Reprise à 14H15Reprise à 14H15Reprise à 14H15Reprise à 14H15

Windows Server Update Windows Server Update Services (WSUS)Services (WSUS)

Windows Server Update Windows Server Update Services (WSUS)Services (WSUS)

Cyril VoisinCyril VoisinChef de programme Chef de programme SécuritéSécuritéMicrosoft FranceMicrosoft France

La stratégie sécurité de MicrosoftLa stratégie sécurité de Microsoft

Isolation et Isolation et résiliencerésilience

Authentification,Authentification,Autorisation,Autorisation,

AuditAuditExcellence Excellence

dedel’engineeringl’engineering

Mise à jourMise à jouravancéeavancée

Conseils,Conseils,Outils,Outils,

RéponseRéponse

Aujourd’huAujourd’huii

Futur Futur prochprochee

Windows, SQL,Windows, SQL,Exchange, Office…Exchange, Office…

Windows, SQL,Windows, SQL,Exchange, Office…Exchange, Office…

Office Update

Download Center

SUSSUS SMSSMS

““Microsoft Update”Microsoft Update”(Windows Update)(Windows Update)

VS Update

Windows Update

Windows seulementWindows seulement

Windows seulementWindows seulement

UpdateUpdateServicesServices

Mises à jourMises à jour

Automatic Updates (AU)Automatic Updates (AU)Automatic Updates (AU)Automatic Updates (AU)

Service de Mises à jour Service de Mises à jour automatiques (le client de WSUS)automatiques (le client de WSUS)

Automatic Updates (AU)Automatic Updates (AU)DescriptionDescription

Service local (Mises à jour automatiques) Service local (Mises à jour automatiques) automatisant l’accès à WU permettantautomatisant l’accès à WU permettant

D’obtenir automatiquement les mises à jour D’obtenir automatiquement les mises à jour critiques et de sécurité de Windows dont elle a critiques et de sécurité de Windows dont elle a besoinbesoin

De les installer automatiquement (si le De les installer automatiquement (si le propriétaire de la machine le souhaite)propriétaire de la machine le souhaite)

Quand on le connecte à WU (ou MU) : à Quand on le connecte à WU (ou MU) : à destination du grand public et des TPEdestination du grand public et des TPE

Quand on le connecte à WSUS, c’est LE client Quand on le connecte à WSUS, c’est LE client WSUS (à destination des PME principalement)WSUS (à destination des PME principalement)

Client Mises à jour Client Mises à jour automatiques (automatiques (AutoUpdateAutoUpdate))

Principe : Principe : se connecte à se connecte à Windows Update, Windows Update, Microsoft Update ou Microsoft Update ou un serveur WSUS un serveur WSUS pour maintenir la pour maintenir la machine à jourmachine à jour

Mode Mode pullpull

Disponible pourDisponible pourWindows Server 2003Windows Server 2003

Windows 2000 SP3Windows 2000 SP3

Windows XP SP1Windows XP SP1

Installation à l’arrêt (XP SP2)Installation à l’arrêt (XP SP2)

Profiter de l’arrêt de la machine pour Profiter de l’arrêt de la machine pour la maintenir à jourla maintenir à jour

Contrôlé par stratégie de groupeContrôlé par stratégie de groupe

Configuration des clientsConfiguration des clients

Par stratégie de groupe Par stratégie de groupe ou par registreou par registreConfigurer les Mises à Configurer les Mises à jour automatiques jour automatiques (AutoUpdate) (AutoUpdate) Modes d’installation :Modes d’installation :

Notifier avant Notifier avant téléchargement/installatiotéléchargement/installation n Télécharger puis notifier Télécharger puis notifier pour installationpour installationTélécharger et installer Télécharger et installer automatiquement selon la automatiquement selon la planificationplanificationAutoriser les Autoriser les administrateurs locaux à administrateurs locaux à choisir le mode de choisir le mode de configuration (sans configuration (sans pouvoir désactiver pouvoir désactiver AutoUpdateAutoUpdate))

Configuration des clientsConfiguration des clients

Fréquence de détection Fréquence de détection configurable (du client vers configurable (du client vers le serveur) : le serveur) :

22 heures par défaut; 22 heures par défaut; minimum 1 heure (charge minimum 1 heure (charge sur le serveur)sur le serveur)La durée réelle entre deux La durée réelle entre deux détections sera déterminée détections sera déterminée aléatoirement entre 80% et aléatoirement entre 80% et 100% de la durée 100% de la durée paramétréeparamétrée

Délai de redémarrage et Délai de redémarrage et intervalle avant nouvelle intervalle avant nouvelle demande de redémarrage demande de redémarrage (si redémarrage repoussé)(si redémarrage repoussé)Notification pour les non Notification pour les non administrateurs (en fonction administrateurs (en fonction du mode d’installation)du mode d’installation)

Pas de redémarrage planifié Pas de redémarrage planifié (pour laisser l’utilisateur (pour laisser l’utilisateur redémarrer quand il le veut)redémarrer quand il le veut)Replanifier les installations Replanifier les installations planifiées (ex : 5 min après planifiées (ex : 5 min après redémarrage)redémarrage)Autoriser l’installation Autoriser l’installation immédiate des mises à jour immédiate des mises à jour automatiquesautomatiquesNotifie l’utilisateur si Notifie l’utilisateur si redémarrage nécessaireredémarrage nécessaire

DépannageDépannage

Vérifier le démarrage du serviceVérifier le démarrage du serviceVérifier la configuration du clientVérifier la configuration du client

