas crticos para os negcios continuaro a ser executados com xito depois que a atualizao de segurana tiver sido implantada. Os administradores, junto com representantes comerciais, devem criar um conjunto de testes que so executados por mais crtica que a atualizao de segurana seja. Os profissionais de TI sempre devem realizar um nvel mnimo de testes para mostrar que: Quando a instalao for concluda, o computador ser reiniciado conforme planejado. A atualizao de segurana, se ela for direcionada a computadores ligados por conexes de rede lentas ou no confiveis, pode ser baixada por esses links. Quando o download for concludo, a atualizao de segurana deve ser instalada com xito. Sistemas e servios crticos para os negcios continuam a serem executados depois que a instalao de segurana foi instalada. Antes de implantar a atualizao de segurana na produo, as informaes so coletadas sobre quaisquer etapas de soluo de problemas, procedimentos e ferramentas usadas durante o teste e quaisquer rotinas de desinstalao que possam ser usadas para remover com xito a atualizao de software, se necessrio. Essas informaes devem ser disponibilizadas equipe de suporte da central de servios e equipe de operaes.

82

Guia de atualizao de segurana da Microsoft, segunda edio

No importa quantos testes sejam realizados, realizar a atualizao de segurana para produo frequentemente produz efeitos que talvez nunca sejam previstos ou replicados em um ambiente de laboratrio. Depois de aplicar uma atualizao ou um grupo de atualizaes a computadores de teste, teste todos os aplicativos e funcionalidades. A quantidade de tempo e as despesas que os profissionais de TI dedicam a testar a atualizao devem ser determinadas pelo dano potencial que uma implantao de atualizao problemtica causaria. Os profissionais de TI podem testar uma atualizao de duas formas: 1. Em um ambiente de teste. 2. Em uma implantao piloto.

Ambiente de teste
Um ambiente de teste pode consistir em um laboratrio de teste e incluir planos que detalham o que deve ser testado e casos para descrever como cada componente testado. As organizaes que tm os recursos para testar atualizaes em um ambiente de teste devem sempre faz-lo porque isso pode reduzir o nmero de problemas que a incompatibilidade da atualizao com aplicativos pode causar. Mesmo que uma organizao no tenha os recursos para testar as atualizaes de segurana, os profissionais de TI devem sempre testar pacotes de servio antes implant-los em computadores de produo. Benefcios de um ambiente de teste. O laboratrio de teste pode consistir em um nico laboratrio ou vrios laboratrios, cada um deles oferece suporte a testes sem apresentar riscos ao ambiente de produo. No ambiente de laboratrio de teste, os membros da equipe de teste podem verificar presunes de design de implantao, descobrir problemas de implantao e aprimorar o entendimento das alteraes que atualizaes especficas implementam. Essas atividades reduzem o risco de erros que ocorrem durante a implantao e permitem que membros da equipe de teste resolvam rapidamente problemas que talvez ocorram quando eles implantam uma atualizao ou depois que eles aplicam uma atualizao. Muitas organizaes dividem sua equipe de teste em dois grupos funcionais: a equipe de design e a equipe de implantao. A equipe de design coleta informaes vitais para o processo de implantao, identifica necessidades de teste imediatas e de longo prazo e prope um design de laboratrio de teste (ou recomenda melhorias para o laboratrio de teste existente). A equipe de implantao conclui o processo implementando as decises da equipe de design e testando novas atualizaes de uma forma contnua.

83

Guia de atualizao de segurana da Microsoft, segunda edio

No incio do ambiente de teste de atualizao, a equipe de implantao testa o processo de implantao de atualizao para validar que o design funcional. Mais tarde, depois que os profissionais de TI identificaram uma atualizao para implantao, a equipe de implantao testa as atualizaes individuais para garantir que todas elas so compatveis com os aplicativos que a organizao usa. Representao igual. Um ambiente de teste de atualizao deve ter computadores que representam cada uma das funes de computador principais na organizao, como computadores desktop, computadores mveis e servidores. Se os computadores para cada funo tm sistemas operacionais diferentes, cada sistema operacional deve estar disponvel em computadores dedicados, em um nico computador com uma configurao de vrios boots, ou em um ambiente de desktop virtual. Depois que a equipe de implantao tiver um conjunto de computadores que representa cada tipo de computador na organizao, ela poder conect-los a uma rede privada. Os profissionais de TI precisam se conectar a verses de teste dos computadores de infraestrutura de atualizao. Por exemplo, se os profissionais de TI planejam implantar atualizaes usando WSUS, conecte um servidor WSUS rede do laboratrio. Os profissionais de TI devem carregar cada aplicativo que usado nos computadores do laboratrio e desenvolver um procedimento para testar a funcionalidade de cada aplicativo. Por exemplo, para testar a funcionalidade do Internet Explorer, os profissionais de TI poderiam visitor o site da Microsoft e um site da intranet. Posteriormente, quando os profissionais de TI estiverem testando atualizaes, eles repetiriam esse teste. Se um dos aplicativos falhar no teste, a atualizao que est sendo testada atualmente pode ter causado um problema. (As sees subsequentes deste guia tm mais informaes sobre as atualizaes de testes.) Se os profissionais de TI estiverem testando um grande nmero de aplicativos, scripts podem ser identificados para automatizar o teste de atualizaes.

84

Guia de atualizao de segurana da Microsoft, segunda edio

Implantao piloto
Alm de testar a implementao de uma atualizao, a conduo de uma implementao piloto fornece uma oportunidade de testar o plano de implantao da organizao e os processos de implantao. Ela ajuda os profissionais de TI a determinar quanto tempo necessrio para instalar a atualizao, e o pessoal e as ferramentas que so necessrios. Ela tambm fornece uma oportunidade de treinar pessoal de suporte e avaliar a reao do usurio ao processo de atualizao. Por exemplo, se uma atualizao determinada leva uma hora para um usurio de internet discada baixar, os profissionais de TI devem considerar a identificao de um mtodo alternativo para fornecer a atualizao para o usurio.

Testar etapas de processo


Depois da implantao piloto, a prxima etapa realizar um conjunto de casos de uso de teste para determinar se a atualizao causou uma alterao em alguma funcionalidade necessria no sistema operacional ou nos aplicativos que o executam. Figura 26 detalha as etapas do processo de teste que os profissionais de TI devem realizar.
Figura 26. Etapas de processo de teste

Etapas de processo de teste Para todas as atualizaes de software afetadas: instalao e desinstalao de atualizao de segurana de teste.

Detalhes Esses testes garantem que possvel implantar e instalar com xito o pacote de atualizao de segurana nos sistemas de destino. Verifique se os pacotes podem ser revertidos se um problema de compatibilidade for encontrado. Esses testes garantem que os servios locais necessrios em um sistema ainda esto disponveis e em funcionamento no nvel correto depois que a atualizao foi aplicada. Esses testes garantem que os servios remotos necessrios que so fornecidos para a rede por meio de um sistema de interface especfico ainda esto disponvel e em funcionamento no nvel necessrio depois que a atualizao foi aplicada.

Para atualizaes de cliente e servidor: teste a funcionalidade de sistema ps-atualizao. Para atualizaes de cliente e servidor: testar interfaces de rede.

85

Guia de atualizao de segurana da Microsoft, segunda edio

Etapas de processo de teste Para outra atualizao de segurana (por exemplo, o sistema Microsoft Office, Internet Explorer, etc.): testar aplicativos de usurio.

Detalhes Em sistemas clientes, importante testar a funcionalidade dos aplicativos de negcios necessrios. Esses casos de teste so usados para exercitar um conjunto de funcionalidades para todos os aplicativos de usurio compatveis. Posteriormente, h dois testes de aplicativo de usurio para o sistema do Microsoft Office system e o Internet Explorer. Os profissionais de TI precisam identificar e desenvolver colees de testes repetveis para cada aplicativo de usurio comercial em sua organizao.

As prximas sees deste guia fornecem alguns casos de teste de usurio de teste que podem ser aplicados para testar a funcionalidade das etapas do processo de teste em Figura 26. Essas etapas so apenas uma linha de base para iniciar o processo de teste. Recomendamos que os profissionais de TI as modifiquem conforme necessrio para atender os requisitos especficos da organizao.
Instalao de atualizao de segurana de teste

Figura 27 descreve algumas etapas sugeridas para testar a instalao e desinstalao das atualizaes de segurana para todos os produtos afetados.

86

Guia de atualizao de segurana da Microsoft, segunda edio

Figura 27. Etapas da instalao de atualizao de segurana de teste

Etapas da instalao Pr-instalao

Detalhes

Confirme que a atualizao se aplica ao sistema, sistema operacional ou verso de aplicativo. Consulte Etapa 2: Avaliar risco neste guia para obter mais informaes. Garanta que no h avisos observados.

Instalao

Verifique se o processo de instalao executado e concludo com xito e certifique-se de que nenhum erro aparece durante esse processo. Revise o sistema e os logs do processo de atualizao (por exemplo, %systemroot%\KB[XXXXXX].log, onde KB[XXXXXX] se refere a um nmero de artigo do KB especfico, por exemplo KB973346) e certifique-se de que nenhum erro foi gravado. Verifique se a instalao da atualizao foi relatada corretamente. Dependendo da atualizao, isso pode envolver: A verificao da chave de instalao da atualizao do Registro para garantir que ela foi criada adequadamente. A verificao de que a instalao da atualizao foi relatada corretamente pelo sistema de monitoramento. A garantia de que a atualizao aparea no Painel de Controle, na pasta Adicionar ou Remover Programas. A verificao de que o diretrio de desinstalao existe e contm os arquivos binrios alterados. Testes de que o sistema no exibe comportamento no usual ou anormal.

87

Guia de atualizao de segurana da Microsoft, segunda edio

Etapas da instalao Reinicializao ps-instalao

Detalhes

Certifique-se de que nenhuma das alteraes especificadas foi revertida ou alterada. Assegure que o sistema no exibe comportamento no usual ou anormal. Reinicie o sistema, manualmente se necessrio.

Tentativa de atualizao de reinstalao

Certifique-se de que a atualizao detecta se ela falhou (instalao parcial) anteriormente ou se a tentativa de reinstalar falhar. Certifique-se que nenhuma alterao existe nos parmetros ou binrios da desinstalao. Verifique se o processo de desinstalao executado e concludo com xito. Verifique se todas as alteraes foram revertidas configurao original checando chaves do Registro, binrios, arquivos de configurao, etc. Certifique-se de que nenhum erro postado no sistema ou em logs de processo de atualizao (por exemplo, %systemroot%\KB[XXXXXX].log). Verifique se a instalao da atualizao foi removida. Os sinais de sucesso incluem: A chave do Registro foi removida. A ferramenta de monitorao relatou corretamente que a atualizao est ausente. A atualizao no aparece no Painel de Controle, na pasta Adicionar ou Remover Programas. O diretrio Desinstalar removido.

Desinstalar

Consulte a seo Desinstalando atualizaes de segurana adiante para obter informaes adicionais sobre a desinstalao de atualizaes. Reinicializao ps-atualizao Certifique-se de que nenhuma das alteraes especificadas foi revertida ou alterada. Assegure que o sistema no exibe comportamento no usual ou anormal.

88

Guia de atualizao de segurana da Microsoft, segunda edio

Repita testes de instalao e desinstalao com quaisquer comutadores de opo e parmetros necessrios. Por exemplo, teste com uma opo de reinicializao, uma opo silenciosa, etc..