Via l’interface graphique (Propriétés du Poste de Via l’interface graphique (Propriétés du Poste de travail, onglet Mises à jour automatiques)travail, onglet Mises à jour automatiques)Si stratégie de groupe, vérifier son application Si stratégie de groupe, vérifier son application (gpresult)(gpresult)Si rafraîchissement de stratégie de groupe Si rafraîchissement de stratégie de groupe nécessaire : gpupdate /forcenécessaire : gpupdate /forceLogs : Logs :

Journal des événementsJournal des événements%windir%\WindowsUpdate.log%windir%\WindowsUpdate.log%windir%\SoftwareDistribution\ReportingEvents.log%windir%\SoftwareDistribution\ReportingEvents.log

Forcer une détection : wuauclt.exe /detectnowForcer une détection : wuauclt.exe /detectnowRéinitialiser le cookie et forcer une détection : Réinitialiser le cookie et forcer une détection : wuauclt.exe /resetauthorization /detectnowwuauclt.exe /resetauthorization /detectnow

Windows Server Update Windows Server Update Services (WSUS, ex SUS Services (WSUS, ex SUS

2.0)2.0)

Windows Server Update Windows Server Update Services (WSUS, ex SUS Services (WSUS, ex SUS

2.0)2.0)Serveur de gestion de mises à Serveur de gestion de mises à jourjour

AvertissementAvertissement

Windows Server Update Services Windows Server Update Services (WSUS) n’existe pas encore en version (WSUS) n’existe pas encore en version finale (finale (Release CandidateRelease Candidate seulement) seulement)

Certaines fonctionnalités décrites ici Certaines fonctionnalités décrites ici pourraient changer d’ici à la sortie du pourraient changer d’ici à la sortie du produit (même si c’est peu probable)produit (même si c’est peu probable)

Objectifs de WSUS (SUS 2.0)Objectifs de WSUS (SUS 2.0)

Construire l’infrastructure de base de la Construire l’infrastructure de base de la gestion des mises à jourgestion des mises à jourCréer une solution facile d’utilisation, Créer une solution facile d’utilisation, néanmoins complète, pour télécharger et néanmoins complète, pour télécharger et distribuer des mises à jour de produits distribuer des mises à jour de produits MicrosoftMicrosoft

Critiques ou nonCritiques ou nonRapports centralisésRapports centralisésGarantie de l’installationGarantie de l’installationDépannageDépannageSystèmes ou applicationsSystèmes ou applications

Répondre aux demandes clients par rapport à Répondre aux demandes clients par rapport à la version SUS 1.0 (qui ne prend en charge que la version SUS 1.0 (qui ne prend en charge que les mises à jour critiques ou sécurité de les mises à jour critiques ou sécurité de Windows)Windows)

Les fonctionnalités demandées par Les fonctionnalités demandées par nos clientsnos clients

*En partie possible via le réglage de la fréquence de détection et des scripts

Fonctionnalités demandéesFonctionnalités demandées SUS 1.0 SP1SUS 1.0 SP1 WSUSWSUS

Support des Service PacksSupport des Service Packs Installation sur SBS et sur des contrôleurs de domaineInstallation sur SBS et sur des contrôleurs de domaine Support d’Office et d’autres produits MicrosoftSupport d’Office et d’autres produits Microsoft Support d’autres types de mises à jourSupport d’autres types de mises à jour Désinstallation de mise à jourDésinstallation de mise à jour Ciblage des mises à jourCiblage des mises à jour Amélioration du support pour les réseaux bas débitAmélioration du support pour les réseaux bas débit Réduction de la quantité de données à téléchargerRéduction de la quantité de données à télécharger Réglage de la fréquence de détection des mises à jourRéglage de la fréquence de détection des mises à jour Minimiser l’interruption de l’utilisateurMinimiser l’interruption de l’utilisateur Déploiement d’urgence d’un correctif (‘gros bouton Déploiement d’urgence d’un correctif (‘gros bouton rouge’)rouge’)

**

Déploiement de mises à jour d’autres applications non Déploiement de mises à jour d’autres applications non MicrosoftMicrosoft

Support de NT4Support de NT4

Produits supportésProduits supportés

Client WSUSClient WSUSWindowsWindows

Windows 2000 SP3 +Windows 2000 SP3 +Windows XPWindows XPWindows Server 2003 (SP1 mini pour versions 64 bits)Windows Server 2003 (SP1 mini pour versions 64 bits)

OfficeOfficeOffice XP SP2 et Office 2003Office XP SP2 et Office 2003

SQL ServerSQL ServerSQL 2000 et MSDE 2000SQL 2000 et MSDE 2000

Exchange ServerExchange ServerExchange Server 2003Exchange Server 2003

A terme, plus de produits Microsoft (comme ISA A terme, plus de produits Microsoft (comme ISA Server 2004 par exemple)Server 2004 par exemple)

Produits supportésProduits supportés

Server WSUSServer WSUSWindows Server 2003 (32 bits)Windows Server 2003 (32 bits)

IIS6IIS6BITS 2.0 for Windows Server 2003 (pas encore dispo en BITS 2.0 for Windows Server 2003 (pas encore dispo en version finale)version finale).NET Framework 1.1 SP1 for Windows Server 2003.NET Framework 1.1 SP1 for Windows Server 2003

Windows 2000 Server SP4Windows 2000 Server SP4IIS5IIS5BITS 2.0 for Windows 2000 (pas encore dispo en version BITS 2.0 for Windows 2000 (pas encore dispo en version finale)finale)Base de données 100% compatible SQL Server (ex : Base de données 100% compatible SQL Server (ex : MSDE 2000)MSDE 2000)IE 6.0 SP1IE 6.0 SP1.NET Framework 1.1 avec SP1.NET Framework 1.1 avec SP1