Teste a funcionalidade de sistema ps-atualizao

Figura 28 e Figura 29 detalham algumas sugestes para testar a funcionalidade do sistema depois da instalao de atualizaes de segurana para servidores e clientes, respectivamente. Novamente, essas etapas so apenas uma linha de base para iniciar o processo de teste. Recomendamos que os profissionais de TI modifiquem essas sugestes para atender os requisitos especficos de suas organizaes.
Figura 28. Testes de funcionalidade de sistema ps-atualizao para servidores

Testes de usabilidade do servidor (Observao: ao final de cada teste, verifique os logs de evento quanto a erros relacionados operao) Teste se o sistema conclui uma inicializao (inicializao a frio) e reinicializao (inicializao a quente) com xito. Faa logon como administrador local e teste se o logon efetuado com xito. Garanta que todos os servios necessrios so iniciados corretamente. Rede iniciada adequadamente Verifique se as portas necessrias ainda esto habilitadas. Garanta que o endereo IP, a mscara de rede e outros parmetros de rede (por exemplo, gateway padro, DNS e WINS) so atribudos corretamente. Verifique se voc pode executar PING no localhost, em um host na rede local (por exemplo, o gateway padro) e em um host em um segmento de rede remoto (por exemplo, um servidor Web baseado na Internet). Se um proxy for necessrio, verifique o acesso e o host externo usando o proxy. Controlador de domnio Garanta que o controlador de domnio passe todos os testes do DCDIAG.EXE.

89

Guia de atualizao de segurana da Microsoft, segunda edio

Testes de usabilidade do servidor (Observao: ao final de cada teste, verifique os logs de evento quanto a erros relacionados operao) Certifique-se de que os clientes possam detectar o controlador de domnio (por exemplo, o cliente pode executar PING no host e realizar nslookup depois do comando flushdns do ipconfig). Certifique-se de que a Replicao do Sistema de Arquivos Distribudos (DFS) e o Servio de Replicao de Arquivos (FRS) (se aplicvel) esto funcionando corretamente. Servidor DNS Certifique-se de que o servio DNS iniciado e concludo com xito tanto para consulta simples e tipos de teste recursivo. Certifique-se de que o servio de nomes resolve nomes adequadamente (por exemplo, o comando de nome de servidor de ping deve retornar o nome de servidor e o endereo IP). Servidor WINS Certifique-se de que o servio WINS seja iniciado em um estado de integridade. Teste se a verificao de consistncia de banco de dados concluda com xito. Garanta que os clientes WINS podem resolver e renovar nomes. Verifique os logs de evento de servidor para se certificar que eles no contenham erros relacionados s operaes de WINS. Servidor DHCP Teste se o servio DHCP iniciado adequadamente, se as estatsticas do servidor do snap-in do DHCP do Microsoft Management Console (MMC) mostram endereos que tenham sido concedidos. Garanta que os clientes DHCP possam obter endereos IP. Execute uma verificao de consistncia de banco de dados DHCP e garanta que ela seja concluda sem erros.

90

Guia de atualizao de segurana da Microsoft, segunda edio

Testes de usabilidade do servidor (Observao: ao final de cada teste, verifique os logs de evento quanto a erros relacionados operao) Servidor IIS Garanta que o Servio IIS est em execuo, verifique os servios para ver se o servio de publicao WWW foi iniciado adequadamente e verifique os processos para garantir que o processo INETINFO.EXE est em execuo. Verifique se os servios IIS so iniciados aps a reinicializao. Certifique-se de que os nveis de autenticao e criptografia no servidor Web funcionam adequadamente (isto , os usurios podem acessar o contedo Web que eles so autorizados a acessar). Certifique-se de que o endereo IP e o nome de domnio no Gerenciamento IIS est definido adequadamente. Certifique-se de que a pasta Raiz e todos os arquivos Web necessrios esto presentes. Teste se os clientes podem acessar as pginas da Web estticas e ativas no servidor. Servidor de arquivo e impresso Teste se um administrador pode criar um novo compartilhamento de arquivo. Verifique se um administrador pode alterar com xito o acesso do usurio de domnio para compartilhar arquivos. Garanta que os sistemas clientes podem localizar o compartilhamento de arquivo depois que ele foi publicado no Active Directory. Faa logon como administrador e certifique-se de que voc pode adicionar com xito uma nova impressora. Garanta que os sistemas cliente podem acessar as impressoras depois que so publicados no Active Directory. De um sistema cliente, garanta que voc pode imprimir um documento com xito.

Figura 29. Testes de funcionalidade de sistema ps-atualizao para clientes

Testes de usabilidade de cliente (Observao: ao final de cada teste, verifique os logs de evento quanto a erros relacionados operao)

91

Guia de atualizao de segurana da Microsoft, segunda edio

Testes de usabilidade de cliente (Observao: ao final de cada teste, verifique os logs de evento quanto a erros relacionados operao) Testes do administrador Certifique-se de que um usurio administrador de domnio pode se associar a uma estao de trabalho em um domnio filho. Garanta que um usurio administrador de domnio possa fazer logon, alterar uma senha, imprimir, ver e gerenciar filas de impresso, acessar arquivos em um compartilhamento remoto e liberar e renovar um endereo IP. Testes de usurio Certifique-se de que um usurio de domnio pode fazer logon, alterar sua senha, imprimir, exibir filas de impresso e acessar arquivos em um compartilhamento remoto. Testando interfaces de aplicativos

A prxima etapa na fase de teste garantir que os servios remotos e aplicativos necessrios que foram fornecidos para a rede por meio de uma interface especfica ainda esto disponveis e em execuo no nvel adequado depois que a atualizao foi aplicada. Figura 30 e Figura 31 listam vrios testes sugeridos que profissionais de TI podem usar para confirmar a funcionalidade correta do sistema aps a instalao das atualizaes de segurana. Novamente, essas etapas so apenas uma linha de base para iniciar o processo de teste. Recomendamos que os profissionais de TI modifiquem essas etapas para atender os requisitos especficos de suas organizaes.
Figura 30. Teste de aplicativo local

Interfaces de aplicativo local Servidor IIS Certifique-se de que voc pode autenticar com o servio IIS local. Faa logon na conta de administrador e certifique-se de que voc pode realizar os seguintes testes: Administre o servio IIS local. Recupere uma pgina esttica do servio IIS local. Recupere uma pgina ASP do servio IIS local.

92

Guia de atualizao de segurana da Microsoft, segunda edio

Interfaces de aplicativo local SQL Server Certifique-se de que voc pode autenticar com o servio do SQL Server local. Faa logon na conta de administrador e certifique-se de que voc pode realizar os seguintes testes: Administre o servio SQL Server local. Consulte tabelas do SQL Server. Executar procedimentos armazenados

Figura 31. Testes de aplicativo remoto

Interfaces de aplicativo remoto Garanta que cada aplicativo tem conectividade com um servio ou servidor de back-end conforme necessrio. Verifique se o sistema pode autenticar com qualquer servidor de back-end necessrio. Servidor terminal Tente iniciar uma sesso do protocolo RDP de um computador cliente. Certifique-se de que voc pode fazer logon como administrador local por meio da sesso RDP. Teste se a conta do administrador local pode acessar os consoles de administrao necessrios. Teste se a sesso RDP est protegida com o nvel de criptografia necessrio e se a autenticao do servidor foi bem-sucedida. Certifique-se de que voc pode fazer logon como administrador de domnio por meio da sesso RDP. Teste se a conta do administrador de domnio pode acessar os consoles de administrao necessrios. Teste se uma conta de usurio de Servidor terminal pode encerrar uma sesso RDP.

93

Guia de atualizao de segurana da Microsoft, segunda edio

Interfaces de aplicativo remoto Certifique-se de que uma conta de usurio pode recuperar uma sesso desconectada. Servidor IIS Garanta que voc pode autenticar com o servio IIS em toda a rede. Autentique-se como uma conta de administrador local e certifique-se de que pode administar o servio IIS remoto. Certifique-se de que uma conta de administrador pode recuperar pginas estticas e ativas (por exemplo, ASP) do servio IIS remoto. Certifique-se de que as contas de usurio padro podem ser autenticadas com o servio IIS remoto. Certifique-se de que uma conta de usurio padro pode recuperar pginas estticas e ativas (por exemplo, ASP) do servio IIS remoto. Servidor SQL Certifique-se de que uma conta de administrador pode fazer logon com o servio SQL Server. Certifique-se de que uma conta de administrador pode realizar as seguintes tarefas: Consultar tabelas. Adicionar e configurar usurios (do SQL Server) locais. Adicionar e configurar usurios de domnio. Executar procedimentos armazenados. Criar e atualizar tabelas. Remover tabelas.

Certifique-se de que uma conta de usurio padro pode realizar as seguintes tarefas: Autenticar-se com o servio SQL Server. Consultar tabelas. Executar procedimentos armazenados. Atualizar tabelas.

Observaes

94

Guia de atualizao de segurana da Microsoft, segunda edio

Interfaces de aplicativo remoto Testes de funcionalidade bsica (isto , conexo, autenticao, administrao e funcionalidade de leitura e gravao) aplicam-se igualmente a outras conexes back-end como Enfileiramento de mensagens (tambm conhecido como MSMQ), SNA Gateway, NFS (Network File System), etc.

Testando aplicativos de usurio

Figura 32 e Figura 33 listam alguns processos sugeridos para testar qualquer atualizao de segurana para o Microsoft Office system e o Internet Explorer. Essa parte do processo de testes exige um conjunto de testes para todos os aplicativos comerciais compatveis na organizao. Para o Internet Explorer, os profissionais de TI devem testar para garantir que a pgina processada corretamente e o aplicativo funcional antes ou depois da instalao da atualizao. Novamente, essas etapas so apenas uma linha de base para iniciar o processo de teste. Recomendamos que os profissionais de TI as modifiquem para atender os requisitos especficos de suas organizaes.

Figura 32. Testes de aplicativo para usurios do Microsoft Office system

Testando para o Microsoft Office System Garanta que o service pack compatvel com o Microsoft Office system est instalado no sistema. Realize operaes tpicas em aplicativos no Microsoft Office system, como abrir, salvar, editar e fechar arquivos. Verifique se voc pode salvar arquivos de documentos, planilhas e apresentaes em vrios formatos. Por exemplo, .docx, .doc, .html, .dot e .rtf no Microsoft Office Word; .xlsx, .xls, .html, .xml e vrios formatos de texto no Microsoft Office Excel. Execute documentos (incluindo pastas de trabalho e apresentaes) que tenham macros em diferentes nveis de segurana (baixo, mdio e alto). Execute aplicativos internos e outros no Microsoft Office system que usam aplicativos em Microsoft Visual Basic for Applications. Teste se os controles ActiveX incorporados em um arquivo so carregados sem problemas e se a adio de novos controles ActiveX funciona corretamente.

95

Guia de atualizao de segurana da Microsoft, segunda edio

Testando para o Microsoft Office System Realize os testes acima com gerenciamento de direitos digitais (DRM) tambm. Garanta que a abertura, edio e salvamento de arquivos com DRM funcione.

Figura 33. Testes de aplicativo para usurios do Internet Explorer

Testes do Internet Explorer em servidor e estaes de trabalho Teste qualquer aplicativo Web LOB desenvolvido internamente. Teste aplicativos de Planejamento de Recursos Empresariais (ERP) e Gerenciamento de Relacionamento com o Cliente (CRM). Teste aplicativos que usam arquivos .css, por exemplo, Microsoft Visual Studio. Execute aplicativos que usam componentes do Internet Explorer para realizar operaes de protocol FTP. Certifique-se de que aplicativos Web que usam DHTML ainda podem usar: Objetos pop-up. O objeto window.location. O objeto window.opener. Eventos. A marca <object>. O objeto window.self. Controles ActiveX. Controles do Microsoft .NET. Visual Basic Scripting Edition (VBScipt) e JScript

Certifique-se de que aplicativos da Web podem usar folhas de estilos em cascata (CSS) e que elas so exibidas corretamente. Teste se os aplicativos da Web que usam pginas HTML que utilizam comportamentos binrios ainda se comportam como esperado. Certifique-se de que as pginas HTML que usam scripts externos ainda se comportam como esperado.