L’administrateur souscrit à certaines catégories de mises à jourLe serveur télécharge les mises à jour depuis Microsoft UpdateLes clients s’enregistrent auprès du serveurL’administrateur met les clients dans différents groupes cibles

L’administrateur approuve les mises à jourLes clients installent les mises à jour approuvées par l’administrateur

< Back Finish Cancel

Windows Update ServicesWindows Update Services

< Back Finish Cancel

Windows Update ServicesWindows Update Services

Microsoft Update(utilise WSUS)

Serveur WSUS

Postes de travail (clients WSUS) Groupe cible 1

Serveurs (clients WSUS)Groupe cible 2

Administrateur WSUS

Aperçu de la solution WSUSAperçu de la solution WSUS

Client AUClient AU

Possibilité de mise à jour silencieuse du Possibilité de mise à jour silencieuse du client à partir du serveur WSUSclient à partir du serveur WSUS

Configurer les Mises à jour Configurer les Mises à jour automatiques (AutoUpdate) en automatiques (AutoUpdate) en spécifiant un serveur intranet de Mise à spécifiant un serveur intranet de Mise à jour Microsoftjour Microsoft

Ciblage (GPO ou pas)Ciblage (GPO ou pas)

Attention : Windows XP sans Service Attention : Windows XP sans Service PackPack

Pré-installation (Pré-installation (selfupdateselfupdate))

Groupes ciblesGroupes cibles

Utilité : cibler des mises à jour sur des Utilité : cibler des mises à jour sur des machines spécifiquesmachines spécifiques

Groupe cible de testGroupe cible de testGroupe cible de productionGroupe cible de production

Deux types de ciblageDeux types de ciblageCôté serveurCôté serveur

L’administrateur WSUS gère l’appartenance aux groupes L’administrateur WSUS gère l’appartenance aux groupes depuis le site d’administration (listes sur le serveur)depuis le site d’administration (listes sur le serveur)

Côté clientCôté clientAppartenance gérée automatiquementAppartenance gérée automatiquement

En utilisant des stratégies de groupe En utilisant des stratégies de groupe Ex : même groupe cible pour toutes les machines d’une même UO Ex : même groupe cible pour toutes les machines d’une même UO d’Active Directory) ou groupe cible attribué par GPO filtré selon les d’Active Directory) ou groupe cible attribué par GPO filtré selon les groupes Active Directorygroupes Active Directory

En utilisant le registreEn utilisant le registre

Abonnements (Abonnements (subscriptions)subscriptions)

Permet de choisir quelles mises à jour Permet de choisir quelles mises à jour télécharger et quandtélécharger et quand

Produit / Type de mise à jour (sécu, SP,FP, Produit / Type de mise à jour (sécu, SP,FP, pilote,etc…)pilote,etc…)En fait une mise à jour est composée de deux En fait une mise à jour est composée de deux élémentséléments

Un correctifUn correctifLes méta données décrivant le correctifLes méta données décrivant le correctif

Par défaut :Par défaut :seules les méta données sont téléchargées (catalogue)seules les méta données sont téléchargées (catalogue)les correctifs sont téléchargés s’ils sont approuvés les correctifs sont téléchargés s’ils sont approuvés (contenu)(contenu)

Abonnements Abonnements Planifié (récurrent)Planifié (récurrent)ManuelManuel

Approbation de mise à jourApprobation de mise à jour

Vérification avant déploiement (Vérification avant déploiement (détectiondétection))Évalue l’impact d’une mise à jour sur le Évalue l’impact d’une mise à jour sur le réseau avant qu’elle ne soit déployéeréseau avant qu’elle ne soit déployée

Au niveau de l’approbation d’une mise à jour, Au niveau de l’approbation d’une mise à jour, choisir l’action choisir l’action Detect onlyDetect onlyAprès un cycle de détection des clients, la Après un cycle de détection des clients, la rubrique rubrique StatusStatus de la mise à jour indique le de la mise à jour indique le nombre de machines qui nécessitent la mise à journombre de machines qui nécessitent la mise à jour

Installation lors de la prochaine date planifiéeInstallation lors de la prochaine date planifiéeInstallation avec date butoir (passée une date Installation avec date butoir (passée une date donnée, l’installation devient obligatoire si on donnée, l’installation devient obligatoire si on utilise AU quel que soit le mode, auto ou pas)utilise AU quel que soit le mode, auto ou pas)Désinstallation (nécessite que la mise à jour Désinstallation (nécessite que la mise à jour le supporte)le supporte)

Approbation automatique ?Approbation automatique ?

Par défaut, « détection » automatique pourPar défaut, « détection » automatique pourLes mises à jour critiques et de sécuritéLes mises à jour critiques et de sécuritéTous les groupes ciblesTous les groupes cibles

Par défaut, aucune approbation Par défaut, aucune approbation automatique pour l’installationautomatique pour l’installation

On pourrait choisir des types de mises à jour, et On pourrait choisir des types de mises à jour, et des groupes ciblesdes groupes cibles

En cas de révision d’une mise à jour, la En cas de révision d’une mise à jour, la nouvelle version obtient le même niveau nouvelle version obtient le même niveau d’approbation que l’ancienne (désactivable d’approbation que l’ancienne (désactivable pour effectuer un choix manuel)pour effectuer un choix manuel)

RapportsRapports

Rapport standard consolidé (activités Rapport standard consolidé (activités clients)clients)

Par machine / par mise à jour / par groupe Par machine / par mise à jour / par groupe ciblecible

Succès et échecs des téléchargements et Succès et échecs des téléchargements et installations avec les détails sur les erreursinstallations avec les détails sur les erreurs

Rapport sur les synchrosRapport sur les synchrosNouveautés, changementsNouveautés, changements

Installation avec date butoirInstallation avec date butoir

CommunicationsCommunications

Configuration des paramètres de proxyConfiguration des paramètres de proxyFaible utilisation de la bande passanteFaible utilisation de la bande passante

BITS pour les téléchargements client-serveur BITS pour les téléchargements client-serveur et serveur-serveuret serveur-serveurMise à jour par “abonnement” (par Mise à jour par “abonnement” (par produit/par type) produit/par type) Support des technologies “delta compression” Support des technologies “delta compression” Téléchargement dissocié des correctifs et de Téléchargement dissocié des correctifs et de leurs méta donnéesleurs méta donnéesPort utilisé : 80 ou 8530 (attention, dans ce Port utilisé : 80 ou 8530 (attention, dans ce cas pour mettre à jour de « vieux » clients, il cas pour mettre à jour de « vieux » clients, il faut maintenir un site sur le port 80)faut maintenir un site sur le port 80)

Options de déploiement des Options de déploiement des serveursserveurs

Déploiement hiérarchiqueDéploiement hiérarchiqueServeurs indépendantsServeurs indépendants

Serveurs miroirs (« replica »)Serveurs miroirs (« replica »)

Serveurs non connectés à InternetServeurs non connectés à Internet

ProcédureProcédure

S’assurer que sur les serveurs les options S’assurer que sur les serveurs les options avancées de synchronisation (installation avancées de synchronisation (installation express, langues) sont les mêmesexpress, langues) sont les mêmes

Pas de problème pour le planning, les catégories Pas de problème pour le planning, les catégories de produits, le proxy…de produits, le proxy…

Copier les mises à jour depuis \WSUS\Copier les mises à jour depuis \WSUS\WSUSContent (utilitaire de sauvegarde de WSUSContent (utilitaire de sauvegarde de Windows, en mode incrémental par ex.)Windows, en mode incrémental par ex.)Exporter les méta données de la base de Exporter les méta données de la base de donnéesdonnées

WSUSutil.exe (32 bits seulement; il faut être WSUSutil.exe (32 bits seulement; il faut être admin)admin)

Copier le contenu sur le serveur destinationCopier le contenu sur le serveur destinationPuis importer les méta données avec Puis importer les méta données avec WSUSutil.exeWSUSutil.exe

StockageStockage

Base de données pour gérer tout ce qui n’est Base de données pour gérer tout ce qui n’est pas contenupas contenuPrise en compte des dépendances entre les Prise en compte des dépendances entre les mises à jourmises à jourMSDE vs SQL ServerMSDE vs SQL Server

MSDE a une limite de 2GoMSDE a une limite de 2GoMises à jour hébergées sur Microsoft Update Mises à jour hébergées sur Microsoft Update (WSUS sert alors seulement de point de (WSUS sert alors seulement de point de contrôle) ou en localcontrôle) ou en localFiltrage de contenu Filtrage de contenu

Ne garder que les plateformes et langues dont Ne garder que les plateformes et langues dont vous avez besoinvous avez besoin

DimensionnementDimensionnementPrévoir une croissance annuelle x nb de languesPrévoir une croissance annuelle x nb de langues

Sécurité, flexibilitéSécurité, flexibilité

Sur le client et sur le serveur Sur le client et sur le serveur Vérification de signature des contenus téléchargés Vérification de signature des contenus téléchargés

Permissions sur les contenus téléchargésPermissions sur les contenus téléchargés

Changement des portsChangement des portsSauf pour contacter MUSauf pour contacter MU

Infrastructure et plateformeInfrastructure et plateformeOption en ligne de commande pour déclencher Option en ligne de commande pour déclencher une détection côté client : wuauclt.exe /detectnowune détection côté client : wuauclt.exe /detectnow

API du client en COM exécutables à distance et API du client en COM exécutables à distance et scriptablesscriptables

API du serveur basées sur .Net FrameworkAPI du serveur basées sur .Net Framework

Exemple de scriptExemple de script

Le serveur et le client exposent tous les deux Le serveur et le client exposent tous les deux des API scriptablesdes API scriptables

Dim update, iDim update, iset AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate")set AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate")Autoupdate.DetectNow()Autoupdate.DetectNow()set UpdateSession = CreateObject("Microsoft.Update.Session")set UpdateSession = CreateObject("Microsoft.Update.Session")set UpdateSearcher = UpdateSession.CreateUpdateSearcher()set UpdateSearcher = UpdateSession.CreateUpdateSearcher()set SearchResult= UpdateSearcher.Search("")set SearchResult= UpdateSearcher.Search("")set Updates = SearchResult.Updatesset Updates = SearchResult.Updatesset UpdatesToInstall = set UpdatesToInstall =

CreateObject("Microsoft.Update.UpdateColl")CreateObject("Microsoft.Update.UpdateColl")For i = 0 to (Updates.Count-1)For i = 0 to (Updates.Count-1)

UpdatesToInstall.Add(Updates.Item(i))UpdatesToInstall.Add(Updates.Item(i))NextNextset Installer = UpdateSession.CreateUpdateInstaller()set Installer = UpdateSession.CreateUpdateInstaller()Installer.Updates = UpdatesToInstallInstaller.Updates = UpdatesToInstallset InstallationResult = Installer.Install()set InstallationResult = Installer.Install()