96

Guia de atualizao de segurana da Microsoft, segunda edio

Testes do Internet Explorer em servidor e estaes de trabalho Teste a funcionalidade de aplicativos da Web que usam pginas HTML que usam a marca <script>. Teste a abertura de arquivos .mht. Verifique qualquer aplicativo que faa uso de urlmon.dll para downloads de arquivo. Teste do salvamento de pginas da Web. Teste pginas HTML que usam CSS. Certifique-se de que qualquer aplicativo que hospede o Internet Explorer como navegador, como o Microsoft Office 2003 (com barra de ferramentas Web), ainda exibe pginas corretamente.

Depois que os pacotes de atualizao necessrios tiverem passado pelo processo de teste, a prxima etapa ser pass-los para os mecanismos de implantao e implant-los na organizao.

Implantando pacotes de atualizaes


Dentro de qualquer organizao, uma ampla variedade de sistemas de computador podem precisar de atualizaes de segurana. Esta seo discute os mecanismos que os profissionais de TI podem usar para ajudar a dar suporte a uma implantao da vasta maioria desses sistemas com interrupo e esforo mnimos, mas ainda dentro do perodo de tempo recomendado para a implantao. Antes da implantao do pacote comear, importante ter uma imagem atualizada dos sistemas que precisam ser atualizados e dos sistemas presentes no ambiente durante a janela de atualizao necessria. De forma ideal, sua organizao usa uma soluo de monitoramento e relatrios que pode criar um relatrio sobre o status atual de todos os sistemas de computadores gerenciados. Esse relatrio pode, em seguida, ser usado como base da implantao e passado ao estgio Monitorar sistemas (discutido posteriormente neste guia) quando a implantao iniciou de forma a controlar os computadores de destino que esto atualizados e, de forma crucial, os que no esto. Em organizaes que no usam uma soluo de monitoramento que d suporte a esses relatrios, os profissionais de TI devem encontrar outros mecanismos para determinar quais sistemas precisam ser visados e qual seu status atual. Se nenhuma outra soluo de gerenciamento estiver disponvel, os profissionais de TI podem varrer os sistemas atualmente ativos na rede usando a ferramenta gratuita Microsoft Baseline Security Analyzer (MBSA). O MBSA uma ferramenta que ajuda empresas pequenas e mdias a determinar o estado de sua

97

Guia de atualizao de segurana da Microsoft, segunda edio

segurana, de acordo com as recomendaes de segurana da Microsoft e oferece orientaes especficas de melhoria. Use MBSA para detectar vulnerabilidades administrativas comuns e atualizaes de segurana ausentes em sistemas de computador. Consulte technet.microsoft.com/security/cc184924.aspx. A ferramenta MBSA no instala atualizaes, ela apenas varre em busca de atualizaes e configura o computador para usar o Microsoft Update para gerenciamento de atualizaes. A ferramenta MBSA no substituta para uma ferramenta de inventrio de gerenciamento de sistemas completa, mas pode ser usada para ambientes onde nenhuma soluo de inventrio est em uso.

Organizaes empresariais maiores precisaro, provavelmente, de recursos adicionais, que a ferramenta MBSA no pode fornecer. O System Center Configuration Manager uma outra soluo que fornece recursos adicionais que a ferramenta MBSA e o WSUS no oferecem. Consulte www.microsoft.com/systemcenter/configurationmanager/. Vrios problemas e restries potenciais podem determinar as etapas que so necessrias para a implantao completa de atualizao de segurana para produo. Quando profissionais de TI recebem a tarefa de implantar uma atualizao de segurana, eles devem considerar as informaes em Figura 34.
Figura 34. Consideraes de implantao de pacote

Consideraes de implantao Considere como tratar as excees aos requisitos da linha do tempo.

Comentrios

A quantidade de tempo que os sistemas de destino tm antes de precisarem ser atualizados deve ser determinada como parte do processo de Avaliao de risco. Porm, alguns sistemas podem no atender a essas linhas de tempo. Portanto, importante que os profissionais de TI tenham um processo documentado a ser seguido de maneira que esses sistemas no deixem de receber atualizaes. Vrios fatores podem levar a essa situao incluindo a disponibilidade do sistema, funes e responsabilidades do usurio e a natureza da instabilidade vulnerabilidade do sistema que a atualizao foi projetada para tratar.

98

Guia de atualizao de segurana da Microsoft, segunda edio

Consideraes de implantao Garanta que os sistemas atendam aos requisitos mnimos de instalao.

Comentrios

Se a atualizao exigir uma certa quantidade de espao em disco para ser instalada, ou voc deseje armazenar em cache a atualizao localmente antes da instalao, voc deve acionar uma verificao da quantidade de espao em disco livre para cada computador cliente da organizao. Alm disso, computadores cliente remoto podem levar algum tempo para baixar atualizaes grandes. Se a atualizao no for classificada como obrigatria, pode ser apropriado adiar a instalao em computadores cliente remoto at que eles sejam conectados fisicamente rede. Porm, depois que a atualizao se torna obrigatria, todos os computadores cliente devem ser forados a aplicar atualizaes, incluindo computadores clientes remotos. Computadores crticos para os negcios podem ter tempos especficos nos quais alteraes e reinicializaes de computador so permitidos (janelas de interrupo). Voc deve programar a implantao de uma atualizao de segurana e qualquer sistema necessrio reiniciado como um resultado dentro dessas janelas de interrupo. Pode tambm ser benfico para preparar a atualizao de modo que os clientes sejam atualizados em momentos diferentes. s vezes, usar fusos horrios pode ajudar a gerenciar essas implantaes. Os profissionais de TI que usam WSUS podem usar as configuraes de Diretiva de Grupo para forar computadores a instalar uma atualizao antes da janela de manuteno regularmente programada. Porm, antes de fazer isso, verifique se h replicao forada em algum servidor WSUS filho. Eles so normalmente agendados para sincronizao de atualizao em horrios tranquilos na rede, usando a opo Sincronizar Agora na pgina de administrao do servidor WSUS. Consulte o guia Deploying Microsoft Windows Server Update Services para obter mais informaes: technet.microsoft.com/library/cc720507(WS.10).aspx.

Planeje perodos de tempo e fusos horrios de atualizao.

Qual o status de qualquer restrio da Poltica de Grupo?

Se computadores cliente so bloqueados de usar certas configuraes de Poltica de Grupo, isso pode afetar a capacidade de as atualizaes de segurana serem instaladas corretamente.

99

Guia de atualizao de segurana da Microsoft, segunda edio

Consideraes de implantao Determine se qualquer das atualizaes exige acesso aos arquivos de instalao originais. Verifique se qualquer aplicativo de usurio foi instalado numa base por usurio. Planeje restries de largura de banda de rede.

Comentrios

Se o produto a ser atualizado foi implantado usando o Windows Installer, o Windows Installer pode exigir acesso a arquivos de instalao originais. Se uma instalao silenciosa da atualizao de segurana realizada, esses arquivos precisam estar no mesmo local que estavam quando o produto foi instalado originalmente. Se o produto foi originalmente instalado da mdia fsica uma unidade de CD, por exemplo o Windows Installer tentar encontrar os arquivos originais no CD inserido atualmente. Se qualquer aplicativo tiver sido instalado em uma base por usurio, em vez de uma base por computador para todos os usurios, os profissionais de TI devem reinstalar o aplicativo em uma base por computador e aplicar a atualizao de segurana na nova instalao.

H muitas razes convincentes para aplicar a atualizao de segurana a computadores que esto em risco de uma vulnerabilidade de segurana ou instabilidade de sistema potencial e, em seguida, depois que esses computadores forem atualizados, continuar a distribuio nos outros lugares. Por exemplo, a implantao de atualizaes de segurana atualiza para sites remotos provavelmente levar mais tempo do que a dos sites locais por causa das restries de largura de banda de rede. Nesses casos, pode ser ideal considerar a implantao local primeiro para obter o mximo nmero de sistemas atualizados no menor perodo de tempo. Voc pode implantar a atualizao de segurana em sites remotos depois que a janela de tempo de implantao local foi concluda.

Algumas dessas consideraes podem exigir profissionais de TI para fazer modificaes no plano de implantao original. Se esse o caso, importante verificar os SLAs Se a implantao no puder atender aos requisitos de SLA, isso deve ser comunicado aos indivduos apropriados de forma que eles possam avaliar os riscos que isso representa para a organizao.

100

Guia de atualizao de segurana da Microsoft, segunda edio

Envio de solicitao de alterao


O prximo passo para os profissionais de TI enviarem uma solicitao de alterao para os sistemas de produo gerenciados por meio de um processo de controle de alterao padro. Depois de os profissionais de TI terem enviado as solicitaes de alterao necessrias, devero determinar como e quando as informaes sobre a atualizao de segurana, como sua severidade e impacto e as etapas necessrias para implant-la, sero comunicadas aos usurios, para a empresa e para o service desk. Isso dever ser includo no plano de implantao mencionado acima.

Comunicao da programao de implantao para a organizao


importante informar aos usurios finais e administradores sobre o entrave na publicao de uma atualizao. Os profissionais de TI devero enviar uma mensagem de e-mail clara e identificvel para os usurios e administradores, que os notifica da atualizao e fornece informaes sobre como instal-la. Se possvel, os profissionais de TI devero sinalizar sua mensagem de e-mail para acompanhamento para lembrar aos usurios e administradores das aes que precisam fazer. Pgina inicial da intranet comum. Se sua organizao tiver uma pgina inicial da intranet comum para os usurios, considere postar um aviso nesse site pela durao da linha de tempo atualizada. Funcionalidade Wake-on-LAN. Se sua organizao estiver implantando uma atualizao em computadores desktop fora das horas comerciais principais, crie um aviso para informar aos usurios para deixar seus computadores ligados durante a noite em uma data especificada, a menos que a organizao tenha a funcionalidade Wake-on-LAN ativada nesses sistemas. Opes de poltica do uso do WSUS. Usando o WSUS, os profissionais de TI tambm tm a opo de notificar os usurios diretamente usando as notificaes de atualizao. So mensagens pop-up que so entregues diretamente no sistema do usurio quando o pacote de implantao est pronto. Se esse for o caso, os profissionais de TI podem precisar considerar algumas opes adicionais sobre como oferecer esse pacote. O Figura 35 discute essas opes.

101

Guia de atualizao de segurana da Microsoft, segunda edio

Figura 35. Opes de poltica do WSUS.

Opes de poltica do WSUS. Notifique para download e para a instalao.

Comentrios Um usurio conectado com direitos de administrador local precisar selecionar a opo para fazer download da atualizao sempre que a notificao Nova atualizao disponvel para download aparecer na barra de tarefas. Para concluir a instalao, o usurio precisar instalar a atualizao do software quando a notificao Nova atualizao disponvel para instalao aparecer. O cliente Atualizaes automtica faz download automaticamente de atualizaes recm-aprovadas que se aplicam ao computador do cliente. Para instalar as atualizaes, um usurio conectado com direitos de administrador local precisar selecionar a opo para instalar a atualizao do software quando a notificao Nova atualizao de software disponvel para instalao aparecer. Um usurio conectado com direitos de administrador local pode instalar uma atualizao antes do horrio programado para a atualizao ou atrasar a reinicializao (se ela for necessria) depois que a instalao tiver sido concluda. Para usurios sem direitos de administrador local, a atualizao ser instalada em segundo plano no horrio programado. Esses usurios podem atrasar a reinicializao de um computador apenas se a configurao de poltica Nenhuma reinicializao automtica para instalaes de atualizaes automticas estiver ativada.