Détection

Approbation

Installation

Dimensionnement du serveurDimensionnement du serveur

Jusqu’à 500 clients

MinimumMinimum RecommandéRecommandé

ProcesseurProcesseur 750 MHz750 MHz 1 GHz ou +1 GHz ou +

RAMRAM 512 Mo512 Mo 1 Go1 Go

Base de donnéesBase de données WMSDE/MSDEWMSDE/MSDE WMSDE/MSDEWMSDE/MSDE

De 500 à 15 000 clients

MinimumMinimum RecommandéRecommandé

ProcesseurProcesseur 1 GHz ou +1 GHz ou + Bi-processeur à 3 Bi-processeur à 3 GHz ou + (2 GHz ou + (2 processeurs pour processeurs pour plus de 10 000 plus de 10 000 clients)clients)

RAMRAM 1 Go1 Go 1 GB1 GB

Base de donnéesBase de données SQL Server 2000 SQL Server 2000 SP3aSP3a

SQL Server 2000 SQL Server 2000 SP3aSP3a

Espace disqueEspace disque

NTFS requisNTFS requis

Partition système : 1 Go libre au moinsPartition système : 1 Go libre au moins

Partition stockant le contenu WSUS : 6 Partition stockant le contenu WSUS : 6 Go mini (30 Go recommandés)Go mini (30 Go recommandés)

Partition où la base de données sera Partition où la base de données sera installée : 2 Go minimuminstallée : 2 Go minimum

InstallationInstallation

Vue des différentes étapes de Vue des différentes étapes de l’assistant d’installation (document l’assistant d’installation (document Step by step guide to getting started Step by step guide to getting started with Microsoft Windows Server Update with Microsoft Windows Server Update Services)Services)

 

*utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés *utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés par WSUS ou Microsoft Updatepar WSUS ou Microsoft Update

ClientClient ScénarioScénario ChoixChoix

Grande ou Grande ou moyenne moyenne entrepriseentreprise

Besoin d'une solution unique et flexible de gestion Besoin d'une solution unique et flexible de gestion des mises à jour avec un niveau élevé de contrôle des mises à jour avec un niveau élevé de contrôle et de distribution pour TOUTES les versions de et de distribution pour TOUTES les versions de Windows et d'applications, ainsi qu'une solution de Windows et d'applications, ainsi qu'une solution de gestion du parc intégrégestion du parc intégré

SMS 2003SMS 2003

Besoin seulement d'une solution de mise à Besoin seulement d'une solution de mise à jour simple pour les produits Microsoft, et jour simple pour les produits Microsoft, et dans un premier temps Windows (2000 et dans un premier temps Windows (2000 et ultérieur), Office (2003 & XP), Exchange ultérieur), Office (2003 & XP), Exchange 2003, SQL Server 2000 et MSDE 20002003, SQL Server 2000 et MSDE 2000

WSUSWSUS**

Petite Petite entrepriseentreprise

Au moins un serveur et un administrateurAu moins un serveur et un administrateur WSUSWSUS**

Tous les autres scénariosTous les autres scénarios Microsoft Microsoft UpdateUpdate**

ConsommateConsommateurur Tous les scénariosTous les scénarios Microsoft Microsoft

UpdateUpdate**

Choisir une solution de Choisir une solution de gestion des correctifsgestion des correctifs

Migration de SUS1 vers WSUSMigration de SUS1 vers WSUS

Pas de mise à jour mais une migration Pas de mise à jour mais une migration des mises à jour et des approbations des mises à jour et des approbations (et c’est tout)(et c’est tout)

WSUSutil.exeWSUSutil.exe

SUS1 et WSUS peuvent cohabiter sur SUS1 et WSUS peuvent cohabiter sur un même serveurun même serveur

RessourcesRessourcesRessourcesRessources

RéférencesRéférences

Site sécurité :Site sécurité :http://www.microsoft.com/france/securitehttp://www.microsoft.com/france/securite Questions : frjms@microsoft.comQuestions : frjms@microsoft.comGestion des mises à jour de sécurité :Gestion des mises à jour de sécurité :http://www.microsoft.com/france/technet/securite/http://www.microsoft.com/france/technet/securite/gestionmaj/default.aspgestionmaj/default.asp Site WSUS (en anglais) : Site WSUS (en anglais) : http://www.microsoft.com/http://www.microsoft.com/windowsserversystem/updateserviceswindowsserversystem/updateservices

Version RC : Version RC : http://www.microsoft.com/windowsserversystem/updateservicehttp://www.microsoft.com/windowsserversystem/updateservices/evaluation/trial/default.mspxs/evaluation/trial/default.mspx

Téléchargement des fichiers d’installationTéléchargement des fichiers d’installationLivres blancsLivres blancs

Step-by-Step Guide to Getting Started with Microsoft Windows Server Step-by-Step Guide to Getting Started with Microsoft Windows Server Update ServicesUpdate ServicesDeploying Microsoft Windows Server Update ServicesDeploying Microsoft Windows Server Update ServicesMicrosoft Windows Server Update Services Operations GuideMicrosoft Windows Server Update Services Operations Guide

Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec

91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 8290 825 827 829

msfrance@microsoft.commsfrance@microsoft.com

ComplémentsComplémentsComplémentsCompléments

Windows Server Update Windows Server Update ServicesServicesex SUS 2.0ex SUS 2.0

Logiciel gratuit* de gestion des mises à jour (sécurité Logiciel gratuit* de gestion des mises à jour (sécurité ou non) de produits Microsoftou non) de produits Microsoft

Critiques ou nonCritiques ou nonRapports centralisésRapports centralisésGarantie de l’installationGarantie de l’installationDépannageDépannageSystèmes ou applicationsSystèmes ou applications

S’appuie sur Microsoft UpdateS’appuie sur Microsoft Update

* Nécessite des CAL si utilisé sur autre chose * Nécessite des CAL si utilisé sur autre chose qu’un Windows Server qu’un Windows Server 2003 Web Edition2003 Web Edition

AU dans XP sans aucun AU dans XP sans aucun Service PackService Pack

Security Development Lifecycle Security Development Lifecycle (SDL)(SDL)

http://msdn.microsoft.com/security/defahttp://msdn.microsoft.com/security/default.aspx?pull=/library/en-us/dnsecure/htult.aspx?pull=/library/en-us/dnsecure/html/sdl.aspml/sdl.asp

Postes de travail Clients

Postes de travail Clients

Serveurs WSUSServeurs WSUS

Microsoft Update

Serveur WSUS

Serveur WSUS

Postes de travail Clients

Serveurs non connectésServeurs non connectés

Microsoft Update

Serveur WSUS

Serveur WSUS (autonome)Importation et exportation

manuelles

Mises à jour de serveursMises à jour de serveursSuggestionsSuggestions

Définir des groupes cibles (GPO ou Définir des groupes cibles (GPO ou interface d’administration WSUS)interface d’administration WSUS)

Configurer les clients Mises à jour Configurer les clients Mises à jour automatiques (GPO ou registre)automatiques (GPO ou registre)

Installation auto ou notification avant Installation auto ou notification avant installationinstallation

Si notification, ouverture de session ou Si notification, ouverture de session ou script pour installationscript pour installation

Mises à jour de serveursMises à jour de serveursSuggestionsSuggestions

Pour les serveurs avec des fenêtres de Pour les serveurs avec des fenêtres de maintenance, configurer les Mises à maintenance, configurer les Mises à jour automatiques pour une installation jour automatiques pour une installation planifiée durant la fenêtreplanifiée durant la fenêtre

Pour les serveurs sans créneaux de Pour les serveurs sans créneaux de maintenance : maintenance :

Configurer les Mises à jour automatiques Configurer les Mises à jour automatiques pour notifier avant l’installationpour notifier avant l’installation

Ouvrir une session sur le serveur ou utiliser Ouvrir une session sur le serveur ou utiliser les API pour effectuer l’installation lorsque les API pour effectuer l’installation lorsque c’est nécessairec’est nécessaire

Mises à jour de serveursMises à jour de serveursSuggestionsSuggestions

DatacentersDatacentersUtiliser les stratégies BITS pour limiter la Utiliser les stratégies BITS pour limiter la bande passante et les fenêtres de bande passante et les fenêtres de téléchargementtéléchargement

Configurer les Mises à jour automatiques Configurer les Mises à jour automatiques pour notifier avant l’installationpour notifier avant l’installation

Utiliser les API pour effectuer l’installation Utiliser les API pour effectuer l’installation lorsque c’est nécessaire lorsque c’est nécessaire

ClustersClustersScripter la mise à jour nœud après noeudScripter la mise à jour nœud après noeud

SuggestionsSuggestions

Nombre de serveurs ? Organisation ?Nombre de serveurs ? Organisation ?Hiérarchie ou pas Hiérarchie ou pas

Mode replica (miroir) ou pas (se définit à Mode replica (miroir) ou pas (se définit à l’installation seulement)l’installation seulement)

Attention : il est conseillé de ne pas Attention : il est conseillé de ne pas dépasser 3 niveaux dans la hiérarchie pour dépasser 3 niveaux dans la hiérarchie pour des questions de latence de propagation des questions de latence de propagation des mises à jourdes mises à jour

SuggestionsSuggestions

Connexion à Microsoft UpdateConnexion à Microsoft UpdateConfiguration d’un proxy (éventuellement compte + mot de Configuration d’un proxy (éventuellement compte + mot de passe)passe)Ouverture du pare-feuOuverture du pare-feu

HTTP 80 et HTTPS 443 pour joindre les serveurs Microsoft sur le HTTP 80 et HTTPS 443 pour joindre les serveurs Microsoft sur le WebWebListe des domaines :Liste des domaines :

·· http://windowsupdate.microsoft.com http://windowsupdate.microsoft.com ·· http://*.windowsupdate.microsoft.com http://*.windowsupdate.microsoft.com ·· https://*.windowsupdate.microsoft.com https://*.windowsupdate.microsoft.com ·· http://*.update.microsoft.com http://*.update.microsoft.com ·· https://*.update.microsoft.com https://*.update.microsoft.com ·· http://*.windowsupdate.com http://*.windowsupdate.com ·· http://download.windowsupdate.comhttp://download.windowsupdate.com·· http://download.microsoft.com http://download.microsoft.com ·· http://*.download.windowsupdate.com http://*.download.windowsupdate.com ·· http://wustat.windows.com http://wustat.windows.com ·· http://ntservicepack.microsoft.comhttp://ntservicepack.microsoft.com

SuggestionsSuggestions

Filtre d’URL (type URLScan), si vous Filtre d’URL (type URLScan), si vous l’utilisez, il faut :l’utilisez, il faut :

autoriser les extensions de type .exe (les autoriser les extensions de type .exe (les enlever de la section [DenyExtensions]enlever de la section [DenyExtensions]