Faa download automaticamente e notifique da instalao.

Faa download e programe a instalao automaticamente.

Para obter informaes detalhadas sobre como usar WUS na fase de implantao, consulte a Biblioteca TechNet Servios de atualizao do Windows Server (WSUS) em technet.microsoft.com/library/cc706995(WS.10).aspx.

Instalao da atualizao
Quando um plano de publicao existe e comunicado, o prximo estgio do processo de implantao instalar a atualizao necessria nos sistemas. As tarefas e as atividades que precisa realizar aqui dependem, principalmente, dos requisitos do mecanismo de implantao da organizao. Essa etapa pode exigir vrios mecanismos para atingir todos os sistemas. Por exemplo, possvel usar o processo Linha de tempo da implantao da atualizao padro para sistemas clientes. No entanto, para servidores Hyper-V, os administradores do sistema provavelmente realizao a atualizao manualmente, para que possam observla de perto e colocar o servidor de volta em um estado completamente operacional o mais rpido possvel.

102

Guia de atualizao de segurana da Microsoft, segunda edio

Organizaes maiores provavelmente tero camada adicional de complexidade que requer que os profissionais de TI equilibrem a carga de trabalho da atualizao em vrios servidores de atualizao e coloque as atualizaes nesses servidores da organizao para ajudar a garantir que o nmero de atualizaes do cliente no sobrecarregue nenhum dos servidores. De maneira ideal, os profissionais de TI devem publicar atualizaes de segurana por meio de uma implantao faseada, conforme discutido anteriormente neste estgio. Isso minimiza o impacto de quaisquer falhas ou efeitos adversos que possam ocorrer durante a distribuio inicial de uma atualizao de segurana. As etapas desse processo dependem dos produtos de gerenciamento de infraestrutura que os profissionais de TI usam para implantar a atualizao. No entanto, deixando as ferramentas de lado, certos estgios so normalmente necessrios e eles incluem: A ativao das atualizaes necessrias nos servidores de implantao. Copie as atualizaes necessrias nos servidores de implantao prontos para anunci-las para os clientes de atualizao. Distribuio do pacote de atualizao para os clientes necessrios. Como os profissionais de TI gerenciam esse estgio depende muito do nmero de clientes includos no processo de atualizao e dos recursos do servio de atualizao da organizao. Se os profissionais de TI oferecerem suporte a um grande nmero de clientes, o processo de distribuio provavelmente envolver a ativao do pacote de atualizao em vrios servidores para ajudar a distribuir a carga de trabalho ou a execuo da implantao de uma atualizao em que a base de clientes atualizada durante um perodo de tempo, de modo que um limite mximo aceitvel seja mantido no servidor de atualizao. Execuo do pacote de atualizao. Novamente, a maneira como o pacote executado depender das ferramentas de gerenciamento, mas os profissionais de TI tm duas opes bsicas: Automtico ou manual. Aprovao da atualizao no WSUS. Se uma implantao faseada no for necessria, os profissionais de TI precisam apenas aprovar a atualizao no servidor pai do WSUS para que ela seja disponibilizada para os clientes. Os clientes do WSUS comearo, em seguida, a fazer download da atualizao recm-aprovada, no prximo ciclo de deteco ou quando solicitados pelo administrador local (se o cliente de atualizaes automticas tiver sido configurado para notificar o administrador local quando novas atualizaes estiverem disponveis). No entanto, se tiver que haver uma implantao faseada, os profissionais de TI devero aprovar, primeiro, a atualizao apenas no servidor WSUS. Em seguida, depois que tiverem implantado a atualizao com xito em computadores clientes suportados por esse servidor, devero ativar a sincronizao da lista de aprovaes no servidor filho do WSUS que oferece suporte a computadores clientes na prxima fase da implantao.

103

Guia de atualizao de segurana da Microsoft, segunda edio

Acelerao da implementao da atualizao de segurana


Se a atualizao de segurana tiver sido priorizada como atualizao urgente, o processo de aplicao do pacote dever, normalmente, ser acelerado para garantir que a atualizao seja implantada no tempo mais curto possvel. A implantao da atualizao de segurana pode ser acelerada usando um destes dois mtodos: 1. Use o mesmo processo bsico que para a linha de tempo da atualizao padro, mas com fora de trabalho adicional para acelerar o processo. 2. Use um processo mais simples que minimize o esforo necessrio para enviar a atualizao. Com qualquer uma das abordagens, o objetivo minimizar o momento em que sistemas que no receberam patches permanecem capazes de se conectar nas redes da organizao. Isso significa que imperativo para os profissionais de TI ter os registros necessrios para identificar e validar os dispositivos que exigem uma atualizao com relao aos que j receberam as atualizaes. A capacidade de fazer isso de maneira automtica e confivel til para todas as implantaes de atualizaes, mas crucial para as urgentes.

Criando pacotes de atualizaes


O processo para a criao de pacotes permanece basicamente o mesmo para implantaes comuns e aceleradas. No entanto, se uma atualizao for identificada como provavelmente de alto risco como parte da avaliao, importante dar equipe de implantao o mximo de aviso possvel para preparar-se para a atualizao.

Teste de pacotes
O processo de teste completo de uma atualizao requer um investimento significativo para garantir que todas as configuraes suportadas do sistema sejam testadas. Para algumas organizaes, esse ciclo completo de testes apresenta um atraso inaceitvel no processo de implantao da atualizao. Nesses casos, uma opo de teste de campo limitada pode ajudar a fornecer um processo de implantao mais rpido. Por exemplo, algumas organizaes testaro uma atualizao urgente diretamente em um grupo seleto de sistemas de produo como ambiente de teste beta, em vez de usar um ambiente de laboratrio. Se a instalao inicial for bem-sucedida, a implantao completa ser imposta e possivelmente at mesmo automatizada, para ocorrer assim que um sistema desatualizado tentar se conectar novamente rede da organizao. Para atualizaes do servidor, esse processo poderia comear em servidores no de produo e ser implantado nos servidores de produo apenas depois que as atualizaes tiverem sido validadas nesses servidores de menor prioridade.

104

Guia de atualizao de segurana da Microsoft, segunda edio

Implantao de pacotes
Para implantaes urgentes, o momento entre a oferta da primeira atualizao e o momento em que a atualizao muda de opcional para obrigatria ser, provavelmente, muito mais curto do que para implantaes normais. Em vez de ter dias ou semanas para aplicar a atualizao, mais provvel que os usurios e administradores do sistema tero apenas horas, antes que a atualizao seja obrigatria. Isso levar, provavelmente, a uma situao em que os sistemas no estaro on-line durante esse perodo de tempo e tero, portanto, que ser atualizados assim que estiverem conectados novamente. Para lidar com essa situao, importante que os profissionais de TI monitorem o processo de implantao e controlem o status dos clientes que ainda precisam da atualizao. Esse o foco do estgio final da estrutura de gerenciamento de risco do cliente.

Etapa 5: monitoramento dos sistemas


Esta seo aborda:
Confirmao da implantao bem-sucedida da atualizao. Desinstalao de uma atualizao de segurana. Anlise ps-implementao. Um lembrete sobre remoo da atenuao no curto prazo.

No final desta seo, os profissionais de TI devero:


Entender os mtodos para confirmar ou negar a instalao bem-sucedida da atualizao: Uso de scripts. Uso da ferramenta Microsoft Baseline Security Analyzer (MBSA). Uso da verificao de verso do arquivo. System Center Configuration Manager. Outras ferramentas de deteco e instalao de atualizaes de segurana.

Entenda os recursos e os mtodos para desinstalao de uma atualizao de segurana. Entenda as etapas gerais para uma anlise ps-implementao.

105

Guia de atualizao de segurana da Microsoft, segunda edio

Recursos da Microsoft referenciados nesta seo:


Microsoft Script Center. Consulte www.microsoft.com/technet/scriptcenter. Microsoft Baseline Security Analyzer (MBSA)10. Essa uma ferramenta que ajuda empresas pequenas e mdias a determinar o estado de sua segurana, de acordo com as recomendaes de segurana da Microsoft e oferece orientaes especficas de melhoria. A ferramenta MBSA pode ajudar a detectar vulnerabilidades administrativas comuns e atualizaes de segurana ausentes em sistemas de computador. O MBSA no executa a instalao de atualizaes. A ferramenta apenas varre em busca de atualizaes e tem a capacidade de configurar o computador para usar o Microsoft Update para gerenciamento de atualizaes. Consulte technet.microsoft.com/security/cc184924.aspx. System Center Configuration Manager. Consulte www.microsoft.com/systemcenter/configurationmanager/. Suporte e Atendimento ao Cliente Microsoft. Entre em contato com o Suporte e Atendimento ao Cliente Microsoft por meio dos contatos de suporte Microsoft existente na organizao ou ligando para (1) (866) PC-SAFETY [(1) (866) 727-2338 nos Estados Unidos e no Canad.] Internacionalmente, os profissionais de TI devero entrar em contato com a subsidiria local da Microsoft. Consulte support.microsoft.com/common/international.aspx.

O estgio Monitorar sistemas ajuda a garantir que as atualizaes de segurana atuais sejam implementadas com xito e que ciclos futuros de atualizaes continuem a ocorrer sem problemas. O Figura 36 mostra um resumo das etapas necessrias durante esse estgio.

10

O MBSA foi localizado para quatro idiomas: ingls, alemo, francs e japons, mas a deteco subjacente varre, precisamente, computadores de destino em qualquer idioma a que o Microsoft Update e o WSUS ofeream suporte.

106

Guia de atualizao de segurana da Microsoft, segunda edio

Figura 36. Monitorar o progresso do sistema

Implantao bem-sucedida da atualizao


A primeira tarefa durante o estgio Monitorar sistemas determinar, rapidamente, quais sistemas implantaram, com xito, a atualizao e quais sistemas no implantaram. A instalao da atualizao pode falhar por vrios motivos, incluindo, mas no se limitando, os motivos da lista a seguir: O computador est off-line. O computador est sendo reconstrudo ou reformatado. O computador tem espao insuficiente no disco. O computador no est se comunicando com o servidor de atualizao. O software cliente da atualizao necessria no est sendo executado no computador. O computador no tem o algum software dependente. Por qualquer motivo que seja, nesse ponto que as equipes de suporte da implantao provavelmente precisaro ajudar a solucionar os problemas dos sistemas remanescentes. Se esse processo levar os sistemas para fora de sua janela de atualizao, importante informar aos administradores adequados, para que possam determinar o risco que essa situao impe organizao. Para situaes de alto risco, isso pode envolver a remoo dos sistemas que no aplicaram com xito as atualizaes da rede da organizao, at que possam ser atualizados manualmente off-line.

Confirmao da instalao da atualizao


Vrios mecanismos para confirmar se a atualizao foi instalada com xito podem ser usados. Isso inclui: Gerao de relatrios sobre o gerenciamento do computador. Se o sistema de gerenciamento do computador oferecer suporte capacidade de gerar relatrios sobre as verses das atualizaes de segurana, essa opo , normalmente, o mtodo mais rpido e mais fcil de confirmar a instalao da atualizao.

107

Guia de atualizao de segurana da Microsoft, segunda edio

Consultas de script remotas. Dependendo da variedade de sistemas operacionais na organizao, os profissionais de TI podem conseguir usar um ambiente de script, como o Windows Script Host (WSH) ou o Windows PowerShell para consultar os computadores com relao ao seu status. Para que esse mtodo seja bem-sucedido, importante que todos os sistemas a ser verificados ofeream suporte ao ambiente de script e capacidade de consulta remota. Para obter mais informaes sobre o WSH e o Windows PowerShell, consulte o Microsoft Script Center em www.microsoft.com/technet/scriptcenter. Para um script do Windows PowerShell que os profissionais de TI possam usar, consulte www.microsoft.com/technet/scriptcenter/scripts/msh/srvpacks/ spms01.mspx. Microsoft Baseline Security Analyzer (MBSA)11. Essa ferramenta fornece outro excelente mtodo para confirmar se uma atualizao de segurana foi instalada com xito. possvel configurar essa ferramenta para consultar, remotamente, um computador para determinar o status da sua atualizao de segurana. Para fazer download da verso mais recente da ferramenta MBSA e para obter mais informaes, consulte technet.microsoft.com/security/cc184923.aspx.