Autoriser dans [AllowVerbs]Autoriser dans [AllowVerbs]GETGET

HEADHEAD

POSTPOST

OPTIONSOPTIONS

SuggestionsSuggestions

Limiter la bande passante et l’espace Limiter la bande passante et l’espace disquedisque

Choix des types de mise à jour dans Choix des types de mise à jour dans l’abonnement l’abonnement

Choix des languesChoix des langues

Télécharger seulement les méta-données Télécharger seulement les méta-données sans les correctifs (les correctifs sont sans les correctifs (les correctifs sont téléchargés quand ils sont approuvés)téléchargés quand ils sont approuvés)

Utiliser les installations express (deltas) ou Utiliser les installations express (deltas) ou paspas

SuggestionsSuggestions

AbonnementsAbonnements

Fréquence de mise à jour des abonnements : Fréquence de mise à jour des abonnements : quotidienne pour mises à jour de sécurité, quotidienne pour mises à jour de sécurité, hebdo pour mises à jour normales, hebdo pour mises à jour normales, mensuelle/trimestrielle pour les pilotesmensuelle/trimestrielle pour les pilotes

Groupes ciblesGroupes cibles

Diviser les machines par catégories de Diviser les machines par catégories de machines relativement homogènesmachines relativement homogènes

A l’intérieur de chaque catégorie, définir un A l’intérieur de chaque catégorie, définir un groupe Pilote et un groupe Productiongroupe Pilote et un groupe Production

Préférer la répartition par GPO plutôt que par Préférer la répartition par GPO plutôt que par clé de registreclé de registre

Configuration du clientConfiguration du clientSuggestionsSuggestions

Choix de l’installation automatisée Choix de l’installation automatisée (sauf exceptions, dans ce cas obliger à (sauf exceptions, dans ce cas obliger à utiliser AutoUpdate sans forcer le utiliser AutoUpdate sans forcer le moment de l’installation)moment de l’installation)

Appartenance à un groupe cible : via Appartenance à un groupe cible : via GPOGPO

Configuration du clientConfiguration du clientSuggestionsSuggestions

Choix de l’heure d’installation (possibilité de Choix de l’heure d’installation (possibilité de répartir les heures selon les machines via GPO, ce répartir les heures selon les machines via GPO, ce qui laisse l’occasion d’étaler l’installation sur le qui laisse l’occasion d’étaler l’installation sur le groupe Production et éventuellement de détecter groupe Production et éventuellement de détecter d’éventuels problèmes)d’éventuels problèmes)

Fréquence de détection configurable (du client Fréquence de détection configurable (du client vers le serveur, de 1H à 22H, par défaut 22H et vers le serveur, de 1H à 22H, par défaut 22H et durée effective tirée aléatoirement entre 80% et durée effective tirée aléatoirement entre 80% et 100% de la durée indiquée) : 12H pour la 100% de la durée indiquée) : 12H pour la production et 1H pour le Piloteproduction et 1H pour le Pilote

Délai de redémarrage et intervalle avant nouvelle Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage demande de redémarrage (si redémarrage repoussé) : 45 minrepoussé) : 45 min

Configuration du clientConfiguration du clientSuggestionsSuggestions

Notification pour les non Notification pour les non administrateurs (en fonction du mode administrateurs (en fonction du mode d’installation) : désactivéd’installation) : désactivéPas de redémarrage planifié (pour Pas de redémarrage planifié (pour laisser l’utilisateur redémarrer quand il laisser l’utilisateur redémarrer quand il le veut) : désactivéle veut) : désactivéReplanifier les installations planifiées Replanifier les installations planifiées (après redémarrage) : 25 min(après redémarrage) : 25 minAutoriser l’installation immédiate des Autoriser l’installation immédiate des mises à jour automatiques : oui sur le mises à jour automatiques : oui sur le Pilote, non sur la productionPilote, non sur la production

Approbation de mise à jourApprobation de mise à jourSuggestionsSuggestions

Vérification avant déploiement (détection) : à Vérification avant déploiement (détection) : à utiliser largement sur Productionutiliser largement sur Production

Installation : pour les mises à jour normalesInstallation : pour les mises à jour normales

Installation avec date butoir : pour les mises à Installation avec date butoir : pour les mises à jour de sécurité critiques (la positionner à date de jour de sécurité critiques (la positionner à date de sortie du bulletin + 9 jours)sortie du bulletin + 9 jours)

Désinstallation : à vérifier via rapports après coup Désinstallation : à vérifier via rapports après coup (cycle complet de détection, soit 22H par défaut)(cycle complet de détection, soit 22H par défaut)

Re-approbation automatique (utiliser ou non Re-approbation automatique (utiliser ou non automatiquement la nouvelle révision de mise à automatiquement la nouvelle révision de mise à jour) : désactivé (attention : surveiller jour) : désactivé (attention : surveiller l’occurrence de ces mises à jour)l’occurrence de ces mises à jour)

AutresAutresSuggestionsSuggestions

DépannageDépannageCôté client : option en ligne de commande pour déclencher Côté client : option en ligne de commande pour déclencher une détection côté client : une détection côté client : wuauclt.exe /detectnowwuauclt.exe /detectnowLecture des logsLecture des logs

Rapports consolidés de l’activité des clientsRapports consolidés de l’activité des clientsPar machine / par mise à jour / par groupe ciblePar machine / par mise à jour / par groupe cibleSuccès et échecs des téléchargements et installations avec Succès et échecs des téléchargements et installations avec les détails sur les erreursles détails sur les erreurs

Rapport sur les synchrosRapport sur les synchrosNouveautés, changementsNouveautés, changements

Surveillance de la santé du serveurSurveillance de la santé du serveurServeur Update Services déconnecté d’Internet Serveur Update Services déconnecté d’Internet (script manuel de synchro)(script manuel de synchro)

Mise en place de SSL ?Mise en place de SSL ?