11

O MBSA foi localizado para quatro idiomas (ingls, alemo, francs e japons), mas a deteco subjacente varre, precisamente, os computadores de destino em qualquer idioma que o Microsoft Update e o WSUS oferecerem suporte.

108

Guia de atualizao de segurana da Microsoft, segunda edio

A ferramenta MBSA oferece suporte para execuo da parte da atualizao de segurana de uma varredura com relao ao servidor de servios de atualizao ao qual cada computador varrido atribudo. Alm disso, executa uma varredura independente para organizaes que no tm um servidor Servios de atualizao. Os administradores podem selecionar opes na ferramenta MBSA para ignorar ou observar, de maneira exclusiva, a lista aprovada de atualizaes no servidor Servios de atualizao. No entanto, por padro, a varredura de segurana ocorre com relao lista de atualizaes de segurana aprovadas no servidor Servios de atualizao e com relao a uma lista completa de atualizaes de segurana disponveis no catlogo do Microsoft Update. Os itens no aprovados no servidor Servios de atualizao do computador varrido recebem uma pontuao apenas informativa e no contam com relao pontuao da avaliao de segurana cumulativa. Os itens que so aprovados, mas no esto listados no computador de destino, recebem um aviso adequado e so considerados riscos de segurana. A ferramenta MBSA fornece uma opo Servios avanados de atualizao para ativar computadores de destino que no tm um servidor Servios de atualizao atribudos para informar um erro, de modo que o help desk possa identific-los claramente. Em um prompt de comando, isso fornecido pela opo /wa (aprovado pelo WSUS). Outras ferramentas de instalao e deteco. H vrias outras ferramentas de implantao e deteco de atualizaes de segurana que tambm podem ser usadas para confirmar se um sistema foi atualizado. Recomendamos que os profissionais de TI usem ferramentas que confirmem a instalao da atualizao de segurana, e no aquelas que executam testes de vulnerabilidade especficos. Verificao de verso do arquivo. Se a ferramenta MBSA ou outra ferramenta no for uma opo para os profissionais de TI, a Microsoft tambm fornecer informaes para o respectivo pacote no artigo e boletim de segurana da Base de Dados de Conhecimento na seo Verificao da verso do arquivo. H vrias verses e edies do Windows e, portanto, as etapas a seguir podem ser diferentes. Se forem, consulte a documentao do produto para concluir essas etapas. No entanto, geralmente, a verificao da verso do arquivo segue estas etapas: 1. Clique em Iniciar (no Windows Vista e Windows 7, Iniciar representado pelo cone a seguir), clique em Iniciar Pesquisa e, em seguida, digite um nome de arquivo de atualizao.

2. Em Programas, clique com o boto direito do mouse e clique em Propriedades.

109

Guia de atualizao de segurana da Microsoft, segunda edio

3. Na guia Geral, compare o tamanho do arquivo com as tabelas de informaes do arquivo fornecidas no artigo ou boletim de segurana da Base de dados de conhecimento. 4. Tambm possvel clicar na guia Detalhes e comparar informaes, como a verso do arquivo e a data de modificao, com as tabelas de informaes do arquivo fornecidas no artigo ou boletim de segurana da Base de dados de conhecimento. 5. Finalmente, voc pode clicar na guia Verses Anteriores e comparar informaes da verso anterior do arquivo com as informaes da verso nova ou atualizada do arquivo. Alguns aplicativos no tm nenhuma ferramenta suportada. Portanto, a verificao da verso do arquivo o nico mtodo para confirmar a instalao bem-sucedida. System Center Configuration Manager. Como mencionado anteriormente, organizaes empresariais maiores precisaro, provavelmente, de recursos adicionais, que a ferramenta MBSA no pode fornecer. Portanto, o Microsoft System Center Configuration Manager uma outra soluo que fornece recursos adicionais que a ferramenta MBSA e o WSUS no fornecem. Consulte www.microsoft.com/systemcenter/configurationmanager/. Mesmo depois de um sistema de concludo, com xito, uma atualizao, recomendamos alocar tempo para monitorar quaisquer problemas ps atualizao no identificados que possam provocar perda de funcionalidade ou degradao de desempenho. Embora seja raro aparecer problemas como esse depois de um conjunto bem-sucedido de testes de aceitao, ele possvel, especialmente em computadores clientes que possam estar executando configuraes ou aplicativos de sistema no padro.

Desinstalao de atualizaes de segurana.


Em sua maior parte, mas no todas, as atualizaes de segurana da Microsoft podem ser desinstaladas e pode haver vezes em que os profissionais de TI precisaro desinstalar rapidamente uma atualizao de segurana. Obviamente, a desinstalao de uma atualizao de segurana pode deixar o sistema e a rede vulnerveis. Alm disso, se a atualizao de segurana do software afetado no for instalada, ela continuar a aparecer como uma atualizao no Microsoft Update. No entanto, Figura 37 at Figura 39 fornecem instrues de referncia rpida sobre como desinstalar uma atualizao de segurana em vrios produtos.

110

Guia de atualizao de segurana da Microsoft, segunda edio

Figura 37. Instrues para a remoo de uma atualizao do sistema operacional

Windows XP e Windows Server 2003 (todas as edies) Use a pasta Adicionar ou Remover Programas no Painel de Controle ou o utilitrio Spuninst.exe que est localizado na pasta %Windir%\$NTUninstallKB[XXXXXX]$\Spuninst.

Windows Vista, Windows Server 2008 e Windows 7 (todas as edies) O Wusa.exe no oferece suporte para a desinstalao de atualizaes. Para desinstalar uma atualizao fornecida pelo Wusa.exe, clique em Painel de Controle e em Segurana. Em Windows Update, clique em Visualizar atualizaes instaladas e selecione a atualizao que precisa ser removida da lista que aparece.

Figura 38. Instrues para a remoo de uma atualizao do sistema Microsoft Office

Microsoft Office XP e Microsoft Office 2003 (todas as edies) Use a pasta Adicionar ou Remover Programas no Painel de Controle.

Microsoft Office 2007 e Microsoft Office 2010 (todas as edies) Use a pasta Adicionar ou Remover Programas no Painel de Controle.

Observao: Ao remover essa atualizao, pode ser solicitado que voc insira o CD do Microsoft Office. Alm disso, voc pode no ter a opo de desinstalar a atualizao da pasta Adicionar ou Remover Programas no Painel de Controle. H vrias causas possveis para esse problema. Para obter mais informaes sobre a remoo, consulte o artigo 828451 da Base de dados de conhecimento da Microsoft (support.microsoft.com/kb/828451)

111

Guia de atualizao de segurana da Microsoft, segunda edio

Figura 39. Instrues para remoo de uma atualizao do Internet Explorer

Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 no Windows XP e Windows Server 2003 Para o Internet Explorer 6, use a pasta Adicionar ou Remover Programas no Painel de Controle ou o utilitrio Spuninst.exe. Para o Windows Internet Explorer 6, use a pasta Adicionar ou Remover Programas no Painel de Controle ou o utilitrio Spuninst.exe localizado na pasta %Windir%\$NTUninstallKB[XXXXXX]$\Spuninst. Para o Internet Explorer 7, use a pasta Adicionar ou Remover Programas no Painel de Controle ou o utilitrio Spuninst.exe localizado na pasta %Windir%\ie7updates\KB[XXXXXX]IE7\spuninst. Para o Internet Explorer 8, use a pasta Adicionar ou Remover Programas no Painel de Controle ou o utilitrio Spuninst.exe localizado na pasta %Windir%\ie8updates\KB[XXXXXXIE8\spuninst

Internet Explorer no Windows Vista, Windows 7 e Windows Server 2008 O Wusa.exe no oferece suporte para a desinstalao de atualizaes. Para desinstalar uma atualizao instalada pelo Wusa.exe, clique em Painel de Controle e em Segurana. Em Windows Update, clique em Visualizar atualizaes instaladas e selecione na lista de atualizaes.

Para obter mais informaes sobre o Wusa.exe, consulte support.microsoft.com/kb/934307.

Se os profissionais de TI tiverem consultado o boletim de segurana e o artigo associado da Base de dados de conhecimento, mas ainda no puderem desinstalar a atualizao de segurana, devero entrar em contato com o CSS por meio dos contatos de suporte Microsoft existentes ou ligando para (1) (866) PC-SAFETY [(1) (866) 727-2338 nos Estados Unidos e no Canad.] Internacionalmente, os profissionais de TI devero entrar em contato com a subsidiria local da Microsoft. Consulte support.microsoft.com/common/international.aspx. A equipe poder coletar informaes especficas do caso para ajudar a avaliar o problema e a ajudar na identificao de uma resoluo.

112

Guia de atualizao de segurana da Microsoft, segunda edio

Anlise ps-implementao
A anlise ps-implementao dever ser realizada, normalmente, no prazo de uma a quatro semanas depois da implantao de uma verso para identificar melhorias que devero ser feitas no processo de gerenciamento de atualizao. Normalmente, os principais membros da implantao da atualizao de segurana e as equipes de suporte realizam essa anlise. Os tpicos recomendados da pauta de uma anlise incluem: Verifique se as vulnerabilidades so adicionadas a relatrios de varredura de vulnerabilidades e a padres de polticas de segurana. Verifique se os arquivos de construo de imagens e quaisquer arquivos de drive de mquina virtual foram atualizados para incluir as ltimas atualizaes de segurana depois da implantao. Discuta os resultados planejados com relao aos resultados reais. Discuta os riscos associados publicao. Analise o desempenho da organizao durante o incidente. Aproveite essa oportunidade para melhorar o plano de resposta da organizao para incluir qualquer lio aprendida. Discuta as alteraes em quaisquer janelas de servio. Determine se o sistema de atualizao ainda est atendendo aos requisitos da organizao. Avalie qualquer dano incidental e custos, incluindo os custos com o tempo ocioso e de recuperao. Crie uma outra linha de base ou atualize a linha de base existente do seu ambiente. O objetivo geral disso garantir que todas as lies aprendidas durante o processo de atualizao sejam comunicadas e incorporadas em ciclos futuros de atualizao.

Remoo de atenuao no curto prazo


A etapa final antes de todo o processo ser redefinido para aguardar a prxima publicao a remoo de qualquer atenuao no curto prazo que no seja mais necessria. Normalmente, uma atenuao de curto prazo ter um certo impacto nas operaes normais da organizao. Embora os sistemas da organizao estivessem em risco, o impacto era aceitvel. No entanto, depois de as atualizaes terem sido executadas e implantadas com xito, necessrio remover as atenuaes para retornar a organizao para as operaes normais.

113

Guia de atualizao de segurana da Microsoft, segunda edio

Etapa 6: uso de recursos da Microsoft para acompanhar os desenvolvimentos de segurana.


Esta seo aborda:
Anlises importantes e menos importantes dos boletins e das supervises de segurana. Recursos da Microsoft para ajudar a combater a ameaa de software mal-intencionado (malware). Entenda as anlises importantes e menos importantes do boletim e das supervises de segurana: O que isso significa. Como os profissionais de TI podem ficar informados sobre as anlises. Onde procurar as anlises nos boletins e supervises de segurana.