Pour protéger le transfert des méta donnéesPour protéger le transfert des méta donnéesNe pas appliquer sur tout le site car une partie du trafic doit se Ne pas appliquer sur tout le site car une partie du trafic doit se faire en HTTP (en clair)faire en HTTP (en clair)

SSL surSSL surSimpleAuthWebServiceSimpleAuthWebServiceDSSAuthWebServiceDSSAuthWebServiceServerSyncWebServiceServerSyncWebServiceWSUSAdminWSUSAdminClientWebServiceClientWebService

Mais pas surMais pas surContentContentReportingWebServiceReportingWebServiceSelfUpdateSelfUpdate

Port : 443 ou 8531 (si port personnalisé en 8530 pour le trafic Port : 443 ou 8531 (si port personnalisé en 8530 pour le trafic normal)normal)Sur les serveurs subordonnés, importer le certificat dans le Sur les serveurs subordonnés, importer le certificat dans le magasin des autorités de certification racines de confiance de magasin des autorités de certification racines de confiance de l’ordinateur local ou dans le magasin des autorités de certification l’ordinateur local ou dans le magasin des autorités de certification racines de confiance de Windows Server Update Servicesracines de confiance de Windows Server Update Services

Mise en place de SSL ?Mise en place de SSL ?

InconvénientsInconvénientsPerte de 10% de performance sur le serveurPerte de 10% de performance sur le serveurLa connexion entre le serveur et la base de La connexion entre le serveur et la base de données n’utilise pas SSLdonnées n’utilise pas SSL

Les mettre sur la même machineLes mettre sur la même machineOu sur un même réseau privéOu sur un même réseau privéOu utiliser IPsecOu utiliser IPsec

Configuration des clientsConfiguration des clientsChanger l’URL du serveur WSUS (ex : Changer l’URL du serveur WSUS (ex : https://monserveurWSUS)https://monserveurWSUS)Importation du certificat dans le magasin des Importation du certificat dans le magasin des autorités de certification racines de confiance de autorités de certification racines de confiance de l’ordinateur local ou dans le magasin des autorités l’ordinateur local ou dans le magasin des autorités de certification racines de confiance du service de certification racines de confiance du service Mises à jour automatiquesMises à jour automatiques

Comparaison de MU, WSUS et SMS 2003Comparaison de MU, WSUS et SMS 2003CapacitéCapacité Microsoft UpdateMicrosoft Update WSUSWSUS SMS 2003SMS 2003Logiciels et contenus supportésLogiciels et contenus supportés

Logiciels supportés pour Logiciels supportés pour le contenule contenu

Pareil que WSUS + WinXP Pareil que WSUS + WinXP édition familialeédition familiale

Win2K, WS2003, WinXP Pro, Win2K, WS2003, WinXP Pro, Office 2003, Office XP, Office 2003, Office XP, Exchange 2003, SQL Server Exchange 2003, SQL Server 2000, MSDE2000, MSDE

Idem WSUS + NT 4.0 & Win98 + Idem WSUS + NT 4.0 & Win98 + peut mettre à jour n’importe quel peut mettre à jour n’importe quel logiciel fonctionnant sur Windowslogiciel fonctionnant sur Windows

Types de contenu Types de contenu supportéssupportés

Toutes les mises à jour de Toutes les mises à jour de logiciels, mises à jour logiciels, mises à jour critiques de pilotes, Service critiques de pilotes, Service Packs & Feature PacksPacks & Feature Packs

Toutes les mises à jour de Toutes les mises à jour de logiciels, mises à jour critiques logiciels, mises à jour critiques de pilotes, Service Packs & de pilotes, Service Packs & Feature PacksFeature Packs

Toutes les mises à jour de Toutes les mises à jour de logiciels, Service Packs & Feature logiciels, Service Packs & Feature PacksPacks+ support la mise à jour et + support la mise à jour et l’installation d’appli Windowsl’installation d’appli Windows

Capacités de gestion des mises à jourCapacités de gestion des mises à jour

Ciblage de contenu Ciblage de contenu à certains systèmesà certains systèmes N/AN/A SimpleSimple AvancéAvancé

Optimisation de la Optimisation de la bande passante bande passante réseauréseau

OuiOui OuiOui Oui Oui

Contrôle de la Contrôle de la distribution des distribution des correctifscorrectifs

N/AN/A SimpleSimple AvancéAvancé

Installation de Installation de correctif & correctif & flexibilité de la flexibilité de la planificationplanification

Manuelle & contrôlée Manuelle & contrôlée par l’utilisateur finalpar l’utilisateur final SimpleSimple AvancéAvancé

Rapport sur les Rapport sur les installations de installations de correctifscorrectifs

Erreurs d’installation Erreurs d’installation rapportées à rapportées à l’utilisateur. Liste les l’utilisateur. Liste les mises à jour mises à jour manquantes pour la manquantes pour la machine connectéemachine connectée

SimpleSimple AvancéAvancé

Planification du Planification du déploiementdéploiement N/AN/A SimpleSimple AvancéAvancé

Gestion de Gestion de l’inventairel’inventaire N/AN/A NonNon OuiOui

Vérification de Vérification de conformitéconformité N/AN/A Non – rapport de statut Non – rapport de statut

seulementseulement AvancéAvancé