No final desta seo, os profissionais de TI devero:

O Microsoft Malware Protection Center (MMPC) a voz global certificada da Microsoft sobre pesquisa, proteo e orientao anti malware na plataforma Windows. O MMPC tem muitos recursos e solues que incluem: O Microsoft Security Intelligence Report. O blog Microsoft Malware Protection Center Blog e o Portal de Segurana. A ferramenta de remoo de software mal-intencionado do Microsoft Windows. Windows Defender.

Outros recursos de segurana da Microsoft.

Recursos da Microsoft referenciados nesta seo:


Microsoft Security Intelligence Report. Um relatrio semestral que usa dados gerados de centenas de milhes de usurios do Windows para fornecer uma perspectiva detalhada sobre a alterao do cenrio de ameaa, incluindo divulgaes e exploraes de vulnerabilidade do software, software mal-intencionado e software potencialmente indesejado e mais. Consulte www.microsoft.com/sir. Portal de segurana do Microsoft Malware Protection Center (MMPC). Esse site da Web contm detalhes sobre as principais ameaas, uma enciclopdia de softwares mal-intencionados, ferramentas e recursos de software mal-intencionado e um mecanismo de envio de amostra de software mal-intencionado. Consulte www.microsoft.com/security/portal/.

114

Guia de atualizao de segurana da Microsoft, segunda edio

O blog Microsoft Malware Protection Center (MMPC). Esse blog inclui comunicao em tempo real dos especialistas em no assunto do MMPC sobre tpicos que abrangem ameaas de software mal-intencionado novas, emergentes e notveis e outros tpicos de pesquisa no campo de segurana de computador. Consulte blogs.technet.com/mmpc/. A ferramenta de remoo de software mal-intencionado do Microsoft Windows (MSRT). A MSRT verifica se os computadores que executam sistemas operacionais Windows suportados esto infectados com software mal-intencionado prevalente especfico e ajuda a remover qualquer infeco encontrada. Consulte www.microsoft.com/security/malwareremove/ . Windows Defender. Esse software ajuda a proteger os computadores contra janelas pop-up, desempenho lento e ameaas de segurana que spyware e outros tipos de software potencialmente indesejados possam causar. Consulte www.microsoft.com/windows/products/winfamily/defender. Agregador de blogs sobre segurana e privacidade do Trustworthy Computing (TwC). Essa pgina consolida e apresenta de forma dinmica os blogs de privacidade e segurana. Consulte www.microsoft.com/twc/blogs. Aceleradores de soluo e segurana. Um conjunto gratuito de ferramentas e orientaes para ajudar os profissionais de TI a planejar, integrar e operar ativamente sua infraestrutura de segurana. Consulte www.microsoft.com/ssa. Guia de gerenciamento de risco segurana. Uma soluo de tecnologia agnstica que fornece uma abordagem em quatro etapas ao gerenciamento do risco. O guia faz referncia a muitos padres aceitos pelo setor de gerenciamento de risco segurana e incorpora experincias do mundo real da rea de TI e de parceiros da Microsoft. Consulte go.microsoft.com/fwlink/?linkid=30794. Guia de modelagem de ameaa da infraestrutura de TI. Um mtodo para desenvolvimento de modelos de ameaas que ajuda a priorizar investimentos na segurana da infraestrutura de TI. Esse guia descreve e considera a ampla metodologia que existe para a modelagem de ameaas SDL e a usa para estabelecer um processo de modelagem de ameaa para a infraestrutura de TI. Consulte go.microsoft.com/fwlink/?LinkId=154010.

Infelizmente, a implantao bem-sucedida de atualizaes de segurana no encerram os deveres da gerncia de segurana. No cenrio de ameaas em constante evoluo de hoje, imperativo sempre permanecer alerta. Conforme discutido no Estgio 1: Receber comunicaes da publicao de segurana da Microsoft, anteriormente visto neste guia, as notificaes de segurana tcnica da Microsoft e os alertas do blog MSRC fornecem atualizaes sobre quaisquer notcias ou comunicaes da Microsoft relacionadas postura de segurana da sua organizao.

115

Guia de atualizao de segurana da Microsoft, segunda edio

Anlises principais e de menos importncia de alertas e de boletins de segurana


Desde que voc esteja inscrito para receber notificaes de segurana da Microsoft, voc pode receber mensagens de e-mail da Microsoft notificando-o de uma anlise de boletim ou alerta de segurana depois de sua publicao original. H dois tipos de anlises: as importantes e as menos importantes. As anlises importantes so mais notveis e podem afetar o binrio da publicao, que normalmente requer que os profissionais de TI reinstalem uma atualizao de segurana. As anlises importantes geralmente so resultado de um produto sendo adicionado ou retirado da seo do software afetada ou no afetada do boletim de segurana, ou se a classificao de severidade analisada para um produto especfico. Portanto, se um aviso de uma anlise de boletim ou de alerta importante for recebido, importante ler, cuidadosamente, o aviso e tomar as medidas adequadas. Revises menos importantes resultam, principalmente, de uma mudana no contexto textual do boletim de segurana e, portanto, no prejudicam a segurana de uma organizao, mas os profissionais de TI ainda devem anotar a reviso. Alm disso, a Microsoft no notifica os profissionais de TI de revises que no afetam fatos ou corrige erros de ortografia. Uma outra maneira de verificar as anlises de alertas e de boletins de segurana nos prprios documentos. As anlises so anotadas em dois lugares: 1. O cabealho do boletim ou do alerta (consulte Figura 40).
Figura 40. Cabealho do boletim de segurana

2. O rodap do boletim, que detalha o histrico da anlise (consulte Figura 41).


Figura 41. Rodap do boletim de segurana

116

Guia de atualizao de segurana da Microsoft, segunda edio

Todos os boletins e alertas de segurana so inicialmente publicados como 1.0. Uma reviso menos importante tem um aumento de X.1 e uma reviso importante tem um aumento de 1.X. Portanto, um boletim ou alerta de segurana que rotulado como 2.3 passou por uma anlise importante e trs anlises menos importantes.

A ameaa constante de software mal-intencionado


Software mal-intencionado e potencialmente indesejado est cada vez mais se tornando um fenmeno global, pois os criminosos esto criando software destinados a usurios e computadores em muitos idiomas e em muitos pases diferentes. Essas ameaas continuam a explorar a natureza humana e aplicativos de software muito alm das vulnerabilidades em navegadores da Web ou sistemas operacionais. Como a Microsoft protegeu seus sistemas operacionais e aplicativos via o Security Development Lifecycle (SDL), em um esforo de colocar seu software nos computadores das vtimas, os criminosos esto mudando seu foco para outros aplicativos, complementos de navegadores e apelos diretos emoo humana. Uma maneira particularmente visvel em que criminosos esto aproveitando essa tendncia persuadindo os usurios a fazer download e instalar antivrus falsos ou software antispyware que pode ser de natureza maliciosa. Depois de os criminosos terem enganado a vtima para instalar esse software de segurana falso, eles podem ter obtido os detalhes do carto de crdito da vtima ou estabelecido um caminho para o download de mais software mal-intencionado no computador infectado. Os produtos e servios de segurana da Microsoft removeram o software de segurana falso de mais de dez milhes de computadores do mundo todo durante a primeira metade de 2010 e continuaro a ter essas ameaas como objetivo no futuro.

117

Guia de atualizao de segurana da Microsoft, segunda edio

O Microsoft Malware Protection Center (MMPC) a voz global certificada da Microsoft sobre pesquisa, proteo e orientao anti malware na plataforma Windows. Entre outras coisas, esse grupo um contribuinte importante para o Microsoft Security Intelligence Report (SIR) (Consulte www.microsoft.com/sir), que fornece uma perspective detalhada sobre o cenrio de ameaas constantemente em alterao. O SIR inclui anlise detalhada de divulgaes das tendncias de vulnerabilidades e exploraes do software, de brechas de segurana e de privacidade, de software mal-intencionado e de software potencialmente indesejado e de tendncias de phising, de e-mail e de spam. Cada relatrio se concentra em dados e tendncias que foram observados na primeira ou segunda metade de cada ano civil e usa dados histricos para fornecer contexto. O objetivo do SIR manter os profissionais de TI informados das principais tendncias no cenrio das ameaas e fornecer insights e orientaes de segurana valiosos que ajudam os profissionais de TI a melhorar sua postura de segurana em face dessas ameaas. Durante as operaes normais da sua organizao, necessrio tomar medidas para garantir que voc esteja atualizado sobre qualquer software malintencionado que explore vulnerabilidades. Se a ajuda for necessria, consulte os seguintes recursos teis de software mal-intencionado: Portal de segurana MMPC. um site da Web abrangente que contm detalhes das principais ameaas, uma enciclopdia detalhada de software mal-intencionado, ferramentas e recursos de software mal-intencionado e um mecanismo de envio de amostra de software mal-intencionado. Consulte www.microsoft.com/security/portal. Blog do MMPC. Fornece um mtodo em tempo real para que os especialistas do MMPC no assunto se comuniquem com os clientes. Os tpicos incluem informaes dos bastidores sobre ameaas novas e emergentes de software mal-intencionado emergente e notvel. Alm de outras pesquisas no campo de segurana do computador. Consulte blogs.technet.com/mmpc/. A ferramenta de remoo de software mal-intencionado do Microsoft Windows (MSRT). Essa uma ferramenta gratuita para ajudar a identificar e remover famlias de softwares mal-intencionados prevalentes de computadores dos clientes. A MSRT publicado como uma atualizao importante por meio do Windows Update e do Microsoft Update. Uma verso da ferramenta tambm est disponvel no Microsoft Download Center. A MSRT ajuda a remover software mal-intencionado prevalente especfico de computadores que executam Windows 7, Windows Vista, Windows XP, Windows Server 2008, Windows Server 2003 e Windows 2000. A partir de fevereiro de 2011, a ferramenta detecta e remove 155 famlias de softwares mal-intencionados, sendo a maioria deles atualmente prevalente ou que foi prevalente no momento em que foram adicionados. Quando o processo de deteco e de remoo estiver concludo, a ferramenta exibir um relatrio que descreve o resultado, incluindo, se houver, qual software mal-intencionado foi detectado e removido. Consulte www.microsoft.com/security/malwareremove/. Observao: A MSRT no uma substituio para uma soluo antivrus, pois no tem proteo em tempo real e usa apenas a parte do banco de dados de assinatura antivrus da Microsoft que permite que ele se dedique a

118

Guia de atualizao de segurana da Microsoft, segunda edio

software mal-intencionado prevalente especificamente selecionado. Windows Defender. Esse software ajuda a proteger seu computador contra janelas pop-up, desempenho lento e ameaas de segurana que spyware e outros tipos de software potencialmente indesejados possam causar. Ele faz isso detectando e removendo spywares conhecidos do computador. O Windows Defender tem proteo em tempo real, um sistema de monitoramento que recomenda aes contra spyware quando ele detectado, minimize interrupes e ajuda os usurios a permanecerem produtivos. Consulte www.microsoft.com/windows/products/winfamily/defender.

Outros recursos de segurana


Agregador de blogs sobre segurana e privacidade do grupo Trustworthy Computing (TwC). Essa pgina consolida e apresenta de forma dinmica os blogs do Microsoft Trustworthy Computing (TwC): a equipe encarregada de trabalhar para fornecer experincias de computao mais seguras, confidenciais e confiveis. Leia sobre a viso e a estratgia de longo prazo da Microsoft para privacidade e segurana de computadores. Voc pode acessar o agregador de blogs sobre segurana e privacidade do Trustworthy Computing em www.microsoft.com/twc/blogs. Aceleradores de soluo de segurana so um conjunto de ferramentas e orientaes. So recursos certificados gratuitos para ajudar os profissionais de TI a planejar, integrar e operar, de maneira proativa, sua infraestrutura de segurana. Consulte www.microsoft.com/ssa. O Guia de gerenciamento de risco de segurana uma soluo agnstica de tecnologia que oferece uma abordagem de quarto fases para o gerenciamento de risco. O guia faz referncia a muitos padres aceitos pelo setor de gerenciamento de risco segurana e incorpora experincias do mundo real da rea de TI da Microsoft e inclui tambm opinies de parceiros e profissionais de TI da Microsoft. Uia go.microsoft.com/fwlink/?linkid=30794. O Guia de modelagem de ameaas de infraestrutura fornece um mtodo fcil de entender para desenvolvimento de modelos de ameaas que podem ajudar a priorizar investimentos em segurana de infraestrutura de TI. Esse guia descreve e considera a ampla metodologia que existe para a modelagem de ameaas SDL e a usa para estabelecer um processo de modelagem de ameaa para a infraestrutura de TI. Consulte go.microsoft.com/fwlink/?LinkId=154010.

Resumo
O processo de implantao da atualizao de segurana se tornou uma parte necessria da rotina de gerenciamento dos sistemas para qualquer ambiente conectado Internet. Os criminosos esto agora direcionando seu software malintencionado para sistemas operacionais e aplicativos de vrios fornecedores, no apenas a Microsoft. Portanto, a falha em manter os sistemas e aplicativos da sua

119

Guia de atualizao de segurana da Microsoft, segunda edio

organizao atualizados pode colocar os usurios em risco srio de ataque de criminosos e do software mal-intencionado que eles desenvolvem. O diagrama de processo de implantao e publicao da atualizao completa de segurana da Microsoft est no Apndice deste guia. A Microsoft se compromete a fornecer uma resposta eficaz e imediata a qualquer vulnerabilidade em seu software. Ela est trabalhando com muitos parceiros do setor para garantir que os clientes recebam nveis lderes do setor de proteo para contra-atacar os criminosos que tentam atacar seus computadores. As informaes fornecidas pela Microsoft neste guia foram criadas para oferecer suporte s suas decises de gerenciamento de risco. Este guia foi criado para ajudar os profissionais de TI a entender, utilizar e maximizar todas as comunicaes, orientaes, programas e servios de atendente Microsoft que ajudam a implantar as atualizaes de segurana na organizao rapidamente e com uma quantidade mnima de interrupo da produtividade. Para obter as ltimas informaes sobre este e outros tpicos relacionados segurana, consulte www.microsoft.com/security/msrc ou www.microsoft.com/technet/security.

Comentrios
Obrigado por ler este guia. Os autores deste guia esto interessados nos comentrios e opinies sobre como suas necessidades podem ser mais bem atendidas. Sinta-se vontade para compartilhar seus comentrios ou opinies sobre como voc acha que a Microsoft pode ajud-lo a melhorar esse contedo. Envie seus comentrios para a equipe do Guia de atualizaes de segurana do Trustworthy Computing em twcsecfb@microsoft.com.

120

Guia de atualizao de segurana da Microsoft, segunda edio

Apndice
O diagrama do processo de implantao e publicao de segurana da Microsoft

122

Guia de atualizao de segurana da Microsoft, segunda edio

123

Guia de atualizao de segurana da Microsoft, segunda edio

Terminologia de atualizaes de segurana da Microsoft


Esta seo aborda:
Terminologia de atualizaes de segurana da Microsoft Gerenciamento de software ou de atualizaes no relacionadas segurana do sistema. As vantagens do Windows Update em relao ao Microsoft Update. A poltica de atualizao de segurana de software Microsoft no genuno.

No final desta seo, os profissionais de TI devero:


Entender os diferentes tipos de atualizaes de software da Microsoft. Entender as diferenas entre o Windows Update e o Microsoft Update e os recursos para como configurar cada um deles. Entender a poltica de atualizao de segurana da Microsoft para software Microsoft no genuno.

Recursos da Microsoft referenciados nesta seo:


Gerenciamento de atualizaes de software do sistema. Para obter informaes sobre como gerenciar as atualizaes de software que os profissionais de TI implantam nos servidores, computadores desktop e computadores mveis da organizao, consulte technet.microsoft.com/updatemanagement/. Windows Server Update Services (WSUS) e atualizaes. Essa pgina ajuda a explicar como o WSUS armazena e gerencia atualizaes da Microsoft. Consulte technet.microsoft.com/enus/updatemanagement/default.aspx. A ferramenta de remoo de software mal-intencionado do Microsoft Windows (MSRT). A MSRT verifica se os computadores que executam sistemas operacionais Windows suportados esto infectados com software mal-intencionado prevalente especfico e ajuda a remover qualquer infeco encontrada. Consulte www.microsoft.com/security/malwareremove/. Microsoft Download Center. Consulte www.microsoft.com/download. Windows Update. Esse servio gratuito incorporado ajuda a manter os computadores mais seguros e confiveis e tambm compatveis com os dispositivos. O Windows Update fornece novos recursos que podem aprimorar a experincia do Windows. Consulte www.microsoft.com/windows/downloads/windowsupdate/.

124

Guia de atualizao de segurana da Microsoft, segunda edio

Microsoft Update. Esse um servio gratuito incorporado includo no Windows. Ele oferece um nico local para obter atualizaes e programar atualizaes automticas. Alm disso, os clientes podem obter atualizaes de segurana e que no so de segurana para software Microsoft, como o sistema Microsoft Office e a rede Windows Live de servios da Internet. Consulte update.microsoft.com/microsoftupdate. Microsoft Update Solution Center. Contm ajuda e suporte, incluindo solues para os problemas mais comuns com o uso do Windows Update e explicaes de mensagens de erro. Consulte support.microsoft.com/ph/6527#tab3.

Atualizaes de segurana da Microsoft


A Microsoft e a MSRC geralmente aborda vulnerabilidades em produtos publicando atualizaes de segurana que substituem o cdigo vulnervel por novo cdigo que foi desenvolvido e testado para abordar a vulnerabilidade. A criao de uma atualizao de segurana um processo extenso, que envolve uma srie de etapas sequenciais. Muitos fatores afetam o tempo entre a descoberta de uma vulnerabilidade e a publicao de uma atualizao de segurana e toda vulnerabilidade apresenta seus prprios desafios nicos. No entanto, em geral, quando uma vulnerabilidade potencial informada para a Microsoft, um engenheiro de segurana designado investiga o escopo e o impacto de uma ameaa no produto afetado. Quando o MSRC conhece a extenso e a severidade da vulnerabilidade, ele trabalha com a equipe do produto Microsoft adequado para desenvolver uma atualizao de segurana para cada verso suportada do produto afetada. Finalmente, depois dessa equipe ter criado a atualizao de segurana, ela dever ser testada usando vrias combinaes e permutas dos vrios sistemas operacionais, aplicativos e at mesmo idiomas suportados que ela afeta no mundo todo. As atualizaes de segurana no so adequadas para todas as situaes, portanto a Microsoft tambm publica alertas de seguranaas comunicaes da Microsoft sobre informaes vitais para a segurana de uma organizao. Consulte a pgina 25 para obter mais informaes sobre alertas de segurana e como eles diferem das atualizaes de segurana.
Atualizaes de segurana e atualizaes de software

A Microsoft faz uma distino clara entre as atualizaes de segurana e as atualizaes de software comuns. As atualizaes de software da Microsoft incluem muitos tipos diferentes de alteraes e incluses no sistema operacional, nos programas e outros softwares, como uma verso mais recente de um driver de dispositivo ou uma melhoria de um aplicativo. Uma atualizao de segurana da Microsoft uma atualizao de software que aborda uma vulnerabilidade de segurana informada por um pesquisador de segurana. Este guia foca, unicamente, nas atualizaes de segurana da Microsoft Visite technet.microsoft.com/updatemanagement para obter informaes gerais sobre atualizaes de software e manuteno de sistemas Microsoft. A seguir esto algumas das classificaes de atualizao usadas pelos servios de

125

Guia de atualizao de segurana da Microsoft, segunda edio

atualizao da Microsoft, incluindo Windows Update, Microsoft Update e Windows Server Update Services (WSUS): Atualizaes de segurana: Uma correo amplamente publicada para uma vulnerabilidade relacionada segurana especfica do produto. As vulnerabilidades de segurana so classificadas com base em sua severidade, que atribuda pelo MSRC e indicada no boletim de segurana da Microsoft como crtica, importante, moderada ou baixa (as classificaes de gravidade sero discutidas mais detalhadamente mais tarde). Atualizaes crticas: Uma correo amplamente publicada para um problema especfico que aborda um bug crtico relacionado a questes de segurana ou no relacionadas segurana. Um exemplo de uma atualizao crtica uma atualizao do Microsoft Windows Ferramenta de remoo de software mal-intencionado (MSRT). As classificaes de atualizao podem sobrepormuitas atualizaes de segurana e tambm atualizaes crticas. Atualizaes de definio: Uma atualizao de software amplamente publicada e freqente que contm incluses ao banco de dados de definies do produto. Os bancos de dados de definio so usados por produtos de segurana, como o Microsoft Security Essentials e a linha Microsoft Forefront de produtos. Eles so normalmente usados para detectar objetos com atributos especficos, como cdigo mal-intencionado, sites de phishing na Web ou junk mail. Update Rollups: Um conjunto testado e cumulativo de correes, atualizaes de segurana, atualizaes crticas e atualizaes que vem juntas para fcil implantao. Uma implantao geralmente objetiva uma rea especfica, como segurana, ou um componente de um produto. Entre outros, um exemplo de implantao de uma atualizao um service pack. Service Packs: Um conjunto testado e cumulativo de correes, atualizaes de segurana, atualizaes crticas e atualizaes, alm de correes adicionais de problemas encontrados internamente desde a publicao do produto. Os service packs podem tambm conter um nmero limitado de alteraes ou recursos de design solicitados pelo cliente. Pacotes de recursos: Nova funcionalidade do produto, normalmente includa na prxima publicao completa do produto. Os pacotes de recursos podem incluir novos recursos e melhorias de segurana. Correes: Uma correo um cdigo que corrige um bug em um produto. As correes so, algumas vezes, enviadas como um conjunto de correes chamadas de correo combinada ou service pack. Independentemente da classificao, da perspectiva do sistema operacional do lado do cliente, todas as atualizaes da Microsoft so designadas como Importante, Recomendada ou Opcional: As atualizaes com o status Importante (ou Alta prioridade no Windows XP) oferecem benefcios significativos, como melhor segurana, privacidade

126

Guia de atualizao de segurana da Microsoft, segunda edio

e confiabilidade. As atualizaes importantes devem ser instaladas assim que se tornam disponveis. As atualizaes com o status de Recomendada (ou Opcional no Windows XP) abordam problemas no crticos ou aprimora as experincias computacionais do cliente. Embora essas atualizaes no abordem questes fundamentais do sistema, elas podem oferecer melhorias significativas, como compatibilidade melhorada do aplicativo, melhorias de recursos e muito mais. Atualizaes com o status de Opcional podem incluir atualizaes, drivers ou novos aplicativos da Microsoft ou seus parceiros para melhorar as experincias computacionais dos clientes. Essas atualizaes precisam ser instaladas manualmente, ou seja, o download das atualizaes opcionais no feito automaticamente e elas no so instaladas automaticamente, mas o Windows Update as fornece para anlise. Fazer download e instalar as atualizaes de software mais recentes, particularmente atualizaes com o status de Importante e de Recomendada de maneira rpida e consistente no seu computador vital para ajudar a manter sua segurana e funcionamento adequados. Para os profissionais de TI, aplicar atualizaes em computadores da organizao, qualquer que seja seu tamanho, vital para ajudar a manter os sistemas seguros e funcionando adequadamente. Pode-se baixar as atualizaes de segurana individualmente do Microsoft Download Center (www.microsoft.com/download). No entanto, muitos departamentos de TI usam um servio ou produto do Microsoft Update para automatizar as implantaes das atualizaes em uma organizao. Windows Update, um service incorporado gratuito includo no Microsoft Windows, ajuda as organizaes a manter os computadores mais seguros e confiveis e tambm compatveis com dispositivos e aplicativos. Ele oferece um nico local para recuperar atualizaes e programar atualizaes automticas. O cliente do Windows Update (e o cliente do Automatic Updates no Windows XP) procuraro, por padro, apenas atualizaes do Windows. Para obter atualizaes do Windows e de outro software da Microsoft, os profissionais de TI devero configurar o Windows Update para procurar atualizaes usando o service Microsoft Update. O Microsoft Update recomendado para todos os computadores que executam o sistema operacional Windows para garantir que o usurio seja informado sobre quaisquer atualizaes de software e de segurana disponveis da Microsoft. Para usar o Microsoft Update, consulte update.microsoft.com/microsoftupdate. O Windows Update tem configuraes um pouco diferentes nos sistemas operacionais Windows Vista, Windows 7 e Windows XP. Para obter mais informaes sobre o Windows Update e seus recursos, consulte www.microsoft.com/windows/downloads/windowsupdate/.

127

Guia de atualizao de segurana da Microsoft, segunda edio

Windows Update ou Microsoft Update?


Configure o computador para usar o Microsoft Update, em vez de o Office Update ou Windows Update. Isso ajudar a garantir que o computador receba as atualizaes de segurana do sistema Microsoft Office e de outros aplicativos Microsoft, alm de atualizaes de segurana dos sistemas operacionais Windows. Para obter uma explicao das diferenas entre o Microsoft Update e o Windows Update, consulte www.microsoft.com/windows/downloads/windowsupdate/ microsoftupdate.mspx. Para obter informaes adicionais sobre o processo do Windows Update, consulte a ficha tcnica chamada Windows Update explicado, disponvel em download.microsoft.com/download/a/9/4/a94af289-a798-4143a3f8-77004f7c2fd3/Windows%20Update%20 Explained.docx. Para obter informaes de suporte e de soluo de problemas com relao a problemas tcnicos do Microsoft Update, consulte support.microsoft.com/ph/6527#tab3.

Para obter ajuda e suporte, incluindo solues para os problemas mais comuns do Windows Update e explicaes sobre mensagens de erro, consulte o Microsoft Update Solution Center em support.microsoft.com/ph/6527#tab3. Embora alguns dos servios e processos descritos neste guia possam ser usados para instalar atualizaes no relacionadas segurana, esse no o foco, pois essas atualizaes geralmente no so necessrias para finalidades de segurana. Para obter informaes sobre manuteno de sistemas com todos os outros tipos de atualizaes, consulte technet.microsoft.com/updatemanagement/.

Poltica de atualizaes de segurana para software no genuno


O Windows Update (Automatic Updates no Windows XP) oferecer atualizaes

128

Guia de atualizao de segurana da Microsoft, segunda edio

de segurana para o Windows e outros softwares da Microsoft para computadores Windows genunos e no genunos 12. Sistemas Windows no genunos tambm podem instalar service packs, implantaes de atualizaes e importantes atualizaes de compatibilidade e confiabilidade de aplicativos para o Windows e outros softwares Microsoft. Essa abordagem ajuda a manter todo o ecossistema do computador mais seguro, pois mais sistemas so protegidos, independentemente se so genunos ou no. No entanto, a Microsoft pode decidir bloquear outras atualizaes e softwares de valor agregado para sistemas no genunos. No Windows 7 e no Windows Vista, um sistema Windows no genuno pode acessar atualizaes disponveis por meio do Painel de Controle do Windows Update. No Windows XP, um sistema Windows no genuno pode acessar as atualizaes de segurana apenas por meio do Automatic Updates.

Glossrio e termos comumente usados


Este glossrio ajuda a explicar os principais conceitos e tecnologias associados ao processo de implantao e publicao das atualizaes de segurana da Microsoft. Para obter mais informaes sobre termos de software malintencionado, visite o portal Microsoft Malware Protection Center (MMPC). Consulte www.microsoft.com/security/portal/encyclopedia.aspx. protees ativas de segurana do software Protees de segurana de software ativas podem detectar ou deter intruses em um sistema Microsoft ou defender um sistema Microsoft contra tentativas de explorao, sem a disponibilidade de uma atualizao de segurana da Microsoft para a questo sendo explorada (por exemplo, definies de antivrus que acionam comportamento mal-intencionado ou assinaturas de IDs que bloqueiam tentativas de explorao). binrios Os dois componentes bsicos de uma atualizao so o binrio da atualizao (ou binrios) e o arquivo de metadados da atualizao. O binrio o executvel da atualizao e uma determinada atualizao pode incluir um ou mais binrios de atualizao. O arquivo de metadados da atualizao um documento XML que contm informaes bsicas sobre a atualizao e tambm quando e como instalar a atualizao.

12

www.microsoft.com/genuine

129

Guia de atualizao de segurana da Microsoft, segunda edio

controle Um meio organizacional, procedimental ou tecnolgico de gerenciamento de risco. Um sinnimo de salvaguarda ou contramedida. contramedida Configuraes de software, hardware ou procedimentos que reduzem o risco no ambiente de um computador. Tambm chamado de salvaguarda ou atenuao. atualizao crtica Uma correo amplamente publicada para um problema especfico que aborda um bug crtico relacionado a questes de segurana ou no relacionado segurana. Observao: h atualizaes crticas e atualizaes de segurana classificadas como crticas (em um boletim de segurana da Microsoft). Essas duas so diferentes tipos de atualizaes da Microsoft. Para obter mais informaes sobre as diferenas, consulte a seo acima. Terminologia de atualizaes de software da Microsoft. defesa aprofundada A abordagem do uso de vrias camadas de segurana para proteger contra falhas de um nico componente de segurana. negao de servio Uma tentativa explcita de evitar que usurios legtimos usem um servio ou sistema. elevao de privilgio Onde um usurio sem privilgios fanha acesso com privilgios. Um exemplo de elevao de privilgio seria um usurio sem privilgios que consegue uma maneira de ser adicionado ao grupo Administradores. cdigo de explorao Um programa de software ou cdigo de amostra que, quando executado contra um sistema vulnervel, usa a vulnerabilidade para falsificar a identidade do invasor, manipular informaes do usurio ou do sistema, no reconhecer a ao do invasor, divulgar informaes do usurio ou do sistema, ou negar servio a usurios vlidos, ou elevar privilgios para o invasor. pacote de recursos Uma nova funcionalidade do produto, normalmente includa na prxima publicao completa do produto. Os pacotes de recursos podem incluir novos recursos e melhorias de segurana.

130

Guia de atualizao de segurana da Microsoft, segunda edio

cdigo de explorao de funcionamento Cdigo de explorao que pode produzir o mximo impacto de segurana de uma vulnerabilidade. Por exemplo, se uma vulnerabilidade tivesse um impacto de segurana de execuo de cdigo remoto, o cdigo de explorao em funcionamento poderia fazer com que ocorresse a execuo do cdigo remoto contra um sistema de destino. correo Um nico pacote composto de um ou mais arquivos usados para abordar um problema em um produto. As correes abordam a situao de um cliente especfico e esto disponveis apenas por meio de um relacionamento de suporte com a Microsoft e no podem ser distribudas fora da organizao do cliente sem consentimento legal por escrito da Microsoft. Os termos QFE (atualizao Quick Fix Engineering, Engenharia de correo rpida), patch e atualizao tm sido usados no passado como sinnimo para correo. impacto A perda geral de negcios esperada quando uma ameaa explora uma vulnerabilidade contra um ativo. atualizao no relacionada com segurana Qualquer atualizao de software no relacionada segurana. A Microsoft chama, especificamente, atualizaes no relacionadas segurana durante o ciclo de publicao de atualizaes de segurana regular, pois algumas atualizaes no relacionadas segurana, como a atualizao Microsoft Outlook Junk Email Filter (Filtro de junk mail do Microsoft Outlook). atualizaes opcionais Atualizaes com o status de Opcional podem incluir atualizaes, drivers ou novos aplicativos da Microsoft ou seus parceiros para melhorar as experincias computacionais dos clientes. Essas atualizaes precisam ser instaladas manualmente, ou seja, o download das atualizaes opcionais no feito automaticamente e elas no so instaladas automaticamente, mas o Windows Update as fornece para anlise. atualizao de segurana Uma correo amplamente publicada para uma vulnerabilidade relacionada segurana especfica do produto. As vulnerabilidades de segurana so classificadas com base em sua severidade, que atribuda pelo MSRC e indicada no boletim de segurana da Microsoft como crtica, importante, moderada ou baixa (as classificaes de gravidade foram discutidas mais detalhadamente anteriormente neste guia). service pack Um conjunto testado e cumulativo de correes, atualizaes de segurana,

131

Guia de atualizao de segurana da Microsoft, segunda edio

atualizaes crticas e atualizaes, alm de correes adicionais de problemas encontrados internamente desde a publicao do produto. Os service packs podem tambm conter um nmero limitado de alteraes ou recursos de design solicitados pelo cliente. classificao de severidade Um rtulo que a Microsoft atribui a cada vulnerabilidade e que ajuda os clientes a avaliar os riscos impostos s suas organizaes e a comparar cada vulnerabilidade com relao a outras vulnerabilidades ao priorizar implantaes. As vulnerabilidades podem ser designadas como Crtica, Importante, Moderada ou Baixa. atualizao de software Uma atualizao de software qualquer atualizao, implantao de atualizao, service pack, pacote de recursos, atualizao crtica, atualizao de segurana ou correo que usada para melhorar ou corrigir um produto de software que publicado pela Microsoft Corporation. substituio Esse termo descreve quando uma nova atualizao de segurana no boletim de segurana substitui uma outra atualizao de segurana em um boletim de segurana mais antigo. No caso de substituio, os binrios na atualizao de segurana mais recente contm a correo para a vulnerabilidade de segurana atual, alm da correo para a atualizao de segurana mais antiga. No passado, atualizaes de segurana novas e anteriormente publicadas, que continham a mesma correo, podem ter sido marcadas como obrigatrias, quando a que era necessria era apenas a atualizao de segurana mais nova. update rollup Um conjunto testado e cumulativo de correes, atualizaes de segurana, atualizaes crticas e atualizaes que vem juntas para fcil implantao. Uma implantao geralmente objetiva uma rea especfica, como segurana, ou um componente de um produto. Entre outros, um bom exemplo de implantao de uma atualizao um Service Pack. update rollup Um conjunto testado e cumulativo de correes, atualizaes de segurana, atualizaes crticas e atualizaes que vem juntas para fcil implantao. Uma implantao geralmente objetiva uma rea especfica, como segurana, ou um componente de um produto. Entre outros, um bom exemplo de implantao de uma atualizao um service pack. Windows Update Agent (WUA) O API do Windows Update Agent (WUA) um conjunto de interfaces COM que permitem que administradores de sistema e programadores acessem o Windows

132

Guia de atualizao de segurana da Microsoft, segunda edio

Update e o Windows Server Update Services (WSUS). possvel escrever scripts e programas para examinar quais atualizaes esto atualmente disponveis para um computador e depois instalar ou desinstalar atualizaes. solues A seo Solues alternativas inclui informaes sobre as solues alternativas que a Microsoft testou, para ajudar a reduzir a ameaa, at que voc tenha atualizado seu ambiente. necessrio ler esta seo como parte da avaliao de risco.

133

One Microsoft Way Redmond, WA 98052-6399 microsoft.com/security